Bericht zur Cyber-Resilienz 2023

Das ist Artikel Teil 3 von 14 In diesem Bericht.

August 01, 2023 / 3 Lesezeit in Minuten

Cyber-Angriffe auf Lieferketten haben weitreichende Auswirkungen

Eine der größten Herausforderungen bei der Bewältigung von Cyber-Angriffen in den heutigen Lieferketten besteht darin, das Bedrohungsprofil und die grundlegenden Kontrollen im gesamten Unternehmen zu verstehen.

Wesentliche Erkenntnisse

  1. Die Kunden meldeten insgesamt nur eine geringfügige Verbesserung beim Risikomanagement von Dritten.
  2. Keine Branche hat bisher einen ausgereiften, systematischen Ansatz für das Management von Drittrisiken entwickelt.
  3. Nur 46 Prozent der Kunden gaben an, dass für den Fernzugriff Dritter auf die Betriebstechnologie eine Multi-Faktor-Authentifizierung (MFA) erforderlich ist.

Bei der digitalen Transformation nach der Pandemie hat man auf die Digitalisierung aller vor- und nachgelagerter Lieferketten sämtlicher Unternehmen gesetzt. Die Probleme in der Lieferkette von Mikrochips in Verbindung mit dem Auftauchen zahlreicher Schadprogramme scheinen einen perfekten Sturm ausgelöst zu haben.1

Die globalen Lieferketten in sämtlichen Branchen stehen vor der Herausforderung eines dynamischen und unberechenbaren Umfelds. Anhaltende geopolitische Unsicherheiten in Verbindung mit neuen internationalen Vorschriften und Sanktionen erhöhen das Risiko von Strafen und Lieferkettenunterbrechungen.2 Cyber-Risiken, insbesondere Dritt- und Viertparteirisiken, tragen zu dieser Komplexität erheblich bei. Während sich die Sichtbarkeit und Zuverlässigkeit von Lieferketten durch die digitale Vernetzung erheblich verbessert, verstärken sich auch die Bedrohungselemente durch die daraus resultierende erweiterte Angriffsfläche. Eine der größten Herausforderungen bei der Bewältigung von Cyber-Angriffen in den heutigen Lieferketten besteht darin, das Bedrohungsprofil und die grundlegenden Kontrollen im gesamten Unternehmen zu verstehen.

Die Auswirkungen eines Angriffs auf die Lieferkette können weitreichend sein. Bei potenziell Tausenden von Zulieferern kann bereits ein Ereignis in der Lieferkette zu unterschiedlichen Folgen führen, die über eine Betriebsunterbrechung hinausgehen. Risiken für die Sicherheit von Menschen sind eine zentrale Sorge. Ein Erstausrüster (OEM) im Automobilbereich, der auch extern beschaffte OEM-Geräte einsetzt, produziert z. B. vernetzte Autos, die dann gehackt werden können. Hinzu kommen die politischen Risiken, denen in geopolitisch unbeständigen Regionen ansässige Anbieter ausgesetzt sind, oder neuartige Risiken, die von Anbietern ausgehen, die in einem schwierigeren rechtlichen Rahmen tätig sind. Die Komplexität und die potenziellen Auswirkungen dieser Angriffe auf Lieferketten unterstreichen die Notwendigkeit eines effektiven Risikomanagements und machen eines unbestreitbar deutlich: Eine umfassende Übersicht über und ein Verständnis für durch Dritte bedingte Risiken sind ausschlaggebend.

Die CyQu-Ergebnisse von Aon liefern bereits gute Erkenntnisse zu dieser Fragestellung. Das haben die Kunden von Aon berichtet.

Aon CyQu-Ergebnisse: Aon Kundenbericht

Bei genauerer Betrachtung der CyQu-Ergebnisse stellt man fest, dass die Kunden über alle Branchen hinweg nur geringfügige Verbesserungen im Risikomanagement von Dritten meldeten, mit einem globalen Durchschnitts-Scorewert von 2,2 im Jahr 2022. Zum Vergleich: Ein Scorewert von 2,2 steht für einen geringen Reifegrad beim Third Party Management, was darauf hindeutet, dass die meisten Unternehmen erst kürzlich mit der Einführung robuster Risikomanagementverfahren begonnen haben. Dies wird umso mehr noch durch die Tatsache unterstrichen, dass der Bereich „Dritte“ von allen neun bewerteten Bereichen den niedrigsten CyQu-Scorewert erhielt. Vor allem hat bisher noch keine Branche einen ausgereiften, systematischen Ansatz für das Management von Drittrisiken entwickelt. Angesichts dieser Ergebnisse erkennt man die großen Herausforderungen seitens der Unternehmen bei der Bewältigung von Lieferkettenrisiken und den dringenden Bedarf an umfassenderen und wirksameren Risikomanagementstrategien. Dieses Ergebnis ist nicht überraschend. Das auf breiter Ebene durch Anbieter eingebrachte Risiko zu verstehen, ist eine echte Herausforderung, und weil die Technologie-Bereiche eines Unternehmens immer enger miteinander verknüpft sind, erhöht sich das Risiko durch Dritte exponentiell.

Bei einer Betrachtung nach Branchen konnte die Bau- und Fertigungsindustrie ihr Gesamtrisikoprofil durch Dritte von „initial“ auf „basic“ verbessern. Das Baugewerbe meldete jedoch nur eine „initial“ Risikoreife bei der Due-Diligence-Prüfung von Dritten, eine „basic“ Risikoreife beim Vertragsmanagement und eine „managed“ Risikoreife beim Third Party Bestandsmanagement.

CyQu-Risiko-Scorewerte für den Bereich Drittparteien

Branche 2020 2022 Veränderung
Fertigung
1.8
2.0
+0.2
Sonstige Branchen*
1.9
2.1
+0.2
Sonstige Dienstleistungen**
2.0
2.2
+0.2
Informationen, Software und Technologie
2.3
2.5
+0.2
Finanz- und Versicherungswesen
2.3
2.5
+0.2
Gesundheitswesen und Sozialhilfe
2.1
2.3
+0.2
Fachspezifische, wissenschaftliche und technische Dienstleistungen
2.1
2.5
+0.4
Einzelhandel
2.0
2.2
+0.2
Transport und Lagerhaltung
1.8
1.9
+0.1
Bau
1.7
2.0
+0.3
Bildungsdienste
2.1
2.1
+0.0
Immobilien, Vermietung und Verpachtung
2.1
2.3
+0.2

CyQu-Risiko-Reifegrad-Scoring

Initial: 1.0 - 1.9

Basic: 2.0 - 2.5

Managed: 2.6 - 3.4

Advanced: 3.5 - 4.0

* Die Kategorie „Sonstige Branchen“ umfasst Antworten von Kunden aus den folgenden Branchen: Hotel- und Gaststättengewerbe, Landwirtschaft, Kunst, Unterhaltung und Freizeit, Management von Unternehmen und Gesellschaften, öffentliche Verwaltung, Versorgungsleistungen, Abfallwirtschaft und Sanierung sowie Verwaltung und Unterstützung, Großhandel.

** Die Kategorie “Sonstige Dienstleistungen” wurde vom Kunden selbst gewählt.

Bei den fachspezifischen Dienstleistern hat sich das Risikoprofil in denselben Kategorien verbessert. Mit einem Scorewert von 2,5 für fachspezifische Dienstleistungen liegt die Branche gleichauf mit der Finanz- und Versicherungsbranche sowie mit der Informationssoftware- und -IT-Branche, deren Sicherheitsentscheidungen durch das regulatorische Umfeld stark reglementiert sind und traditionell am meisten von Risiken durch Dritte bedroht sind.

Laut den ergänzenden Daten im Bereich der operativen Technologie haben 54 Prozent der Kunden keine Multi-Faktor-Authentifizierung (MFA) für den Fernzugriff durch Dritte auf die Betriebstechnologie implementiert, wodurch sich das Risiko von Netzwerkangriffen erhöht.

Referenzen

1 „Die Voraussetzungen für einen bislang noch nie dagewesenen Cyber-Angriff sind gegeben.” Aon. Artikel. Oktober 2022. Die Voraussetzungen für einen bislang noch nie dagewesenen Cyber-Angriff sind gegeben. | Aon

2 „Drei internationale Vorschriften, die sich im Jahr 2023 auf die US-Lieferketten auswirken werden.“ Lamba, John. Artikel. Forbes. 9. März 2023. Abgerufen von https://www.forbes.com


Versicherungsprodukte und -dienstleistungen werden angeboten von: Aon Risk Insurance Services West, Inc, Aon Risk Services Central, Inc, Aon Risk Services Northeast, Inc, Aon Risk Services Southwest, Inc, und Aon Risk Services, Inc. in Florida sowie deren lizenzierten Tochtergesellschaften.

Die hierin enthaltenen Informationen und Aussagen sind allgemeiner Natur und beziehen sich daher nicht auf die Umstände einzelner Personen oder Rechtsträger. Obwohl wir uns bemühen, genaue und aktuelle Informationen zu liefern und diese aus Quellen beziehen, die unseres Erachtens verlässlich sind, besteht keine Gewähr dafür, dass die Informationen zum Zeitpunkt der Kenntnisnahme korrekt sind und es bleiben werden. Die genannten Informationen sollten nicht ohne eingehende Prüfung der jeweiligen Sachlage und eine vorherige professionelle Beratung als Entscheidungs- oder Handlungsgrundlage dienen.

Cyber-
Management in sechs vorgestellten Risikobereichen

Der diesjährige Bericht dient als Leitfaden für Führungskräfte, um den Risikoreifegrad ihres Unternehmens mit dem anderer Unternehmen vergleichen zu können und um bessere Entscheidungen für den Umgang mit Cyber-Risiken in den sechs vorgestellten Risikobereichen zu treffen: Cyber-Risiken, betriebliche Risiken, Lieferkettenrisiken, Insiderrisiken, Reputationsrisiken und systemische Risiken.