Roland Heinesch ist Senior Underwriter bei Liberty Specialty Markets und befasst sich so auch mit den komplexen Zusammenhängen rund um Cyberrisiken. Lesen Sie seine Insights zu Risiken und Best Practices, die Unternehmen zur Absicherung ihrer Abläufe kennen sollten.
In der heutigen digitalen Landschaft kann die Komplexität moderner Lieferketten nicht hoch genug bewertet werden. Da Unternehmen bei der Bereitstellung von Dienstleistungen für ihre Kunden auf globaler Ebene auf eine zunehmende Anzahl von Lieferanten, Verkäufern und Partnern angewiesen sind, hat die Vernetzung dieser Lieferketten ein beispielloses Ausmass erreicht.
Zwar haben diese ausgedehnten Netzwerke globalen Handel und reibungslose Geschäftsabläufe erleichtert. Die Lieferketten sind so jedoch auch anfälliger für Unterbrechungen geworden – was sie zu attraktiven Zielen für Cyberkriminelle macht. Im vergangenen Jahr führten solche Unterbrüche bei Lieferketten in Schlüsselindustrien zu jährlichen Verlusten in Höhe von durchschnittlich 82 Millionen US-Dollar pro Unternehmen [1]. Eine Zahl, die das Ausmass des Problems nur allzu klar verdeutlicht.
Erste wichtige Erkenntnis: Schwachstellen in den Lieferketten sind mittlerweile eng mit dem Gefüge von Cyber-Bedrohungen verknüpft. Dies erfordert einen deutlichen Wandel in der Herangehensweise von Versicherern und Kunden bezüglich der Sicherheit dieser Unternehmensnetzwerke.
Die digitale Landschaft verstehen
Automatisierte Inventarsysteme, cloudbasierte Plattformen für die Zusammenarbeit und das Internet of Things (IoT) sind tief in die Geschäftsportfolios ingegriert. Zwar haben diese den Betrieb optimiert und die Effizienz gesteigert, gleichzeitig aber auch neue Risiken und Schwachstellen eingeführt. Jede noch so scheinbar unbedeutende Komponente kann zu einer potenziellen Schwachstelle werden, die Cyberkriminelle ausnutzen könnten. Vielschichtige Lieferketten verkomplizieren eine effiziente Überwachung zusätzlich und erschweren es, Schwachstellen und Bedrohungen sofort zu erkennen.
Vor diesem Hintergrund sind Cyber-Bedrohungen, die von Phishing-Angriffen bis hin zu Industriespionage reichen, von grosser Bedeutung und bergen Risiken für Vertraulichkeit, Verfügbarkeit und Integrität von Daten. Zwar sind die Arten der Cyber-Bedrohung innerhalb einer Lieferkette höchst unterschiedlich. Immer häufiger kommt es jedoch zu Datenschutzverletzungen und erfolgreichen Ransomwareangriffen, die Lieferanten bei der Erfüllung ihres Auftrags oder den Geschäftsbetrieb ganz allgemein behindern. Sicherheitsverstösse bei Lieferanten können Schwachstellen in den eigenen Systemen aufdecken und ermöglichen so auch direkte Angriffe auf die eigenen Daten.
Selbst grosse Unternehmen, die ansonsten gut für den Schutz vor Cyber-Bedrohungen gerüstet sind, müssen die umfassenden Strategien für das Risikomanagement weit über die digitalen Mauern ihrer Organisation hinaus etablieren. Hacker nutzen häufig das schwächste Glied in der Lieferkette aus, indem sie kleinere Unternehmen mit Zugriff zu Netzwerken ins Visier nehmen. Von ausgelagerten Lohn- und Gehaltsabrechnungsdienstleistern bis hin zu Unternehmensberatern und anderen Partnern, die Zugriff auf vertrauliche Daten behalten, kann ein einziger Verstoss einen Dominoeffekt auslösen und so weitreichende Störungen verursachen. Auch kann ein Lieferant, der ein geschäftskritisches Produkt oder eine geschäftskritische Dienstleistung bereitstellt, eine von ihm abhängige Organisation unbeabsichtigt zum Stillstand bringen.
Ein weithin bekanntes Beispiel dafür, dass ein fortgeschrittener Bedrohungsakteur einen gezielten Angriff auf die Lieferkette durchbricht, ist der Fall SolarWinds. SolarWinds bietet Netzwerküberwachungssoftware an. Im Jahr 2020 nutzten Kriminelle eine kompromittiertes Update um einen Zugang zu fremden Firmennetzwerken einzurichten. Während eine Schwachstelle in der Software einen sogenannten «Single Point of Failure» darstellte und einen einzelnen Angriff zu einem Flächenbrand werden liess, das fast 20’000 Unternehmen betraf, führte dies nicht zu schwerwiegenden Verlusten für den Versicherungsmarkt, da die Motivation hinter dem Angriff eher der Spionage als der Zerstörung zuzuordnen war. Aus diesem Vorfall konnten mehrere wichtige Erkenntnisse für den Markt gewonnen werden: Die verheerenden Auswirkungen von Angriffen auf die Lieferkette mit weitreichenden, schwer einschätzbaren finanziellen Folgen, «akademische» Überlegungen und Beurteilungen zu den Beweggründen der Akteure und die anhaltende Bedrohung durch ein Ausfall von sehr vielfältig verwendeter Soft- und Hardware auf Lieferketten.
Der grosse Erkenntnisgewinn für die Cybersicherheit des Falls SolarWinds beleuchtete unter anderem die Vielfalt an Herausforderungen und die konstanten Veränderungen von Cyberbedrohungen. Ereignisse wie dieses verändern die Art und Weise, wie Versicherer Verluste modellieren: Indem sie technologieabhängige Daten und externe Netzwerk-Scan-Techniken integrieren, um Schwachstellen in den Netzwerken von Unternehmen zu identifizieren und so potenzielle Ziele für Ausfälle in der Lieferkette rechtzeitig verhindern.
Die Risiken reduzieren
Wie der Fall SolarWinds aufzeigt, umfasst der erste Schritt zur Eindämmung von Cyberrisiken die Prävention und das Identifizieren von Lücken in der aktuellen Cybersicherheitsstrategie. Zwar bleibt es anspruchsvoll, einen vollständigen Schutz zu gewährleisten. Doch gibt es bewährte Präventivmassnahmen, wie z. B. eine robuste Identity & Access Management-Strategie, die für mehr Ausfallsicherheit und generelle Sicherheit sorgt. Ebenso ist die Etablierung eines Cyber Supply Chain Risk Management (C-SCRM)-Plans eine grundlegende Strategie, die Governance, Verfahren, Richtlinien, Tools und Prozesse optimiert und für den Schutz einer Lieferkette unerlässlich ist.
Bestmögliche Vorkehrungen zu treffen ist offensichtlich ebenso wichtig, denn Unternehmen müssen davon ausgehen, dass es zu einem Vorfall kommen wird: Die Frage ist nicht ob, sondern wann. Erfolgreich getestete Wiederanlaufpläne spielen eine zentrale Rolle bei der Wiederherstellung nach Vorfällen und unterstrichen wird dabei auch die Notwendigkeit regelmässiger Tests. Eine Abstimmung dieser Pläne mit dem Versicherer ist hier ebenfalls von entscheidender Bedeutung. Einige Versicherer bieten viel Flexibilität bei der Auswahl des zu auszuwählenden Anbieters und betonen so auch die Wichtigkeit proaktiver Vorbereitung anstelle reaktiven Handelns.
Die hohe Relevanz von Lieferanten und Anbietern anzuerkennen ist entscheidend. Das Verständnis ihrer Rollen, die Bewertung ihres Zugangs auf sensible Daten und ihre Einbindung in Cyber-Resilience-, Incident-Response- und Disaster-Recovery-Aktivitäten bilden die Grundlage einer robusten Strategie. Kontinuierliche Überwachung und Bewertung sowie transparente Kommunikationskanäle stellen sicher, dass die von den Lieferanten eingesetzten Kontrollen mit den Sicherheitsanforderungen der Organisation übereinstimmen. Durch das Einbeziehen von Cybersicherheitsaspekten in jede Phase der Lieferkette wird eine proaktive Haltung gegenüber potenziellen Bedrohungen geschaffen – von der Anbieterauswahl bis zur Produktlieferung.
Über diese proaktiven Massnahmen hinaus müssen Unternehmen im Gesamtumfeld wachsam bleiben. Die Komplexität der Vernetzung, Globalisierung und der regulatorische Druck erfordern eine fortlaufende Bewertung der gegenwärtigen Sicherheitspraktiken.
Letztlich erfordern Cyber-Risiken auch innerhalb der Lieferketten einen mehrschichtigen Ansatz. Versicherer nehmen dabei die entscheidende Rolle ein, den Kunden zu unterstützen, indem sie ihre Expertise und ihre Schadenserfahrung einbringen. Durch den Austausch wertvoller Erkenntnisse und die kontinuierliche Verbesserung ihrer Serviceangebote ermöglichen die Versicherer den Unternehmen, Cyber-Risiken kontinuierlich besser zu verstehen und so zu reduzieren. Auch das branchenübergreifende Benchmarking ähnlicher Risiken liefert Kunden unschätzbare Erkenntnisse und verbessert ihre Cybersicherheitsstrategien.
In einem sich ständig verändernden Umfeld, in dem Risiken hinter der Firewall eines Anbieters oder in einer einzigen Codezeile verborgen sein können, dienen proaktive Aufmerksamkeit, Zusammenarbeit und kontinuierliche Verbesserung der erforderlichen Widerstandsfähigkeit.
[1] https://www.interos.ai/press/interos-annual-supply-chain-report-unveils-37m-benefit-to-organizations-taking-swift-action-on-supply-chain-disruption/
