Mark Camillo, Head of Cyber and Professional Indemnity, EMEA, und Martin Overton, Cyber Risk Technical Specialist bei AIG

Viele Unternehmen erkennen, dass Risiken in der Supply Chain ein immer größeres Problem darstellen und dass Cyber-Risiken und Supply-Chain-Risiken heute immer stärker zusammenhängen. Für multinationale Unternehmen können Cyber-Risiken in der Supply Chain noch wichtiger sein, da viele von ihnen für Dienstleistungen auf Drittanbieter zurückgreifen. Erleidet dieser Drittanbieter einen Cyber-Angriff, können die Störungen für das multinationale Unternehmen finanzielle Auswirkungen haben oder sogar zum Verlust von Kunden führen.
© 2017 American International Group, Inc.
Alle Rechte vorbehalten.

Cyber-Risiken und deren Auswirkungen auf globale Lieferketten
Ein zusätzliches Risiko ergibt sich, wenn ein Drittanbieter dem Unternehmen Technologien zur Verfügung stellt oder mit den Systemen des Unternehmens verbunden ist, denn so können Cyber-Angriffe über den Anbieter zum Unternehmen gelangen. In der Tat gibt es bereits viele Fälle, in denen die Supply Chain eines Unternehmens über einen Drittanbieter oder einen Geschäftspartner gehackt wurde. Daher sollten sich Unternehmen genau ansehen, mit wem sie bezüglich ihrer Daten eine Verbindung eingehen.  

Im Folgenden erfahren Sie, welche Cyber-Bedrohungen die Supply Chain eines Unternehmens stören könnten und welche Best Practices dabei helfen, dieses Risiko zu bekämpfen.

Diese 3 Cyber-Risiken können die Supply Chain eines Unternehmens stören
  • Manipulation der Hardware: Hinzufügen zusätzlicher Hardware an EMV-Geräte, um Daten des Zielobjekts zu stehlen. Hardware-Manipulationen werden irgendwo zwischen Hersteller und Zielobjekt vorgenommen - häufig bei einem Einzelhändler.
  • Malvertising: Das Hacken des Adservers eines Drittanbieters, um den Anzeigen auf der Website eines Unternehmens Malware hinzuzufügen. Ein bekannter Fall betraf im letzten Jahr Spotify.
  • Hijacking der Kommunikationskette: Übernahme einer Kommunikationskette, um Zugangsdaten zu stehlen, Passwörter abzugreifen, Zahlungsdaten bei Rechnungen zu verändern etc. Dies kann im Internet oder per E-Mail erfolgen. 
3 Schritte gegen Cyber-Risiken in der Supply Chain

Zur Bekämpfung dieser Bedrohungen sollten Unternehmen folgende Massnahmen umsetzen:
  1. Die Supply Chain des Unternehmens und die Lieferanten untersuchen
  2. Schwachstellen identifizieren
  3. Genau bestimmen, wo in der Supply Chain und bei den Lieferanten mögliche störungsanfällige Bereiche bestehen

Die Zusammenarbeit mit einem Rating-Unternehmen wie AIG‘s Partner BitSight kann Unternehmen dabei helfen, mögliche schwache Partner innerhalb der Infrastruktur zu erkennen. BitSight nutzt öffentlich verfügbare Daten, um das Unternehmen des Kunden sowie sämtliche seine Technologie verwendenden Geschäftspartner und Gesellschaften zu bewerten.

Menschliches Versagen als Problem

Viele Cyber-Vorfälle entstehen letztendlich auch durch menschliches Versagen und nicht durch technologische Schwachstellen. Menschliches Versagen ist ein wichtiger Bereich, auf den Unternehmen ihre vorbeugenden Maßnahmen konzentrieren sollten.

Häufig versuchen Unternehmen, menschliches Versagen durch die neuesten Sicherheitsangebote, beispielsweise eine neue Firewall oder Angrifferkennungssysteme, zu verhindern. Tatsächlich besteht die bessere Vorbeugung menschlichen Versagens allerdings darin sicherzustellen, dass die Mitarbeiter sich an die Best Practices für Cyber-Sicherheit halten. Wir empfehlen Unternehmen die folgenden drei Strategien:

  • Bei jedem Schritt der Supply Chain fragen: Wo sind die Daten, wie werden sie geschützt und welche technischen Verfahren werden genutzt? Kriminelle suchen nach Daten, beispielsweise Finanzunterlagen, Karteninformationen oder geistigem Eigentum.
  • Verwendung einer Leitungsverschlüsselung (P2PE) zwischen dem Kartenleser und dem Kartenprozessor, wenn Personen wie Einzelhändler, Hoteliers und Reisebüros Zugang zu den Kreditkarteninformationen haben. So werden die Kreditkartendaten nicht gespeichert und können nicht gestohlen werden.
  • Schulung aller Mitarbeiter in den Best Practices für Cyber-Sicherheit. Jeder Mitarbeiter sollte Sicherheitsprüfungen durchlaufen. Nicht geschulte Mitarbeiter könnten unbeabsichtigt Teil des Problems sein.

Cyber-Versicherungen verändern sich, um die Supply Chain zu schützen

AIG weitet die Abdeckung von Cyber-Risiken aus, um höhere Obergrenzen für das Risiko durch Dritte anbieten zu können. Die neuen Policen können mehr abdecken als nur das Computersystem und die Technologie von Unternehmen und bieten branchenspezifische Erweiterungen. Sorgt sich eine Fluggesellschaft beispielsweise, dass ein Cyber-Angriff das Betanken der Flugzeuge oder die Gepäckabfertigung stören könnte, kann dies durch Erweiterungen der Cyber-Versicherung abgedeckt werden.

Cyber-Versicherungen sind bereits heute Teil der Verbindung von Unternehmen mit Zulieferern und Zwischenhändlern. Bei AIG konnten wir aufgrund neuer Vertragsbedingungen eine steigende Zahl an Anfragen und Anträgen für Cyber-Versicherungen feststellen. In der Vergangenheit war für Zwischenhändler und Zulieferer üblicherweise eine allgemeine Haftpflicht- oder eine Berufshaftpflichtversicherung erforderlich – nun ist es wahrscheinlich, dass demnächst die Cyber-Versicherung erforderlich sein  wird.

Wenn die Menschen derzeit an Cyber-Risiken denken, geht es um finanzielle Verluste, Geldbussen und Strafzahlungen. In Zukunft werden Cyber-Risiken vermutlich jedoch auch für andere Verluste verantwortlich sein, einschließlich Sach- und Personenschäden. Mit sich weiter entwickelnder Technologie und immer stärker vernetzten Systemen müssen sich Unternehmen und Versicherer darum bemühen, die entstehenden Risiken zu verringern.

Sollten Sie weiterführende Informationen wünschen, so kontaktieren Sie bitte Ihren Ansprechpartner vor Ort.