Das 3rd-Party-Risiko hat sich als eine der größten Bedrohungen für Unternehmen herausgestellt. Selbst wenn ein Unternehmen über modernste Sicherheitsmaßnahmen verfügt, kann es durch die Schwachstellen eines Partners oder Zulieferers gefährdet werden. Diese externen Systeme können, wenn sie nicht ausreichend gesichert sind, als Einfallstore für Cyberangriffe dienen. Hacker, immer auf der Suche nach dem schwächsten Glied in der Kette, haben erkannt, dass Zulieferer und Partner oft weniger gut geschützt sind. Sie nutzen diese Schwachstellen gezielt aus, um Zugang zu den wertvolleren Netzwerken und Daten des Hauptunternehmens zu erhalten. Daher ist es für Unternehmen von entscheidender Bedeutung, nicht nur ihre eigenen Sicherheitsmaßnahmen zu überprüfen, sondern auch die ihrer Partner und Zulieferer sorgfältig zu bewerten.

Bewusstsein für Supply Chain Risk Management

Insbesondere Unternehmen aus der Finanz- und Versicherungsbranche sowie große Industriekonzerne haben die Relevanz des Supply Chain Risk Managements (SCRM) schon früh erkannt und integriert. Auch im gehobenen Mittelstand gewinnt das SCRM zunehmend an Bedeutung. Für einige mag der Begriff im Kontext der NIS2-Direktive das erste Mal aufgetaucht sein, doch die Umsetzung in der Praxis zeigt oft ein uneinheitliches Bild. Es ist nicht ungewöhnlich, dass Unternehmen lediglich Alibi-Prozesse durchführen, bei denen Zulieferer umfangreiche Fragebögen ausfüllen müssen. Doch diese Befragungen sind oft oberflächlich, und die gelieferten Antworten werden selten gründlich überprüft. Zulieferer wissen oft genau, welche Antworten von ihnen erwartet werden und liefern diese entsprechend, unabhängig von der tatsächlichen Situation. Dieses Vorgehen birgt erhebliche Risiken und zeigt, dass ein tieferes Verständnis und eine konsequentere Umsetzung des SCRM dringend erforderlich sind.

Die Notwendigkeit der Überprüfung und Kontrolle

Vertrauen ist gut, Kontrolle ist besser – dieses Sprichwort gewinnt im Kontext des Supply Chain Risk Managements an besonderer Bedeutung. Wenn Unternehmen die IT-Sicherheit ernst nehmen, reicht es nicht aus, sich auf die Selbstauskünfte ihrer Zulieferer und Partner zu verlassen. Eine einmalige Überprüfung bei der Aufnahme einer Geschäftsbeziehung kann einen ersten Eindruck vermitteln, doch die IT-Landschaft ist dynamisch. Sicherheitskonfigurationen ändern sich, Software wird aktualisiert, Zertifikate laufen ab und neue Sicherheitslücken werden entdeckt. Daher ist es unerlässlich, die IT-Sicherheit der Partner regelmäßig und idealerweise in Echtzeit zu überwachen. Ein kontinuierliches Audit aller Zulieferer und Partner wäre jedoch sowohl zeitlich als auch ressourcentechnisch kaum umsetzbar. Es bedarf also innovativer Lösungen, um die Sicherheit der gesamten Lieferkette effizient zu gewährleisten und gleichzeitig die operativen Abläufe nicht zu behindern.

Überwachungsansatz OSINT-Analysen

OSINT-Analysen (Open Source Intelligence) bieten eine fortschrittliche Methode, um die Sicherheitslage von Zulieferern und Partnern kontinuierlich im Blick zu behalten. Anstatt aktive Scans oder Penetrationstests durchzuführen, die rechtliche Grauzonen berühren könnten, analysieren OSINT-Tools Informationen aus öffentlich zugänglichen Quellen. Diese Daten, die auch Hackern zur Verfügung stehen, werden systematisch gesammelt und ausgewertet. So können Unternehmen erkennen, ob etwa veraltete Software mit bekannten Schwachstellen im Einsatz ist, ob bestimmte Server unsachgemäß aus dem Internet erreichbar sind oder ob die Verschlüsselung von Webdiensten den aktuellen Standards entspricht.

Die Stärke von OSINT-Analysen liegt in ihrer Fähigkeit, kontinuierlich und in Echtzeit zu überwachen, ohne die Systeme der Partner direkt zu beeinflussen. Dies ermöglicht Unternehmen, potenzielle Risiken frühzeitig zu identifizieren und proaktiv zu handeln, bevor sie zu echten Bedrohungen werden. Es ist jedoch wichtig, den richtigen OSINT-Anbieter auszuwählen, da sich die Qualität und Aktualität der gesammelten Daten erheblich unterscheiden kann.

Integration und zukünftige Entwicklungen

Einige Unternehmen haben bereits begonnen, ihre OSINT-Plattformen um zusätzliche Analysen zu erweitern. Themen wie Bonität und ESG (Environmental, Social, Governance) werden immer relevanter, da sie weitere wichtige Aspekte des Risikomanagements abdecken. Durch die Integration dieser Analysen in eine zentrale Plattform können Einkaufsabteilungen ein umfassendes Tool nutzen, das alle erforderlichen Checks für potenzielle und bestehende Partner bietet.

Ein besonders spannender Ansatz ist die Kombination von OSINT-Tools mit Prozess-Mining-Lösungen. Unternehmen wie Celonis, ein Marktführer im Bereich Business Process Management, haben solche Integrationen vorgenommen, um sicherheitsrelevante Informationen direkt in bestehende Bestell- und Lieferkettenprozesse einfließen zu lassen. Dies reduziert die Komplexität und ermöglicht es Unternehmen, Risiken in Echtzeit zu erkennen und zu managen, ohne zusätzliche Systeme oder Prozesse implementieren zu müssen.


Thomas Kress

ist IT-Sicherheitsexperte und CEO von TheUnified.

Roger Homrich

Recent Posts

Studie: Rund ein Drittel der APIs sind ungeschützt

Angriffe auf APIs und Webanwendungen sind zwischen Januar 2023 und Juni 2024 von knapp 14…

3 Tagen ago

Universitätsmedizin Essen setzt für E-Mail-Sicherheit auf NoSpamProxy

Mit täglich über 45.000 eingehenden E-Mails ist die IT-Abteilung des Klinikums durch Anhänge und raffinierte…

3 Tagen ago

Bau-Spezialist Schöck: Migration von SAP ECC ERP auf S/4HANA

Bau- und Fertigungsspezialist investiert in die S/4HANA-Migration und geht mit RISE WITH SAP in die…

5 Tagen ago

Pure Storage: Cloud, KI und Energieeffizienz

Trends 2025: Rasante Entwicklungen bei Automatisierung, KI und in vielen anderen Bereichen lassen Unternehmen nicht…

6 Tagen ago

GenKI verbessert Datenmanagement und Angebotsgenauigkeit

DHL Supply Chain nutzt generative KI-Anwendungen für Datenbereinigung und präzisere Beantwortung von Angebotsanforderungen (RFQ).

7 Tagen ago

Rolls-Royce Power Systems nutzt industrielle KI aus der IFS Cloud​

Marke mtu will globale Serviceabläufe optimieren und strategische Ziele hinsichtlich Effizienz, Nachhaltigkeit und Wachstum unterstützen.

7 Tagen ago