In einer Welt der Just-in-Time-Produktion hängt alles an der Zuverlässigkeit der Lieferketten. Doch die vermeintliche Effizienz dieser Systeme kann sich als Achillesferse entpuppen, besonders wenn die IT-Sicherheit nicht Schritt hält. Warum das Thema Identitätssicherheit mehr Aufmerksamkeit in der strategischen Planung der Unternehmen verdienen muss.
Ein Gastbeitrag von Klaus Hild, Lead Identity Strategist bei SailPoint
Viele Lieferketten, gerade in der Produktion, funktionieren nach dem Just-in-Time-Prinzip. Das heißt: Die Ware trifft erst ein, wenn sie auch benötigt wird. So können Unternehmen erhebliche Lagerkosten sparen – sind jedoch auf eine perfekt funktionierende Supply Chain angewiesen. Eine Störung entlang der Lieferkette löst einen Dominoeffekt aus, der bis zum Konsumenten spürbar sein kann. Ein berühmtes Beispiel dafür waren 2021 die Containerstaus, ausgelöst durch die Blockade des Suez-Kanals.
Doch nicht nur Störungen auf dem Transportweg können die Lieferkette negativ beeinflussen. Auch die IT-Sicherheit spielt eine entscheidende Rolle für die Minimierung von Risiken in der Supply Chain. Denn wird ein Unternehmen durch einen Cyberangriff lahmgelegt, leiden alle darunter – noch schlimmer: Oft nutzen Hacker weniger geschützte Unternehmen als Einfallstor, um darüber in die Systeme größerer Unternehmen zu gelangen.
Identitätsbasierte Angriffe als besonderes Risiko
Mittlerweile sind Angriffe auf die Lieferkette ein großes Risiko für Unternehmen. In den USA nennt beispielsweise das Identity Theft Resource Center Supply-Chain-Angriffe – neben Cyberattacken und System- bzw. menschlichen Fehlern – als einen der häufigsten Angriffswege von Hackern, um an relevante Daten zu kommen. Dieses Risiko hat auch die Europäische Union erkannt und bringt mit der neuen NIS2-Richtlinie die Themen Cybersecurity und Lieferkette miteinander in Verbindung. Das Gesetz fordert die „Sicherheit der Lieferkette einschließlich sicherheitsbezogener Aspekte der Beziehungen zwischen den einzelnen Einrichtungen und ihren unmittelbaren Anbietern oder Diensteanbieter“ (Art. 21 Abs. 2 Satz 1d NIS2-Richtlinie).
Einen großen Teil hierbei nimmt das Thema Identity Security. Dabei handelt es sich um einen Ansatz aus der Informationssicherheit, der sicherstellt, dass nur autorisierte Personen Zugriff auf bestimmte Ressourcen zu bestimmten Zeiten haben.
Eine Identität definiert, wer ein (menschlicher oder nicht-menschlicher) Nutzer ist, sowie was seine berufliche Rolle und ihre Beziehung zum Unternehmen ist. Einer Identität werden dann dementsprechend Berechtigungen zugewiesen. Sie erhält etwa Zugang zu Unternehmensanwendungen und -daten, die für die Nutzung der jeweiligen Rolle autorisiert sind. Dabei bezieht sich der Begriff Identitäten per definitionem auf alle Identitäten im Unternehmen – egal ob Angestellte, Nicht-Mitarbeiter-Identitäten, Geräte oder Bots.
Für die von NIS2 betroffenen Unternehmen heißt das, dass sie nicht nur die Risiken in den eigenen Reihen minimieren, sondern auch Drittparteien in ihre Sicherheitsstrategien einbeziehen müssen. Denn auch diese haben Zugriff auf die Systeme der kritischen Unternehmen – weil sie Partner, Zulieferer oder Dienstleister sind. Damit die Anforderungen von NIS2 auch umgesetzt werden können, müssen Unternehmen zu jeder Zeit wissen, wer Zugriff auf ihre Systeme hat und ob diese Berechtigungen noch aktuell sind oder entzogen werden müssen.
Erfolgreiche Identity Security unterstützt Konzepte wie Least Privilege und Zero Trust. Die Prinzipien folgen der These, dass grundsätzlich lieber zu wenige Berechtigungen erteilt werden, als zu viele und keiner Identität „blind“ vertraut wird.
Dass Identity Security für die Konformität von NIS2 ein wichtiger Baustein ist, hat auch die EU erkannt und referenziert in der Richtlinie teilweise direkt auf Identity Security oder indirekt im Rahmen von Best Practices.
Non Employee Risk Management
Lieferketten werden immer komplexer und erfordern eine enge Kooperation der Unternehmen entlang der gesamten Supply Chain. Damit einhergehend steigt auch die Zahl der externen Identitäten, die sich in den Systemen eines Unternehmens aufhalten. Um auch hier das Risiko von identitätsbasierten Cyberangriffen zu minimieren, müssen diese externen Identitäten auch entsprechend verwaltet werden. Das Stichwort hierfür lautet Non Employee Risk Management.
Wie kann das konkret aussehen? Eine regelmäßige Überprüfung und Bereinigung sorgen dafür, dass nur aktive Identitäten Zugang auf bestimmte Systeme haben. Durch die permanente Überprüfung, über welche Rollen und Entitlements (Berechtigungen) eine Identität verfügt, lässt sich sicherstellen, dass nur diejenigen Identitäten Zugriff auf Ressourcen haben, die beispielsweise nach Jobtitel dazu berechtigt sind und davon profitieren. Wechseln etwa Mitarbeiter in eine neue Rolle, müssen auch die jeweiligen Berechtigungen automatisch angepasst werden.
Für die Sicherheit des Unternehmens ist es wichtig, genau zu verstehen und zu definieren, wer die Dritten im Unternehmen sind: Was sind ihre Identifikatoren? In welcher Beziehung stehen sie zum Unternehmen? Welche Funktion üben sie aus? Wer ist für ihre Betreuung verantwortlich?
Mit zunehmender Zahl an externen Identitäten steigt auch der Arbeitsaufwand der zuständigen Abteilungen erheblich, wenn es um die Frage nach den benötigten Berechtigungen und Zugängen geht. Dass bei der manuellen Pflege der externen Identitäten mal etwas unter den Tisch fällt, ist nur eine Frage des Wann und nicht des Ob. Die Implementierung von KI-basierten Lösungen ist daher für die effiziente Verwaltung der Identitäten unumgänglich. Entsprechende Lösungen unterstützen die Automatisierung und Rationalisierung von Identitäts- und Entscheidungsfindungsprozessen – beispielsweise bei Zugriffsanfragen, Rollenmodellierung und Zugriffszertifizierung. Zudem gewähren sie jeder Identität nur die Zugänge, die zur Erfüllung ihrer Aufgabe erforderlich sind. Verdächtiges Verhalten lässt sich dadurch sofort erkennen.
Lieferkette und Cybersecurity
Nicht nur NIS2 setzt sich mit den externen Identitäten in Unternehmen und entlang der gesamten Lieferkette auseinander – auch das deutsche Lieferkettensorgfaltspflichtengesetz hat die Relevanz des Themas erkannt. Unternehmen mit mehr als 3.000 Beschäftigten müssen in Deutschland seit Beginn des Jahres nicht nur den eigenen Geschäftsbereich auf Risiken zu Menschenrechtsverletzungen überprüfen; die Sorgfaltspflicht dehnt sich auch auf alle unmittelbaren Zulieferer aus. Für mittelbare Zulieferer, also diejenigen, mit denen keine direkte Geschäftsbeziehung besteht, greift eine anlassbezogene Sorgfaltspflicht. Folglich müssen Unternehmen hier erst bei triftigen Hinweisen auf mögliche Menschenrechtsverletzungen in der Lieferkette aktiv werden. Zudem fordert das Gesetz ein präventives Risikomanagement, das potenzielle Risiken entlang der Lieferkette erkennt und flaggt. Hier kommt das Thema IT-Sicherheit wieder ins Spiel.
Die Gesetzgebung – sowohl auf EU als auch auf Bundesebene – reagiert damit auf die wachsende Bedrohung der Lieferkette, die durch eine globalisierte Welt immer vernetzter und komplexer wird. Damit Unternehmen nicht nur mit der Gesetzgebung konform sind, sondern auch das eigene Risiko senken, müssen sie ihre Sicherheitsstrategie auf mehrere Ebenen auslegen und nicht nur die eigenen Beschäftigten mitdenken, sondern auch alle Drittparteien, die Zugriff auf ihre Systeme haben. (ah)
