NCSC-Leitfaden zur Cybersicherheit in der Lieferkette

Verstehen Sie, warum Ihr Unternehmen sich um die Cybersicherheit der Lieferkette kümmern sollte.

Laut eineraktuellen Branchenstudie haben 45 % der Unternehmen in den letzten 12 Monaten eine Verletzung des Datenschutzes oder eine Datenpanne durch Dritte erlebt. Betrachten Sie einige aktuelle Beispiele und die Auswirkungen dieser Sicherheitsvorfälle:

Toyota – finanzielle und betriebliche Verluste

Im Februar 2022stellte Toyota den Betrieb in Japan ein, nachdem ein wichtiger Kunststofflieferant, Kojima Industries, Opfer eines Datenlecks geworden war. Kojima hatte Fernzugriff auf die Produktionsstätten von Toyota, was das Risiko für Toyota erheblich erhöhte. Infolge der vorübergehenden Stilllegung erlitt Toyota finanzielle und betriebliche Verluste.

SolarWinds – Gerichtsverfahren, Geldstrafen, Verlust des Kundenvertrauens

Russische Staatsakteure hackten sich in die Orion-Software, die dann im Rahmen einer Reihe regelmäßig geplanter Updates an SolarWinds-Kunden verteilt wurde. Dadurch erhielten die Cyberkriminellen Zugriff auf Tausende von Unternehmenssystemen und -daten. SolarWinds sieht sich mitKlagen, Geldstrafen, Anhörungen vor dem Kongressund weiteren Konsequenzen konfrontiert, die das Vertrauen seiner Kunden über Jahre hinweg beeinträchtigen werden.

Beantworten Sie diese wichtigen Fragen:

• Kann Ihr Unternehmen angesichts einer Cyber-Störung der Lieferkette widerstandsfähig bleiben?
• Können Sie das Ziel eines Cyberangriffs identifizieren? Sind es Daten?
• Können Sie den wahrscheinlichsten Angriffspfad für einen Cyberangreifer identifizieren?

Wenn die Antwort auf eine dieser Fragen „Nein“ lautet, müssen Sie die Schwachstellen in Ihrer Cyber-Lieferkette bewerten und einen Plan zur Minderung dieser Risiken erstellen.

Identifizieren Sie die wichtigsten Akteure in Ihrer Organisation.

Die richtigen Mitarbeiter für die Cybersicherheit der Lieferkette zu haben, wird dazu beitragen, die erforderlichen Veränderungen voranzutreiben.

Zu den Teilnehmern können Vertreter aus den Bereichen Beschaffung und Sourcing, Risikomanagement, Sicherheit und IT, Recht und Compliance sowie Datenschutz gehören. Der Grund dafür, dass so viele Teams in den Prozess des Cyber-Risikomanagements in der Lieferkette einbezogen werden sollten, liegt darin, dass jede Abteilung dazu neigt, sich auf die für sie relevanten Risiken zu konzentrieren.

IT-Sicherheits-undDatenschutzteamsmüssen feststellen, welche Kontrollen zum Schutz von Daten und zum Zugriff auf Systeme vorhanden sind, ob es bei dem Lieferanten zu einer Sicherheitsverletzung gekommen ist, welche Auswirkungen dies hatte und ob ein unangemessenes Risiko durch vierte Parteien besteht.

Beschaffungsteamssollten dies möglicherweise tun, wenn die Finanz- oder Bonitätshistorie des Lieferanten Anlass zur Sorge gibt oder wenn der Lieferant ein Reputationsproblem hat.

Compliance-und Rechtsabteilungen werden wissen wollen, ob der Lieferant wegen Datenschutz-, Umwelt-, Sozial- und Governance-Verstößen, Bestechung oder Sanktionen auffällig geworden ist.

Risikomanagementteamswerden wissen wollen, ob der Lieferant in einer Region ansässig ist, die anfällig für Naturkatastrophen oder geopolitische Instabilität ist.

Erstellen Sie zunächst eine RACI-Matrix, um festzulegen, wer in der Organisation:

• Verantwortlich für das Risikomanagement
  Verantwortlich für Ergebnisse
• Beraten mit
• Über den Prozess und die Ergebnisse auf dem Laufenden gehalten

Schließlich gewinnen Sie die Unterstützung der Führungskräfte und des Vorstands, indem Sie:

• Darstellung einer konsolidierten Übersicht über das aktuelle Risiko für das Unternehmen aus der Lieferkette
• Kommunikation des aktuellen Risikostatus und der Maßnahmen zur Risikominderung
• Ermitteln, wo Unterstützung durch die Geschäftsleitung erforderlich ist

Verstehen Sie, wie Ihr Unternehmen Risiken bewertet

Eine gängige Methode zur Kategorisierung von Risiken ist die Verwendung einer „Heatmap“, die Risiken auf zwei Achsen misst: Eintrittswahrscheinlichkeit und Auswirkungen auf den Betrieb. Natürlich sollten Risiken, die auf beiden Skalen hoch bewertet werden (z. B. im oberen rechten Quadranten), eine höhere Priorität erhalten als Risiken, die niedriger bewertet werden.

Phase 2: Entwicklung eines Ansatzes zur Bewertung der Cybersicherheit der Lieferkette

Die Anleitung für Stufe 2 lautet: „Entwickeln Sie einen wiederholbaren, einheitlichen Ansatz zur Bewertung der Cybersicherheit Ihrer Lieferanten.“ Diese Stufe umfasst:

• Wissen, welche Vermögenswerte die Organisation schützen sollte;
• Festlegung der idealen Sicherheitskontrollen zum Schutz der Vermögenswerte; und
• Festlegen, wie Lieferanten bewertet und Verstöße behandelt werden sollen.

Priorisieren Sie die „Kronjuwelen“ Ihres Unternehmens

Bestimmen Sie die kritischen Aspekte in Ihrer Organisation, die Sie am meisten schützen müssen.

Erstellen Sie Schlüsselkomponenten für den Ansatz, darunter:

• Sicherheitsprofile, die jedem Lieferanten zugewiesen werden sollen
• Fragen zur Ermittlung des Sicherheitsprofils jedes Lieferanten
• Cybersicherheitsanforderungen für jedes Profil
• Managementpläne zur Überwachung der Einhaltung der Sicherheitsanforderungen durch Lieferanten
• Klauseln zur Cybersicherheit, die in Lieferantenverträge aufgenommen werden sollen

Bevor Sie das Sicherheitsprofil des Lieferanten erstellen, sollten Sie dieRisikenberücksichtigen, denendas Unternehmen durch ihn ausgesetzt ist. Berücksichtigen Sie bei der Berechnung des inhärenten Risikos das folgende Schema:

• Kritische Bedeutung für die Unternehmensleistung und den Betrieb
• Standort(e) und damit verbundene rechtliche oder regulatorische Erwägungen
• Grad der Abhängigkeit von vierten Parteien (zur Vermeidung von Konzentrationsrisiken)
• Erfahrung mit operativen oder kundenorientierten Prozessen
• Interaktion mit geschützten Daten
• Finanzieller Status und Gesundheit
• Reputation

Anhand der Erkenntnisse aus dieser inhärenten Risikobewertung kann Ihr Team Lieferanten automatisch einstufen und profilieren, spezifische Vertragsklauseln zur Durchsetzung von Standards festlegen, angemessene Stufen für weitere Sorgfaltspflichten festlegen, den Umfang laufender Bewertungen bestimmen und Abhilfemaßnahmen für den Fall der Nichteinhaltung definieren.

Um die Einhaltung der Sicherheitsanforderungen zu überwachen, sollten Sie eine Standardisierung der Bewertungen anhand von Cyber Essentials, ISO oder anderen gängigen Rahmenwerken für die Informationssicherheit in Betracht ziehen.

Stufe 3: Anwendung des Ansatzes auf neue Lieferantenbeziehungen

In Stufe 3 empfiehlt die NCSC-Richtlinie, „neue Sicherheitspraktiken während des gesamten Vertragslebenszyklus neuer Lieferanten zu verankern, von der Beschaffung und Lieferantenauswahl bis zum Vertragsabschluss“. Dazu gehört die Überwachung der Einhaltung vertraglicher Bestimmungen und die Sensibilisierung des Teams für seine Verantwortlichkeiten während des Prozesses.

Das Team schulen

Stellen Sie sicher, dass die Personen, die an der Bewertung von Lieferanten beteiligt sind, in Cybersicherheit geschult sind.

Erwägen Sie, von Mitarbeitern, die für Lieferantenbeziehungen verantwortlich sind, individuelle Sicherheitszertifizierungen zu verlangen oder dieCyber Essentials-oderISO 27036-2-Zertifizierungen des Unternehmens zu unterstützen.

Verankerung von Kontrollen der Cybersicherheit während der gesamten Vertragslaufzeit

Berücksichtigen Sie die Cybersicherheit während des gesamten Vertragslebenszyklus: von der Entscheidung zur Auslagerung über die Auswahl der Lieferanten, die Auftragsvergabe und die Lieferung bis hin zur Kündigung. Überlegen Sie, welche Verfahren eingeführt werden können, um sicherzustellen, dass dies bei jeder Akquisition geschieht.

Diese Leitlinien verlangen von Organisationen, sich der Risiken injeder Phase des Lieferantenlebenszyklus bewusst zu sein, darunter:

• Durchführung einer vorvertraglichen Due Diligence, indem vor der Auswahlentscheidung Einblicke in die Cybersicherheit oder die Geschichte von Datenverstößen potenzieller Lieferanten eingeholt werden.
• Bewertung und Kategorisierung von Lieferanten, damit Sie wissen, wie Sie diese einstufen müssen und welche laufenden Sorgfaltspflichten erforderlich sind.
• Validierung von Bewertungsergebnissen mit Echtzeit-Cyberüberwachungsdaten
• Zentrale Nachverfolgung aller Verträge und sicherheitsrelevanten Vertragselemente
• Messung der Lieferanteneffektivität, einschließlich KPIs, KRIs und SLAs, anhand von Compliance-Maßnahmen, um sicherzustellen, dass diese Anbieter die vertraglichen Anforderungen erfüllen.
• Beziehungen auf eine Weise auslaufen lassen, die die Einhaltung von Verträgen, die Vernichtung von Daten und die endgültige Abhaken von Punkten gewährleistet.

Überwachen Sie die Sicherheitsleistung Ihrer Lieferanten

Führen SieCybersicherheitsbewertungenIhrer Lieferanten bei der Aufnahme, Vertragsverlängerung oder in beliebigen erforderlichen Abständen (z. B. vierteljährlich oder jährlich) durch. Stellen Sie sicher, dass die Bewertungen durch Workflow-, Aufgabenmanagement- und automatisierte Funktionen zur Überprüfung von Nachweisen unterstützt werden.

Anschließend solltenexterne Bedrohungen für Drittekontinuierlich verfolgt und analysiert werden, indem das Internet und das Dark Web auf Cyberbedrohungen und Schwachstellen überwacht werden. Zu den Überwachungsquellen sollten gehören: kriminelle Foren, Onion-Seiten, spezielle Zugangsforen im Dark Web, Bedrohungs-Feeds, Paste-Seiten für geleakte Zugangsdaten, Sicherheits-Communities, Code-Repositorys, Schwachstellen-Datenbanken und Datenverletzungs-Datenbanken.

Korrelieren Sie alle Überwachungsdaten mit den Bewertungsergebnissen und zentralisieren Sie diese in einem einheitlichen Risikoregister für jeden Anbieter, um die Risikoprüfung, Berichterstattung und Reaktionsmaßnahmen zu optimieren.

Stufe 4: Integration des Ansatzes in bestehende Lieferantenverträge

In Stufe 4 empfiehlt das NCSC, „Ihre bestehenden Verträge entweder bei Verlängerung oder, wenn es sich um wichtige Lieferanten handelt, schon früher zu überprüfen“. Die Leitlinien gehen von einem gewissen Maß an Vertragslebenszyklusmanagement aus.

Bestehende Verträge identifizieren

Risikobewertung Ihrer Verträge

Unterstützen Sie Ihre Lieferanten

Vertragsklauseln überprüfen

Zentralisieren Sie die Verteilung, Besprechung, Aufbewahrung und Überprüfung vonLieferantenverträgen, damit alle zuständigen Teams an der Vertragsüberprüfung teilnehmen können, um sicherzustellen, dass die entsprechenden Sicherheitsklauseln enthalten sind. Zu den wichtigsten Praktiken, die bei der Verwaltung von Lieferantenverträgen zu berücksichtigen sind, gehören:

• Zentrale Speicherung von Verträgen
• Verfolgung aller Verträge und Vertragselemente wie Art, wichtige Termine, Wert, Erinnerungen und Status – mit benutzerdefinierten, rollenbasierten Ansichten
• Workflow-Funktionen (basierend auf Benutzer oder Vertragsart) zur Automatisierung des Lebenszyklus der Vertragsverwaltung
• Automatische Mahnungen und Überfälligkeitsmitteilungen zur Rationalisierung von Vertragsprüfungen
• Zentrale Vertragsbesprechung und Nachverfolgung von Kommentaren
• Vertrags- und Dokumentenspeicherung mit rollenbasierten Berechtigungen und Prüfprotokollen für alle Zugriffe
• Versionskontrolle, die die Offline-Bearbeitung von Verträgen und Dokumenten unterstützt
• Rollenbasierte Berechtigungen, die die Zuweisung von Aufgaben, den Zugriff auf Verträge und den Lese-/Schreib-/Modifizierungszugriff ermöglichen

Fortschritte an den Vorstand melden

Beginnen Sie damit, den Unterschied zwischen Leistungskennzahlen(KPIs) und Risikokennzahlen (KRIs)zu bestimmen und wie diese miteinander in Zusammenhang stehen.

• Leistungskennzahlen (Key Performance Indicators, KPIs)messen die Effektivität von Funktionen und Prozessen.
• Key Risk Indicators (KRIs)geben an, wie hoch das Risiko für das Unternehmen ist und welche Risikobehandlungen anzuwenden sind.

Wenn es um die Messung von KPIs und KRIs geht, kategorisieren Sie diese wie folgt:

• Risikomessungenhelfen dabei, das Risiko einer Geschäftsbeziehung mit einem Lieferanten sowie die damit verbundenen Risikominderungsmaßnahmen zu verstehen.
• Die Bewertung von Bedrohungenüberschneidet sich teilweise mit der Risikobewertung und liefert ein vollständigeres und validierteres Bild des Risikos.
• Compliance-Messungen legen fest, ob Lieferanten Ihre internen Kontrollanforderungen erfüllen.
• Abdeckungsmessungenbeantworten die Frage: „Habe ich eine vollständige Abdeckung meiner Lieferantenpräsenz und werden diese entsprechend gestaffelt und behandelt?“

Stellen Sie dann sicher, dass Sie die Ergebnisse mit den Vertragsbestimmungen verknüpfen, um eine vollständige Kontrolle über den Prozess zu gewährleisten.

Stellen Sie schließlich sicher, dass Ihr Team genau versteht, welche Art von Informationen dem Vorstand vorgelegt werden sollten. Dieser Ansatz sollte Ihrem Team Folgendes ermöglichen:

• Präsentieren Sie eine konsolidierte Übersicht über das aktuelle Risiko, dem das Unternehmen aus der Lieferkette ausgesetzt ist.
• Kommunizieren Sie den aktuellen Status wichtiger Lieferanten, die die wesentlichen Unternehmensaktivitäten unterstützen.
• Zeigen Sie inhärente und verbleibende Risiken aus Bedrohungsinformationsquellen auf, um den Fortschritt bei der Risikominderung im Laufe der Zeit zu demonstrieren.
• Identifizieren Sie, wo Unterstützung durch die Geschäftsleitung erforderlich ist.

Stufe 5: Kontinuierliche Verbesserung

Die letzte Phase der NCSC-Leitlinien lautet: „Verfeinern Sie Ihren Ansatz regelmäßig, wenn neue Probleme auftreten, um die Wahrscheinlichkeit zu verringern, dass Risiken über die Lieferkette in Ihr Unternehmen gelangen.“

Bewerten Sie den Ansatz und seine Komponenten regelmäßig.

Überprüfen Sie kontinuierlich das Cybersicherheitsprogramm der Organisation für die Lieferkette in jeder Phase des Lieferantenlebenszyklus. Zu den wichtigsten zu überprüfenden Bereichen gehören:

• Rollen und Verantwortlichkeiten (z. B. RACI)
• Sicherheitsprofile von Lieferanten
• Risikobewertung und Schwellenwerte basierend auf der Risikotoleranz der Organisation
• Bewertungs- und Überwachungsmethoden auf der Grundlage von Dritt
  en Kritikalität
• Beteiligung von Viert- und N-Parteien an der Erbringung kritischer Dienstleistungen
• Quellen für kontinuierliche Überwachungsdaten (Cyber, Geschäft,
  Reputation, Finanzen)
• Zentrale Leistungsindikatoren (KPIs) und zentrale Risikoindikatoren (KRIs)
• Richtlinien, Standards, Systeme und Prozesse zum Schutz von
  Systemen und Daten
• Compliance und vertragliche Berichtspflichten gemäß den
  Service Levels
• Verfahren zur Reaktion auf Vorfälle
• Interne Berichterstattung an Stakeholder
• Strategien zur Risikominderung und -behebung

Seien Sie sich der sich entwickelnden Bedrohungen bewusst und passen Sie Ihre Vorgehensweisen entsprechend an.

Behalten Sie neue Bedrohungen im Blick und nutzen Sie das gewonnene Wissen, um die Cybersicherheit Ihrer Lieferkette entsprechend anzupassen.

Kontinuierliche Verfolgung und Analyseexterner Bedrohungen für Drittedurch Überwachung des Internets und des Dark Webs auf Cyber-Bedrohungen und Schwachstellen sowie öffentlicher und privater Quellen für Informationen zu Reputation, Sanktionen und Finanzen.

Korrelieren Sie alle Überwachungsdaten mit den Bewertungsergebnissen und zentralisieren Sie diese in einem einheitlichen Risikoregister für jeden Anbieter, um die Risikoprüfung, Berichterstattung und Reaktionsmaßnahmen zu optimieren.

Zu den Überwachungsquellen sollten gehören:

• Kriminelle Foren, Tausende von Onion-Seiten, spezielle Dark-Web-Foren, Bedrohungs-Feeds und Paste-Seiten für geleakte Zugangsdaten sowie mehrere Sicherheits-Communities, Code-Repositorys und Schwachstellen-Datenbanken
• Öffentliche und private Quellen für Informationen zur Reputation, darunter M&A-Aktivitäten, Wirtschaftsnachrichten, negative Nachrichten, regulatorische und rechtliche Informationen, operative Updates und mehr
• Finanzielle Leistung, einschließlich Umsatz, Gewinn und Verlust, Eigenkapital usw.
• Globale Nachrichtenquellen
• Profile politisch exponierter Personen
• Globale Sanktionslisten

Arbeiten Sie mit Ihren Lieferanten zusammen

Entwicklung von Abhilfeplänen mit Empfehlungen, die die Lieferanten befolgen können, um das Restrisiko zu verringern. Bereitstellung eines Forums für Lieferanten zum Hochladen von Nachweisen und zur Kommunikation über spezifische Abhilfemaßnahmen mit einem sicheren Prüfpfad zur Verfolgung der Abhilfemaßnahmen bis zum Abschluss.