Risikomanagement für Lieferketten
Das National Institute of Standards and Technology (NIST) hat seine Leitlinien zur Cybersicherheit zum Umgang mit Risiken in der Software-Lieferkette aktualisiert und bietet maßgeschneiderte Sicherheitskontrollen für verschiedene Interessengruppen an. Das Identifizieren von Sicherheitsrisiken in der Lieferkette ist schwierig, da viele Akquisitionen niemals eine Lieferantenrisikobewertung durchführen, sodass das Unternehmen besonders anfällig sind.
Diese “Lieferkettenangriffe” haben in der letzter Zeit einige Schlagzeilen erzeugt. Angriffe über Dienstleister wie Solarwinds oder eine Softwarekomponente Log4Shell sind die bekanntesten in der letzten Zeit. Sicherheitsexperten haben wiederholt Bedenken hinsichtlich der Sicherheit von Open-Source-Komponenten und Bibliotheken von Drittanbietern geäußert, die in einer Vielzahl verschiedener Anwendungen verwendet werden.
Die neueste Veröffentlichung von NIST bietet eine Anleitung zum Risikomanagement für Rollen wie Cybersicherheitsspezialisten, Risikomanager, Systemingenieure und Einkäufer und empfiehlt eine Reihe von Methoden. Zum Beispiel die Implementierung von Sicherheitskontrolle und regelmäßigen Audits bei der Verbindung mit Lieferanten.