Angriff auf die Lieferkette - TISAX® hilft.
Aktualisiert: 13. Juli 2022
VDA / ISA TISAX® und ISO 27001 schaffen vertrauen.
Die Unsicherheit in deutschen Unternehmen wächst. Die Digitalisierung greift um sich und birgt sicher nicht nur Chancen, sondern auch Risiken. Als Unternehmensberater im Bereich Informationssicherheit erlebe ich gerade einen Ruck, der sich durch die wirtschaftliche Kultur unseres Landes zieht. Viele Unternehmen verstehen den Ernst der Lage „Cyberangriffe“ sind nicht länger ein Märchen, von dem am Abend beim Geschäftsessen erzählt wird, sondern viele Unternehmer berichten teils auch unfreiwillig davon.
Wer aufmerksam die Medien verfolgt bekommt täglich mit wie wieder eine Landesbehörde, Klinikum oder auch ein Unternehmen der freien Wirtschaft von einer Hackergruppe angegriffen wurde. In meinen Beratungen werde ich immer wieder gefragt, wie es zu solchen Angriffen kommen kann. Viele Firmen verfügen doch bereits über ausreichende Firewalls und Virenscannern und sind in der IT gut aufgestellt – vermeintlich.
Mit meinem Team habe ich mich in letzter Zeit mit ein paar Arten von Angriffen auseinandergesetzt. Soviel sei gesagt: „Die IT ist nur ein Teil, welcher vor Angriffen schützt. Der Faktor Mensch darf nicht außer Acht gelassen werden.“
Gerne möchte ich daher in meinem Artikel heute eine wichtige Form des Angriffs vorstellen. Die sogenannte „Supply Chain Attack“, den diese hat meist fatale Auswirkungen. Viele der betroffenen Unternehmen sind mehrere Tage, teils auch Wochen nicht richtig handlungsfähig und haben mit Nachwirkungen zu kämpfen.
Vor mehreren Jahren schon hat der Verband der Automobilindustrie (VDA) dieses Problem erkannt und einen neuen weltweiten de facto Standard für Informationssicherheit erschaffen, das VDA Information Security Assessment (ISA), oder auch TISAX® genannt.
Dieser Sicherheitsstandard der deutschen Automobilindustrie soll dazu dienen, die vollständige Lieferantenkette der Automobilindustrie zu schützen.
Dabei spielt es keine Rolle an welche Position Sie im Geschäft mit den großen Automobilherstellern (OEM) stehen.
Ziel dieser Zertifizierung ist es,
ein Netzwerk des Vertrauens aufzubauen. Ist das Unternehmen erst einmal nach TISAX® zertifiziert, muss man selbst dafür sorgen, dass die Anforderungen in die Lieferkette weiter gegeben werden. Eigene Lieferanten müssen dann durch Audits, Testate oder Zertifikate die eigene Informationssicherheit bestätigen.
Wie der Name „Supply Chain Attack“ auf Deutsch „Lieferkettenangriff“ vermuten lässt, ist das Angriffsziel oder der Verursacher des Angriffs in der Lieferkette zu suchen.
Bei dieser Art von Angriff wird bewusst die schwächste Stelle der Lieferkette angegriffen, um an vertrauliche oder gar streng vertrauliche Informationen zu kommen. Deswegen ist es heutzutage wichtiger den je schon bei der Auswahl von Lieferanten auf wichtige Aspekte wie Informationssicherheit einzugehen. Unter anderem haben große Rating Agenturen wie ecovadis (https://ecovadis.com/) bereits damit begonnen Informationssicherheit, unter dem Punkt Ethics, mit in ihre Bewertung aufzunehmen.
Quelle: https://ecovadis.com/de/suppliers/
Viele Angriffe kommen also von Ihren Lieferanten, mit denen Sie jahrelang zusammenarbeiten. Dabei bekommen Sie vermeintlich unschuldig aussehende Dateien zur Installation, Präsentation, Upgrades, Patch oder ähnliches. Eventuell ist es sogar ihr neuer IT Managed Service Provider der Ihnen solche Dateien sendet. Sicher ist dem Lieferanten nicht bewusst, dass auch er bereits einem Cyberangriff aufgesessen ist und gewiss möchte er Ihnen nicht schaden. Durch solche Tricks und Kniffe werden die Lieferketten infiziert. Sind entsprechende Dateien erst einmal auf dem System, können Sie eventuell erst nach Tagen, Wochen oder sogar Monaten ihr gefährliches Potenzial entfalten und komplette Systeme verschlüsseln, Daten unbemerkt versenden, oder andere Einfallstore in Ihr Computernetzwerk öffnen.
Durch gut implementierte Managementsysteme nach anerkannten Standards wie VDA / ISA Tisax®, ISO 27001 und gut ausgebildeten Sicherheitsexperten in diesem Bereich, erhalten Sie Handwerkzeuge um diese Gefahren eventuell frühzeitig zu identifizieren und erschweren Angreifern wichtige Unternehmensdaten zu stehlen und zu veröffentlichen.
Inzwischen gibt es viel Handwerkzeug, was dabei hilft Hacker im Netzwerk zu entdecken, oder bereits IT-Schwachstellen zu erfassen und diese effektiv zu schließen. Unternehmen sind gut beraten solche Untersuchungen regelmäßig in Ihrem Netzwerk durchzuführen. Schließlich gehen Sie auch regelmäßig mit Ihrem Fahrzeug zur Haupt- und Abgasuntersuchung, um zu prüfen, ob Ihr Fahrzeug noch verkehrssicher ist.
Meine Tipps für den Start in die Informationssicherheit:
Suchen Sie sich vertrauensvolle Unterstützung mit fachlicher Expertise in diesem Bereich. Gute Berater sprechen Ihre Sprache und können komplexe Sachverhalte verständlich darlegen, damit auch Sie einen Einblick erhalten, was getan werden muss.
Für viele notwendige Maßnahmen gibt es pragmatische Lösungen, die nicht immer teuer sein müssen.
Nehmen Sie sich ausreichend Zeit und beginnen Sie, wenn auch zuerst nur mit kleinen Schritten. Der erste Schritt ist bekanntlich der schwerste.
TISAX® ist ein Markenzeichen der ENX-Association.