Zusammenfassung der ENISA „Good practices for supply chain cybersecurity“ (auf deutsch)

Hier ist eine Zusammenfassung auf Deutsch des ENISA-Dokuments „Good Practices for Supply Chain Cybersecurity“ (Juni 2023).

Seiten: 19–21

Maßnahmen zur Umsetzung:

✅ Entwicklung einer Lieferketten-Sicherheitsstrategie

• Erstellen Sie eine Risikoanalyse Ihrer gesamten Lieferkette (S. 19).
• Definieren Sie Sicherheitsziele und -richtlinien für Lieferanten (S. 19).
• Integrieren Sie Cybersicherheit in das gesamte Lieferkettenmanagement (S. 19).

✅ Verankerung der Sicherheitsstrategie in der Unternehmensführung

• Geschäftsleitung regelmäßig über Risiken informieren (S. 20).
• KPIs und regelmäßige Überwachung der Cybersicherheitslage definieren (S. 20).
• Verantwortlichkeiten für CISOs und IT-Teams festlegen (S. 21).

✅ Schaffung eines funktionsübergreifenden Teams

• Einbindung von IT-Sicherheit, Beschaffung, Recht und Unternehmensführung (S. 21).
• Quartalsweise Meetings zur Abstimmung zwischen Abteilungen durchführen (S. 21).

✅ Budgetierung und Ressourcenplanung

• Festlegung klarer Budgets für Cybersicherheit in der Lieferkette (S. 21).
• Investitionen in automatisierte Sicherheitslösungen für Überwachung der Lieferantenbeziehungen (S. 21).

Seiten: 21–23

Maßnahmen zur Umsetzung:

✅ Identifikation und Klassifizierung kritischer Lieferanten

• Risikomatrix erstellen, um Lieferanten nach Kritikalität zu bewerten (S. 21).
• Erfassen, welche Lieferanten Zugriff auf kritische Systeme oder Daten haben (S. 22).

✅ Lieferketten-Risikoanalyse mit standardisierten Methoden

• ISO 31000 und ISO/IEC 27036 als Referenz für Risikomanagement heranziehen (S. 22).
• Regelmäßige Lieferanten-Audits zur Sicherheitsüberprüfung durchführen (S. 23).

✅ Durchführung von „Red Teaming“-Simulationen

• Penetrationstests für kritische IT-Systeme implementieren (S. 23).
• Szenario-basierte Angriffssimulationen durchführen, um Schwachstellen zu identifizieren (S. 23).

✅ Notfallmanagement und Incident Response planen

• Vorfallerkennungs- und Reaktionspläne für Angriffe auf die Lieferkette entwickeln (S. 23).
• Klare Kommunikationswege mit Lieferanten für Cybervorfälle festlegen (S. 23).

✅ Etablierung eines kontinuierlichen Monitorings

• Threat Intelligence Feeds und Frühwarnsysteme nutzen (S. 23).
• Automatisierte Scans zur Erkennung von Schwachstellen implementieren (S. 23).

Seiten: 23–26

Maßnahmen zur Umsetzung:

✅ Etablierung sicherer Vertragsrichtlinien

• Sicherheitsanforderungen in alle Lieferantenverträge integrieren (S. 23).
• ISO/IEC 27001-Zertifizierungen oder vergleichbare Sicherheitsnachweise fordern (S. 24).
• Auditklauseln für Lieferantenverträge definieren (S. 24).

✅ Regelmäßige Sicherheitsüberprüfungen von Lieferanten

• Jährliche Risikoanalysen und Compliance-Überprüfungen implementieren (S. 24).
• Sicherheits-SLAs (Service Level Agreements) einführen (S. 24).

✅ Einführung einer „Zero-Trust“-Strategie für Lieferanten

• Multi-Faktor-Authentifizierung (MFA) für Drittanbieter vorschreiben (S. 25).
• Segmentierung von Netzwerken zur Begrenzung des Schadenspotenzials nutzen (S. 25).

✅ Lieferanten-Sicherheitsbewertungen in Beschaffungsprozesse integrieren

• Automatisierte Plattformen zur Lieferantenbewertung einsetzen (S. 25).
• Bewertungssystem für neue und bestehende Lieferanten basierend auf Sicherheitsstandards implementieren (S. 25).

✅ Durchführung von Lieferantenschulungen

• Jährliche Sicherheitsworkshops für Lieferanten anbieten (S. 26).
• E-Learning-Programme zur Sensibilisierung für Cybersicherheit entwickeln (S. 26).

Seiten: 26–28

Maßnahmen zur Umsetzung:

✅ Implementierung eines Schwachstellen-Management-Prozesses

• Zentrales Dashboard für Schwachstellenmeldungen einrichten (S. 26).
• Standard-Framework für Schwachstellenmanagement (z. B. CVSS) nutzen (S. 27).

✅ Vorgaben für die schnelle Behebung von Schwachstellen

• Patch-Management-Zeitfenster für kritische Sicherheitslücken <30 Tage definieren (S. 27).
• Überwachung der Reaktionszeiten der Lieferanten auf Schwachstellenmeldungen (S. 27).

✅ Erstellung einer Sicherheitsmeldestelle für Vorfälle

• Meldeformular für Lieferanten für Cybervorfälle bereitstellen (S. 28).
• Zentrales Incident-Response-Team für die Lieferkette aufbauen (S. 28).

Seiten: 28–31

Maßnahmen zur Umsetzung:

✅ Definition von Sicherheitsanforderungen für Produkte

• IEC 62443-4-2 für industrielle Steuerungssysteme anwenden (S. 28).
• Verschlüsselung, Zugriffskontrollen und Authentifizierung standardisieren (S. 29).

✅ Regelmäßige Penetrationstests für kritische Produkte

• Externe Sicherheitsüberprüfungen durch unabhängige Experten beauftragen (S. 29).
• Sicherheitsleitlinien für Systemintegratoren entwickeln (S. 29).

✅ Überprüfung von Cloud-Dienstleistern

• EU-Zertifizierungssysteme für Cloud-Sicherheit (z. B. C5, SecNumCloud) nutzen (S. 30).
• DORA-konforme Cybersicherheitsanforderungen für Finanzdienstleister einhalten (S. 30).

✅ Etablierung eines kontinuierlichen Verbesserungsprozesses

• Zugriffsprotokolle und Sicherheitsmetriken zur Bewertung der Lieferanten-Performance erfassen (S. 31).
• Jährliche Cybersicherheitsaudits für alle wichtigen Lieferanten durchführen (S. 31).