Komplexe Firmenstrukturen prädestiniert für Supply Chain Attacken! Aktuelle Studie bestätigt secion Blogartikel aus Mai.

von

Lesezeit: Minuten ( Wörter)

Im Mai 2021 hatte secion in seinem Blogartikel auf die Verwundbarkeit von Unternehmen durch immer komplexer werdende Supply Chains hingewiesen. Während die unternehmenseigene IT-Security immer leistungsfähiger ausgebaut wird, nutzen Cyberkriminelle offenstehende Hintertürchen für Supply Chain Attacken, die sich gewaschen haben. Im vergangenen Mai waren es Cyberangriffe wie SolarWinds und Passwordstate, die in den Fokus der Öffentlichkeit gelangten. Eine neue Studie belegt nun: An der Supply Chain Security hat sich nicht viel zu Positiven geändert. Die Lieferkette bleibt nach wie vor ein „Blinder Fleck“ in Bezug auf mögliche Risiken, die einem Unternehmen drohen.

Komplexität und Unübersichtlichkeit: Die Studie belegt deutlich eine mangelhafte Supply Chain Security

Die Wirtschaftsprüfungs- und Beratungsgesellschaft PricewaterhouseCoopers (PwC) hat kürzlich eine Studie zum Thema Cyber Security veröffentlicht. In der Studie wurden im Juli und August 2021 insgesamt 3602 Führungskräfte aus den Bereichen Sicherheit, Technologie und Wirtschaft zur Entwicklung der IT-Security befragt. 33 Prozent der befragten Unternehmen haben ihren Sitz in Westeuropa, 26 Prozent in Nordamerika und 18 Prozent im asiatisch-pazifischen Raum. Weitere befragte Unternehmen stammen aus Osteuropa, dem nahen Osten, Afrika und Lateinamerika. Das wohl auffälligste Ergebnis der Studie: Ein überwältigender Teil, nämlich glatte 82 Prozent, der befragten Führungskräfte geben an, dass die Komplexität moderner digitaler Betriebsumgebungen mittlerweile zu hoch ist. Für die Befragten ist die Komplexität der Hauptgrund dafür, dass sich die Unternehmen nicht optimal gegen Cyberangriffe absichern können. Insbesondere Cloud-Lösungen, die aktuell im Zuge des IoT nochmals deutlich wachsen, stehen für die befragten Führungskräfte für Unübersichtlichkeit, was wirksame Cybersecurity anbelangt. Die steigende Komplexität hat ganz konkrete Folgen für die befragten Unternehmen. Für die Hälfte der befragten Personen ist die Komplexität „schuld“ an mangelnder Resilienz, finanziellen Verlusten und der Unfähigkeit zur Innovation. Allerdings: 72 Prozent aller befragten Führungskräfte gaben gleichzeitig an, dass sie in den letzten zwei Jahren innerhalb der eigenen Geschäftsumgebung die Komplexität vereinfachen konnten, in dem Technik angepasst oder gleich eingespart wurde. Das Problem der mangelnden Cybersecurity muss also außerhalb der Unternehmensstruktur liegen. Womit wir wieder beim Thema der Supply Chain Attacken angekommen wären.

Der Lieferketten-Angriff: Nach wie vor eine unerkannte Gefahr

In der PwC-Studie fällt auf, dass die Supply Chain Security nach wie vor große Lücken aufweist. In Deutschland sind es besorgniserregende 32 Prozent, die die Risiken durch Supply Chain Attacken wenig oder überhaupt nicht verstehen. Auch in der Zusammenarbeit mit Cloud-Dienstleistern, Sub-Unternehmen und IoT-Technologieanbietern ist das Verständnislevel gemäß der Studie ähnlich gering ausgeprägt. Der traurigen Erfolg von Supply Chain Attacken kann an einem weiteren Wert der Studie festgemacht werden: Rund 60 % der befragten Führungskräfte haben keinerlei Maßnahmen in ihren Unternehmen ergriffen, die eine nachhaltige Wirkung im Bereich des Risikomanagements für Dritte versprechen. Was bedeutet das im Klartext? Mehr als die Hälfte der Unternehmen führt keine strenge Auswahl bei den Zulieferern durch, schreibt keine Verträge um und verfeinert die Auswahl der Zulieferer nicht.

Supply Chain Security: So ist der Status 2021

Die Studie von PwC hatte gefragt, ob und welche Maßnahmen Unternehmen in den vergangenen 12 Monaten ergriffen haben, um Risiken durch Supply Chain Attacken zu minimieren.

Die Ergebnisse:

• 39 % stellen Unterstützung oder Wissensaustausch für Drittanbieter zur Verfügung, um so deren Cybersicherheit zu erhöhen
• 38 % überprüften oder verifizierten die Sicherheitslage und die Compliance von Drittanbietern und Lieferanten entlang der Supply Chain
• 38 % entwickelten verfeinerte Kriterien für das Onboarding und laufende Bewertungen von Drittanbietern
• 35 % konnten zeit- oder kostenbezogene Herausforderungen meistern, die die Cyber-Resilienz des Unternehmens beeinträchtigten
• 33 % setzten Verträge auf, um eigene Risiken in der Zusammenarbeit mit Drittanbietern zu mindern
• 28 % beendeten sogar ihre Geschäftsbeziehungen mit bestimmten Drittanbietern

Es lässt sich schlussfolgern: Zumindest bei einem Drittel der Unternehmen ist die Gefahr, die durch Supply Chain Attacken ausgeht, im Bewusstsein angekommen. Allerdings – und auch das zeigt die Studie – ist der Ernst der Security-Lage längst noch nicht allen Unternehmen bewusst. Denn 4 Prozent der befragten Unternehmen gaben an, dass sie in den vergangenen 12 Monaten keinerlei Maßnahmen ergriffen haben, um einem Lieferketten-Angriff zu begegnen.

Jetzt keinen Blogbeitrag mehr verpassen!

  • 12x im Jahr aktuelle News aus der IT Security Welt
  • 4x im Jahr exklusive Einladungen zu kostenlosen IT Security Webinaren
  • 1 kostenloses Whitepaper zu unserem Threat Hunting Service Active Cyber Defense

Deutsche CEOs setzen nicht auf proaktive Cybersecurity

PwC wollte in der Studie wissen, welchen Einfluss ein CEO auf die Cybersicherheit im Unternehmen – und damit auch direkt auf die Supply Chain Security – hat. Die befragten Führungskräfte gaben an, dass ihre CEOs vor allem dann persönlich involviert werden, wenn es um die Berichterstattung zu Cyberangriffen für die Aufsichtsbehörden oder nach einem Angriff auf das eigene Unternehmen geht. Als „überraschend“ wurde dabei die Position deutscher CEOs in der Studie gekennzeichnet. Im internationalen Vergleich nehmen deutsche CEOs eine wesentlich reaktivere Position ein als ihre Kollegen aus anderen Ländern. Die deutschen CEOs beschäftigen sich im internationalen Vergleich auffallend weniger mit proaktiven Cybersecurity-Maßnahmen. Bei der generellen Frage nach der Cyber-Mission hingegen herrscht länderübergreifende Einigkeit. CEOs sehen es als ihre Pflicht, Vertrauen hinsichtlich der Nutzung und dem Schutz der Daten gegenüber ihren Kunden zu schaffen. Bessere Kontrollmechanismen zum Schutz von Cyberangriffen, eine schnelle Reaktion auf erfolgte Angriffe und eine effiziente Krisenbewältigung – CEOs erkennen durchaus die drei Säulen der Cybersicherheit – Schutz, Vertrauen, Resilienz. Und geben damit die Richtung für das gesamte Unternehmen vor.

Wie soll nun 2022 gegen Supply Chain Attacken vorgegangen werden?

Relevanter als Daten aus der Vergangenheit ist die Frage, wie in der Zukunft mit Supply Chain Attacken umgegangen werden soll – und welchen Raum Unternehmen der Supply Chain Security einräumen wollen. Auch hierzu liefert die PwC-Studie interessante Daten. So ist eines sicher: Die Investitionen in Cybersicherheit werden 2022 nochmals deutlich ansteigen. Mehr als die Hälfte der befragten deutschen Unternehmen, 56 %, erwarten für das kommende Jahr einen deutlichen Anstieg der Ausgaben für Cybersicherheit. Auch bei der Frage nach dem Budget-Anstieg im kommenden Jahr fällt Deutschland eine Sonderrolle zu. Hier ist der Prozentsatz der unternehmen, die mit einem Budget-Anstieg größer als 10 Prozent rechnen, im internationalen Vergleich besonders stark gestiegen. Waren es 2020 noch 5 % der befragten Unternehmen, so sind es 2021 bereits 19 % ! Doch was genau erwarten die Führungskräfte im Bereich der Cyberangriffe im kommenden Jahr?

Bessere Kontrollmechanismen zum Schutz von Cyberangriffen, eine schnelle Reaktion auf erfolgte Angriffe und eine effiziente Krisenbewältigung - elementare Säulen im Bereich Supply Chain Security.

Mobile, Cloud, IoT: Mit diesen Gefahren rechnen Führungskräfte 2022

Mehr als die Hälfte der befragten deutschen Führungskräfte rechnen für 2022 mit einem Anstieg der Cyberangriffe.

Insbesondere die Cloud, das IoT und mobile Datenverwendung sehen die befragten Personen als kritisch, was Cyberangriffe anbelangt:

• 36 % denken, dass Attacken auf Cloud-Services zunehmen werden
• 36 % sehen bei Ransomware Angriffen deutliche Zunahmen
• 33 % erkennen steigende Gefahren durch Kryptomining
• 36 % befürchten eine Zunahme von Malware, die über Software-Updates in die Unternehmen eindringt
• 36 % befürchten ein Plus an Supply Chain Attacken im Bereich der Software-Lieferketten
• 34 % befürchten mehr Supply Chain Attacken auf die Hardware-Lieferkette

PwC befragte die Unternehmen auch nach den Akteuren, die nach Meinung der Führungskräfte für die größten Cyberbedrohungen 2022 verantwortlich sein werden. Mehr als ein Drittel nannte hier Cyberkriminelle als größte Gefahr, dicht gefolgt von Hacktivisten und Nationalstaaten. Ebenfalls ein rundes Drittel der Befragten sieht Drittanbieter oder Auftragnehmer als Gefahr für die eigene Cyber Security.

Die Prävention von Supply Chain Attacke findet selten auf Basis von Daten statt

In Unternehmen weltweit sind vollständige Data-Governance-Programme selten. Nur etwa ein Drittel der Unternehmen hat bereits ein solches Programm integriert, um nachhaltige Entscheidungen rund um Cyber-Investitionen zu treffen. In Deutschland herrscht, wie weiter oben bereits erwähnt, ein besonders ausgeprägtes, reaktives Verhalten in Sachen Cybersecurity. Hier sind es schlappe 21 Prozent der Unternehmen, die auf Real-Time-Threat-Intelligence und die Quantifizierung von Cyberrisiken setzen. Im Umkehrschluss bedeutet das: 79 % der deutschen Unternehmen warten ab, bis ein Cyberangriff erfolgt und reagieren erst dann. In einer Welt, die von zunehmender digitaler Komplexität geprägt ist, sicherlich kein empfehlenswertes Vorgehen.

Fazit

Supply Chain Attacken fordern Unternehmen weltweit heraus. Nicht nur, dass die Quantität der Lieferketten-Angriffe deutlich zunimmt, auch die Qualität der Angriffe legt zu. Allerdings wird durch die PwC-Studie klar, dass Supply Chain Security auch 2021 bestenfalls ein Nischen-Thema in den Führungsetagen war. Wenn mit viel Wohlwollen ein Drittel aller Unternehmen weltweit aktiv gegen Supply Chain Attacken vorgehen, bedeutet das im Umkehrschluss, dass zwei Drittel die Supply Chain Security nicht ernstnehmen – oder die Relevanz nicht erkennen. Die Komplexität der digitalen Unternehmensstrukturen nimmt zu. Cloud-Dienste, Zulieferer, das IoT: Alles wird digitaler, vernetzter und komplexer. Unternehmen, die weiterhin auf reaktive Sicherheitsmaßnahmen ausschließlich mit dem Fokus auf das eigene Unternehmen setzen, werden zukünftig noch stärker in das Fadenkreuz von Cyberkriminellen gelangen. Die Antwort auf Lieferketten-Angriffe ist eine proaktive Vorgehensweise, die Lieferanten und Zulieferer genauso in die Pflicht nimmt wie das eigene Unternehmen.

Unterstützung für Ihre Supply Chain Security benötigt? Kontaktieren Sie uns!

Durch Klicken auf die Schaltfläche "Absenden" bestätigen Sie, unsere Richtlinien zum Datenschutz gelesen zu haben. Sie geben Ihr Einverständnis zur Verwendung Ihrer personenbezogenen Daten zu dem von Ihnen angegebenen Zweck der Kontaktaufnahme durch die secion GmbH.

Zurück