IT-Sicherheit

Zeit für mehr Sicherheit in den Lieferketten

Huawei - Sicherheit in den Lieferketten

Offene Netzwerke und die Digitalisierung bieten ein enormes Fortschrittspotenzial für unsere Gesellschaft, begünstigen Informationsflüsse und schaffen Möglichkeiten für vielfältige Innovationen.

Sie haben dazu beigetragen, den Wohlstand weltweit zu steigern. Da der Hunger nach Informationen in den unterschiedlichsten Formaten weiterhin ansteigt, kommt insbesondere der Leistungsfähigkeit der Kommunikationskomponenten sowie der Sicherheit der Übertragung und der Geräte eine immer größer werdende Bedeutung zu. Denn die zunehmende Anzahl erfolgreicher Cyberangriffe zeigt, wie verletzlich IT- und Kommunikationssysteme häufig sind. Oftmals unterschätzt werden hierbei die Sicherheitsrisiken, die auch durch die Wertschöpfungs- und Lieferkette verursacht werden. Diese ist meist kaum nachzuvollziehen und schwierig zu schützen. Trotz Fortschritt im Bereich der Cybersicherheit schenken viele Organisationen den Risiken, welchen sie durch die Lieferkette ausgesetzt sind, noch zu wenig Beachtung in der Sicherheitsrisikoabschätzung.

Initiiert durch diverse Cyberattacken und andere Vorfälle wächst in letzter Zeit das Bewusstsein für die Notwendigkeit eines umfassenden Lieferketten-Risikomanagements und der diesbezüglichen Notwendigkeit zum Handeln. Um hier jedoch Fortschritte zu erzielen, müssen alle beteiligten Akteure enger zusammenarbeiten. Denn nur eine sichere globale Lieferkette mit entsprechendem Risikomanagement und den abgeleiteten und angepassten Maßnahmen stellt sicher, dass Produkte und Dienstleistungen „sicher“ zur Verfügung stehen und diese nicht von außenstehenden Akteuren manipuliert werden. Zudem verhindern entsprechende Maßnahmen im Lieferkettenmanagement, dass Produkte gefälscht und verfälscht werden oder gefälschte Komponenten enthalten, die selbst wiederum für illegale Zwecke genutzt werden könnten.

Ein erfolgreiches Risikomanagement beinhaltet insbesondere:

  • Bekenntnis der ganzen Organisation zu Cybersicherheit und Datenschutz als Teil der Risikomanagements- und Qualitätssicherungsstrategie.
  • Etablierung und Durchsetzung eines internen Governance-Mechanismus, der von der obersten Managementebene gesteuert und durchgesetzt wird.
  • Identifizierung, Implementierung und Audit von hohen Sicherheitsanforderungen und Baselines in allen Bereichen der Organisation.
  • Definition von Anforderungen als KPIs und Verankerung im Reifegradmodel (CMMI).
  • Implementierung von soliden und nachweisbaren Überprüfungs- und Compliance-Mechanismen.
  • Verständnis von Sicherheit und Evaluierung als wichtige Teile der Abteilungs- und Unternehmensziele.
  • Analyse von Prozessen und Prozessabläufen unter Sicherheitsaspekten und Risikogesichtspunkten und infolgedessen klare Verantwortlichkeiten auf Management- und Mitarbeiterebene.

Ziel aller Hersteller muss es sein, die Sicherheitsrisiken in der eigenen Lieferkette so weit wie möglich zu erkennen und anschließend zu minimieren. Eine der existierenden Herausforderungen dabei ist jedoch erst einmal ein Überblick über die „eigenen“ Lieferketten zu gewinnen, mit allen Drittherstellern, Dienstleistern  und deren eigenen Lieferanten.

Deshalb sind wir von Huawei nicht nur daran interessiert sichere Produkte sicher herzustellen und diese sicher an den Kunden auszuliefern. Sondern Huawei leistet auch seinen Beitrag zur Aufklärung und Zusammenarbeit in den relevanten Industriegremien. Die proaktive Zusammenarbeit von Regierungen und Unternehmen ist maßgeblich, um ein gemeinsames Verständnis für Cybersicherheitsrisiken entlang und in den Lieferketten zu entwickeln. Politik und Wirtschaft müssen gemeinsame Vereinbarungen für Gesetze, Verhaltensregeln, Standards und unabhängige Überprüfungsmechanismen für Zulieferer und Händler anstreben. Es entstehen immer mehr vielversprechende Initiativen, die sich mit diesem Thema auseinandersetzen. Nutzer von IT-Technologien müssen ausreichend informiert werden, sodass sie mit ihrer Kaufkraft die Nachfrage nach Produkten mit verbesserter Sicherheit steigern. Das Bewusstsein und Verlangen nach Sicherheit muss Teil des Kaufverhaltens werden. Dieser Entwicklungsprozess ist jedoch noch langsam und scheint manchmal durch das Konsumentenverhalten konterkariert zu werden. Huawei wird seine Arbeit und den Dialog mit allen beteiligten Akteuren weiterführen und sich dafür einsetzen, dass das Thema IKT-Lieferkettensicherheit noch mehr Bedeutung erhält.

Huawei beschäftigt sich intensiv mit Lieferketten-Risiken und deren Minimierung im Rahmen seines globalen Ende-zu-Ende-Sicherheitsansatzes. Das Lieferketten-Risikomanagement bei Huawei ist Teil des Aufgabenbereichs des Global Cyber Security und User Privacy Protection Commitee (GSPC). Dieses ist das oberste Gremium für Cybersicherheit und Datenschutz und wird von einem der stellvertretenden Vorstandsvorsitzenden geleitet.

  • Huawei hat ein umfassendes ISO 28000-konformes Ende-zu-Ende-Managementsystem für Zulieferer entwickelt, das Sicherheitsrisiken vom eintreffenden Material bis hin zur Auslieferung fertiger Produkte identifiziert und minimiert.
  • Huawei trifft die Zuliefererauswahl u.a. basierend auf ihren Systemen, Prozessen und Produkten. Es werden diejenigen Zulieferer ausgewählt, die zur Qualität und Sicherheit von Huaweis Produkten beitragen.
  • Huawei erfasst kontinuierlich Qualitätsfaktoren der Zulieferer und bewertet diese. Dabei wird auch die Integrität von Komponenten Dritter kontrolliert. Sicherheit wird hierdurch zum Qualitätsfaktor.
  • Huawei erfasst und dokumentiert den Reifegrad der Zulieferer und hat so ein nachvollziehbares und auditierfähiges System entlang der gesamten Prozesskette etabliert.

Lieferketten sind im räumlichen Kontext zu betrachten. Hieraus ergeben sich wichtige Indikatoren für Risiken und Bedrohungen denen eine (globale) Lieferkette ausgesetzt ist. Faktoren für die Abschätzung sind u.a. die Fragen, ob es sich um ein lokales oder nationales Unternehmen mit regionalen Lieferanten oder um ein internationales Unternehmen mit weltweiten Lieferanten und Lieferketten handelt; welcher Einfluss und welche Risikoparameter auf diese Unternehmen und Teilketten wirken; und welcher Einfluss sich daraus wiederum auf das Liefergut (Komponenten, Teilkomponenten, Endprodukte) ergibt.

Auch ist die Kritikalität des Lieferguts zu betrachten. Können Sie prüfen, ob die gelieferten Komponenten mit den zugesagten, aber ebenso ohne weitere zusätzliche Funktionalitäten geliefert werden? Wie prüfen Sie neben funktionalen Tests die Integrität? Enthalten die Komponenten eventuell versteckte „Zusatzfeatures“? Wie und durch welche Testverfahren lassen sich diese ausschließen?

Es muss ausgeschlossen werden, dass es sich um gefälschte Komponenten handelt oder, dass die Produkte in irgendeiner Form auf ihrem Transportweg oder im Zwischen- oder Endlager verändert wurden. Es muss Transparenz des Prozesses etabliert werden, der den Nachweis ermöglicht, wer, wann und wo Zugriff auf Produkte oder Komponenten – sei dies beim Hersteller selbst, während des Transportes oder im eigenen Unternehmen – hatte. Nur so kann ausgeschlossen werden, dass Komponenten, Software oder Funktionsblöcke absichtlich oder unabsichtlich durch Viren, Trojaner bzw. Schadsoftware kompromittiert werden.

Bedrohungen durch und in der Lieferkette sind deshalb ein Schlüsselelement des übergeordneten Cybersicherheitsmanagement. Eine Organisation und deren Management muss diese verstehen und in das Risikomanagement integrieren. Wir – gemeinsam mit allen Akteuren – müssen versuchen, alle Parteien für die Risiken in und durch die Lieferkette zu sensibilisieren und gemeinsam Lösungen entwickeln.