Es ist noch nicht allzu lange her, da wurde die Zuverlässigkeit eines Geschäftspartners allein über eine Bonitätsauskunft beurteilt – das reicht heute nicht mehr!
Der Datenverlust von 47.000 Dokumenten durch einen Automobilzulieferer in Kanada zeigte erneut auf welche Risiken durch den laxen Umgang mit IT Security durch Geschäftspartner vorhanden sind. Aber nicht nur Datenverluste, sondern auch Ausfälle in der komplexen Lieferkette können unabsehbare Folgen haben.
Steigende Vernetzung, höhere Risiken
Zunehmende Spezialisierung, schnelle Produktentwicklungen und flexible Anpassungen an den Markt lassen sich heute nur durch eine hochkomplexe, oft internationale, Lieferantenstruktur realisieren. Vorprodukte werden Just-in-time geliefert um eine schlanke Lagerhaltung zu ermöglichen, gemeinsame Produktentwicklungen senken Kosten, Industrie 4.0 schafft neue Geschäftsfelder – all dies erfordert neue und komplexe IT-Vernetzungen.
Wie Sie mit Ihrer IT Sicherheit umgehen können Sie steuern. Hat Ihr Partner aber auch den richtigen Fokus?
Industrie
Nicht nur Streiks, hohe IT-Komplexität oder der Ausfall eines Lieferanten durch Insolvenz, sondern auch die immer stärker steigenden Risiken durch CyberAttacken gefährden heute die Produktion. Eine erfolgreiche CyberAttacke kann einen Lieferanten für Tage außer Gefecht setzten. Noch viel schwerwiegender kann der Verlust von unternehmenseigenen, vertraulichen Informationen sein.
Erst wenige Unternehmen haben dies erkannt. Sie haben die IT-Sicherheit bereits heute neben der Bonitätsprüfung in ihr Vendor-Risk– oder Supply-Chain-Management integriert. Üblicher Weise erfolgt das – abhängig von der strategischen Wichtigkeit des Geschäftspartners – durch das Einfordern von Zertifizierungen (z.B. ISO / IEC 27001 bzw. TISAX), Fragebögen oder durch Risikoassessments oder Audits.
Aber alle diese Verfahren haben auch typische Nachteile. So ist das Auditieren von Lieferanten teuer, zeitaufwändig und skaliert nicht. Zudem erfordert es eine rege Mitwirkung des Partners.
Die Aussagekraft von Fragebögen ist oft „fragwürdig“ und ob das angeforderte Zertifikat tatsächlich wirkt, stellt sich oft erst zu spät heraus.
Somit stehen selbst Unternehmen die das IT Risiko im B2B Umfeld bewerten möchten vor einem Dilemma. Hohe Kosten, fehlende Skalierung oder geringe Aussagekraft.
In der Folge wird das IT Risk Management oft nur bei einem Bruchteil der Lieferanten angewendet.
Versicherungen
Auch Versicherer haben das Risiko erkannt und bieten entsprechende Produkte an. Cyber Versicherungen helfen Schäden durch IT Sicherheitsvorfälle zu begrenzen, stellen aber die Versicherung vor die gleiche Herausforderung.
- Wie geht mein Kunde mit IT-Sicherheit um?
- Welches Risiko hat die Versicherung zu tragen?
Bei großen Versicherungskunden kann ein Risikoassessment wirtschaftlich durchaus sinnvoll sein, aber der Zielmarkt der Versicherer ist viel größer. Von den insgesamt ca. 3,5 Mio Unternehmen in Deutschland haben nur knapp 15.000 mehr als 250 sozialversicherungspflichtige Mitarbeiter.
Wie kann ein wirtschaftliches und sinnvolles IT Risikomanagement auch für kleine Kunden erfolgen?
Angepasstes Risikomanagement
Large Scale Cyber Risk Management bietet hier einen Lösungsansatz. Bei dieser Technik wird eine Vielzahl öffentlich verfügbarer Informationen über Unternehmen gesammelt, verdichtet und bewertet.
Als Bewertungsgrundlage für Large Scale Cyber Risk Management dienen zum einen technische Daten, beispielweise ob die Internetseiten eines Unternehmens verschlüsselt sind und ob diese Verschlüsselung den Vorgaben des BSI entspricht. Ähnliche Bewertungen finden auch für E-Mails sowie für andere extern erreichbare Dienste (VPNs, VoIP usw.) statt. Deutliche Mängel wie der Einsatz von unsicheren Verschlüsselungen oder angreifbare Systeme werden hierbei erkannt und schlagen sich entsprechend negativ in der Risikobewertung nieder.
Zum anderen werden neben technischen Informationen oft auch andere, nicht technische Faktoren, wie die Mitgliedschaft in entsprechenden Verbänden oder relevante Zertifizierungen berücksichtigt.
Aus dieser Vielzahl von einzelnen Informationen ergibt sich dann durch den individuellen Scoringalgorithmus des Anbieters ein Scoringwert. Dieser Scoringwert ist ein starker Indikator für den Umgang mit IT-Sicherheit der einzelnen Unternehmen. Abweichungen können leicht erkannt und entsprechend überprüft und gegebenfalls korrigiert werden.
Durch den vollautomatischen Ansatz ist diese Lösung sowohl preiswert als auch skalierend.
Grenzen des Scoring
Systembedingt hat auch diese Technik ihre Grenzen. Das vollautomatische Bewerten ersetzt keine individuellen Audits oder Risikobewertungen, es ergänzt sie vielmehr. Cyber Scoring liefert die Grundlage für methodisches IT-Risikomanagement in großen Umgebungen mit mehreren hunderten oder gar tausenden Lieferanten oder Kunden.
Die Zukunft
Sowohl Cyber Risiken als auch die IT gestützten Abhängigkeiten im B2B Umfeld steigen in Zukunft an. Ein rein bonitätsgetriebenes Risikomanagement wird diesen Anforderungen nicht gerecht. Ein Cyber Scoring als Grundlage für eine IT Risikobewertung wird sich somit bald als zusätzliches Instrument in der Risikobewertung etablieren. Insbesondere dann, wenn Cyber Scorings einfach und preiswert verfügbar sind.
Autor: Heiko Kropf ist Geschäftsführer der CyDIS Cyber Defense und Information Security GmbH, Oberhaching
