Cybersicherheit in der Lieferkette, ein wachsender Trend

20 Okt 2022

Luca Urciuoli, Professor am MIT-Zaragoza

VON LUCA URCIUOLI
Lehrbeauftragter für Lieferkettenmanagement des Programms MIT-Zaragoza

Unternehmen sehen sich zunehmend mit Cyberbedrohungen in der Lieferkette konfrontiert. Experten für Cybersicherheit haben allein 2021 einen Anstieg der Cyberangriffe und Datenschutzverletzungen um 15,1 % im Vergleich zum Vorjahr festgestellt.1 Industrie 4.0 und Prozessdigitalisierung sind die boomenden Trends. Da weltweit Unternehmen diesen Trends folgen, ist von einem weiteren Anstieg der Cyberangriffe auszugehen. Die Industrie wie auch die Regierungen auf der ganzen Welt sollten diesen Trends mit Vorsicht begegnen und sicherstellen, dass Lösungen und Strategien zur Verbesserung der Sicherheit und Robustheit der gesamten Lieferkette richtig umgesetzt werden.

Beweggründe für Cyberangriffe

Die Gründe für Cyberangriffe können sehr unterschiedlich sein, aber es gibt drei Hauptgründe: wirtschaftliche, ideologische und geopolitische Beweggründe. Sicherheitsprobleme wie Diebstahl und Fälschungen in Lieferketten sind für die Unternehmen nichts Neues. Die Verstärkung des Schutzes durch physische Sicherheitsmaßnahmen kann Angriffe allerdings auf anfälligere Schichten, nämlich Computersysteme, verlagern. Kriminelle Organisationen haben es durch Cyberangriffe wie die Manipulation und das Kopieren von Daten oder die Sabotage von Sicherheitseinrichtungen leichter, Geld oder andere Vermögenswerte zu stehlen sowie Verbrechen gegen geistiges Eigentum zu begehen.

In manchen Fällen werden Angriffe aus einer bestimmten Ideologie heraus verübt - bekannt als Hacktivismus - um, „das Ziel oder alle Zielpersonen zu stören, zu blamieren oder ein Exempel zu statuieren“ (Urciuoli et al. 2013). So gab es beispielsweise Cyberangriffe, Unternehmen anzuprangern, die sich nicht an Nachhaltigkeitsrichtlinien halten. Terrorismus und religiöse Ideale können ebenfalls hinter Angriffen stehen, um bestimmte Menschen zu bestrafen und sogar ein Land in Angst oder Panik zu versetzen.

Geopolitische Spannungen eskalieren schließlich oft zu einem Cyberkrieg, d. h. Hackergruppen richten Schaden an und stören lebenswichtige gesellschaftliche Strukturen. Erst kürzlich wurden italienische Energie- und Stromversorgungsunternehmen Opfer von Cyberangriffen, die zu einer Unterbrechung der Gas- und Stromlieferungen führten. Hacker könnten darüber hinaus sensible Informationen von Ländern stehlen und sammeln oder Medien und Kommunikationskanäle für Propagandazwecke nutzen, um vorhandene Regime zu untergraben.

Raffinierte Angriffe auf die Lieferkette

Eine Cyberbedrohung bezeichnet alle Aktivitäten, die auf die Durchführung rechtswidriger Handlungen gegen Einzelpersonen oder Organisationen mithilfe von Computern, Netzwerken oder Hardwaregeräten abzielen. Bei Unternehmen ist nicht nur der Zugang zu vertraulichen Mitarbeiter-, Kunden- oder Lieferantendaten gefährdet, sondern auch auch geistiges Eigentum, wie z. B. neue Produktdesigns.

Cybersicherheit in der Lieferkette ist der Schlüssel zum Ausbau der Industrie 4.0

Cyberverletzungen können jedes Unternehmen zum Stillstand bringen und sich nachteilig auf Produktivität, Umsatz, Auftragsabwicklung und Kundenzufriedenheit auswirken. In besonders extremen Fällen könnten Hacker PLCs (Programmable Logic Controllers) in Produktionsanlagen manipulieren, was sich auf die Qualität und den Ruf der Marke auswirken und sogar Sicherheitsprobleme für das Unternehmen schaffen könnte.

Vereinzelte Angriffe

Im Nachhinein betrachtet haben Hacker durch Angriffe auf einzelne Knotenpunkte in einer Lieferkette erheblichen Schaden angerichtet. So griff beispielsweise am 4. Dezember 2020 eine Gruppe von Hackern PickPoint an, ein auf Paketschließfächer spezialisiertes E-Commerce-Unternehmen. Das Unternehmen verfügte über ein Netz von 8.000 Schließfächern in den Städten Moskau und St. Petersburg in offenen und frei zugänglichen Räumen. Durch einen Cyberangriff wurden 2.732 Schließfächer in Moskau aufgebrochen und die Pakete gestohlen. Dies verdeutlicht die Verwundbarkeit der letzten Meile in den Lieferketten.

Angriffe im Zusammenhang mit Daten-Hijacking

Eine weitere Methode, um Lieferketten anzugreifen, ist die Nutzung bösartiger Software, die Computer in einer Kette infizieren kann. So infizierte der NotPetya-Virus 2017 die Systeme des Logistikkonzerns Maersk und verbreitete sich über Branchen und Häfen, infizierte mehr als 200.000 Computer in 150 Ländern und verursachte Schäden in Milliardenhöhe. Als Maersk erkannte, wie schnell sich der Virus in seinem Partner- und Kundennetzwerk ausbreitete, beschloss das Unternehmen, seine Computersysteme für drei Tage komplett abzuschalten. Als Folge davon mussten die Hafenterminals ihren Betrieb einstellen, so dass Tausende von Schiffen an den Kais warteten oder auf See ankerten.

Der NotPetya-Virus verlief nach einem ähnlichen Muster wie die WannaCry-Cyberattacke. Sie blockierte den Zugang zu Computern mit der Meldung „eine Festplatte enthält Fehler und muss repariert werden“. Die Betroffenen wurden aufgefordert, ein Lösegeld zu zahlen, um die Computer zu entsperren. Maersk konnte die gesamte IT-Infrastruktur innerhalb von 10 Tagen wiederherstellen und den Betrieb schrittweise wieder aufnehmen. Allerdings wird der Schaden, den das Unternehmen erlitten hat, auf 300 Mio. USD geschätzt. Der Schaden für den Ruf des Unternehmens ist unermesslich, insbesondere aufgrund der Berichterstattung in den Medien nach dem Cyberangriff.

Angriffe in der Lieferkette

Cyberangriffe sind in den vergangenen Jahren immer komplexer geworden und die Täter sind sich der Bedeutung der Lieferkette für die angegriffenen Unternehmen bewusst. Viele große Unternehmen haben daher ihren Schutz vor Cyberangriffen verstärkt. Allerdings haben Hacker herausgefunden, dass kleinere Unternehmen in derselben Lieferkette anfälliger sind und sie diese als Einstieg nutzen können, um ihre Lieferanten oder Käufer zu infizieren, einschließlich größerer Gruppen von Verkäufern. Cyberexperten haben den Begriff „supply chain attack“ geprägt, um diese Ereignisse einzuordnen.

2020 schafften es Hacker sogar, SolarWind, einen Anbieter von Softwarelösungen für die Lieferkette, zu unterwandern. Sie schleusten einen als Backdoor-Trojaner bekannten Virus in die von SolarWind verwendete Orion-Software ein und infizierten damit die Daten, Netzwerke und Systeme aller Unternehmen, die die Orion-Software verwenden. Dieser Angriff betraf mehr als 18.000 Unternehmen. Es wird vermutet, dass neun Bundesbehörden und hundert Unternehmen des privaten Sektors betroffen waren. Besonders besorgniserregend ist, dass die Hacker mehrere Monate lang unentdeckt blieben und wahrscheinlich riesige Mengen an Daten gestohlen und veröffentlicht haben. Dies war kein isolierter Angriff, da im Mai und Juli 2021 ähnliche Vorfälle mit Cyberangriffen auf Colonial Pipeline (ein großer US-Pipelinebetreiber) bzw. Kaseya (ein Softwareunternehmen) verzeichnet wurden.

Wichtige Maßnahmen zum Schutz von Lieferketten vor Cyberbedrohungen

Es liegt auf der Hand, dass Lieferketten und aktuelle Trends wie Automatisierung und Digitalisierung zahlreiche Vorteile für Unternehmen und Gesellschaft mit sich bringen. Forscher haben mehrfach bewiesen, dass diese Technologien die Produktivität, die Kosteneffizienz des Betriebs, die Markteinführungszeit, die Reaktionszeit auf Kundenanfragen und vieles mehr deutlich verbessern können.

Die Unternehmen tragen die Verantwortung für den Schutz der Kundendaten

Durch den Informationsaustausch entlang der Lieferkette wird der Peitscheneffekt reduziert und die Führungskräfte können die Sicherheitsbestände optimieren und die Übergaben in der Supply Chain synchronisieren. Weitere Informationen, die Unternehmen in der Lieferkette weitergeben sollten, sind neue Produktdesigns oder andere interne Dokumente, die mit strategischen Plänen in Verbindung mit Entwicklungsprogrammen für Lieferanten stehen. Dies alles trägt zur Stärkung der Wettbewerbsfähigkeit der Lieferkette und zur Gewinnung von Marktanteilen bei.

Maßnahmen zur Cybersicherheit

Die Verbindung zwischen den einzelnen Logistik-Akteuren muss durch einen speziellen Cyberschutz verstärkt werden, um eine durchgängige Lieferkette ohne Cyberangriffe zu schaffen. Ein Unternehmen kann also seinen Betrieb und seine Ausrüstung nicht allein schützen, ohne alle Lieferanten und IT-Sicherheitsexperten einzubeziehen.

Es gibt Standards und Zertifizierungen zur Unterstützung von Unternehmen, die ihren Schutz vor Cyberbedrohungen verbessern möchten, wie z. B. der internationale Standard ISO/IEC 27001 und NIST 800-55 des National Institute of Standards and Technology (NIST), einer Behörde des US-Handelsministeriums. Die Norm ISO/IEC 27001 enthält eine Reihe von Kontrollmaßnahmen für Unternehmen, um die Sicherheit ihrer IKT-Schichten zu gewährleisten. Zu diesen Maßnahmen gehören u. a. Zugangskontrolle, physische Sicherheit, Systembeschaffung, Wartungsverfahren und Lieferantenbeziehungen. NIST 800-55 schlägt eine robuste Vorgehensweise zur Identifizierung und Messung der Auswirkungen von Sicherheitskontrollen in drei Kategorien vor: Implementierung, Effizienz und Effektivität sowie Maßnahmen zur Messung der Auswirkungen auf das Unternehmen.

Das NIST hat einen speziellen Ansatz entwickelt - den Leitfaden NIST Cybersecurity Supply Chain Risk Management (C-SCRM) Practices. Dieser befasst sich mit der Cybersicherheit in Lieferketten und konzentriert sich vor allem auf die Beschaffung, die Auftragsvergabe an Lieferanten und den Informationsaustausch. Aktivitäten wie die Auswahl von Lieferanten, Ausschreibungen, Angebotsanfragen, die Bewertung von Angeboten und Vertragsbedingungen müssen daher in Übereinstimmung mit den festgelegten Cybersicherheitsanforderungen erfolgen.

Die Verbindung zwischen den einzelnen Logistik-Akteuren muss durch einen speziellen Schutz verstärkt werden, um eine durchgängige Lieferkette ohne Cyberangriffe zu schaffen

Ferner wird erwartet, dass bei der Prüfung und Überwachung der Lieferantenleistung die Risiken der Cybersicherheit einbezogen und die mit den Lieferanten vereinbarten Bedingungen neu bewertet werden. So kann eine Reaktion festgelegt werden, die den Schaden im Falle eines Verstoßes mildert. Der NIST-Leitfaden enthält auch relevante Verfahren zur Befähigung von Entscheidungsträgern, wie z. B. Richtlinien und Vereinbarungen zur gemeinsamen Nutzung von Informationen, Arbeitsabläufe für die Veröffentlichung und Nutzung von Informationen, Datenschutz und laufende Unterstützung für alle mit Lieferanten geteilten Informationen.

Schutz von Verbraucherdaten

Eine weitere wichtige Aufgabe der Unternehmen ist der Schutz der Verbraucherdaten entlang der Lieferkette. Unternehmen, die im Bereich E-Commerce und Retail tätig sind, müssen Systeme zum Schutz von Kundendaten einrichten, damit Hacker keine Angriffe verüben und Identitäten oder Kreditkartendaten stehlen können (eine Gruppe von Hackern hat z. B. Millionen von Kreditkartendaten aus dem PlayStation-Netzwerk von Sony gestohlen). Für die Gesellschaft steht Privatsphäre für Vertrauen, Respekt und Gedankenfreiheit. Noch wichtiger ist, dass dadurch die politische Macht eingeschränkt wird: „Je mehr jemand über uns weiß, desto mehr Macht kann er über uns haben.“ Der Datenschutz wird daher aus geopolitischer und nationaler Sicherheitsperspektive noch kritischer, wenn er z. B. von Hackergruppen zur Umsetzung von Propagandastrategien genutzt wird.

Die europäischen Länder arbeiten intensiv an der Ausarbeitung eines gesetzlichen Rahmens zum Schutz von personenbezogenen Daten. Websites oder andere Anwendungen, wie z. B. Online-Shops, digitale Lernräume oder Transport-Apps, fragen bei der Registrierung oft nach personenbezogenen Daten. Die Datenschutz-Grundverordnung (DSGVO) 2016/679 der Europäischen Union (EU) enthält strikte Regeln zum Schutz der Datenverarbeitung und legt Richtlinien für die „Verarbeitung personenbezogener Daten von Personen in der Europäischen Union durch eine Person, ein Unternehmen oder eine Organisation“ fest.

Laut der DSGVO beziehen sich personenbezogene Daten auf Informationen oder Teile von Informationen, die erhoben werden können, um eine bestimmte Person identifizieren zu können. Die bestehenden Richtlinien und Verordnungen wurden jedoch nicht speziell für den Betrieb von intelligenten öffentlichen Verkehrsmitteln (IPT) ausgearbeitet, so dass in den kommenden Jahren wahrscheinlich neue gesetzliche Rahmenbedingungen erarbeitet werden müssen.

Fazit: Die Cybersicherheit spielt eine Schlüsselrolle bei dem Transformationsprozess, den die Lieferkette als Ergebnis des Erfolgsmodells Industrie 4.0 durchläuft. Die Vorstände müssen auf diese Herausforderungen mit neuen Strategien reagieren: Die Erarbeitung eines Cybersicherheitsmodells, z.B., das als Zero-Trust-Netzwerke bekannt ist, sowie Systeme, die die Erkennung von und die Reaktion auf Cyberangriffe ermöglichen.

Die IT-Sicherheit muss verbessert werden und ist für alle Bereiche der Lieferkette – vom Unternehmen und Lieferanten bis hin zum Lagersystem - unerlässlich. Gleichermaßen sind bestehende Standards verfügbar, um Sicherheitsmaßnahmen in der gesamten Lieferkette zu implementieren und Schwachstellen im System zu beseitigen, die Hacker für Angriffe ausnutzen könnten.

 


 

Dr. Luca Urciuoli ist Lehrbeauftragter des Internationalen Logistikprogramms MIT-Zaragoza. Er ist zudem außerordentlicher Professor am Royal Institute of Technology (KTH) in Stockholm, Schweden, und Forschungspartner des Zentrums für Transport und Logistik des MIT.

 


 

Referenzen