Report: Wie Security Ratings in der Lieferkette helfen können
Unternehmen sollten den Sicherheitsstatus von Lieferanten in der Supply Chain kennen. Doch die Bewertung ist komplex. Security Ratings als Service können unterstützen. Ein Überblick.
Der eigene Schutz reicht nicht gegen Supply-Chain-Attacken
Immer öfter sind ganze Lieferketten von Ransomware-Angriffen beeinträchtigt, mit Folgen nicht nur für die Opfer, sondern auch für deren Kunden oder für andere unbeteiligte Dritte, so das Bundesamt für Sicherheit in der Informationstechnik (BSI).
Juhan Lepassaar, Exekutivdirektor der EU-Agentur für Cybersicherheit ENISA, kann dies nur bestätigen: „Aufgrund der Kaskadenwirkung von Angriffen auf die Lieferkette können Angreifer weitreichende Schäden anrichten, die Unternehmen und ihre Kunden auf einmal betreffen“.
Wie der ENISA-Bericht „Threat Landscape for Supply Chain Attacks“ deutlich macht, reicht ein starker Sicherheitsschutz für Unternehmen nicht mehr aus, wenn die Angreifer ihre Aufmerksamkeit bereits auf die Lieferanten gerichtet haben.
Die Cyberangriffe nutzen dann zuerst Schwachstellen in der Security eines Lieferanten aus, um dann im zweiten Schritt die infizierten Produkte, manipulierten Services oder auch gekaperten Zugriffsberechtigungen des kompromittierten Lieferanten für eine Attacke auf das Kundenunternehmen zu missbrauchen.
Security-Bewertungen für die ganze Lieferkette müssen Pflicht werden
Um den Risiken durch die Supply-Chain-Attacken begegnen zu können, sind zum einen Security-Ansätze wie Zero Trust wichtig. Man darf einem Lieferanten trotz langjähriger Geschäftsbeziehung nicht einfach ein Vertrauen schenken, das die Sicherheitskontrollen gegenüber den Lieferanten einschränkt.
Gleichzeitig muss die Bewertung der Security eines Lieferanten Teil des Beschaffungsprozesses und des Lieferantenmanagements werden. Spätestens die um sich greifenden Attacken auf und über die Lieferkette machen dies mehr als deutlich.
Doch wie soll ein Unternehmen die Security eines Dritten bewerten können, wenn bereits das eigene Security Assessment kaum durch die knappen Security-Fachkräfte bewältigt werden kann?
Wie in anderen Bereichen, in denen Ressourcen knapp sind, können auch hier Dienstleistungen eine Hilfe sein, sogenannte Security Ratings as a Service.
Security Ratings versus Security-Zertifizierungen
Ein erster Ansatz für die Security-Bewertung der Lieferanten ist es natürlich, nach anerkannten Security-Zertifikaten für Unternehmen und Produkte zu fragen. Man erhält dadurch eine externe Bestätigung, dass der Lieferant oder aber die Produkte des Lieferanten bestimmte Security-Kriterien erfüllen.
Die zugrundeliegenden Security-Audits des Zertifizierers finden jedoch nur zum Beispiel einmal im Jahr statt. Die Cyberbedrohungslage, die eingesetzte IT und die bekannt werdenden Schwachstellen aber ändern sich dynamisch und sehr schnell. Es ist deshalb durchaus möglich, dass auch ein zertifiziertes Unternehmen Sicherheitslücken bietet, die Angreifer für eine Supply-Chain-Attacke ausnutzen.
Die EU-Agentur für Cybersicherheit ENISA empfiehlt ein „Monitoring“ der Supply-Chain-Risiken, es sollte also im Idealfall regelmäßiger oder sogar fortlaufend eine Information zu dem Sicherheitsstatus eines Lieferanten vorliegen.
Hier kommen die Security Ratings ins Spiel, die auch als Service angeboten werden.
Was Security Ratings as a Service bieten kann
Die Marktforscher von Gartner betonen die Bedeutung von Security Ratings: „Cybersicherheitsratings werden bei der Bewertung des Risikos bestehender und neuer Geschäftsbeziehungen genauso wichtig wie Bonitätsratings. Diese Dienstleistungen werden zur Voraussetzung für Geschäftsbeziehungen und zum Sorgfaltsstandard für Anbieter und Beschaffer von Dienstleistungen. Darüber hinaus werden die Dienste ihren Anwendungsbereich erweitern, um andere Bereiche zu bewerten, wie z. B. Cyber-Versicherung, Due Diligence für Fusionen und Übernahmen und sogar als Rohmetrik für interne Sicherheitsprogramme“.
Die Empfehlung der Marktforscher lautet: „Sicherheits- und Risikomanagement-Führungskräfte sollten Sicherheitsbewertungsdienste nutzen, um eine kontinuierliche Bewertung in Echtzeit für interne Bewertungen, Beschaffung, Partnerschaften und M&A-Aktivitäten bereitzustellen“.
Anbieter für Security Ratings Services gibt es bereits viele auf dem Markt. Beispiele sind UpGuard, BitSight, SecurityScorecard, RiskXchange, RATINGCY, FortifyData und RiskRecon.
Was Security Ratings aber nicht leisten
Ein Security Ratings Service kann wertvolle Hinweise liefern für die Einschätzung der Lieferanten-Security, wobei sich die Datenquellen für und Berechnung der Security Ratings von Anbieter zu Anbieter unterscheiden.
Allerdings sollte auch klar sein, dass selbst ein fortlaufend ermitteltes Security Rating keine Garantie dafür bieten wird, dass es nicht doch eine neue Schwachstelle bei dem Lieferanten gibt, die ein Angreifer gerade ausnutzt.
Eine „gute“ Punktzahl bei einem Security Rating bedeute nicht, dass die Organisation sicher ist, betonte der Security-Anbieter Palo Alto Networks (https://www.paloaltonetworks.com/blog/security-operations/security-ratings-vendors/). Die US Chamber of Commerce dagegen erklärt: „Da Security Ratings immer ausgereifter werden, nutzen immer mehr Organisationen im öffentlichen und privaten Sektor sie, um Geschäfts- und Risikoentscheidungen zu treffen. Als Schlüsselelement eines robusten Sicherheitsbewertungsprogramms sind Sicherheitsbewertungen auf der Grundlage genauer und relevanter Informationen nützliche Werkzeuge zur Bewertung von Cyberrisiken und zur Erleichterung kooperativer, risikobasierter Gespräche zwischen Organisationen“.
Allerdings fordert die US Chamber of Commerce mehr Transparenz und Vergleichbarkeit bei den Security Ratings. Um das Vertrauen in Security Ratings zu stärken, sollte ein branchenweiter, gemeinsamer Ansatz gefunden werden, und damit die Förderung von Qualität und Genauigkeit bei der Erstellung von Sicherheitsbewertungen, Fairness in der Berichterstattung, ein koordinierter Prozess zur Beurteilung von Fehlern oder Ungenauigkeiten in gemeldeten Inhalten und Richtlinien für die angemessene Verwendung und Offenlegung der Bewertungen.
Offensichtlich brauchen die Security Ratings selbst ein Bewertungssystem, damit sie richtig verstanden werden und besser verglichen werden können.