Beitrag von Martin Swider und Peter Pillath für die Zeit­schrift Versi­che­rungs­Praxis in ihrer Ausgabe 02/2024, S. 13-18.

Manch einer mag behaupten, dass die Digi­ta­li­sie­rung der deut­schen Indus­trie bereits abge­schlossen sei. Doch dies ist bei weitem noch nicht der Fall. Zum einen sind viele Indus­trie­zweige noch nicht voll digi­ta­li­siert – das Bundes­mi­nis­te­rium für Wirt­schaft spricht davon, dass gerade einmal in 6 von 10 Unter­nehmen Indus­trie 4.0 Kompo­nenten zum Einsatz kommen.

Zum anderen führen Cloud, Big Data, Data Analy­tics, 5G und Künst­liche Intel­li­genz zu einer Beschleu­ni­gung und weiteren Einsatz­mög­lich­keiten. Diese disrup­tiven Tech­no­lo­gien schaffen Anwen­dungs­felder und Poten­ziale für Unter­nehmen, wodurch die Digi­ta­li­sie­rungs­rate weiter zunimmt. Bei dieser Entwick­lung muss bei dem Einsatz der neuen Anwen­dungen Cyber Secu­rity eine Grund­lage bilden. Nur so können nach­haltig Mehr­werte gene­riert werden – für das Unter­nehmen selbst, für Kunden und Partner.

Cyber-Sicher­heit – der Blick über das eigene Unter­nehmen hinaus

Nachdem im Jahr 2022 die erfolg­rei­chen, gemel­deten Cyber-Angriffe rück­läufig waren, nahmen Schäden insbe­son­dere ab der zweiten Jahres­hälfte 2023 stark zu. Ransom­ware-Atta­cken sind weiterhin die häufigste und insge­samt gefährlichste
Angriffsart. Hier zeigen sich eine weitere Profes­sio­na­li­sie­rung, eine erhöhte Frequenz und auch eine Auswei­tung der Erpres­sung. Mitt­ler­weile treten Fälle auf, in denen zunächst Daten abge­zogen werden, die Server und Clients des Unter­neh­mens verschlüs­selt werden und anschlie­ßend eine mehr­stu­fige Erpres­sung statt­findet. Als erstes wird Geld für die Entschlüs­se­lung gefor­dert, anschlie­ßend für die Nicht­ver­öf­fent­li­chung und im dritten Schritt werden Mitar­beiter und/oder Geschäfts­partner mit den gewon­nenen Infor­ma­tionen ange­gangen. Eine unschöne Entwick­lung. Eine Folge dieses Vorge­hens ist auch, dass auf einmal auch Unter­nehmen und Personen betroffen sind, welche selbst nicht gehackt wurden. Hierzu passt, dass auch die Liefer­ketten in den Fokus der Angreifer rücken. Dies in viel­fäl­tiger Hinsicht. Zum einen können über Zulie­ferer und Abnehmer Infor­ma­tionen über das eigent­liche Ziel gewonnen werden. Diese Infor­ma­tionen werden dann für gezielte Angriffe oder auch Betrugs­ver­suche, wie bspw. Fake Presi­dent-Angriffe, genutzt. Zum anderen gibt es auch bestehende digi­tale Verbin­dungen der Wert­schöp­fungs­ketten, sodass ein Angriff auf ein verbun­denes Unter­nehmen direkte Auswir­kungen auf weitere Unter­nehmen hat und die Erpresser hier­durch den Druck erhöhen. Abschlie­ßend ist viel­leicht tatsäch­lich „nur” das ange­grif­fene Unter­nehmen Ziel der Attacke, ohne Absicht verbun­denen Unter­nehmen zu schaden, aber die Auswir­kungen sind dennoch da. Somit ist insbe­son­dere mit Blick auf die „digi­tale Liefer­kette” der Aufbau von „Digital Trust” heut­zu­tage uner­läss­lich. Das berühmte schwächste Glied ist auch in der Cyber­Welt zu beachten. Gerade da die Verwund­bar­keit der Unter­nehmen durch einen erhöhten Digi­ta­li­sie­rungs­grad und stär­kerer Vernet­zung steigt. Künst­liche Intel­li­genz macht es den Angrei­fern zudem leichter Infor­ma­tionen zu sammeln, auszu­werten und ziel­ge­rich­teter einzu­setzen, inklu­siver perso­na­li­sierter, gram­ma­tisch einwand­freier Phishing-Emails.

Beach­tung der analogen und digi­talen Lieferkette

Was für das eigene Unter­nehmen gilt, besitzt auch in der Liefer­kette Gültig­keit. Ich kann nur schützen, was ich kenne. Oberstes Gebot ist es Trans­pa­renz zu schaffen, über die Angriffs­fläche, die Auswir­kungen und die getrof­fenen Schutzmaß-nahmen. Sowohl die analoge, als auch die digi­tale Liefer­kette muss im Risi­ko­ma­nage­ment des Unter­neh­mens Berück­sich­ti­gung finden. Unter­nehmen der analogen oder auch physi­schen Liefer­kette und deren Beson­der­heiten sind meist bekannt. Es exis­tieren ein Liefe­ran­ten­ma­nage­ment, Bewer­tungen und Ausfall­sze­na­rien. Für beson­ders wich­tige Kompo­nenten gibt es Ersatz­lie­fe­ranten oder Lager­hal­tung. Meist sind unter­schied­liche Szena­rien in den Risi­ko­hand­bü­chern ausge­ar­beitet. Cyber-Risiken nehmen hierbei eine immer wich­ti­gere Rolle ein. Ist das eigene Unter­nehmen bereits gut vor Cyber-Angriffen geschützt, sollten ähnliche Anfor­de­rungen auch an die Geschäfts­partner gestellt werden. Infor­ma­tions- und Melde­pflichten sind wichtig, um selbst bei den immer strenger werdenden Melde­pflichten und regu­la­to­ri­schen Anfor­de­rungen einer gerin­geren Gefahr von Bußgel­dern und Strafen ausge­setzt zu sein und zeitnah handeln zu können, wenn bei einem verbun­denen Unter­nehmen etwas vorfällt. Ähnlich wie Produkt­kon­trollen bedarf es auch Mindest­an­for­de­rungen an die IT-Secu­rity. In einer vernetzten Welt genügt es nicht, wenn nur ein Teil sicher ist, die gesamte Kette muss betrachtet werden. Nun ist es schwer den IT-Reife­grad eines anderen Unter­neh­mens zu bestimmen und pass­ge­naue Vorgaben zu formu­lieren. Die Verein­ba­rung gewisser Mindest­stan­dards, das Vorliegen einer Zerti­fi­zie­rung oder auch einer Cyber-Versi­che­rung können hierbei jedoch helfen. Das Risi­ko­ma­nage­ment entwi­ckelt sich weiter und auch der Gesetz­geber sieht mehr Verant­wor­tung bei den einzelnen Unter­nehmen. Die Verant­wor­tung für die IT-Sicher­heit liegt mitt­ler­weile aus Unter­neh­mens- und Gesetz­ge­ber­sicht bei der Geschäftsführung.

Betrachten wir die digi­tale Liefer­kette, spre­chen wir über Cloud, Soft­ware as a Service (SaaS) und weitere digi­tale Dienst­leis­tungen. Diese Ange­bote ermög­li­chen eine neue Arbeits­weise, helfen Prozesse zu opti­mieren und schaffen die Möglich­keit neuer Wert­schöp­fungs­ketten. Die digi­tale Liefer­kette ist zunächst kaum sichtbar und läuft in vielerlei Hinsicht im Hinter­grund ab. Im eigenen Unter­nehmen und über die gesamte Liefer­kette. Zum einen bestehen in der physi­schen Liefer­kette Verbin­dungen, wie bspw. über das ERP-System, zum anderen werden Dienst­leister, Cloud-Anbieter und Soft­ware­lö­sungen genutzt, welche nicht der vollen Kontrolle des nutzenden Unter­neh­mens unter­liegen. Daten werden inner­halb globaler Liefer­ketten über­tragen und Angreifer versu­chen Schwach­stellen über einzelne Zugangs­punkte auszu­nutzen. Im Bereich Cloud-Dienst­leister hat der Hacker­an­griff auf das Unter­nehmen Bitm­arck gezeigt, welche Auswir­kungen ein Angriff auf einen Dienst­leister haben kann. Rund 300.000 Kunden­daten von unter­schied­li­chen Kran­ken­kassen wurden entwendet, zudem hat die Nicht­ver­füg­bar­keit der Cloud-Dienste zu Unter­bre­chungen des Betriebs vieler Kran­ken­kassen geführt. Laut eigenen Angaben stellt Bitm­arck die tech­ni­sche Infra­struktur und Soft­ware­lö­sungen für rund 80 Kran­ken­kassen bereit. Der Fall MOVEit ist eben­falls ein großes Scha­den­er­eignis. Eine weit verbrei­tete Soft­ware-Lösung für den angeb­lich sicheren Datei­transfer. Ein einzelnes kompro­mit­tiertes Soft­ware­ele­ment zeigt deut­lich, wie eine einzige Sicher­heits­lücke in einer wenig bekannten Soft­ware eine welt­weite Daten­schutz­ka­ta­strophe auslösen kann. Stand 20.12.23 sind 2.611 Unter­nehmen und Orga­ni­sa­tionen bzw. ca. 85 Mio. Personen betroffen. Die Tatsache, dass der Cyber­an­griff über eine in vielen Unter­nehmen genutzte Soft­ware erfolgte, verdeut­lichte die Verwund­bar­keit von Liefer­ketten in der digi­talen Welt. Von solchen Beispielen gibt es mehrere. Wichtig für das eigene Unter­nehmen zu wissen ist, welche Dienst­leister man für welche Bereiche nutzt und diese in das Risi­ko­ma­nage­ment aufnimmt. Insbe­son­dere die Verzwei­gungen in der digi­talen Liefer­kette und der Liefer­kette allge­mein kann eine Heraus­for­de­rung darstellen. Nutzen die Dienst­leister ein eigenes Rechen­zen­trum oder wird hierfür ggf. wiederum ein Dritt­an­bieter genutzt? Gibt es Über­schnei­dungen, sodass ggf. mein Plan B auch betroffen wäre? Wie sieht es bei meinen anderen Geschäfts­part­nern aus, gibt es hier einen digi­talen Single-Point-of-Failure?

Busi­ness Impact Analysen und Table Top Übungen können helfen das Risiko besser zu verstehen und zu bezif­fern. Vielen Unter­nehmen fällt es noch immer schwer Wech­sel­wir­kungen zu iden­ti­fi­zieren und mögliche Scha­den­summen zu bestimmen. Versi­cherte Scha­den­fälle zeigen, dass bereits bei mittel­großen Unter­nehmen Dienst­leis­ter­kosten für Forensik und Wieder­her­stel­lung der IT-Infra­struktur im hohen sechs­stel­ligen Bereich liegen. Je nach Tätig­keit des Unter­neh­mens ergibt sich zusätz­lich eine poten­zi­elle Betriebs­un­ter­bre­chung in beträcht­li­cher Höhe. Diese zieht sich im Schnitt 4 bis 6 Wochen, wobei mehrere Monate mit Einschrän­kungen und Nach­wir­kungen zu rechnen ist. Parallel müssen Dritt­an­sprüche, Vertrags­strafen und Daten­schutz­ver­stöße geprüft werden. Ein Cyber-Vorfall wird nicht umsonst als eines der Haupt­ri­siken für Unter­nehmen gesehen, dies wird jähr­lich durch unter­schied­liche Studien u.a. durch das Allianz Risk Baro­meter 2024 bestä­tigt (https://commercial.allianz.com/news-and-insights/news/allianz-risk-barometer-2024-press-de.html). Sofern ein Unter­nehmen nur indi­rekt über die Liefer­kette betroffen ist, fallen ein paar Kosten weg, aber die Auswir­kungen sind nicht zu unter­schätzen. Neben einer mögli­chen Betriebs­un­ter­bre­chung, Mehr­kosten für die Aufrecht­erhal­tung des Betriebs, erhöhter Kommu­ni­ka­ti­ons­auf­wand, ggf. Vertrags­strafen und Ansprü­chen aus Daten­schutz­ver­stößen, besteht auch das Risiko des Verlusts von Geschäfts­ge­heim­nissen und eine erhöhte Gefahr durch gewon­nene Erkennt­nisse der Angreifer selbst Ziel eines Angriffs zu werden.

Die Anfor­de­rungen an die IT-Secu­rity, die sie an ihr eigenes Unter­nehmen stellen, sollten sie somit auch an ihre Geschäfts­partner stellen.

Der recht­liche Rahmen erhöht die Anfor­de­rungen an Unternehmen

Die Richt­linie (EU) 2022/2555, auch bekannt als NIS 2, hat erheb­liche Auswir­kungen auf betrof­fene Unter­nehmen, die Cyber­si­cher­heit und Liefer­ketten in der Euro­päi­schen Union. Cyber­an­griffe sind grenz­über­schrei­tend und können kriti­sche Infor­ma­ti­ons­in­fra­struk­turen gefährden, die für das reibungs­lose Funk­tio­nieren des Binnen­markts von entschei­dender Bedeu­tung sind. Aus diesem Grund müssen die Länder die Richt­line in natio­nales Recht gießen mit dem Ziel die Infor­ma­ti­ons­si­cher­heit zu erhöhen und Melde­pflichten zu verschärfen. Die Richt­linie betont die Rolle verschie­dener Akteure bei der Bewäl­ti­gung dieser Herausforderungen.

Laut der Richt­linie können Computer-Sicher­heits­vor­falls-Reak­ti­ons­teams (CSIRTs) an koor­di­nierten Risi­ko­be­wer­tungen kriti­scher Liefer­ketten betei­ligt sein. Diese Bewer­tungen zielen darauf ab, für jeden Sektor kriti­sche Infor­ma­tions- und Kommu­ni­ka­ti­ons­tech­no­logie (IKT) Dienste, Systeme oder Produkte sowie rele­vante Bedro­hungen und Schwach­stellen zu identifizieren.

Beson­ders wichtig ist dem Gesetz­geber die Siche­rung von Liefer­ketten, da Cyber­an­griffe zuneh­mend Orga­ni­sa­tionen über Schwach­stellen in Produkten und Diensten Dritter treffen. Wesent­liche Einrich­tungen sollten die Cyber­si­cher­heit ihrer Liefe­ranten und Diens­te­an­bieter bewerten und Risi­ko­ma­nage­ment­maß­nahmen in vertrag­liche Verein­ba­rungen einbeziehen.

Kleine und mitt­lere Unter­nehmen stehen vor beson­deren Heraus­for­de­rungen im Bereich der Cyber­si­cher­heit, darunter geringes Cyber­be­wusst­sein bei hoher, unbe­wusster Bedro­hungs­lage. Die Mitglied­staaten sollten diese Unter­nehmen unter­stützen, insbe­son­dere in Bezug auf Lieferkettenangriffe.

Die Richt­linie ermög­licht auch koor­di­nierte Risi­ko­be­wer­tungen kriti­scher Liefer­ketten, wobei verschie­dene Krite­rien berück­sich­tigt werden, um IKT-Dienste, -Systeme oder -Produkte zu iden­ti­fi­zieren, die für Einrich­tungen von beson­derer Bedeu­tung sind.

In Deutsch­land gibt es weiterhin das Liefer­ket­ten­ge­setz, das große Unter­nehmen und auslän­di­sche Unter­nehmen mit Nieder­las­sungen in Deutsch­land zur Verant­wor­tung für die Herstel­lung ihrer Produkte und Dienst­leis­tungen verpflichtet, selbst wenn Teile des Prozesses im Ausland statt­finden. Dies soll fairen Wett­be­werb sicher­stellen und das Verur­sa­cher­prinzip in global vernetzten Liefer­ketten durchsetzen.

Schwie­rige Durch­set­zung der Ansprüche inner­halb der digi­talen Lieferkette

Bereits im Jahr 2003 wurde die Gefahr für die Infor­ma­ti­ons­si­cher­heit aufgrund der Abhän­gig­keit von IT-Mono­kul­turen thema­ti­siert, wobei die Vormacht­stel­lung von Micro­soft im Bereich der Betriebs­sys­teme als Beispiel diente. Diese Situa­tion birgt das Risiko eines poten­zi­ellen Kaska­den­ef­fekts bei der Verbrei­tung von Malware, der durch das Vorhan­den­sein iden­ti­scher Sicher­heits­lü­cken auf vielen Systemen ausge­löst werden kann. Zum Zeit­punkt Ende 2017 hatten Micro­soft-Betriebs­sys­teme immer noch einen Markt­an­teil von 91,72%.

Darüber hinaus zeigen auch die führenden Anbieter im Bereich des Cloud-Compu­ting, ange­führt von Amazon Web Services (AWS) mit einem Markt­an­teil von 40%, gefolgt von Micro­soft, Google und IBM mit insge­samt 23%, die poten­zi­elle Angriffs­fläche aufgrund von exis­tie­renden Quasi-Mono­polen auf. Diese Tatsache verdeut­licht, dass Cyber-Risiken nicht nur die Infor­ma­ti­ons­si­cher­heit inner­halb eines einzelnen Unter­neh­mens betreffen, sondern aufgrund von Inter­de­pen­denzen ohne geogra­fi­sche Begren­zung ein welt­weit mögli­ches Anste­ckungs­ri­siko und die Kumu­lie­rung von Schäden darstellen können.
Weiterhin beinhalten die stan­dar­di­sierten Kunden­ver­ein­ba­rungen von u.a. Amazon Web Services, dass der Anbieter von jegli­cher Haftung für entgan­gene Gewinne oder Umsätze aufgrund unge­planter oder nicht ange­kün­digter Ausfall­zeiten befreit ist.

Es ist jedoch äußerst frag­lich, ob Kun-den in der Lage sind, die vertrag­liche Haftung zu ihren Gunsten zu verhan­deln, insbe­son­dere im Bereich des Cloud-Compu­ting, wo nur wenige Anbieter eine domi­nante Markt­po­si­tion innehaben.

Aber auch bei anderen Part­nern in der digi­talen Liefer­kette kann ein Cyber­an­griff verhee­rend sein. Die teils vorhan­dene Annahme, Schäden werden durch die Haft­pflicht­ver­si­che­rung des Dienst­leis­ters gedeckt ist in vielen Fällen zu verneinen. Zum einen werden Ansprüche durch den Haft­pflicht­ver­si­cherer bei Zwei­feln an der Haftung abge­wehrt, zum anderen ist bei einer Viel­zahl berech­tigter Ansprüche die Versi­che­rungs­summe schnell ausge­schöpft. Des Weiteren kann ein Cyber-Vorfall auch zur Insol­venz des Dienst­leis­ters führen. Entspre­chend ist nicht garan­tiert, dass eine Entschä­di­gung vorhan­dener Ansprüche in Folge eines Cyber­an­griffs in der Liefer­kette voll­um­fäng­lich stattfindet.

Daten­schutz, Unter­neh­mens­ge­heim­nisse und Betriebsunterbrechung

In der Über­le­gung, warum es in der Liefer­kette einer hohen Infor­ma­ti­ons­si­cher­heit bedarf, spielen unter­schied­liche Faktoren eine Rolle. Jedes Unter­nehmen muss für sich kriti­sche Daten und Prozesse beleuchten. Zunächst ist das Unter­nehmen im Rahmen der DSGVO für Daten verant­wort­lich, welche erhoben und gespei­chert werden. Auch, wenn diese Daten durch einen Auftrags­da­ten­ver­ar­beiter gespei­chert werden. Kommt es somit bei dem Cloud-Dienst­leister, Geschäfts­partner etc. zu einem Daten­schutz­vor­fall, betreffen die Melde­plfichten, Entschä­di­gungs­for­de­rungen und weitere Ansprüche auch das Unter­nehmen direkt. Die Dienst­leis­tungs­ver­träge müssen so gestaltet sein, um recht­liche Fristen einzu­halten. Werden hohe Sicher­heits­an­for­de­rungen verein­bart und auch über­prüft, besteht auch die Chance Ansprüche zu vermeiden.

Nicht weniger wichtig ist für viele Unter­nehmen der Schutz von Unter­neh­mens- und Geschäfts­ge­heim­nissen. Alle Daten, die mehr­fach und bei unter­schied­li­chen Part­nern gespei­chert werden, erhöhen in diesem Fall die Angriffs­ober­fläche und die Wahr­schein­lich­keit eines erfolg­rei­chen Cyber­an­griffs auf diese. Es sollte klar sein, dass solche Daten verschlüs­selt gespei­chert und auch nur verschlüs­selt über­tragen werden. Aber in Zeiten von Künst­li­cher Intel­li­genz und Quan­ten­com­pu­tern ist eine einfache Verschlüs­se­lung wenig wert. Gerade im Bereich Wirt­schafts­spio­nage handelt es sich zum Groß­teil um gezielte Angriffe mit hohen Ressourcen im Hinter­grund. Der Weg zu den Daten muss bereits durch IT-Secu­rity-Maßnahmen und Segmen­tie­rung sehr gut abge­si­chert sein.

Bei produ­zie­renden Unter­nehmen ist die mögliche Betriebs­un­ter­bre­chung das größere Risiko. Hierbei kann einer­seits die Produk­tion direkt betroffen sein und durch einen Cyber­an­griff still­stehen. Häufiger sind derzeit jedoch Wech­sel­wir­kungen. Durch ein still­ge­legtes ERP-System können Aufträge nicht abge­ar­beitet werden. Durch die verschlüs­selte Logis­tik­soft­ware kann nicht nach­voll­zogen werden, was noch auf Lager ist und was schon ausge­lie­fert wurde. Und da die Kommu­ni­ka­ti­ons­wege nicht mehr funk­tio­nieren, können keine neuen Aufträge mehr aufge­nommen und es können auch keine Ressourcen einge­kauft werden.

Darüber hinaus müssen noch Dienst­leis­ter­kosten für Forensik, Wieder­her­stel­lungs­kosten der betrof­fenen Systeme und auch der Punkt Repu­ta­tion betrachtet werden. Ein komplexes Unter­fangen. Alle Punkte müssen separat und als Ganzes beleuchtet werden.

Eine Cyber-Versi­che­rung kann einen Teil des Risikos absichern

Eine sich rasch verän­dernde und äußerst komplexe Bedro­hungs­land­schaft erfor­dert eine proak­tive Heran­ge­hens­weise an das Risi­ko­ma­nage­ment in den Berei­chen Tech­no­logie, mensch­liche Ressourcen und betrieb­liche Abläufe, um konti­nu­ier­lich die grund­le­genden Ziele der Infor­ma­ti­ons­si­cher­heit zu gewähr­leisten. In dieser heraus­for­dernden Situa­tion steht die Asse­ku­ranz vor der Aufgabe, inno­va­tive Produkt­lö­sungen zu entwi­ckeln, die den tech­no­lo­gi­schen und regu­la­to­ri­schen Verän­de­rungen gerecht werden. Dabei ist es entschei­dend, Schritt zu halten, um eine attrak­tive Risi­ko­über­tra­gung für verschie­dene Kunden­pro­file und Risi­ko­sze­na­rien sicherzustellen.

Die GDV-Bedin­gungen berück­sich­tigen zwar die Bereit­stel­lung von Systemen oder die Verar­bei­tung von elek­tro­ni­schen Daten bei Dritten wie Cloud-Dienst­leis­tern, externen Rechen­zen­tren und Outsour­cing-Anbie­tern, jedoch decken sie keine Betriebs­un­ter­bre­chungs­schäden aufgrund des Ausfalls oder der Störung von externen Dienst­leis­tungen ab. Die Muster­be­din­gungen enthalten hierbei einen klaren Ausschluss für externe und kriti­sche Infra­struk­turen. Eine Entwick­lung an diesem Punkt wird disku­tiert und ist wünschenswert.

Aller­dings bietet der Markt bereits verein­zelt Lösungen an, die Ertrags­aus­fälle aufgrund des Ausfalls von (IT-)Dienstleistern mit einschließen. Dazu gehören auch weit­rei­chende Szena­rien wie der Ausfall von über­re­gio­nalen Tele­kom­mu­ni­ka­tions- und Inter­net­netzen sowie der Ausfall kriti­scher Infra­struk­turen wie der Strom­ver­sor­gung. Darüber hinaus können neben Infor­ma­ti­ons­si­cher­heits­ver­let­zungen auch nicht-krimi­nelle Ursa­chen wie tech­ni­sches oder mensch­li­ches Versagen versi­chert werden. Einige Versi­che­rungs­kon­zepte decken sogar komplette Liefer­ketten ab. Ein Beispiel dafür ist die soge­nannte Contin­gent Busi­ness Inter­rup­tion-Deckung, die den Ertrags­aus­fall des Versi­che­rungs­neh­mers versi­chert, wenn ein Zulie­fe­rant aufgrund eines System­aus­falls, sei es durch krimi­nelle oder nicht-krimi­nelle Ursa­chen, seine Leis­tung nicht erbringen kann, was beispiels­weise zu einem Engpass in der Produk­tion führen kann. Diese Zusatz­bau­steine sind jedoch oft teuer und in ihrer Versi­che­rungs­leis­tung einge­schränkt. Ein genauer Blick und das rich­tige Gesamt­kon­zept sind wichtig um das Absi­che­rungs­kon­zept indi­vi­duell zu gestalten.

Allein der Prozess zur Erlan­gung einer Cyber-Versi­che­rung kann bereits Sicher­heits­ri­siken und Intrans­pa­renz aufzeigen. Zugleich kann der Absi­che­rungs­be­darf mit bestehenden Policen harmo­ni­siert werden und auch der Deckungs­schutz der verbun­denen Unter­nehmen geklärt werden. Die Cyber-Versi­che­rung ist noch immer eine vergleichs­weise junge Versi­che­rungs­sparte, sie entwi­ckelt sich jedoch rasant zu einer grund­le­genden Absi­che­rung, um Risiken in der Liefer­kette beherrschbar zu halten.

Umgang mit Cyber­ri­siken bei Zulieferern

Zusam­men­fas­send gibt es ein paar bewährte Maßnahmen, um Cyber­ri­siken im Rahmen der Liefer­kette zu mini­mieren und beherrschbar zu machen:

  • Doku­men­ta­tion aller Liefe­ranten und Dienstleister.
  • Iden­ti­ka­tion und Kenntnis der sicher­heits­re­le­vanten Kompo­nenten und Dienstleistungen.
  • Risi­ko­ein­stu­fung der Kompo­nenten, Dienst­leis­tungen und der dahin­ter­lie­genden Liefe­ranten und Dienst­leis­tern bei bzw. vor der Beschaffung.
  • Auswahl von sicheren Geschäfts­part-nern und Ableh­nung (hoch-)kritisch einge­stufter Anbieter.
  • Klas­si­fi­zie­rung der genutzten Dienst­leis­tungen anhand Risi­ko­kri­te­rien und Iden­ti­fi­ka­tion von Single-Points- of-Failure.
  • Aktive Über­wa­chung von Risiken und Bedro­hungen im eigenen Unter­nehmen und in der Lieferkette.
  • Aktive Verwal­tung der Liefe­ranten und deren regel­mä­ßige Überprüfung.
  • Verein­ba­rung von Meldeppfichten.
  • Beach­tung von aner­kannten Ansätzen wie „Good-Prac­tice-of-Cyber­se­cu­rity“ bei der Produkt­ent­wick­lung, bis hin zu
    „Secure-by-Design“.
  • Defi­ni­tion von Infor­ma­ti­ons­si­cher­heits-Mindest­stan­dards für die rele­vanten Lieferanten.
  • Stetiger Austausch mit Unter­nehmen in der Liefer­kette zu Themen der Infor­ma­ti­ons­si­cher­heit und aktu­ellen Entwicklungen.

Noch sind wir in der deut­schen Wirt­schaft ein gutes Stück davon entfernt die gesamte Liefer­kette cyber­an­griff­re­sis­tent aufzu­stellen. Anfangen muss man natür­lich stets im eigenen Unter­nehmen. Aber um mit der rasanten Entwick­lung Schritt zu halten und die Vorzüge der Digi­ta­li­sie­rung umfäng­lich zu nutzen, sollte man sich besser früh Gedanken über die vorhan­dene IT-Sicher­heit bei den verbun­denen Unter­nehmen machen. Durch die neuen Tech­no­lo­gien und die stär­kere Verbrei­tung digi­taler Lösungen steigt die Angriffs­fläche. Durch den erhöhten Anteil digi­taler Prozesse an der Wert­schöp­fung und der Abhän­gig­keit von digi­talen Lösungen steigt die Attrak­ti­vität für Angreifer. Hinzu kommt, dass ein „Einbre­cher“ nicht vor Ort sein muss, sondern dies bequem und unbe­schwert vom anderen Ende der Welt machen kann. Cyber-Krimi­na­lität floriert und die digi­tale Vernet­zung von Unter­nehmen schafft Angrei­fern neue Möglichkeiten.

Schützen Sie Ihr Unter­nehmen und Ihre Lieferkette! 

Diesen Beitrag veröf­fent­lichte die Zeit­schrift Versi­che­rungs­Praxis in ihrer Ausgabe 02/2024, S. 13-18.

Martin Swider
Head of Sales Cyber
hendricks GmbH

Peter Pillath
Prokurist
Director Center of Excel­lence Cyber
Howden-Group