Gesponsert

Supply Chain Security Sichere Lieferketten – damit Behörden im Ernstfall nicht geliefert sind

Gesponsert von

Angriffe und Sicherheitsvorfälle haben ein Schlaglicht darauf geworfen, wie wichtig Cybersicherheit ist – auch für Behörden.

(© Computacenter)

Auch deshalb legt die Cyber-Sicherheitsagenda des Bundesministeriums des Innern und für Heimat neue Ziele und Maßnahmen für eine sichere deutsche IT-Infrastruktur fest. Einer der Bausteine: die Cyber-Resilienz Kritischer Infrastrukturen (KRITIS), Bundesbehörden und weiterer Infrastrukturen stärken. Dazu gehört auch die Informationssicherheit von Lieferketten. Denn wenn Dienstleister und ihre Produkte angreifbar sind, hat das Auswirkungen auf die Kunden. Gute Konzepte sind gefragt – deshalb unterstützt Computacenter Behörden bei den nötigen Schritten zu einer sicheren Lieferkette.

Überblick gewinnen

Im ersten Schritt klassifizieren die Expert:innen von Computacenter alle Zulieferer. Denn einige haben direkten Zugriff auf behördliche IT-Systeme und sensible Daten oder managen kritische Prozesse. Anforderungen an die Informationssicherheit, etwa der Umgang mit personenbezogenen Daten, haben bei ihnen einen höheren Stellenwert als bei solchen, die nicht auf das Netzwerk zugreifen. Für jede Kategorie braucht es anschließend spezifische Sicherheitsanforderungen, die in die Verträge einfließen.

Automatisiert prüfen und ein umfassendes Bild entwickeln

Doch halten Zulieferer die Vereinbarungen ein? Um das zu bewerten, eignen sich beispielsweise Vendor Risk Rating Services. Sie verdichten öffentlich zugängliche Informationen zu einem Risikoindikator. Auch Zertifikate kennzeichnen vertrauenswürdige Zulieferer. Beide weisen jedoch Schwachstellen auf: Während die Rating Services nicht immer transparent und nachvollziehbar arbeiten, ist bei Zertifikaten nicht immer klar, ob sie die relevanten Anwendungsbereiche abdecken. Unsere Expert:innen sind in der Lage, aus den unterschiedlichen Teilinformationen ein möglichst umfassendes Bild zu erstellen. Das wichtigste Instrument sind Assessments, in denen Behörden ihre Zulieferer je nach Kategorie im Audit oder Self Assessment zu ihren Sicherheitsstandards befragen.

Beim Zusammentragen dieser Informationen leistet unser Framework wertvolle Dienste: Es verknüpft die vertraglichen Anforderungen mit den Bewertungen der Zulieferer. Mit einem entsprechenden Tool kann dieses Framework automatisiert werden. Das spart Zeit – selbst dann, wenn die Struktur der Zulieferer komplex ist. Schließlich lassen sich Maßnahmen ableiten, etwa Security-Roadmaps von Zulieferern anfordern oder Vertragsstrafen festlegen.

Soziales Netzwerk trifft Self Assessments

Self Assessments sind wichtig. Sie manuell auszuwerten, ist aber sehr aufwendig. Zudem ist die Interpretation der Antworten gerade bei unbegleiteten Self Assessments schwierig. Mit Computacenter können Sie auf spezielle soziale Netzwerk-Plattformen zurückgreifen. Lieferanten pflegen dort ein Profil, basierend auf Assessments. Unternehmen oder Behörden verbinden sich über ihren Account damit, um so präzise Risikoanalysen zu erhalten. Über einen Chat können sie bei Rückfragen direkt mit den Sicherheitsteams der Lieferanten kommunizieren. Zudem lässt sich die Lieferkette grafisch darstellen, einschließlich der Zulieferer der Lieferanten. So werden Risiken oder kritische Abhängigkeiten früh erkannt.

Von Erfahrung profitieren

Im Rahmen seiner Security Assessment Services steht Computacenter Unternehmen und Behörden seit über zehn Jahren im Bereich Supply Chain Security zur Seite. Das deutschlandweit aufgestellte Team hat sich darauf spezialisiert, risikorelevante Daten zu erheben, bis ins Detail zu verstehen und anschaulich darzustellen. Ob einmalige Erhebung oder in einem kontinuierlichen Programm: Diese Konzepte lassen sich für jede Behörde und jede Lieferkette skalieren.

* Autor: Ralf Nemeyer, Solution Manager bei Computacenter

(ID:48613421)

Jetzt Newsletter abonnieren

Wöchentlich die wichtigsten Infos zur Digitalisierung in der Verwaltung

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung