Wie anfällig Lieferketten in Zeiten einer zunehmend weltumspannenden und vernetzten Wirtschaft sein können, zeigt sich besonders in Krisenzeiten. Konkrete Beispiele hat die Corona-Pandemie der Jahre 2020 bis 2022 in verschiedenen Wirtschaftssektoren – und dazu rund um den Globus – ungeschönt zu Tage gefördert. In Politik und Wirtschaft gelangte die Forderung nach mehr Resilienz und wirtschaftlicher Eigenständigkeit ganz oben auf die Liste der Strategie- und Risikobetrachtungen, und dass nicht nur hier in Europa. Und spätestens seit Beginn der Ukrainekrise ist der Begriff der Resilienz besonders in der westlichen Welt weiter im Aufwind. Wen wundert es da, dass dieser Begriff auch in der EU-Gesetzgebung für ein Plus an IT-Sicherheit einen wichtigen Platz einnimmt. So ist es das Ziel der RICHTLINIE (EU) 2022/2555 DES EUROPÄISCHEN PARLAMENTS UND DES RATES vom 14. Dezember 2022 (NIS-2-Richtline), verbindliche Mindestmaßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union zu definieren und von den EU-Mitgliedsstaaten einzufordern. Im Kern geht es auch hier um Resilienz.
Dass dabei die Sicherheit von Lieferketten neben anderen zu den wichtigsten Forderungen zählt, mag Expertenkreise nicht weiter verwundern. In Zeiten einer zunehmenden digitalen Vernetzung von Staat, Wirtschaft und Gesellschaft kommen Soft- und Hardwarekomponenten, aber auch IT-Dienstleistungen milliardenfach zum Einsatz. Der Fortschritt der Digitalisierung ist damit nicht nur abhängig von funktionierenden und verlässlichen nationalen wie internationalen Lieferketten. Diese müssen auch robust sein gegenüber Cyberangriffen über die Lieferkette (sogenannte Supply-Chain-Angriffe). Schon in der Vergangenheit verwiesen Expertinn:en darauf, dass Hackerangriffe zu den größten Bedrohungen zählen. Wer den weltweiten Ausfall von IT-System in Transport-, Kredit- und Gesundheitswesen - um nur einige betroffene Sektoren aufzuzählen - vom vergangenen Freitag als erhobenen Finger verstehen möchte, die Sicherheit von Lieferketten in der IT-Sicherheitsstrategie und abgeleitete Maßnahmen auch wirksam zu implementieren, muss einmal um die Ecke denken. Denn der Fall Crowdstrike war ja nach heutigem Kenntnisstand kein krimineller Angriff auf eine weitverbreitete Soft- oder Hardware, die auf Seiten der Anwenderkreise zu teils kritischen Systemausfällen führte, sondern eine IT-Panne im Rahmen eines gewöhnlichen Softwareupdates. Der Fall zeigt aber auf eindrucksvolle Weise, wie weitreichend IT-Komponenten und ‚Managed Security Services‘ einzelner, international erfolgreicher IT-Unternehmen heutzutage zum Einsatz kommen und zu welchen teils kritischen Situationen ein einfaches Softwareupdate führen kann.
Seitens der Gesetzgebung mehr Sicherheit für die Lieferkette, einschließlich sicherheitsbezogener Aspekte der Beziehungen zwischen den einzelnen Einrichtungen und ihren unmittelbaren Anbietern oder Diensteanbietern, zu fordern ist daher keine bloße Panikmache, sondern in erster Linie nachhaltiges Risikomanagement. Die Geschehnisse vom letzten Freitag erlauben sogar einen konkreten Blick auf die wirtschaftlichen Folgen. Eine Vielzahl von Unternehmen rund um den Globus ist diesmal noch einmal mit einem blauen Auge davongekommen und kann den entstanden Schaden bald näher beziffern. Staatliche Organisationen und Wirtschaftsbetriebe sollten ihr richtiges Fazit schon jetzt ziehen, die Anforderungen an die eigenen Lieferketten formulieren und schnellstmöglich implementieren. Dies kann freilich unabhängig von jeglicher Konformität erfolgen. Wer einen Schritt weitergehen möchte, lehnt seine Anforderungen an jene der Betreiber Kritischer Infrastrukturen an, lässt diese unabhängig validieren und erbringt darüber auch einen formellen Nachweis.
Gut zu wissen: Auch die Europäische Kommission hat ihre Hausaufgaben gemacht und den Cyber Security Act (CSA) erst kürzlich im Rahmen eines Implementing Acts um das Thema „Managed Security Services“ erweitert. Damit einhergehende Anforderungen an IT-Service-Provider werden sicherlich noch um die Erfahrungen vom vergangenen Freitag ergänzt werden müssen, falls noch nicht berücksichtigt.
Erwähnung finden sollte auch die Erfahrung vieler Prüfunternehmen, dass die Implementierung von Cybersicherheitsmaßnahmen oder auch der damit einhergehenden Prozesse oft noch unzureichend erfolgt. Unternehmen und Organisationen, die über keine hauseigene IT-Sicherheitskompetenz und Erfahrung verfügen, sollten sich in diesem Fall vertrauensvoll und rechtzeitig an fachkundige Dienstleister wenden, um sich bei der Implementierung von Security-Maßnahmen für mehr Cyberresilienz unterstützen zu lassen oder per Auditierung mehr Vertrauen in die organisationsspezifische Implementierung zu gewinnen.
