Ob für Software, Produkte, Cloud-Services oder Dienstleistungen: Organisationen sind auf Zulieferer angewiesen – und darauf, dass diese sicher ist. Wie Organisationen mit Supply-Chain-Risiken umgehen können, erläutern Philipp Grabher, CISO des Kantons Zürich, und Oliver Jäschke, bei Swisscom für die Sicherheit von Lieferantenbeziehungen zuständig.
Juli 2024, Text Andreas Heer 4 Min.
Es war eine unscheinbare Softwarebibliothek mit dem ebenso unscheinbaren Namen «xz», die Schockwellen durch die IT-Welt sandte: Eine ausgeklügelte Hintertür hätte dafür gesorgt, dass die – unbekannten – Angreifer sich Zugriff auf Millionen von Linux-Systemen verschaffen konnten. «Hätte» deshalb, weil die Lücke noch rechtzeitig entdeckt und der Einzug in die stabilen Versionen der gängigen Linux-Distributionen verhindert wurde.
Ob xz, Schwachstellen in kommerzieller Software oder bösartige Pakete in Software-Repositories wie dem Python Package Index (PyPI) oder dem npm Registry: Sicherheitslücken in der Software Supply Chain sind ein reales Risiko. Das nicht nur dort lauert. Auch Lieferanten anderer Produkte können als Einfallstor für Cyberangriffe missbraucht werden oder aufgrund einer Cyberattacke für einen Lieferunterbruch sorgen.
Es erstaunt deshalb nicht, dass die Supply Chain im Risikomanagement und in der Cybersecurity hohe Priorität besitzt. «Das ist eines unserer Topthemen», sagt dazu Philipp Grabher, CISO des Kantons Zürich. Auch für Oliver Jäschke, Product Owner Security Assurance bei Swisscom und damit für die Sicherheit von Lieferantenbeziehungen zuständig, gewinnt das Thema wieder an Bedeutung.
Dieser Artikel zeigt auf, wie sich Unternehmen vor Supply-Chain-Risiken besser schützen können und wo mögliche Hebel liegen.
Für das Management der Supply-Chain-Risiken spielt der Beschaffungsprozess eine entscheidende Rolle. Denn in die Beschaffung jeglicher Produkte sind verschiedene Stellen involviert: etwa die Fachabteilung, der Einkauf, die Rechtsabteilung und die Security. «Der Schutz vor Supply-Chain-Risiken ist ein interdisziplinäres Thema», betont Grabher deshalb. «Er umfasst alle involvierten Stellen.» Das bedinge eine Sensibilisierung auf die möglichen Gefahren bei den Auftraggebern, unterstreicht Jäschke. Das Risikomanagement beginnt also bei der Awareness im eigenen Unternehmen. «Ein sauberer Beschaffungsprozess ist deshalb wichtig», sagt Grabher. «Die Cybersecurity ist darin einer der Mosaiksteine.»
Ebenso wichtig ist, dass die Zuständigkeiten zwischen Lieferanten und Auftraggeber geklärt sind, ergänzt Grabher: «Es braucht unbedingt Transparenz, wer wofür zuständig ist. Das muss geregelt sein, ist aber oftmals eine Herausforderung.»
Zu dieser Transparenz tragen die vertraglich vereinbarten Security-Anforderungen bei. Sie regeln, welche Vorgaben Lieferanten einhalten müssen. Der Umfang hängt vom Risikoprofil ab und der Art der Beschaffung. Für Software gelten andere Vorgaben als beispielsweise für die Arbeit eines Systemintegrators. «Kriterien dafür sind etwa der Zugriff auf unsere Systeme und vertrauliche Daten», sagt dazu Grabher. «Oder, ob ein Lieferant relevant für kritische Geschäftsprozesse ist.» Doch vertragliche Vereinbarungen sind das eine, deren Einhaltung das andere.
Ein Ziel des Supply Chain Managements ist es deshalb, Lieferanten regelmässig zu prüfen, unter anderem auf die Einhaltung der technischen und organisatorischen Massnahmen (TOM) für Datenschutz und -sicherheit. «Dies ist als wiederkehrender Prozess ins Risikomanagement zu integrieren», sagt Grabher dazu. Bei Swisscom ist hierbei auch die Cyberdefence involviert, so Jäschke: «Die wichtigsten Lieferanten prüfen wir im Rahmen des Cyber-Threat-Intelligence-Prozesses. So können wir die Gefahrenlage besser einschätzen und allfällige Cyberattacken erkennen.»
Zurück zur Software Supply Chain: Bei der eingesetzten Software gilt es, das Risiko von Schwachstellen zu minimieren, um Fälle wie xz oder im November 2021 «Log4shell» möglichst zu verhindern. Eine sichere Software-Entwicklung steht dabei für Grabher und Jäschke im Vordergrund. Beide betonen, dass bei einem Audit die folgenden Aspekte für eine sichere Software-Entwicklung geprüft werden sollten:
Ob Zulieferfirmen und ihre Produkte den Sicherheitsanforderungen genügen und die vertraglichen Vereinbarungen einhalten, wird mit einem Audit geprüft. Zuständig dafür ist in beiden Organisationen die Sicherheitsabteilung. «Wir prüfen verschiedene Sicherheitsaspekte», sagt Jäschke. «Neben den eigentlichen Cybersecurity-Massnahmen sind das beispielsweise auch der Umgang mit Ransomware-Angriffen, das Business Continuity Management (BCM) und die Datenschutz-Vorgaben.» Jäschke ist es wichtig, dass dabei der Lieferant den Nutzen eines Audits versteht: «Ziel ist, Gewissheit zu haben, dass das Unternehmen auf einen Sicherheitsvorfall richtig reagieren kann.»
Aufgrund der grossen Zahl von Zulieferern ist eine umfassende Prüfung jedes einzelnen nicht machbar. «Die Art der Prüfung hängt von der Kritikalität ab», erläutert Jäschke. Der Kanton Zürich strebt hierzu eine engere Zusammenarbeit sowohl zwischen den Verwaltungseinheiten als auch mit den Gemeinden an, erklärt Grabher: «Wir versuchen, beim Lieferanten-Management Synergien zu schaffen. Beispielsweise, indem wir Lieferanten gemeinsam bewerten oder die Erfahrungen der verschiedenen Einkaufsabteilungen einfliessen lassen.»
Doch nicht jeder Software-Lieferant ist gleichermassen offen für ein Audit. «Wie prüfen wir einen Anbieter, der keine Transparenz schaffen will?», wirft Grabher ein. Zudem kann ein Audit zwar bestehende Massnahmen aufzeigen. Aber ob diese auch umgesetzt werden, bleibt offen. «Bei einem Sicherheitsvorfall wollen wir schnell informiert werden», sagt Jäschke. «Deshalb gewinnt bei einem Audit der Umgang des Software-Lieferanten mit Incidents an Bedeutung.»
Gleichzeitig sind die Sicherheitsanforderungen ein Balanceakt, wie Grabher einräumt: «Grosse Zulieferer haben oft bessere Security-Massnahmen als kleine Anbieter. Das erschwert es diesen unter Umständen, an Aufträge zu kommen.»
Bei allen Vorteilen von Cloud- und SaaS-Angeboten: Sie erhöhen die Abhängigkeit vom Anbieter. Damit steigt die Bedeutung der Supply Chain Security und des Risikomanagements. «Einerseits bedeuten mehr Abhängigkeiten ein grösseres Risiko», sagt Jäschke. «Doch andererseits ist die Awareness für die Sicherheit gewachsen. Und die Schutzmassnahmen sind besser geworden.»
Von einem besseren Schutz würden alle profitieren, betont Grabher: «Wenn wir es zusammen mit der Supply Chain besser machen, steigern wir die Sicherheit für alle. Entsprechend profitieren alle davon.»