teissTalk: Cybersicherheit in der Lieferkette - Wem kann man trauen und wie ist zu prüfen?

Steffen Frankl erzählt: „Ich würde gerne in die Vergangenheit zurückgehen, Ende 2021, Anfang 2022. Da kam Log4J, da war der Punkt, wo die Stabilität der Lieferketten wie im Brennglas sichtbar wurden. Wie weißt du, dass du einen guten Lieferanten hast? Das ist so ein bisschen, wie du weißt, dass du gute Freunde hast. Woher weißt du, dass du gute Freunde hast? Zum Beispiel, wenn du einen Umzug planst, dann machst du eine WhatsApp-Gruppe auf und frägst, wer kommt denn und hilft mir? Die guten Freunde melden sich gleich und die sehr guten kommen dann auch wirklich zum Umzug und helfen. So sehe ich das auch bei den technischen Dienstleistern. Die "guten" haben sich dann auch gleich gemeldet und haben geliefert. Zum Beispiel Siemens, als Fahrzeughersteller ein großer Zulieferer, hat sich sofort gemeldet. Negativ waren zwei Firmen, die wollten Geld haben für den Patch.

 

Christine Deger fragt nach, ob sie gut durchgekommensind.

 

Steffen Frankl: „Wir haben viele Angriffe gesehen, wir konnten auch am Internet-Perimeter sehen, wie immer wieder versucht wurde, bestimmte Zeichenfolgen abzuschießen, es gelangen aber keine Angriffe. Wir mussten ein paar Notabschaltungen vornehmen bei Anwendungen, die wir nicht schnell patchen konnten, da war uns die Datensicherheit erst einmal wichtiger als die Verfügbarkeit, aber im Großen und Ganzen ist es sehr glimpflich verlaufen.“

 

Michael Deckert: „Es freut uns, wenn das gut ankommt, denn wir sind in der Regel immer in einer Doppelrolle. Wir haben viele Kunden, die dringend eine Info brauchen, wo wir uns Gedanken machen, wie wir das sicher liefern können. Aber wir haben auch tausende von Lieferanten, und die wiederum haben auch tausende von Lieferanten, das Ganze ist ja ein riesiges Netzwerk. Und Log4J, ein aktuelles Beispiel, das viele getroffen hat, ist nur eines von vielen Beispielen. Was wir sehen, ist, dass es immer mehr ein Teamsport wird, hier haben alle gleiches Interesse Sicherheit zu gewährleisten, für den Kunden, für sich selbst, für die Lieferanten, bis in die Familie hinein. Vor ein paar Jahren haben wir gemeinsam mit anderen Firmen die Charter of Trust gegründet, um ein paar Themen zur Cybersecurity gemeinsam anzugehen.

 

Christine Deger: „Martin, wie sind deine Erfahrungen mit Lieferanten?“

 

Martin Bodenstein: „Wir betreuen nicht nur Incidents, die vorgefallen sind bei unseren Kunden, wir gehen auch einen Schritt weiter, wir versuchen festzustellen, was ist passiert und wollen alles gerichtsverwertbar aufbereiten, damit der Kunde Regressansprüche stellen kann. Deshalb müssen wir in diese Fälle sehr tief reinschauen. Ich habe festgestellt, dass oft gewisse Basisstrukturen nicht ausreichend geschaffen wurden. Mit Basisstruktur meine ich eine sauberes Lieferantenmanagement. Das fängt damit an, dass man für sich selbst wissen muss, welche Anforderungen möchte ich an meine Lieferanten stellen, welche Risiken gehen damit einher und dieses ganze Wissen soll dann auch in einem Vertragswerk einfließen. Dieses Vertragswerk ist eine Basis, auf der man alles weitere aufbauen kann und in dem viel festgelegt ist. Kommunikation halte ich ebenfalls für essenziell, man muss mit den Lieferanten zusammenarbeiten, sonst stößt man schnell an Grenzen, man verliert Zeit.

 

Christine Deger fragt nach, wie das Vertragswerk die Zusammenarbeit fördern kann.

 

Martin Bodenstein: „Mit dem Vertragswerk schaffe ich die Grundlage, was man darf und was man vorhat. Worauf man Einsicht nehmen darf, z.B. welche Logfiles müssen gesichert werden oder wie müssen die zur Verfügung gestellt werden bei Audits. Vielleicht möchte man bestimmte Prozesse auch gemeinsam entwickeln. Das muss ich vorab definieren, damit ein gemeinsames Verständnis im Raum ist. In der Praxis habe ich oft festgestellt, es gibt einen großen Unterschied zwischen "etwas ist definiert" und "etwas ist dokumentiert".

 

Daniel Hamburg: „Das Beispiel Log4J war aus akademischer Sicht aus zwei Punkten spannend: Einmal das Thema, wie kommuniziert man miteinander, was ist vertraglich geregelt, aber auch aus technischer Sicht spannend, wie integriere ich OpenSource Software in die Softwareentwicklung.“

 

Michael Deckert: „Ein Vertrag wird nicht alles lösen. Der ist wichtig und unterstützend, aber was ich noch viel wichtiger finde, ist eine gelebte Lieferanten- und Kundenbeziehung.“

 

Christine Deger: „Wenn wir große Cloud-Provider anschauen, denen kann ich vertraglich keine Vorgaben machen. Wie kann man das lösen?“

 

Martin Bodenstein: „Das ist in der Tat für viele neu. Ich habe folgenden Tipp: Es ist wichtig sich die Details im Vertrag anzuschauen, die einem wichtig sind. Experten sollten frühzeitig ihr Wissen in den Einkaufsprozess mit einfließen lassen, gerade bei den Cloudanbietern. Es kommt darauf an, welches Lizenzmodell man kauft. Ein günstiges Lizenzmodell liefert leider nicht immer den besten Service, sondern erfüllt nur die Funktion. Man muss unterscheiden, zwischen den Services, die man einkauft, z.B. Cloudspeicher, und Hintergrundservices. Das wird oft nicht berücksichtigt.“

 

Christine Deger: „Man muss sicherlich aufpassen, dass die gelebte Praxis und das, was vereinbart ist, nicht zu sehr auseinanderklafft. Im Krisenfall muss die gelebte Praxis funktionieren und das bringt einem am Ende die Lösung von Problemen.“

 

Steffen Frankl: „Nochmal kurz zu dem Punkt Verträge. Es ist ein bisschen mehr als nur Papier. Sicherheit kostet. Und ein Anbieter wird immer versuchen möglichst viel Gewinn zu machen. Man kann hoffen, dass der Anbieter seine Hausaufgaben im Bereich Sicherheit macht. Wir legen zum Beispiel fest, dass es feste Ansprechpartner gibt, dass ein CISO existiert, ein Auditrecht, damit wir erreichen, dass wir bei allen Lieferanten dasselbe Niveau haben, abhängig vom Schutzbedarf der jeweiligen Anwendung, damit nicht einer, der an der Sicherheit spart, einen finanziellen Vorteil gegenüber einem anderen Lieferanten hat. Es gibt Lieferanten, die sehen sich das ganz genau an und verhandeln jeden einzelnen Punkt, das ist super und es gibt anderen, die unterschreiben alles, da hat man dann so ein komisches Bauchgefühl, haben die das wirklich verstanden und das zeigt sich dann bei solchen Sachen wir Log4J.“

 

Christine Deger: „Wird in den Informatikstudiengängen zum Thema Supply Chain Management bzw. Governance, Risk und Compliance, aber auch verknüpft mit Vendor Management, ausgebildet?“

 

Daniel Hamburg: „Ja, machen wir, Supplier Management ist ja kein ganz neues Thema. Aber die Inhalte sind sicherlich ausbaufähig. Da sind wir wieder bei dem Spagat, den man als Hochschule gehen muss, zwischen den technischen Aspekten, also bilden wir Softwareentwickler aus, oder bilden wir IT-Generalisten aus.“