Eindämmung der Risiken

Was können nun aber Firmen gegen diese Gefahren aus der Lieferkette unternehmen? Die sorgfältige Auswahl der Geschäftspartner auch in Sachen Cybersecurity wäre hier wünschenswert. Allerdings ist dies in der Praxis wohl schwierig umzusetzen. Denn wer hat schon die Zeit und die finanziellen Ressourcen, die IT aller Drittfirmen auf deren Schutz hin zu untersuchen.

Zugegeben, das ist eine diffizile Aufgabe. Aber auch zu diesem Thema hat man sich in der IT-Sicherheitsbranche schon Gedanken gemacht und Standards sowie Best Practices entwickelt. Die IT-Sicherheit in Lieferantenbeziehungen beschreibt etwa die Norm ISO/IEC 27036:2013 als Teil der ISO/IEC-27001-Serie (vgl. Kasten unten).

Zudem findet sich zum Thema die erst vor Kurzem hinzugefügte Kategorie «Supply Chain Risk Management» im «Cyber Security Framework» der US-Normungsbehörde NIST (National Institute of Standards and Technology). Ein solches Risikomanagement für Drittfirmen verlangt von Geschäftspartnern die verbindliche Verpflichtung, die eigene IT, aber auch Daten von Dritten genauso zu schützen, wie es die eigenen Vorgaben in Sachen Cybersecurity vorsehen.

«Cyber Supply Chain Risk Management ist aber eigentlich keine neue Disziplin, sondern vielmehr eine Aus­weitung des eigenen Risikomanagements und der Cyber Security auf die Lieferanten», meint InfoGuards Annino. «Die Vorteile liegen auf der Hand: Nur so ist es möglich, die erforderliche Transparenz über die Cyberrisiken und die Maturität bezüglich Cyber Security innerhalb der Lieferkette zu gewährleisten», fügt er an. Annino verweist in diesem Zusammenhang auf professionelle Lösungen wie Secu­rityScorecard. «Diese ermöglichen es, die Transparenz zu erhöhen und helfen, das Cyber Supply Chain Risk Management ressourceneffizient umzusetzen», ist er überzeugt.