Schweizer Firmen zu wenig skeptisch gegenüber Gefahren aus der Lieferkette

Lieferketten sind anfällig für Cyberbedrohungen. Und Angriffe über die Supply Chain sind immer wieder von Erfolg gekrönt (vgl. auch den Computerworld-Hintergrundartikel zur Problematik).

Doch Schweizer Firmen geben der Gefahr, über das schwächste Glied angegriffen zu werden, zu wenig Beachtung. Denn laut einer aktuellen Kaspersky-Umfrage sind sich zu wenig Unternehmen sicher, dass sie alle Schnittstellen überwachen. Nur 57,1 Prozent der mittelständischen sowie 74,3 Prozent der grossen Unternehmen sind der Überzeugung, dass sie das tun. Der Rest scheint auf die Vernunft ihrer Partner zu vertrauen, ohne wirklich Gewissheit darüber zu haben.

Oder sie sind schlicht zu blauäugig, wie ein Vergleich mit den Nachbarländern Deutschland und Österreich zeigt. Dort gaben 74, respektive 73 Prozent der IT-Entscheider in KMU an, dass sie sicher sind, Schnittstellen und Zugriffe von Partnern ausreichend zu überwachen.

«Ein erfolgreicher Angriff auf das eigene Unternehmen oder ein Partnerunternehmen kann desaströse Auswirkungen auf die Lieferkette haben; dabei können mehrere Unternehmen zeitgleich betroffen sein», erklärt René Bodmer, Head of B2B Switzerland & Austria bei Kaspersky. Dabei können die Einfallstore an unerwarteter Stelle sein, wie Bodmer an einer Presseveranstaltung zufügt. «Gerade bei Angriffen auf kritische Infrastrukturen kann dies beobachtet werden. Wir führten vor einigen Jahren ein Assessment bei einem Energieversorger durch, der mehrmals gehackt worden war», bringt er als Beispiel. «Dabei zeigte sich, dass das Einfallstor sich beim Einspielen von Updates eines Infrastruktur-Lieferanten befand», fährt Bodmer fort. «Und zwar waren die Vertreter für die Support-Aufgabe mit verseuchten Laptops erschienen.»

Immerhin spielt für eine überwiegende Mehrheit der Schweizer Unternehmen die IT-Sicherheit ihrer Lieferanten eine entscheidende Rolle für die Geschäftskontinuität. Konkret meinen dies 86 Prozent der KMU und 74 Prozent der Grossfirmen. Hierzu passt, dass es für 71 Prozent der KMU und 74 Prozent der grossen Unternehmen wichtig ist, dass potenzielle und bestehende Partner zertifizierte Sicherheitsmassnahmen wie etwa gemäss ISO 27001 implementiert haben. Genau nehmen es dabei allerdings nur die Grossfirmen. Denn nur 50 Prozent der KMU nehmen entsprechende Klauseln in neue Verträge mit Lieferanten auf.

Kaspersky gibt aber auch in dem Report zur Cybersicherheit in der Schweizer Supply Chain Hinweise dazu, wie sich Unternehmen vor Angriffen über die Lieferkette schützen können. So sollten zuerst die Risiken für das eigene Unternehmen identifiziert werden. Sodann sollten sich die Firmen einen Überblick über alle Lieferanten und Partner verschaffen sowie deren Sicherheit bewerten. Darüber hinaus sollte dokumentiert sein, welche Infrastruktur sowie welche Hard- und Software vorhanden ist. Auch einen robusten Incident-Response-Plan zu haben, ist gemäss Kaspersky zu empfehlen.