Schutz der Lieferketten

Wie widerstandsfähig ist die Lieferkette?

Wie widerstandsfähig ist die Lieferkette?

Von Frank Schmaering, Senior Solutions Engineer bei Saviynt

Globale Lieferketten stehen vor neuen Herausforderungen. Doch nicht nur Rohstoffknappheit, Handelsbeschränkungen und Covid-Folgen sorgen für Unterbrechungen der Lieferkette und Produktionsausfällen. Sicherheitsvorfälle und Cyberbedrohungen nehmen zu und erfordern gerade vor dem Hintergrund der immer komplexer werdenden Supply-Chain-Ökosysteme ein ganzheitliches Lieferantenrisikomanagement. Zudem tritt ab dem 17. Oktober 2024 die NIS2-Richtlinie in Kraft, so dass fast alle Unternehmen sich neben BCM, ISMS und weiteren Themen auch mit der Lieferkettenabsicherung auseinandersetzen müssen.

Die globalen Lieferketten sind im Umbruch. Denn viele Unternehmen haben längst erkannt, dass Agilität und Resilienz zunehmend wichtiger werden – zum einen, um auf unvorhersehbare Ereignisse schneller und besser reagieren zu können; zum anderen, um sich vor Angriffen von außen schützen zu können. Transparenz spielt hier eine Schlüsselrolle. Denn wie eine Umfrage des ifo-Instituts zeigt, haben sich 65 Prozent der Unternehmen auf die Suche nach neuen Lieferanten gemacht; 68 Prozent vergrößerten ihre Lager. Das Problem: Mit der zunehmenden Komplexität der Lieferketten wird es immer schwieriger, den Überblick über alle Akteure und Aktivitäten zu behalten. Alleine die Identifikation und Konsolidierung der Beziehungen zu Dritten stellt für viele Anbieter ein Problem dar.

Wie eine aktuelle Studie von PwC zeigt, überprüfen und verifizieren nur 38 Prozent der deutschen Unternehmen die Sicherheitslage und Compliance von Drittanbietern oder Lieferanten. Der Verdacht liegt nahe, dass Firmen sich zu stark auf Ihre Lieferanten verlassen. Vor dem Hintergrund einer besonders angespannten Cybersicherheitslage hat dies zur Folge, dass Unternehmen jetzt unbedingt auf kritische Identitätskontrollen setzen müssen: Welcher Nutzer hat worauf Griff? Wie hat er diesen erhalten und wie lange benötigt er ihn? Wer hat den Zugriff genehmigt? Welche Aktivitäten gingen währenddessen von diesem Nutzer aus? Die Antworten auf diese Fragen zu kennen und diese den IT-Sicherheitsverantwortlichen zur Verfügung stellen zu können, ist nicht nur wichtig für die Reputation und das Verhältnis zu den Kunden. Viele Unternehmensanwendungen unterliegen gesetzlichen Vorschriften.

Optimierung der Kontrollen bei gleichzeitiger Vereinfachung des Lieferantenzugriffs

Neben der Beantwortung der Fragen gilt es außerdem sicherzustellen, dass die Kontrollen auch tatsächlich vorhanden sind – und zwar ohne, dass es zu Reibungsverlusten in der Lieferkette und bei den Lieferantenbeziehungen kommt. Machen es Unternehmen Dritten schwer, mit ihnen Geschäfte zu machen, wird es im Umkehrschluss auch immer schwerer, zuverlässige Lieferanten im Netzwerk zu halten.

Das sind Faktoren, die sich bei der Einführung von Kontrollen im Rahmen der Lieferantenmanagementprozesse bewährt haben:

Onboarding neuer Anbieter und Nutzer

Bevor Dritte mit Unternehmen Geschäftsbeziehungen eingehen können, müssen diese und deren Nutzer in das Firmennetzwerk eingebunden werden, dass sie Zugang zu den nötigen Ressourcen erhalten. In der Regel wurden diese Prozesse manuell gesteuert, was jedoch Tage oder gar Wochen in Anspruch nahm und wenig effizient war. Heute haben Unternehmen die Möglichkeit, ihren Lieferanten ein Registrierungsportal zur Verfügung zu stellen, mit dessen Hilfe diese schnell ein Profil erstellen und pflegen können. Neue Nutzer lassen sich unkompliziert und schnell hinzufügen oder entfernen. Auf diese Weise behalten Unternehmen stets den Überblick über die Lieferantenbeziehungen und aktiven Nutzer.

Delegierte Verwaltung und Zugriffsanfragen

Sind die Identitäten beim Unternehmen registriert, geht es darum, den Nutzern Funktionen bereitzustellen, die das Zurücksetzen von Kennwörtern und Nutzer-IDs ermöglichen und es erlauben, den Zugang zu Systemen zu beantragen. So benötigen Lieferanten beispielsweise Zugang zum Bestellsystem, um zu wissen, wie viele Produkte wohin geliefert werden müssen. Jedoch wäre es ungünstig, wenn die internen Mitarbeiter eines Unternehmens die Nutzer des Lieferanten in verschiedenen Systemen anlegen und verwalten. Daher müssen gute Self-Service- und delegierte Verwaltungsfunktionen bereitgestellt werden. Der Prozess zur Beantragung von Zugriffsrechten sollte einfach, intuitiv und leicht zu navigieren sein – nicht zuletzt, um Reibungsverluste zu mindern und den gesamten Prozess zu verschlanken. Die Ernennung eines Delegated Admins, insbesondere bei Anbietern mit einem großen Mitarbeiterstab, erleichtert es, den Zugriff auf wichtige Systeme zu rationalisieren und die Kosten für die Verwaltung der Beziehung zu Drittanbietern zu senken.

Genehmigungen und manuelle Kontrollen

Mit der Bereitstellung von Delegated Admins, insbesondere außerhalb des eigenen Unternehmens, müssen bessere Kontrollen in die neuen Prozesse eingeführt werden. Dafür braucht es kein Heer von Mitarbeitern. Durch die Einführung von ein- oder mehrstufigen Genehmigungsverfahren sind nur wenige Personen vonnöten, um die endgültige Entscheidung darüber zu treffen, wer Zugang zu wichtigen Anwendungen und sensiblen Daten erhält. Werden die Dienste außerdem integriert, können zusätzliche Prüfpfade geschaffen werden.

Rollen und Analysen

Wenn ein Unternehmen Berechtigungen in Rollen abbilden kann, vereinfacht dies den Prozess der Zugriffsanforderungen und der Zugriffsüberprüfung erheblich. Doch wie lassen sich Rollen effektiv einsetzen?

  1. Die Verwendung einer Rollenmodellierungslösung ermöglicht es, eine Bottom-up-Modellierung der Anwendung und eine Top-down-Modellierung der Organisation durchzuführen. Im Ergebnis gibt es nur eine minimale Anzahl an Rollen, die 80 bis 90 Prozent der Zugriffsberechtigungen abdecken, sodass nur der Rest als Ausnahme behandelt wird.
  2. Eine regelmäßige Überprüfung der Rollenzusammensetzung und -verantwortung stellt sicher, dass die Rollen weiterhin dem aktuellen Stand entsprechen.
  3. Echtzeit-Analysen zur Bewertung von Zugriff und Ausnahmen dienen dazu, neue Rollen vorschlagen zu können, wenn sich Anforderungen oder Umstände ändern. Darüber hinaus können Analysen sicherstellen, dass bestehende Rollen keine unbeabsichtigten SoD (Segregation of Duties)-Verstöße verursachen – insbesondere in Verbindung mit Ad-hoc-Zugriffsanfragen.

Zugriffsüberprüfung und Anwendungssteuerung

Ebenso wie Unternehmen den Zugriff ihrer eigenen Mitarbeiter überprüfen, gilt es auch, den der Lieferanten und Partner zu kontrollieren – insbesondere dann, wenn sie mit Systemen in Berührung kommen, die Vorschriften unterliegen. Je nach Größe oder Anzahl der Anbieter, die Zugriff auf Unternehmensanwendungen haben, kann der erste Schritt im Prüfungsprozess in der Verantwortung des Delegated Admins liegen. Gibt man dem Anbieter die Möglichkeit, diese Prüfung selbst durchzuführen, kann sich das Risiko verringern, dass ein Nutzer aus seinem Unternehmen eine Gefahr für das Partnerunternehmen darstellt. Die letzte Kontrollinstanz ist jedoch immer das Unternehmen selbst. Zugriffsüberprüfungen können das „Wer“ und das „Was“ bestimmen und sogar dabei helfen, SOD-Verstöße festzustellen, aber sie müssen auch mit SIEMs und UEBA-Lösungen verknüpft werden, um ein besseres Verständnis dafür zu erlangen, ob der Zugriff ausreichend genutzt wird, um ihn zu rechtfertigen, und ob dieser Zugriff, sofern er genutzt wird, in Übereinstimmung mit sicherem und erwartetem Verhalten erfolgt. Ein weiterer wichtiger Punkt ist die Behebung von Mängeln – wenn bei der Zugriffsüberprüfung festgestellt wird, dass der Zugriff eines Anbieters nicht mehr benötigt wird oder nicht mehr erwünscht ist, sollte der Prozess nach Möglichkeit eine automatisierte Behebung des Zugriffs vorsehen, um den Kreislauf zu schließen und zu verhindern, dass manuelle Verwaltungsfehler ein Risiko für das Unternehmen oder den Anbieter darstellen.

Zugriffsentzug und Offboarding

Schließlich kann der Zeitpunkt kommen, an dem entweder Mitarbeiter eines Anbieters die Abteilung wechseln, den Anbieter ganz verlassen oder die Beziehung zu einem bestimmten Anbieter beendet wird. Der rechtzeitige Entzug des Zugriffs für diese Benutzer ist von entscheidender Bedeutung. Dies kann auf verschiedene Weise gehandhabt werden: In der Regel entfernt der beauftragte Administrator des Anbieters den Zugriff für den Benutzer oder ändern ihn. Der Anbieter kann jedoch auch eine Anfrage an ein Helpdesk-Ticketing-System senden, um die Änderungsanfrage zu initiieren, insbesondere bei manuell verwalteten Systemen. Weniger erfreulich ist es, wenn der Mitarbeiterwechsel während des Governance-Prozesses einer regelmäßigen Zugriffsüberprüfung entdeckt wird.

Fazit

Unternehmen, die sich diese Best Practices zu Herzen nehmen, profitieren von den finanziellen Vorteilen guter Lieferantenbeziehungen, weniger Reibungsverlusten im Lieferantenmanagement und geringeren wirtschaftlichen Kosten ihrer Lieferkette. Am wichtigsten jedoch ist, dass sie ihre unternehmerischen Ziele erreichen – die Einhaltung von Vorschriften und den Schutz ihrer Marke, was die Kundenbindung sichert.