Beitrag von Martin Swider und Peter Pillath für die Zeitschrift Versi­che­rungs­Praxis in ihrer Ausgabe 02/2024, S. 13–18.

Manch einer mag behaupten, dass die Digita­li­sierung der deutschen Industrie bereits abgeschlossen sei. Doch dies ist bei weitem noch nicht der Fall. Zum einen sind viele Indus­trie­zweige noch nicht voll digita­li­siert – das Bundes­mi­nis­terium für Wirtschaft spricht davon, dass gerade einmal in 6 von 10 Unter­nehmen Industrie 4.0 Kompo­nenten zum Einsatz kommen.

Zum anderen führen Cloud, Big Data, Data Analytics, 5G und Künst­liche Intel­ligenz zu einer Beschleu­nigung und weiteren Einsatz­mög­lich­keiten. Diese disrup­tiven Techno­logien schaffen Anwen­dungs­felder und Poten­ziale für Unter­nehmen, wodurch die Digita­li­sie­rungsrate weiter zunimmt. Bei dieser Entwicklung muss bei dem Einsatz der neuen Anwen­dungen Cyber Security eine Grundlage bilden. Nur so können nachhaltig Mehrwerte generiert werden – für das Unter­nehmen selbst, für Kunden und Partner.

Cyber-Sicherheit – der Blick über das eigene Unter­nehmen hinaus

Nachdem im Jahr 2022 die erfolg­reichen, gemel­deten Cyber-Angriffe rückläufig waren, nahmen Schäden insbe­sondere ab der zweiten Jahres­hälfte 2023 stark zu. Ransomware-Attacken sind weiterhin die häufigste und insgesamt gefähr­lichste Angriffsart. Hier zeigen sich eine weitere Profes­sio­na­li­sierung, eine erhöhte Frequenz und auch eine Ausweitung der Erpressung.

Mittler­weile treten Fälle auf, in denen zunächst Daten abgezogen werden, die Server und Clients des Unter­nehmens verschlüsselt werden und anschließend eine mehrstufige Erpressung statt­findet. Als erstes wird Geld für die Entschlüs­selung gefordert, anschließend für die Nicht­ver­öf­fent­li­chung und im dritten Schritt werden Mitar­beiter und/​oder Geschäfts­partner mit den gewon­nenen Infor­ma­tionen angegangen. Eine unschöne Entwicklung.

Eine Folge dieses Vorgehens ist auch, dass auf einmal auch Unter­nehmen und Personen betroffen sind, welche selbst nicht gehackt wurden. Hierzu passt, dass auch die Liefer­ketten in den Fokus der Angreifer rücken. Dies in vielfäl­tiger Hinsicht. Zum einen können über Zulie­ferer und Abnehmer Infor­ma­tionen über das eigent­liche Ziel gewonnen werden. Diese Infor­ma­tionen werden dann für gezielte Angriffe oder auch Betrugs­ver­suche, wie bspw. Fake President-Angriffe, genutzt. Zum anderen gibt es auch bestehende digitale Verbin­dungen der Wertschöp­fungs­ketten, sodass ein Angriff auf ein verbun­denes Unter­nehmen direkte Auswir­kungen auf weitere Unter­nehmen hat und die Erpresser hierdurch den Druck erhöhen.

Abschließend ist vielleicht tatsächlich „nur” das angegriffene Unter­nehmen Ziel der Attacke, ohne Absicht verbun­denen Unter­nehmen zu schaden, aber die Auswir­kungen sind dennoch da. Somit ist insbe­sondere mit Blick auf die „digitale Liefer­kette” der Aufbau von „Digital Trust” heutzutage unerlässlich. Das berühmte schwächste Glied ist auch in der CyberWelt zu beachten. Gerade da die Verwund­barkeit der Unter­nehmen durch einen erhöhten Digita­li­sie­rungsgrad und stärkerer Vernetzung steigt. Künst­liche Intel­ligenz macht es den Angreifern zudem leichter Infor­ma­tionen zu sammeln, auszu­werten und zielge­rich­teter einzu­setzen, inklu­siver perso­na­li­sierter, gramma­tisch einwand­freier Phishing-Emails.

Beachtung der analogen und digitalen Liefer­kette

Was für das eigene Unter­nehmen gilt, besitzt auch in der Liefer­kette Gültigkeit. Ich kann nur schützen, was ich kenne. Oberstes Gebot ist es Trans­parenz zu schaffen, über die Angriffs­fläche, die Auswir­kungen und die getrof­fenen Schutz­maß­nahmen. Sowohl die analoge, als auch die digitale Liefer­kette muss im Risiko­ma­nagement des Unter­nehmens Berück­sich­tigung finden.

Unter­nehmen der analogen oder auch physi­schen Liefer­kette und deren Beson­der­heiten sind meist bekannt. Es existieren ein Liefe­ran­ten­ma­nagement, Bewer­tungen und Ausfall­sze­narien. Für besonders wichtige Kompo­nenten gibt es Ersatz­lie­fe­ranten oder Lager­haltung. Meist sind unter­schied­liche Szenarien in den Risiko­hand­bü­chern ausge­ar­beitet.

Cyber-Risiken nehmen hierbei eine immer wichtigere Rolle ein. Ist das eigene Unter­nehmen bereits gut vor Cyber-Angriffen geschützt, sollten ähnliche Anfor­de­rungen auch an die Geschäfts­partner gestellt werden. Infor­­ma­­tions- und Melde­pflichten sind wichtig, um selbst bei den immer strenger werdenden Melde­pflichten und regula­to­ri­schen Anfor­de­rungen einer gerin­geren Gefahr von Bußgeldern und Strafen ausge­setzt zu sein und zeitnah handeln zu können, wenn bei einem verbun­denen Unter­nehmen etwas vorfällt. Ähnlich wie Produkt­kon­trollen bedarf es auch Mindest­an­for­de­rungen an die IT-Security. In einer vernetzten Welt genügt es nicht, wenn nur ein Teil sicher ist, die gesamte Kette muss betrachtet werden.

Nun ist es schwer den IT-Reifegrad eines anderen Unter­nehmens zu bestimmen und passgenaue Vorgaben zu formu­lieren. Die Verein­barung gewisser Mindest­stan­dards, das Vorliegen einer Zerti­fi­zierung oder auch einer Cyber-Versi­cherung können hierbei jedoch helfen. Das Risiko­ma­nagement entwi­ckelt sich weiter und auch der Gesetz­geber sieht mehr Verant­wortung bei den einzelnen Unter­nehmen.

Die Verant­wortung für die IT-Sicherheit liegt mittler­weile aus Unter­­nehmens- und Gesetz­ge­ber­sicht bei der Geschäfts­führung.

Betrachten wir die digitale Liefer­kette, sprechen wir über Cloud, Software as a Service (SaaS) und weitere digitale Dienst­leis­tungen. Diese Angebote ermög­lichen eine neue Arbeits­weise, helfen Prozesse zu optimieren und schaffen die Möglichkeit neuer Wertschöp­fungs­ketten.

Die digitale Liefer­kette ist zunächst kaum sichtbar und läuft in vielerlei Hinsicht im Hinter­grund ab. Im eigenen Unter­nehmen und über die gesamte Liefer­kette. Zum einen bestehen in der physi­schen Liefer­kette Verbin­dungen, wie bspw. über das ERP-System, zum anderen werden Dienst­leister, Cloud-Anbieter und Software­lö­sungen genutzt, welche nicht der vollen Kontrolle des nutzenden Unter­nehmens unter­liegen. Daten werden innerhalb globaler Liefer­ketten übertragen und Angreifer versuchen Schwach­stellen über einzelne Zugangs­punkte auszu­nutzen.

Im Bereich Cloud-Diens­t­­leister hat der Hacker­an­griff auf das Unter­nehmen Bitmarck gezeigt, welche Auswir­kungen ein Angriff auf einen Dienst­leister haben kann. Rund 300.000 Kunden­daten von unter­schied­lichen Kranken­kassen wurden entwendet, zudem hat die Nicht­ver­füg­barkeit der Cloud-Dienste zu Unter­bre­chungen des Betriebs vieler Kranken­kassen geführt. Laut eigenen Angaben stellt Bitmarck die technische Infra­struktur und Software­lö­sungen für rund 80 Kranken­kassen bereit.

Der Fall MOVEit ist ebenfalls ein großes Schaden­er­eignis. Eine weit verbreitete Software-Lösung für den angeblich sicheren Datei­transfer. Ein einzelnes kompro­mit­tiertes Software­element zeigt deutlich, wie eine einzige Sicher­heits­lücke in einer wenig bekannten Software eine weltweite Daten­schutz­ka­ta­strophe auslösen kann. Stand 20.12.23 sind 2.611 Unter­nehmen und Organi­sa­tionen bzw. ca. 85 Mio. Personen betroffen. Die Tatsache, dass der Cyber­an­griff über eine in vielen Unter­nehmen genutzte Software erfolgte, verdeut­lichte die Verwund­barkeit von Liefer­ketten in der digitalen Welt. Von solchen Beispielen gibt es mehrere.

Wichtig für das eigene Unter­nehmen zu wissen ist, welche Dienst­leister man für welche Bereiche nutzt und diese in das Risiko­ma­nagement aufnimmt. Insbe­sondere die Verzwei­gungen in der digitalen Liefer­kette und der Liefer­kette allgemein kann eine Heraus­for­derung darstellen. Nutzen die Dienst­leister ein eigenes Rechen­zentrum oder wird hierfür ggf. wiederum ein Dritt­an­bieter genutzt? Gibt es Überschnei­dungen, sodass ggf. mein Plan B auch betroffen wäre? Wie sieht es bei meinen anderen Geschäfts­partnern aus, gibt es hier einen digitalen Single-Point-of-Failure?

Business Impact Analysen und Table Top Übungen können helfen das Risiko besser zu verstehen und zu beziffern. Vielen Unter­nehmen fällt es noch immer schwer Wechsel­wir­kungen zu identi­fi­zieren und mögliche Schaden­summen zu bestimmen. Versi­cherte Schaden­fälle zeigen, dass bereits bei mittel­großen Unter­nehmen Dienst­leis­ter­kosten für Forensik und Wieder­her­stellung der IT-Infra­­struktur im hohen sechs­stel­ligen Bereich liegen. Je nach Tätigkeit des Unter­nehmens ergibt sich zusätzlich eine poten­zielle Betriebs­un­ter­bre­chung in beträcht­licher Höhe. Diese zieht sich im Schnitt 4 bis 6 Wochen, wobei mehrere Monate mit Einschrän­kungen und Nachwir­kungen zu rechnen ist.

Parallel müssen Dritt­an­sprüche, Vertrags­strafen und Daten­schutz­ver­stöße geprüft werden. Ein Cyber-Vorfall wird nicht umsonst als eines der Haupt­ri­siken für Unter­nehmen gesehen, dies wird jährlich durch unter­schied­liche Studien u.a. durch das Allianz Risk Barometer 2024 bestätigt (https://​commercial​.allianz​.com/​n​e​w​s​–​a​n​d​–​i​n​s​i​g​h​t​s​/​n​e​w​s​/​a​l​l​i​a​n​z​–​r​i​s​k​–​b​a​r​o​m​e​t​e​r​–​2​0​2​4​–​p​r​e​s​s​–​de.html). Sofern ein Unter­nehmen nur indirekt über die Liefer­kette betroffen ist, fallen ein paar Kosten weg, aber die Auswir­kungen sind nicht zu unter­schätzen. Neben einer möglichen Betriebs­un­ter­bre­chung, Mehrkosten für die Aufrecht­erhaltung des Betriebs, erhöhter Kommu­ni­ka­ti­ons­aufwand, ggf. Vertrags­strafen und Ansprüchen aus Daten­schutz­ver­stößen, besteht auch das Risiko des Verlusts von Geschäfts­ge­heim­nissen und eine erhöhte Gefahr durch gewonnene Erkennt­nisse der Angreifer selbst Ziel eines Angriffs zu werden.

Die Anfor­de­rungen an die IT-Security, die sie an ihr eigenes Unter­nehmen stellen, sollten sie somit auch an ihre Geschäfts­partner stellen.

Der recht­liche Rahmen erhöht die Anfor­de­rungen an Unter­nehmen

Die Richt­linie (EU) 2022/2555, auch bekannt als NIS 2, hat erheb­liche Auswir­kungen auf betroffene Unter­nehmen, die Cyber­si­cherheit und Liefer­ketten in der Europäi­schen Union. Cyber­an­griffe sind grenz­über­schreitend und können kritische Infor­ma­ti­ons­in­fra­struk­turen gefährden, die für das reibungslose Funktio­nieren des Binnen­markts von entschei­dender Bedeutung sind. Aus diesem Grund müssen die Länder die Richtline in natio­nales Recht gießen mit dem Ziel die Infor­ma­ti­ons­si­cherheit zu erhöhen und Melde­pflichten zu verschärfen. Die Richt­linie betont die Rolle verschie­dener Akteure bei der Bewäl­tigung dieser Heraus­for­de­rungen.

Laut der Richt­linie können Computer-Sicher­heits­­­vor­­­falls-Reakti­ons­­teams (CSIRTs) an koordi­nierten Risiko­be­wer­tungen kriti­scher Liefer­ketten beteiligt sein. Diese Bewer­tungen zielen darauf ab, für jeden Sektor kritische Infor­­ma­­tions- und Kommu­ni­ka­ti­ons­tech­no­logie (IKT) Dienste, Systeme oder Produkte sowie relevante Bedro­hungen und Schwach­stellen zu identi­fi­zieren.

Besonders wichtig ist dem Gesetz­geber die Sicherung von Liefer­ketten, da Cyber­an­griffe zunehmend Organi­sa­tionen über Schwach­stellen in Produkten und Diensten Dritter treffen. Wesent­liche Einrich­tungen sollten die Cyber­si­cherheit ihrer Liefe­ranten und Diens­te­an­bieter bewerten und Risiko­ma­nage­ment­maß­nahmen in vertrag­liche Verein­ba­rungen einbe­ziehen.

Kleine und mittlere Unter­nehmen stehen vor beson­deren Heraus­for­de­rungen im Bereich der Cyber­si­cherheit, darunter geringes Cyber­be­wusstsein bei hoher, unbewusster Bedro­hungslage. Die Mitglied­staaten sollten diese Unter­nehmen unter­stützen, insbe­sondere in Bezug auf Liefer­ket­ten­an­griffe.

Die Richt­linie ermög­licht auch koordi­nierte Risiko­be­wer­tungen kriti­scher Liefer­ketten, wobei verschiedene Kriterien berück­sichtigt werden, um IKT-Dienste, ‑Systeme oder ‑Produkte zu identi­fi­zieren, die für Einrich­tungen von beson­derer Bedeutung sind.

In Deutschland gibt es weiterhin das Liefer­ket­ten­gesetz, das große Unter­nehmen und auslän­dische Unter­nehmen mit Nieder­las­sungen in Deutschland zur Verant­wortung für die Herstellung ihrer Produkte und Dienst­leis­tungen verpflichtet, selbst wenn Teile des Prozesses im Ausland statt­finden. Dies soll fairen Wettbewerb sicher­stellen und das Verur­sa­cher­prinzip in global vernetzten Liefer­ketten durch­setzen.

Schwierige Durch­setzung der Ansprüche innerhalb der digitalen Liefer­kette

Bereits im Jahr 2003 wurde die Gefahr für die Infor­ma­ti­ons­si­cherheit aufgrund der Abhän­gigkeit von IT-Monokul­­turen thema­ti­siert, wobei die Vormacht­stellung von Microsoft im Bereich der Betriebs­systeme als Beispiel diente. Diese Situation birgt das Risiko eines poten­zi­ellen Kaska­den­ef­fekts bei der Verbreitung von Malware, der durch das Vorhan­densein identi­scher Sicher­heits­lücken auf vielen Systemen ausgelöst werden kann. Zum Zeitpunkt Ende 2017 hatten Microsoft-Betrieb­s­­systeme immer noch einen Markt­anteil von 91,72%.

Darüber hinaus zeigen auch die führenden Anbieter im Bereich des Cloud-Computing, angeführt von Amazon Web Services (AWS) mit einem Markt­anteil von 40%, gefolgt von Microsoft, Google und IBM mit insgesamt 23%, die poten­zielle Angriffs­fläche aufgrund von existie­renden Quasi-Monopolen auf. Diese Tatsache verdeut­licht, dass Cyber-Risiken nicht nur die Infor­ma­ti­ons­si­cherheit innerhalb eines einzelnen Unter­nehmens betreffen, sondern aufgrund von Inter­de­pen­denzen ohne geogra­fische Begrenzung ein weltweit mögliches Anste­ckungs­risiko und die Kumulierung von Schäden darstellen können.
Weiterhin beinhalten die standar­di­sierten Kunden­ver­ein­ba­rungen von u.a. Amazon Web Services, dass der Anbieter von jeglicher Haftung für entgangene Gewinne oder Umsätze aufgrund ungeplanter oder nicht angekün­digter Ausfall­zeiten befreit ist.

Es ist jedoch äußerst fraglich, ob Kun-den in der Lage sind, die vertrag­liche Haftung zu ihren Gunsten zu verhandeln, insbe­sondere im Bereich des Cloud-Computing, wo nur wenige Anbieter eine dominante Markt­po­sition innehaben.

Aber auch bei anderen Partnern in der digitalen Liefer­kette kann ein Cyber­an­griff verheerend sein. Die teils vorhandene Annahme, Schäden werden durch die Haftpflicht­ver­si­cherung des Dienst­leisters gedeckt ist in vielen Fällen zu verneinen. Zum einen werden Ansprüche durch den Haftpflicht­ver­si­cherer bei Zweifeln an der Haftung abgewehrt, zum anderen ist bei einer Vielzahl berech­tigter Ansprüche die Versi­che­rungs­summe schnell ausge­schöpft. Des Weiteren kann ein Cyber-Vorfall auch zur Insolvenz des Dienst­leisters führen. Entspre­chend ist nicht garan­tiert, dass eine Entschä­digung vorhan­dener Ansprüche in Folge eines Cyber­an­griffs in der Liefer­kette vollum­fänglich statt­findet.

Daten­schutz, Unter­neh­mens­ge­heim­nisse und Betriebs­un­ter­bre­chung

In der Überlegung, warum es in der Liefer­kette einer hohen Infor­ma­ti­ons­si­cherheit bedarf, spielen unter­schied­liche Faktoren eine Rolle. Jedes Unter­nehmen muss für sich kritische Daten und Prozesse beleuchten. Zunächst ist das Unter­nehmen im Rahmen der DSGVO für Daten verant­wortlich, welche erhoben und gespei­chert werden. Auch, wenn diese Daten durch einen Auftrags­da­ten­ver­ar­beiter gespei­chert werden. Kommt es somit bei dem Cloud-Diens­t­­leister, Geschäfts­partner etc. zu einem Daten­schutz­vorfall, betreffen die Melde­plfichten, Entschä­di­gungs­for­de­rungen und weitere Ansprüche auch das Unter­nehmen direkt. Die Dienst­leis­tungs­ver­träge müssen so gestaltet sein, um recht­liche Fristen einzu­halten. Werden hohe Sicher­heits­an­for­de­rungen vereinbart und auch überprüft, besteht auch die Chance Ansprüche zu vermeiden.

Nicht weniger wichtig ist für viele Unter­nehmen der Schutz von Unter­­nehmens- und Geschäfts­ge­heim­nissen. Alle Daten, die mehrfach und bei unter­schied­lichen Partnern gespei­chert werden, erhöhen in diesem Fall die Angriffs­ober­fläche und die Wahrschein­lichkeit eines erfolg­reichen Cyber­an­griffs auf diese. Es sollte klar sein, dass solche Daten verschlüsselt gespei­chert und auch nur verschlüsselt übertragen werden. Aber in Zeiten von Künst­licher Intel­ligenz und Quanten­com­putern ist eine einfache Verschlüs­selung wenig wert. Gerade im Bereich Wirtschafts­spionage handelt es sich zum Großteil um gezielte Angriffe mit hohen Ressourcen im Hinter­grund. Der Weg zu den Daten muss bereits durch IT-Security-Maßnahmen und Segmen­tierung sehr gut abgesi­chert sein.

Bei produ­zie­renden Unter­nehmen ist die mögliche Betriebs­un­ter­bre­chung das größere Risiko. Hierbei kann einer­seits die Produktion direkt betroffen sein und durch einen Cyber­an­griff still­stehen. Häufiger sind derzeit jedoch Wechsel­wir­kungen. Durch ein still­ge­legtes ERP-System können Aufträge nicht abgear­beitet werden. Durch die verschlüs­selte Logis­tik­software kann nicht nachvoll­zogen werden, was noch auf Lager ist und was schon ausge­liefert wurde. Und da die Kommu­ni­ka­ti­onswege nicht mehr funktio­nieren, können keine neuen Aufträge mehr aufge­nommen und es können auch keine Ressourcen einge­kauft werden.

Darüber hinaus müssen noch Dienst­leis­ter­kosten für Forensik, Wieder­her­stel­lungs­kosten der betrof­fenen Systeme und auch der Punkt Reputation betrachtet werden. Ein komplexes Unter­fangen. Alle Punkte müssen separat und als Ganzes beleuchtet werden.

Eine Cyber-Versi­cherung kann einen Teil des Risikos absichern

Eine sich rasch verän­dernde und äußerst komplexe Bedro­hungs­land­schaft erfordert eine proaktive Heran­ge­hens­weise an das Risiko­ma­nagement in den Bereichen Techno­logie, mensch­liche Ressourcen und betrieb­liche Abläufe, um konti­nu­ierlich die grund­le­genden Ziele der Infor­ma­ti­ons­si­cherheit zu gewähr­leisten. In dieser heraus­for­dernden Situation steht die Assekuranz vor der Aufgabe, innovative Produkt­lö­sungen zu entwi­ckeln, die den techno­lo­gi­schen und regula­to­ri­schen Verän­de­rungen gerecht werden. Dabei ist es entscheidend, Schritt zu halten, um eine attraktive Risiko­über­tragung für verschiedene Kunden­profile und Risiko­sze­narien sicher­zu­stellen.

Die GDV-Bedin­­gungen berück­sich­tigen zwar die Bereit­stellung von Systemen oder die Verar­beitung von elektro­ni­schen Daten bei Dritten wie Cloud-Diens­t­­leistern, externen Rechen­zentren und Outsourcing-Anbietern, jedoch decken sie keine Betriebs­un­ter­bre­chungs­schäden aufgrund des Ausfalls oder der Störung von externen Dienst­leis­tungen ab. Die Muster­be­din­gungen enthalten hierbei einen klaren Ausschluss für externe und kritische Infra­struk­turen. Eine Entwicklung an diesem Punkt wird disku­tiert und ist wünschenswert.

Aller­dings bietet der Markt bereits vereinzelt Lösungen an, die Ertrags­aus­fälle aufgrund des Ausfalls von (IT-)Dienstleistern mit einschließen. Dazu gehören auch weitrei­chende Szenarien wie der Ausfall von überre­gio­nalen Telekom­­mu­­ni­­ka­­tions- und Inter­net­netzen sowie der Ausfall kriti­scher Infra­struk­turen wie der Strom­ver­sorgung. Darüber hinaus können neben Infor­ma­ti­ons­si­cher­heits­ver­let­zungen auch nicht-krimi­­nelle Ursachen wie techni­sches oder mensch­liches Versagen versi­chert werden. Einige Versi­che­rungs­kon­zepte decken sogar komplette Liefer­ketten ab. Ein Beispiel dafür ist die sogenannte Contingent Business Inter­ruption-Deckung, die den Ertrags­ausfall des Versi­che­rungs­nehmers versi­chert, wenn ein Zulie­ferant aufgrund eines System­aus­falls, sei es durch krimi­nelle oder nicht-krimi­­nelle Ursachen, seine Leistung nicht erbringen kann, was beispiels­weise zu einem Engpass in der Produktion führen kann. Diese Zusatz­bau­steine sind jedoch oft teuer und in ihrer Versi­che­rungs­leistung einge­schränkt. Ein genauer Blick und das richtige Gesamt­konzept sind wichtig um das Absiche­rungs­konzept indivi­duell zu gestalten.

Allein der Prozess zur Erlangung einer Cyber-Versi­cherung kann bereits Sicher­heits­ri­siken und Intrans­parenz aufzeigen. Zugleich kann der Absiche­rungs­bedarf mit bestehenden Policen harmo­ni­siert werden und auch der Deckungs­schutz der verbun­denen Unter­nehmen geklärt werden. Die Cyber-Versi­cherung ist noch immer eine vergleichs­weise junge Versi­che­rungs­sparte, sie entwi­ckelt sich jedoch rasant zu einer grund­le­genden Absicherung, um Risiken in der Liefer­kette beherrschbar zu halten.

Umgang mit Cyber­ri­siken bei Zulie­ferern

Zusam­men­fassend gibt es ein paar bewährte Maßnahmen, um Cyber­ri­siken im Rahmen der Liefer­kette zu minimieren und beherrschbar zu machen:

  • Dokumen­tation aller Liefe­ranten und Dienst­leister.
  • Identi­kation und Kenntnis der sicher­heits­re­le­vanten Kompo­nenten und Dienst­leis­tungen.
  • Risiko­ein­stufung der Kompo­nenten, Dienst­leis­tungen und der dahin­ter­lie­genden Liefe­ranten und Dienst­leistern bei bzw. vor der Beschaffung.
  • Auswahl von sicheren Geschäftspart-nern und Ablehnung (hoch-)kritisch einge­stufter Anbieter.
  • Klassi­fi­zierung der genutzten Dienst­leis­tungen anhand Risiko­kri­terien und Identi­fi­kation von Single-Points- of-Failure.
  • Aktive Überwa­chung von Risiken und Bedro­hungen im eigenen Unter­nehmen und in der Liefer­kette.
  • Aktive Verwaltung der Liefe­ranten und deren regel­mäßige Überprüfung.
  • Verein­barung von Meldepp­fichten.
  • Beachtung von anerkannten Ansätzen wie „Good-Practice-of-Cyber­­se­­curity“ bei der Produkt­ent­wicklung, bis hin zu
    „Secure-by-Design“.
  • Definition von Infor­­ma­­ti­ons­­si­cher­heits-Mindes­t­stan­­dards für die relevanten Liefe­ranten.
  • Stetiger Austausch mit Unter­nehmen in der Liefer­kette zu Themen der Infor­ma­ti­ons­si­cherheit und aktuellen Entwick­lungen.

Noch sind wir in der deutschen Wirtschaft ein gutes Stück davon entfernt die gesamte Liefer­kette cyber­an­griff­re­sistent aufzu­stellen. Anfangen muss man natürlich stets im eigenen Unter­nehmen. Aber um mit der rasanten Entwicklung Schritt zu halten und die Vorzüge der Digita­li­sierung umfänglich zu nutzen, sollte man sich besser früh Gedanken über die vorhandene IT-Sicherheit bei den verbun­denen Unter­nehmen machen. Durch die neuen Techno­logien und die stärkere Verbreitung digitaler Lösungen steigt die Angriffs­fläche. Durch den erhöhten Anteil digitaler Prozesse an der Wertschöpfung und der Abhän­gigkeit von digitalen Lösungen steigt die Attrak­ti­vität für Angreifer. Hinzu kommt, dass ein „Einbrecher“ nicht vor Ort sein muss, sondern dies bequem und unbeschwert vom anderen Ende der Welt machen kann. Cyber-Krimi­na­­lität floriert und die digitale Vernetzung von Unter­nehmen schafft Angreifern neue Möglich­keiten.

Schützen Sie Ihr Unter­nehmen und Ihre Liefer­kette!

Diesen Beitrag veröf­fent­lichte die Zeitschrift Versi­che­rungs­Praxis in ihrer Ausgabe 02/2024, S. 13–18.

Martin Swider
Head of Sales Cyber
hendricks GmbH

Peter Pillath
Prokurist
Director Center of Excel­lence Cyber
Howden-Group

Presse­kontakt

Team hendricks

hendricks GmbH
Georg-Glock-Straße 8
40474 Düsseldorf

T +49 (0) 211 940 83 – 53
F +49 (0) 211 940 83 – 83

E‑Mail senden

Das könnte Sie auch inter­es­sieren