Die zunehmende Digitalisierung und Vernetzung macht Lieferketten anfällig und gleichzeitig zu einem attraktiven Ziel für Cyber-Angriffe. Die sogenannten „Supply-Chain- oder Lieferkettenangriffe“ zielen nicht direkt auf das eigene Unternehmen, sondern auf dessen Partner, Dienstleister oder IT-Provider ab. So kann ein einziger kompromittierter Drittanbieter als Einfallstor dienen und weitreichende Schäden verursachen, die auch eine Vielzahl von Unternehmen gleichzeitig treffen können. Besonders anfällig sind dabei externe IT-Provider. Die Schadenszenarien reichen von Datenverlust über Betriebsunterbruch bis hin zu Reputationsschäden.

BACS, BSI und ENISA warnen vor Supply-Chain-Attacken

Das Schweizerische Bundesamt für Cybersicherheit (BACS) warnt, dass sich Cyber-Kriminellen entlang der Lieferkette „jede Menge“ Angriffsvektoren bieten, um in eine Organisation einzudringen. Das BACS hat daher in Kooperation mit einem Unternehmen ein Pilotprojekt initiiert, das einen übersichtlichen Prozess für Schutzmassnahmen gegen Cyberangriffe entlang der Lieferkette aufzeigt. Dies ermöglicht ein risikobasiertes Vorgehen und schafft Transparenz über kritische Schnittstellen.

Mit neuen Vorschriften wie der NIS2-Richtlinie und dem Cyber Resilience Act der EU müssen Unternehmen nun verstärkt Compliance-Anforderungen im Bereich der Cyber-Sicherheit nachweisen. Ziel der ENISA (European Union Agency for Cybersecurity) ist es, die Resilienz gegenüber Cyber-Bedrohungen zu stärken, Schadsoftware und kompromittierte Hardware zu vermeiden, sensible Daten zu schützen und Vertrauen in Produkte und Anbieter zu sichern.

Cyber-Resilienz als Gratwanderung zwischen Kosten, Aufwand und Know-How

Manuel Metz, Cyber Manager Europe beim Spezialversicherer W. R. Berkley Europe, kennt die Schwierigkeiten, mit denen Unternehmen beim Thema Cyber-Sicherheit zu kämpfen haben: „Gerade für KMUs gilt es, hier die richtige Balance zu finden – einerseits bezahlbarer und verhältnismässiger Aufwand, andererseits robuste und nachhaltige Abwehrmassnahmen gegen Bedrohungen der Supply Chain.“

Ein wirksames Risikomanagement muss dabei mehrere Ebenen der Zulieferer erfassen und die gesamte Lieferkette umfassen, nicht nur jene mit Bezug zu Technologiedienstleistern. Gemäss Manuel Metz eignen sich hierzu unter anderem folgende Fragestellungen, die je nach Art und Kritikalität der Lieferkette angepasst werden müssen:

  • Identifizierung der eigenen Lieferkette und das Cyber-Risiko
  • Bewertung der eigenen Lieferkette nach Kritikalität und Schutzmassnahmen
  • Gespräch mit dem Partner und Entwicklung eines Assessments
  • Durchführung eines Risk-Assessment
  • Auswertung des Risk-Assessments sowie Festlegung von Massnahmen
  • Überprüfung und ggf. Anpassung der Verträge
  • Kontinuierliche Überprüfung der Lieferkette

Ali Avci, Underwriter Cyber bei Berkley Schweiz ergänzt: „Die Wirksamkeit der unter diesen Gesichtspunkten getroffenen Massnahmen muss regelmässig geprüft und durch Audits sowie Krisenübungen abgesichert werden. Es sollten auch Alternativen bei einer Störung der Lieferkette geprüft werden“.

Fazit: Prävention und Absicherung sind essenziell

Eine Cyber-Versicherung ist bei sogenannten IT-Lieferketten von zentraler Bedeutung, um sich gegen Auswirkungen von Cyber-Angriffen innerhalb der Lieferkette zu wappnen – denn sie haben das Potenzial, die Existenz des Unternehmens zu bedrohen. Gleichzeitig ersetzt eine Versicherung keine Prävention: ein risikobasiertes Lieferketten-Management mit klaren Mindeststandards, vertraglich verankerten Anforderungen, wiederkehrenden Tests und geübten Eskalationswegen. Nur wer die kritischen Schnittstellen seines Unternehmens kennt, die Wirksamkeit von Abwehrmassnahmen prüft und Rest¬risiken absichert, senkt Ausfallrisiken und Schäden.