Zulieferer als Gefahrenquelle

Zulieferer gefährden Unternehmen, ohne es zu wollen. Die aktuelle Studie von Kapersky Damage Control: The Cost of Security Breaches belegt es jetzt mit Zahlen: Über die Lieferkette ausgelöste Cyberattacken und Datendiebstähle kosten großen Unternehmen durchschnittlich über drei Millionen US-Dollar. Kleinere Unternehmen kommen mit knapp 70.000 US-Dollar Folgekosten davon. Der Antiviren-Spezialist Kaspersky befragte hierfür weltweit 5.500 IT-Entscheider in Unternehmen unterschiedlicher Größe nach den angefallenen Kosten, die eine Cyberattacke verursachte.

Grund dafür ist, dass Zulieferer auf Dateien eines Unternehmens zugreifen können müssen und meist mit den Mitarbeitern noch weitere Informationen austauschen. Damit bieten sie eine breite Angriffsfläche für Cyberkriminelle: So können Kriminelle nach einem erfolgreichen Angriff auf einen Zulieferer Zahlungsinformationen von gleich mehreren Firmen herausfinden. Sie können auch relativ einfach Warentransporte umleiten. 18 Prozent – also fast jedes fünfte befragte Unternehmen – machen einen Zulieferer für aufgetretene Sicherheitsvorfälle verantwortlich.

Die Frage nach der Verantwortung

Doch gerade die Zulieferer allein verantwortlich zu machen, greift zu kurz. Wenn ein kleines Unternehmen wettbewerbsfähig bleiben will, erscheinen so Public-Cloud-Angebote als „Geschenke vom Himmel“, da diese Angebote Prozesse vereinfachen, Kosten reduzieren und die Produktivität erhöhen. Deshalb entscheiden sich Zulieferer für für Cloud-Lösungen zur Effizienzsteigerung. Wie ein Zulieferer, der über geringe Personalressourcen und meist wenig Insider-Wissen zur IT-Sicherheit verfügt, regelmäßig seinen Kontrollpflichten nachkommen kann, die bei einer Auftragsdatenverarbeitung verlangt werden, bleibt offen.

Holger Suhl, General Manager DACH bei Kaspersky Lab, sieht daher die Verantwortung auch bei den Großen. Er fordert: „Unternehmen sollten über weitergehende Informationen zum IT-Sicherheitssystem der Zulieferer verfügen und Interaktionsregeln festlegen, die nicht nur der Effizienz und Flexibilität, sondern auch der Sicherheit dienen.“ Dabei bedenkt er offensichtlich nicht, dass ein Zulieferer selbst mehrere Auftraggeber hat, von denen vermutlich jeder einfordert, dass er die unternehmenseigenen Richtlinien für den Datenzugriff penibel einhält. Und selbst, wenn ein Zulieferer bereits über eine sicher IT-Infrastruktur verfügt, heißt das noch lange nicht, dass diese mit der Infrastruktur des den Auftrag vergebenden Unternehmen kompatibel ist.

Cloud-Dienste für Datensicherheit verantwortlich?

Unternehmen – Auftraggeber wie Zulieferer – brauchen vor allem eines: eine sicheren Dienstleister, über den sie mit ihren Geschäftspartnern und Kunden vertrauliche Dateien, Dokumente wie Angebote, Verträge, Geschäftsunterlagen, Pläne oder Ähnliches zum Beispiel austauschen zu können. Intern mag diese Möglichkeit bei vielen gegeben sein. Doch, wenn der Datenaustausch die Firmengrenzen überschreitet, dann eröffnen sich eben Sicherheitslücken, die Cyberkriminelle eine Angriffsfläche bieten. Am Extrembeispiel eMail zeigt sich dies deutlich: Heute weiß man, dass sie für vertrauliche Informationen und Dateien keine sichere Option sind, da:

  • Inhalte und Anhänge während des Transfers abgefangen werden können,
  • Unternehmen geltende Datenschutzgesetze verletzten, wenn sie Dienste mit im Ausland befindlichen Servern nutzen,
  • eMail-Provider Einsicht in alle eMails haben,
  • Webanalysefirmen und andere Interessenten Profile aus den Inhalten der eMails erstellen.

Trotzdem nutzen Zulieferer diese Methode oft noch immer, besonders die kleinen. Mit der Ende-zu-Ende-Verschlüsselung, die eMail-Dienste mittlerweile verstärkt anbieten, wird eines deutlich: Cloud-Dienste könnten einfacher und effizienter dafür sorgen, dass die Datensicherheit auch bei Public Clouds gewährleistet bleibt, als Zulieferer.

Verantwortungsbewusste Dienste gesucht

Unternehmer wie Zulieferer brauchen ein Instrumentarium, um genau solche verantwortungsbewussten Dienste ausfindig zu machen. Denn es gibt sie – gerade in Deutschland. Ein Zertifikat, das von unabhängigen Prüfstellen ausgestellt wird, kann bei der Entscheidung helfen, den richtigen Dienst zu finden. Mit dem Trusted Cloud Datenschutzprofil (TCDP) hat das Bundeswirtschaftsministerium einen ersten Schritt gesetzt. Der nächste, nämlich die tatsächliche Zertifizierung von Diensten, wird 2016 umgesetzt. Währenddessen findet sich hier ein guter Überblick zu Fragen, die ein Unternehmen stellen sollte, wenn es einen sicheren Dienst beauftragen will.