Cyber Security: Auch Lieferanten wasserdicht machen

In vielen Unternehmen gehen Maßnahmen zur Cyber-Sicherheit nicht weit genug. Meist werden die undichten Schnittstellen zu den global verteilten Lieferanten vergessen. Wir stellen Ihnen ein Sicherungsmodell aus Österreich vor.

Mit zunehmendem Grad der Vernetzung steigt das Lieferanten-Cyber-Risiko entlang der Lieferkette. Beispiel: Ein Softwarelieferant für Buchhaltungssoftware hat im Rahmen der Wartungsprozesse auch Zugriff auf Ihre Buchhaltungsdaten. Unternehmen brauchen also unbedingt Transparenz, ob und inwieweit ihre Lieferanten angemessene Sicherheitsstandards aufweisen. Dazu gehört freilich die Fähigkeit, Lieferantenrisiken auch bewerten können.

Handeln Sie jetzt

Standards und Zertifizierungsschemata müssen stärkere Anwendung bei der Bewertung von Betreibern wichtiger Dienste finden. Das fordert die neue (zu verabschiedende) EU Network and Information Security Directive (NIS 2.0).

Die Mitgliedstaaten sollen verpflichtende Richtlinien zur Berücksichtigung von Cyber-Security-Standards bei öffentlichen Beschaffungen sowie für KMU entwickeln. Warten Sie nicht darauf, handeln Sie jetzt schon!

Risikobewertung 

Die Bewertung des Lieferantenrisikos muss integraler Bestandteil Ihres unternehmensweiten Lieferanten- und Beschaffungsprozesses sein. Kategorisieren Sie die Bereiche Infrastruktur, Prozesse, Anwendungen und Daten – basierend auf der Einschätzung der Kritikalität des Lieferanten für die Wertschöpfung Ihres Unternehmens bzw. hinsichtlich des Grads der technischen Integration (= kritisch – wesentlich – unwesentlich – keine Antwort).

Beispiel Österreich

Mit dem Cyber Trust Austria Label können Unternehmen/Organisationen sichtbar zeigen, dass sie essenzielle Mindestsicherheitsmaßnahmen für Cybersicherheit umgesetzt haben. Dies kann insbesondere für Unternehmen wichtig sein, die Lieferanten für Betreiber kritischer Infrastrukturen sind (§17 NIS-Gesetz). Das Cyber Trust Austria Label ist eine kostengünstige Alternative zur aufwändigen ISO 27000-Zertifizierung. Hinter dem Label stehen das Kuratorium Sicheres Österreich und der Kreditschutzverband.

Die Basisversion richtet sich an kleinere Unternehmen und Organisationen. Es umfasst 14 Basissicherheitskriterien, die jedes Unternehmen mit einem überschaubaren Aufwand erfüllen können sollte, wie es heißt. Die Bewertung erfolgt mittels Selbstdeklaration. Das Gold-Label ist für Unternehmen und Organisationen gedacht, die ein höheres Sicherheitsniveau erfüllen (14 Basis- und 11 weitere Kriterien). Die Bewertung erfolgt mittels eines standardisierten Audits. Kosten: jeweils knapp unter 1.000 Euro.

Kleine Checkliste

• Laut Cyber Trust Austria (Wien) sollten Unternehmen unbedingt klären:
• Gibt es eine Kategorisierung der Lieferanten auf Basis ihrer Kritikalität aus Cyber-Risiko-Sicht?
• Welche Lieferanten können dazu führen, dass das Unternehmen einen nachhaltigen Schaden erleidet (Verfügbarkeit, Vertraulichkeit, Integrität)?
• Haben diese Lieferanten ihre Cyber-Hausaufgaben gemacht?
• Wie resilient sind diese Lieferanten?
• Können sie auf einen wesentlichen Sicherheitsvorfall adäquat reagieren?
• Deckt der das SLA (Service Level Agreement/Dienstleistungsvertrag) alle relevanten Anforderungen ab?