In unserem letzten IAM Talk haben wir uns gemeinsam mit unserem Partner Saviynt mit einem äußerst relevanten Thema beschäftigt: Die Lieferkettenabsicherung gemäß NIS2. Wir alle wissen wahrscheinlich mittlerweile was die NIS2 ist und grob, was deren Anforderungen sind. Doch im Bereich der Lieferketten geizt die NIS2 mit detaillierten Informationen. Aus diesem Grund haben unsere IAM Experten Frank Schmaering von Saviynt sowie Tim Lipphardt und Sasha Kühfuss von amiconsult darüber informiert, wie es möglich ist, etwas so weitläufiges wie eine Lieferkette zu schützen.
Deshalb ist die NIS2 Richtlinie so wichtig
Wie wir alle wissen, sitzt vielen Unternehmen so langsam die Zeit im Nacken, wenn es um die Umsetzung der europäischen NIS2 Richtlinie geht. Bis Oktober 2024 sollen die Maßnahmen implementiert sein, sonst drohen hohe Geldstrafen. Deshalb lautet die Devise: Jetzt handeln!
Falls Du Hilfe bei der Umsetzung benötigst, kannst Du dich gerne an amiconsult wenden. Wir unterstützen, indem wir Dir Empfehlungen aussprechen, einen Plan aufstellen und gemeinsam an der Umsetzung arbeiten. Wir wollen nämlich nicht, dass es heißt: hätten wir mal früher angefangen.
Natürlich sollte die Zeit nicht der einzige Motivator sein, die NIS2 Richtlinie umzusetzen. Viel wichtiger ist das Kernziel: Die Stärkung der Cybersicherheit in der Europäischen Union. Die Sicherheit ist heutzutage wichtiger denn je. Ständig werden Unternehmen Opfer von Cyberangriffen und erleiden großen Schaden. Mit der Umsetzung der NIS2 Richtlinie tragen wir alle ein wenig mehr zur Sicherheit innerhalb der EU bei.
So gelingt die Lieferkettenabsicherung gemäß NIS2
Lieferketten sind ein großes Sicherheitsrisiko
Der Schutz der Lieferketten ist ein expliziter Punkt der NIS2 Richtlinie. Doch wieso muss man die Lieferkette schützen und wovor?
Die Angriffe auf externe Vendoren haben in den letzten Jahren immer mehr zugenommen. Von ihnen geht dementsprechend eine große Gefahr aus. Externe Parteien haben Zugriff auf die Infrastruktur des Unternehmens, mit dem sie zusammenarbeiten. Hacker versuchen über diese Verbindungen an Daten zu gelangen und daraus Profit zu schlagen. Ein Beispiel dafür ist der Vorfall von Toyota im Februar 2022. Dort wurde ein Zulieferer des Automobilkonzerns gehackt, was dazu geführt hat, dass die gesamte Produktion heruntergefahren werden musste. Toyota trug nicht nur einen Reputationsschaden davon, sondern auch einen monetären Schaden, weil kaum noch produziert werden konnte.
Genau da setzt die NIS2 Richtlinie an, indem sie für mehr Sicherheit in der gesamten Lieferkette sorgt. Viele Unternehmen wissen heutzutage oft nicht einmal, wer zu ihren Lieferanten und externen Partnern zählt. Außerdem sind immer mehr Unternehmen dazu gezwungen, auf externe Partner zurückzugreifen, um interne Lücken zu schließen. Häufig fehlen Unternehmen die Antworten auf folgende Fragen:
- Welche Dimensionen haben meine Lieferketten?
- Wie schützen sich meine Zulieferer vor Cyberangriffen?
- Welche Philosophie verfolgen sie?
Aufgrund mangelnder Transparenz in Bezug auf Cybersicherheit ist es schier unmöglich, für Sicherheit im eigenen Unternehmen zu sorgen.
Lieferkette absichern mit IAM
Heutzutage existieren neben den Accounts der Mitarbeitenden und externen Dienstleister auch zahlreiche nicht humane Identitäten. Der Schlüssel zur Sicherheit der Lieferkette liegt darin, all diese Accounts, seien sie intern oder extern, sicher zu verwalten. An diesem Punkt kommt Identity und Access Management (IAM) ins Spiel. Mithilfe von IAM kann ganz genau festgelegt werden, welcher Account auf welche Daten und Informationen Zugriff hat. So kann sichergestellt werden, dass externe Zulieferer nur auf die für sie benötigten Bereiche Zugriff haben, was es Angreifern erschwert, an sensible Daten zu gelangen. Des Weiteren ermöglicht IAM ein kontinuierliches und genaues Monitoring. So kann nachverfolgt werden, welcher Account welche Aktionen durchgeführt hat. Im Falle eines Cyberangriffs kann so die Schwachstelle schnell ermittelt und behoben werden, indem dem betroffenen Account z.B. alle Berechtigungen entzogen werden.
Vor allem das Lifecycle Management erweist sich als äußerst hilfreich, wenn es um den Schutz eines Unternehmens geht. Bereits im Onboarding eines neuen externen Dienstleisters können dessen Rollen und Zugriffsrechte vergeben werden. Sollte sich die zuständige Ansprechperson ändern, oder nicht mehr an dem Projekt beteiligt sein, können dessen Rechte ganz einfach wieder entzogen werden. So kann sichergestellt werden, dass Personen nach ihrer Tätigkeit keinen Zugriff mehr auf sensible Daten haben. Somit wird dafür gesorgt, dass Anforderungen der NIS2 und anderer Regularien erfüllt werden.
Bereit für Dein neues IAM System?
Du hast Fragen rund um Identity und Access Management oder möchtest ein neues IAM System implementieren? Schreib uns einfach ganz unverbindlich eine Nachricht und lass Dich beraten!
Eure Fragen, unsere Antworten
Wenn ein Unternehmen noch nicht über ein IAM System verfügt, ist es dann machbar, dies bis Oktober nächsten Jahres zu implementieren?
Vor allem in kleineren Unternehmen lassen sich in wenigen Wochen alle technischen Komponenten eines IAM Systems implementieren. Das ist möglich, weil kleinere Unternehmen schlank aufgestellt sind. Bestehende Prozesse sind häufig bekannt und Zuständige kennen sich mit ihren Systemen aus, sodass bestehende Prozesse schnell abgesichert werden können. Allerdings muss bedacht werden, dass Unternehmen häufig bereits Systeme haben, die Accounts verwalten, obwohl sie keine deklarierte IAM Software ist. Kleine Unternehmen arbeiten häufig auch mit selbstgebauten Systemen, die allerdings oft nicht mehr auf dem neusten Stand sind und somit ein Sicherheitsrisiko darstellen. Dort ist es dann ratsam, eine standardisierte IAM Lösung zu implementieren, denn Unternehmen kommen über kurz oder lang nicht um Themen wie Zero Trust, Single Sign-On, MFA oder IGA herum. Da sollten Unternehmen, egal ob groß oder klein, den Aufwand und das Geld aufbringen und sich um ihre Cybersicherheit mittels eines IAM Systems kümmern, statt einen Schadensfall mit deutlich höheren Negativfolgen zu riskieren.
Wie sehen konkrete erste Schritte aus, wenn ein Unternehmen seine Lieferkette nach NIS2 absichern muss?
Einer der wichtigsten Schritte ist, bei der Geschäftsleitung und allen Verantwortlichen das Bewusstsein für die Dringlichkeit der NIS2 und die Umsetzung der Richtlinien zu schaffen. Denn die Geschäftsleitung ist für die Cybersicherheit des Unternehmens verantwortlich und wird nach der NIS2 Richtlinie persönlich für Nichteinhalten behaftet. Anschließend sollten intern die eigenen Prozesse betrachtet werden. Daraus können dann Handlungen abgeleitet werden, um die Anforderungen der NIS2 zu erfüllen. Falls an irgendeinem Punkt Hindernisse auftreten, scheue nicht davor, Dir externe Hilfe zu suchen. Wir von amiconsult gehen mit Dir deine Anforderungen durch und unterstützen bei der Umsetzung.
Haben Firmen die NIS2 Richtlinie und deren Anforderungen auf dem Schirm und kümmern sich um die Umsetzung oder denken viele erst kurz vor Ablauf der Frist daran?
Das lässt sich so pauschal nicht sagen, denn die Umsetzung hat nicht immer mit dem Wollen und Können der Unternehmen zu tun. Häufig ist die Herausforderung, die nötigen Ressourcen und die Zeit für die Umsetzung bereitzustellen. Unternehmen haben sich die Verordnung und die Neuerungen zudem nicht selbst ausgesucht. Sie sind jetzt aber plötzlich damit konfrontiert und müssen sie in relativ kürzer Zeit umsetzen. Das stellt viele Unternehmen vor Herausforderungen.
Aus diesem Grund sind Experten, wie wir von amiconsult, in der Verantwortung, Unternehmen zu unterstützen und aufzuklären.
Lieferkettenabsicherung – Gemeinsam geht’s
Die NIS2 Richtlinie stellt viele Unternehmen vor Herausforderungen, da sie jetzt gezwungen sind etliche Maßnahmen umzusetzen und ihre Sicherheitsstrategie zu überarbeiten. Vor allem im Bereich der Lieferketten fällt die Absicherung schwer, da Unternehmen mit vielen verschiedenen Partnern, externen Dienstleistern oder Lieferanten zusammenarbeiten und häufig die Transparenz fehlt. Mithilfe von Identity und Access Management kannst Du dein Unternehmen aber absichern, indem Du festlegst, wer auf welche Daten und Anwendungen Zugriff hat und deren Verhalten überprüfst.
Wenn Du momentan Unterstützung bei der Umsetzung von NIS2 Maßnahmen benötigst und Interesse an einem Identity und Access Management System hast, schreib uns gerne unverbindlich an. Wir stehen Dir mit unserer langjährigen Erfahrung zu Seite und freuen uns über Deine Nachricht!