Das pulsierende Herz der modernen Wirtschaft schlägt im Takt der digitalen Verbindung. Unternehmen sind heute mehr denn je in ein Netzwerk aus Kooperationen und Partnerschaften eingebunden. Doch wo Chancen wachsen, lauern auch Risiken – insbesondere in der IT-Sicherheit. Hierbei ist es nicht nur von Bedeutung, die eigenen Systeme zu schützen, sondern auch sicherzustellen, dass Partnerunternehmen ähnliche Sicherheitsstandards einhalten.
Ein Beitrag von Thomas Kress, IT-Sicherheitsexperte und Inhaber der TKUC Group
Während ein Unternehmen seine digitalen Festungen mit modernsten Sicherheitsmaßnahmen ausstatten mag, kann das schwächste Glied in der Kette oft ein externer Partner oder Zulieferer sein. Es ist nicht ungewöhnlich, dass die Sicherheitsprotokolle und -standards von Zulieferern hinter denen des Hauptunternehmens zurückbleiben.
Diese Diskrepanz kann ein verlockendes Einfallstor für Cyberkriminelle darstellen. Hacker, stets auf der Suche nach dem leichtesten Weg in ein System, haben erkannt, dass Zulieferer oft weniger gut geschützt sind. Ein Angriff auf diese weniger gesicherten Partner kann oft einen direkten Zugang zu den wertvolleren Daten und Ressourcen des Hauptunternehmens bieten.
Ein oft übersehener Prozess
Supply Chain Risk Management, ein Begriff, der in Branchen wie Finanzen und Versicherungen schon lange bekannt ist, gewinnt auch im gehobenen Mittelstand an Bedeutung. Doch trotz seiner wachsenden Relevanz bleibt die Umsetzung in vielen Unternehmen lückenhaft.
Anstatt robuste und durchdachte Prozesse zu implementieren, verlassen sich einige Firmen auf oberflächliche Alibi-Prozesse. Es ist nicht ungewöhnlich, dass Zulieferern lediglich Excel-Listen zur Selbstbewertung zugesandt werden, ohne dass die darauf gegebenen Antworten einer ernsthaften Überprüfung unterzogen werden. Dieser Ansatz birgt erhebliche Risiken, denn Zulieferer wissen oft genau, welche Antworten von ihnen erwartet werden, und passen ihre Rückmeldungen entsprechend an – unabhängig von der tatsächlichen Sicherheitslage.
Die Notwendigkeit regelmäßiger Kontrollen und Audits
Ein einmaliger Blick hinter die Kulissen eines Zulieferers oder Partners reicht in der heutigen dynamischen digitalen Landschaft nicht aus. IT-Systeme und Sicherheitskonfigurationen sind ständig im Wandel. Software wird aktualisiert, Zertifikate laufen ab, und neue Sicherheitslücken werden entdeckt.
Ein einmaliges Audit kann nur eine Momentaufnahme bieten und verliert schnell an Relevanz. Daher ist es unerlässlich, regelmäßige Überprüfungen durchzuführen, idealerweise in Echtzeit oder zumindest in kurzen Intervallen. Während ein ständiges manuelles Audit aufgrund von Zeit- und Ressourcenbeschränkungen oft nicht realisierbar ist, bieten technologische Lösungen Möglichkeiten, die Sicherheitslage der Supply Chain kontinuierlich im Auge zu behalten.
Ein effektiver Ansatz zur Überwachung
In der Flut von Daten und Informationen, die das Internet täglich produziert, liegen wertvolle Erkenntnisse verborgen – auch im Hinblick auf die Sicherheit von Unternehmen und ihrer Zulieferer. OSINT-Analysen (Open Source Intelligence) schöpfen aus diesen öffentlich zugänglichen Datenquellen und bieten eine innovative Methode, um die Sicherheitslage der gesamten Lieferkette zu überwachen.
Anstatt aktive Scans oder Penetrationstests durchzuführen, analysieren OSINT-Tools Informationen, die bereits frei verfügbar sind. Dieser Ansatz bleibt rechtlich unbedenklich und bietet dennoch tiefe Einblicke. Von der Erkennung unsicherer Netzwerkkonfigurationen bis hin zur Überwachung von Software-Schwachstellen können Unternehmen mit OSINT-Analysen potenzielle Risiken in Echtzeit identifizieren und proaktiv handeln.
So funktionieren OSINT-Analysen in der Praxis
Stellen Sie sich ein Unternehmen vor, das seine IT-Infrastruktur als uneinnehmbare Festung betrachtet. Mittels OSINT-Analysen wird schnell ersichtlich, ob ein SQL-Server aus dem Internet erreichbar ist oder die Verschlüsselung bestimmter Webservices nicht dem aktuellen Standard entspricht. Diese Analysen können auch feststellen, ob eine Software mit bekannten Schwachstellen im Einsatz ist oder E-Mail- und DNS-Sicherheitsprotokolle nicht optimal konfiguriert sind.
Zudem wird die Systemreputation bewertet und Faktoren wie die Anzahl der Hosting-Partner können als Indikator für ein gut verwaltetes System herangezogen werden. Solch eine umfassende Übersicht ermöglicht es Unternehmen, gezielt in Bereiche einzugreifen, die einer Überarbeitung bedürfen, und stellt sicher, dass die gesamte IT-Landschaft den höchsten Sicherheitsstandards entspricht.
Wachsende Bedeutung der Resilienz gegen Cyberangriffe
Cyberresilienz ist nicht mehr nur ein technischer Begriff, sondern ein zentrales Element der Geschäftsstrategie. Mit steigender Anzahl und Komplexität von Cyberangriffen wird die Fähigkeit eines Unternehmens, diesen Bedrohungen zu trotzen und sich rasch zu erholen, immer wichtiger. Diese Widerstandsfähigkeit beeinflusst nicht nur den Schutz sensibler Daten und den Betrieb, sondern stärkt auch das Vertrauen von Kunden und Investoren.
So berücksichtigen Finanzinstitute das Ausfallrisiko durch Cybervorfälle in ihren Bewertungen, und Versicherungen analysieren die Cybersicherheitsmaßnahmen eines Unternehmens intensiv, bevor sie eine Versicherungspolice ausstellen. In diesem Umfeld kann ein effektives Management von 3rd-Party-Risiken und der Einsatz fortschrittlicher Überwachungstools wie OSINT-Analysen den entscheidenden Unterschied ausmachen.
In der komplexen Landschaft der Cybersicherheit sind Experten unverzichtbare Wegweiser. Ihre tiefe Kenntnis der Materie, kombiniert mit praktischer Erfahrung, ermöglicht es Unternehmen, die verborgenen Gefahren in ihrer digitalen Lieferkette zu erkennen und sich davor zu schützen.
Während Technologien und Tools eine wichtige Rolle spielen, ist es oft das menschliche Fachwissen, das den Unterschied zwischen einer reaktiven und einer proaktiven Sicherheitsstrategie ausmacht. Da das 3rd-Party-Risiko stetig wächst, sind solche Experten nicht nur Berater, sondern auch vertrauenswürdige Partner auf dem Weg zu einer sichereren digitalen Zukunft.
Zum Autor
Thomas Kress ist IT-Sicherheitsexperte und Inhaber der TKUC Group mit den Marken TKUC und TheUnified. Nachdem er über 25 Jahren als IT-Consultant und Projektmanager für namhafte Unternehmen arbeitete, beschloss er, sich im Bereich IT-Sicherheit und Telekommunikation selbstständig zu machen. Seither betreut er u.a. Projekte für Konzerne wie die Deutsche Bank, Orange Business Services oder die Gothaer Versicherung, sowie eine Reihe Industrieunternehmen des deutschen Mittelstandes. TheUnified bietet professionelle IT-Security Lösungen, um Unternehmen perfekt vor Cyberangriffen zu schützen.
Themen:
LESEN SIE AUCH
IT-Sicherheit für Selbstständige: So lässt sich Datensicherheit erhöhen
Selbstständige und kleine Betriebe sind oft das Ziel von Cyberangriffen, da sie nicht über die Sicherheitsressourcen wie große Unternehmen und Konzerne verfügen. Datensicherheit ist deshalb für Solo-Selbstständige und kleine Firmen von größter Bedeutung.
So wappnen sich KMU erfolgreich gegen Cyber-Angriffe
Ransomware-Attacken sind eine existenzielle Bedrohung für Unternehmen jeder Größe geworden. Mit gesteigerter Raffinesse infiltrieren Hacker Netzwerke, lähmen Betriebsabläufe und richten irreparable Schäden an. Mit welchen präventiven Maßnahmen Unternehmen sich erfolgreich davor schützen können.
Im Visier der Hacker: Strategien gegen Cyberangriffe
Die Bedrohungen durch Cyberangriffe, Datenlecks und Datenschutzverletzungen sind allgegenwärtig und können schwerwiegende Folgen für Unternehmen sowie Kunden haben. Vor diesem Hintergrund gewinnt ein solides Konzept, das den Schutz aller sensiblen Daten gewährleistet eine immer größere Bedeutung.
Ransomware: Jedes neunte Opfer bezahlt Lösegeld
Jedes zweite Unternehmen wurde binnen eines Jahres mit Ransomware attackiert, wovon jedes neunte daraufhin Lösegeld bezahlt hat. 44 Prozent der Opfer solcher Angriffe berichten von Beeinträchtigungen im Geschäftsbetrieb - im Schnitt für rund 3 Tage.
Unsere Themen im Überblick
Themenwelt
Wirtschaft
Management
Recht
Finanzen
Assekuranz
„Wir haben keinerlei Szenario, in dem aB-Agenta ausläuft“
Mit der Übernahme von artBase! ergänzt DEMV seine bisher rein digitale Strategie um eine bewährte Offline-Lösung. Geschäftsführer Karsten Allesch erklärt im Interview, warum aB-Agenta eigenständig weiterbesteht, welche Vorteile eine Migration bietet und wie sich die Maklerbranche zwischen Plattform-Ökonomie und Bestandsschutz positioniert. Der Text erschien zuerst im expertenReport 03/25.
Warum Europas digitaler Tiefschlaf enden muss – und wie der „AI Continent“-Plan zum Wendepunkt werden kann
Die EU will mit dem „AI Continent Plan“ zur globalen KI-Macht aufsteigen – doch reicht das, um den digitalen Rückstand aufzuholen? Ein Kommentar über Europas Weckruf, seine neuen Ambitionen und das, was jetzt wirklich zählt.
Meta scannt Europa: Wie unsere Posts zur Futterquelle für künstliche Intelligenz werden
Meta beginnt noch diese Woche, EU-Nutzer per App und E-Mail zu informieren: Öffentliche Facebook- und Instagram-Beiträge sowie KI-Chats sollen künftig das KI-Modell füttern. Datenschützer sind alarmiert.
KI als Effizienztreiber: Mittelstand setzt auf digitale Transformation – doch Fachkräftemangel bremst
Der deutsche Mittelstand setzt verstärkt auf Künstliche Intelligenz, um Effizienzpotenziale zu heben – doch der Fachkräftemangel bremst den digitalen Fortschritt. Eine aktuelle Studie zeigt, wie Unternehmen investieren und woran Projekte scheitern.