Was versteht man unter Lieferkettensicherheit?

Viele von uns in der Lieferkette erinnern sich an die schwerwiegenden Datenlecks, die Target und Home Depot innerhalb weniger Monate nacheinander aufgrund von Beziehungen zu Dritten erlitten. Sechs Jahre später sorgen Sicherheitsverletzungen in der Lieferkette immer noch für Schlagzeilen - vor allem die Sicherheitsverletzung bei SolarWinds, die derzeit die gesamte Branche erschüttert. Die jüngste Analyse schätzt die durchschnittlichen Kosten eines Datenlecks auf 3,86 Millionen USD, wobei Mega-Datenpannen (50 Millionen oder mehr gestohlene Datensätze) 392 Millionen USD erreichen. Angesichts des Anstiegs von Angriffen auf Lieferketten im Jahr 2020 können wir uns nur die Auswirkungen vorstellen, wenn die Analyse aktualisiert wird.

Was ist also nötig, um die Sicherheit der Lieferkette zu gewährleisten?

Ein Teil der Herausforderung besteht darin, dass es keine einheitliche, funktionale Definition von Sicherheit in der Lieferkette gibt. Es handelt sich um ein enorm breites Gebiet, das alles von physischen Bedrohungen bis hin zu Cyberbedrohungen, vom Schutz von Transaktionen bis zum Schutz von Systemen und von der Risikominderung mit Parteien im unmittelbaren Geschäftsnetzwerk bis zur Minderung von Risiken aus Beziehungen zu Dritt-, Viert- und „n“-Parteien umfasst. Es besteht jedoch zunehmend Einigkeit darüber, dass die Sicherheit der Lieferkette einen vielseitigen und funktionell koordinierten Ansatz erfordert.

Führungskräfte in der Lieferkette sagen uns, dass sie über Cyber-Bedrohungen besorgt sind. Daher werden wir uns in diesem Blog auf die Cyber-Sicherheitsaspekte zum Schutz der Qualität und Lieferung von Produkten und Dienstleistungen sowie der damit verbundenen Daten, Prozesse und Systeme konzentrieren.

"Die Sicherheit der Lieferkette ist ein multidisziplinäres Problem und erfordert eine enge Zusammenarbeit und Ausführung zwischen den Geschäfts-, Kundenbetreuungs- und IT-Organisationen, was seine eigenen Herausforderungen mit sich bringt. Die Firmen, denen das gelingt, beginnen mit der IT und einem sicheren, unternehmensübergreifenden Geschäftsnetz, bauen dann einen sorgfältig geregelten und gesicherten Zugang zu Analyse- und Transparenzfunktionen auf und überwachen von dort aus jede Ebene kontinuierlich auf Unregelmäßigkeiten.“

Marshall Lamb, CTO, IBM Sterling

Warum ist die Sicherheit der Lieferkette wichtig?

Bei Lieferketten geht es darum, den Kunden das, was sie brauchen, zum richtigen Preis, am richtigen Ort und zur richtigen Zeit zu liefern. Jegliche Störungen und Risiken für die Integrität der gelieferten Produkte oder Dienstleistungen, die Privatsphäre der ausgetauschten Daten und die Vollständigkeit der damit verbundenen Transaktionen können schädliche betriebliche, finanzielle und markenbezogene Folgen haben. Datenlecks, Ransomware-Angriffe und böswillige Aktivitäten von Insidern oder Angreifern können auf jeder Ebene der Lieferkette auftreten. Selbst ein Sicherheitsvorfall, der auf einen einzelnen Lieferanten oder Drittanbieter beschränkt ist, kann den Prozess „Planen, Herstellen und Liefern“ erheblich stören.

„Eine Lieferkette ist nur so stark wie ihr schwächstes Glied.“ Das Cyber Resilience Center im Hafen von Los Angeles wird jedem teilnehmenden Mitglied der Lieferkette helfen, sich selbst und damit auch einander besser zu schützen.“

Wendi Whitmore, Vice President, IBM Security X-Force

Die Minderung dieses Risikos ist ein sich ständig veränderndes Ziel und eine zunehmende Herausforderung. Lieferketten sind zunehmend komplexe globale Netzwerke, die aus einer großen und wachsenden Anzahl von Drittparteien bestehen, die Zugang zu Daten und die Gewissheit benötigen, dass sie kontrollieren können, wer diese Daten sieht. Neue Belastungen und Zwänge in Bezug auf Personal und Budget sowie rasche, unvorhergesehene Änderungen bei Strategie, Partnern und Angebots- und Nachfragestruktur sorgen für zusätzliche Herausforderungen und Dringlichkeit. Gleichzeitig fordern informiertere und sozial bewusstere Kunden und Mitarbeiter Transparenz und Nachvollziehbarkeit der Produkte und Dienstleistungen, die sie kaufen oder unterstützen. Jeder Kontaktpunkt birgt ein Risiko, das bewertet, gesteuert und minimiert werden muss.

Die fünf größten Sicherheitsbedenken in der Lieferkette

Führungskräfte in der Lieferkette auf der ganzen Welt und in allen Branchen sagen uns, dass diese fünf Sicherheitsprobleme in der Lieferkette sie nachts wach halten:

1. Datenschutz. Daten stehen im Zentrum von Geschäftstransaktionen und müssen in Ruhe und in Bewegung gesichert und kontrolliert werden, um Verletzungen und Manipulationen zu verhindern. Zum sicheren Datenaustausch gehört auch das Vertrauen in die andere Quelle, sei es eine Drittpartei oder eine E-Commerce-Website. Es ist unerlässlich, die Gewissheit zu haben, dass die Person, mit der man interagiert, auch tatsächlich diejenige ist, die sie vorgibt zu sein.
2. Datenlokalität. Kritische Daten bestehen auf allen Ebenen der Lieferkette und müssen unabhängig von ihrem Speicherort lokalisiert, klassifiziert und geschützt werden. In stark regulierten Branchen wie dem Finanzdienstleistungssektor und dem Gesundheitswesen müssen Daten unter Einhaltung von Branchenstandards und staatlichen Vorschriften, die je nach Region variieren, erfasst, gespeichert, verwaltet, verwendet und ausgetauscht werden.
3. Datentransparenz und Governance. Unternehmensübergreifende Netzwerke erleichtern nicht nur den Datenaustausch zwischen Unternehmen, sondern ermöglichen auch mehreren Unternehmen den Zugriff auf Daten, sodass sie diese einsehen, teilen und gemeinsam bearbeiten können. Teilnehmende Unternehmen verlangen die Kontrolle über die Daten und die Möglichkeit zu entscheiden, mit wem sie geteilt werden und was jede berechtigte Partei sehen kann.
4. Betrugsprävention. In einem einzigen Order-to-Cash-Zyklus wechseln Daten mehrfach den Besitzer, manchmal in Papierform und manchmal elektronisch. Jeder Punkt, an dem Daten zwischen Parteien ausgetauscht oder innerhalb von Systemen verschoben werden, birgt die Möglichkeit der Manipulation – böswillig oder versehentlich.
5. Risiko anderer Anbieter. Produkte und Dienstleistungen des täglichen Bedarfs – von Mobiltelefonen bis hin zu Autos – werden immer raffinierter. Als Ergebnisse sind Lieferketten oft auf vier oder mehr Ebenen von Lieferanten angewiesen, um Fertigwaren zu liefern. Jede dieser externen Parteien kann Unternehmen aufgrund ihrer Fähigkeit, ihre eigenen Sicherheitslücken richtig zu verwalten, neuen Risiken aussetzen.

Best Practices zur Sicherheit der Lieferkette

Die Sicherheit in der Lieferkette erfordert einen vielschichtigen Ansatz. Es gibt kein Allheilmittel, aber Unternehmen können ihre Lieferketten mit einer Kombination aus mehrschichtigen Abwehrmaßnahmen schützen. Da Teams, die sich auf die Sicherheit der Lieferkette konzentrieren, es den Bedrohungsakteuren erschweren, den Parcours der Sicherheitskontrollen zu durchlaufen, gewinnen sie mehr Zeit, um schädliche Aktivitäten zu erkennen und Maßnahmen zu ergreifen. Hier sind nur einige der wichtigsten Strategien, die Unternehmen verfolgen, um das Sicherheitsrisiko in der Lieferkette zu verwalten und zu mindern.

• Sicherheitsstrategie-Bewertungen. Zur Beurteilung von Risiken und Compliance müssen Sie die bestehende Sicherheits-Governance – einschließlich Datenschutz, Drittparteienrisiken und IT-Regulierungsanforderungen und -lücken – im Hinblick auf geschäftliche Herausforderungen, Anforderungen und Ziele bewerten. Die Quantifizierung des Sicherheitsrisikos, die Entwicklung von Sicherheitsprogrammen, die Einhaltung von Vorschriften und Standards sowie die Sicherheitsbildung und -schulung sind von entscheidender Bedeutung.
• Schwachstellenbehebung und Penetrationstests. Identifizieren Sie zunächst grundlegende Sicherheitsprobleme, indem Sie Schwachstellenscans durchführen. Durch die Behebung fehlerhafter Datenbankkonfigurationen, mangelhafter Passwortrichtlinien, die Abschaffung von Standardpasswörtern und die Sicherung von Endgeräten und Netzwerken lassen sich Risiken sofort reduzieren, ohne die Produktivität oder Ausfallzeit wesentlich zu beeinträchtigen. Beauftragen Sie Penetrationstest-Spezialisten, um Schwachstellen in allen Aspekten neuer und alter Anwendungen, der IT-Infrastruktur der Lieferkette und sogar Menschen durch Phishing-Simulation und Red-Teaming zu finden.
• Digitalisierung und Modernisierung. Es ist schwierig, Daten zu sichern, wenn man sich bei Geschäftstransaktionen auf Papier, Telefon, Fax und E-Mail verlässt. Die Digitalisierung wichtiger manueller Prozesse ist entscheidend. Technologie-Lösungen, die den Umstieg von manuellen, papierbasierten Prozessen erleichtern und Sicherheit, Zuverlässigkeit und Governance für Transaktionen gewährleisten, bilden die Grundlage für einen sicheren Datenaustausch innerhalb des Unternehmens sowie mit Kunden und Handelspartnern. Wenn Sie Geschäftsprozesse und Software modernisieren, können Sie von Verschlüsselung, Tokenisierung, Datenverlustprävention und Dateizugriffsüberwachung sowie Warnungen profitieren und Teams und Partner mit Sicherheitsbewusstsein und Schulungen einbinden.
• Datenidentifikation und Verschlüsselung. Datenschutzprogramme und -richtlinien sollten den Einsatz von Discovery- und Klassifizierungstools beinhalten, um Datenbanken und Dateien zu identifizieren, die geschützte Kundendaten, Finanzdaten und proprietäre Aufzeichnungen enthalten. Sobald Daten lokalisiert sind, schützt die Verwendung der neuesten Standards und Verschlüsselungsrichtlinien alle Arten von Daten im Ruhezustand und in Bewegung – Kunden-, Finanz-, Auftrags-, Bestands-, Internet der Dinge (IoT), Gesundheitsdaten und mehr. Eingehende Verbindungen werden validiert und der Dateiinhalt wird in Echtzeit geprüft. Digitale Signaturen, Multifaktor-Authentifizierung und Sitzungsunterbrechungen bieten zusätzliche Kontrollmöglichkeiten bei Transaktionen über das Internet.
• Genehmigte Kontrollen für Datenaustausch und Sichtbarkeit. Unternehmensübergreifende Geschäftsnetzwerke gewährleisten einen sicheren und zuverlässigen Informationsaustausch zwischen strategischen Partnern mit Tools für den benutzer- und rollenbasierten Zugriff. Sicherheitspraktiken für das Identity und Access Management (IAM) sind kritisch, entscheidend für das Teilen von proprietären und sensiblen Daten in einem Ökosystem, während das Auffinden und Minderung von Schwachstellen das Risiko unzulässiger Zugriffe und Verstöße verringert. Die Überwachung von Datenbankaktivitäten, die Überwachung privilegierter Benutzer und die Ausgabe von Warnmeldungen bieten Transparenz, um Probleme schnell zu erkennen. Das Hinzufügen von Blockchain-Technologie zu einem unternehmensübergreifenden Geschäftsnetzwerk bietet die Sichtbarkeit eines mit Zugriffsberechtigung versehenen, unveränderlichen gemeinsam genutzten Datensatzes für mehrere Parteien, was das Vertrauen in der gesamten Wertschöpfungskette stärkt.
• Vertrauen, Transparenz und Herkunft. Mit einer Blockchain Platform können Daten, sobald sie dem Hauptbuch hinzugefügt wurden, nicht mehr manipuliert, geändert oder gelöscht werden. Dies trägt dazu bei, Betrug zu verhindern, die Herkunft zu authentifizieren und die Produktqualität zu überwachen. Teilnehmer aus mehreren Unternehmen können Materialien und Produkte von der Quelle bis zum Endkunden oder Konsumenten verfolgen. Alle Daten werden auf Blockchain-Ledgern gespeichert, die mit der höchsten handelsüblichen, fälschungssicheren Verschlüsselung geschützt sind.
• Risikomanagement anderer Anbieter. Da die Verbindungen und Abhängigkeiten zwischen Unternehmen und Dritten im gesamten Ökosystem der Lieferkette zunehmen, müssen Unternehmen ihre Definition des Risikomanagements für Lieferanten erweitern, um die End-to-End-Sicherheit einzubeziehen. ermöglicht es Unternehmen, Risiken während der gesamten Dauer der Geschäftsbeziehung zu bewerten, zu verbessern, zu überwachen und zu verwalten. Beginnen Sie damit, Ihre eigenen Geschäfts- und Technik-Teams mit Partnern und Lieferanten zusammenzubringen, um entscheidende Assets und potenzielle Schäden für den Geschäftsbetrieb im Falle eines Verstoßes gegen Compliance-Vorschriften, eines Systemausfalls oder einer öffentlich werdenden Datenschutzverletzung (Data Breach) zu identifizieren.
• Planung und Koordination der Reaktion auf Zwischenfälle. Eine proaktive Vorbereitung auf Sicherheitslücken, Systemausfälle oder Störungen sowie ein solider Notfallplan sind unerlässlich. Geübte, getestete und leicht umsetzbare Reaktionspläne und Sanierung verhindern Umsatzeinbußen, Reputationsschäden sowie Partner- und Kundenabwanderung. Informationen und Pläne liefern Metriken und Erkenntnisse, die Ihr Unternehmen und Ihre Partner nutzen können, um Entscheidungen zu treffen, die verhindern, dass sich Angriffe oder Vorfälle wiederholen.

Die Sicherheit der Lieferkette wird noch intelligenter. So werden beispielsweise Lösungen zunehmend mit KI ausgestattet, um verdächtiges Verhalten proaktiv zu erkennen, indem Anomalien, Muster und Trends identifiziert werden, die auf einen unbefugten Zugriff hindeuten. KI-gestützte Lösungen können Warnungen für menschliche Reaktionen senden oder Versuche automatisch blockieren.

Wie gewährleisten Unternehmen heute die Sicherheit der Lieferkette?

Das IBM Sterling Lieferkette Business Network stellte im September dieses Jahres einen neuen Rekord bei sicheren Geschäftstransaktionen auf, mit einem Anstieg von 29 % gegenüber September 2019, und unterstützt Kunden weltweit dabei, ihr Geschäft trotz der globalen Pandemie mit Sicherheit und Vertrauen wieder aufzubauen.

Der internationale Geldtransferdienstleister Western Union führte im Jahr 2018 mehr als 800.000 Millionen Transaktionen für Verbraucher- und Geschäftskunden schnell, zuverlässig und sicher mit einer vertrauenswürdigen Dateiübertragungsinfrastruktur durch.

Der Modehändler Eileen Fisher nutzte eine intelligente Omnichannel-Fulfillment-Plattform, um einen einzigen Bestand über alle Kanäle aufzubauen, das Vertrauen in die Bestandsdaten zu verbessern, eine flexiblere Auftragsabwicklung durchzuführen und die Kosten für die Kundenakquise zu senken.

Das Blockchain-Ökosystem Farmer Connect verbindet auf transparente Weise Kaffeeproduzenten mit den Verbrauchern, die sie beliefern. Die Blockchain-Plattform bietet Netzwerk- und Datensicherheit, um Vertrauen, Sicherheit und Herkunft zu erhöhen.

Der Finanzdienstleister Rosenthal & Rosenthal hat seine verschiedenen Ansätze für den elektronischen Datenaustausch (EDI) durch ein sicheres, cloudbasiertes Multi-Enterprise-Geschäftsnetzwerk ersetzt, das seine Betriebskosten senkt und gleichzeitig jedem Kunden einen reaktionsschnellen, hochwertigen Service bietet.

Der integrierte Logistikdienstleister VLI erfüllt zahlreiche Regierung Compliance- und Sicherheitsvorschriften und ermöglicht seinen 9.000 Mitarbeitern den Zugang zu den richtigen Systemen zur richtigen Zeit, um ihre Arbeit zu erfassen, mit einer integrierten Suite von Sicherheitslösungen, die das Geschäft und die Assets schützen und den Benutzerzugang verwalten.

Der Hafen von Los Angeles, einer der verkehrsreichsten Seehäfen der Welt, baut ein einzigartiges Cyber-Resilienz Center mit einer Suite von Sicherheitsangeboten, die das Bewusstsein und die Bereitschaft des Ökosystems der Lieferkette verbessern sollen, auf Cyber-Bedrohungen zu reagieren, die den Frachtfluss unterbrechen könnten.

Lösungen zur Sicherung Ihrer Lieferkette

Bewahren Sie Ihre sensiblen Daten sicher auf, nur für diejenigen sichtbar, denen Sie vertrauen, unveränderlich, um Betrug zu verhindern und geschützt vor den Risiken Dritter. Lassen Sie IBM Ihnen helfen, Ihre Lieferkette zu schützen, mit bewährter Sicherheit, die unabhängig von Ihrem Implementierungsansatz funktioniert – On-Premises, Cloud oder Hybrid.