Berlin (ots) –
Dr. Martin J. Krämer, Security Awareness Advocate bei KnowBe4
Rund 43 Prozent aller deutschen Unternehmen (https://www.maschinenmarkt.vogel.de/deutsche-lieferketten-im-visier-von-ransomware-verbrechern-a-8f6bf2a824687dec92619540e5470bb1/) waren bereits in mindestens einem Glied ihrer Lieferketten von Cyberattacken betroffen, dennoch wird das Risiko solcher Angriffe noch immer unterschätzt. Ausfälle in den Lieferketten eines Unternehmens können gravierende Auswirkungen auf das eigene Unternehmen haben, da IT-Systeme und Produktivität potenziell bedroht sind.
Einen Sicherheitsstandard entlang der Lieferkette zu gewährleisten, ist nicht einfach. Der Rat der EU (https://www.consilium.europa.eu/de/press/press-releases/2022/10/17/the-council-agrees-to-strengthen-the-security-of-ict-supply-chains/) betont aus dem Grund die Bedeutsamkeit, Maßnahmen zu ergreifen. So können als Auftraggeber vertraglich festgeschriebene, cybersicherheitsbezogene Anforderungen gestellt werden. Das neue Lieferkettengesetz (https://www.security-insider.de/best-practices-gegen-risiken-in-der-lieferkette-a-1aa8695fd5a3b948772e699f172f5e80/) aus Juni 2021 setzt außerdem die Sorgfaltspflicht der Unternehmen über die gesamte Lieferkette hinweg voraus. Schließlich gibt es auch eine Reihe von Best Practices, die Unternehmen als Cybersecurity-Strategie befolgen sollten.
Ist die Cybersecurity-Strategie nicht ausreichend, so greifen Bedrohungsakteure Informationen von Geschäftspartnern aus der Lieferkette ab und können darüber Angriffe auf das eigentliche Zielunternehmen vorbereiten. Malware kann nun durch die verbundenen IT-Systeme weiterverbreitet werden. Eine übliche Methode, die am Anfang einer Kompromittierung von Unternehmen steht, ist das BEC (Business Email Compromise); Sicherheitsforscher warnen jüngst auch vor VEC (Vendor E-Mail Compromise) als neue Form des BEC. Laut dem Anbieter Cloudflare (https://www.cloudflare.com/de-de/learning/insights-anatomy-vec/) imitiert der Angreifer beim VEC die Identität einer vertrauenswürdigen dritten Partei, eben eines bekannten Zulieferers des eigenen Unternehmens. Der VEC-Betrüger gibt sich als externer Anbieter aus, um einen finanziellen Profit zu erzielen oder Zugang zu Daten und Unternehmensnetzwerken zu erlangen.
Die Risiken einer Cyberattacke erstrecken sich über das gesamte Ökosystem. Das Lieferkettengesetz erfordert eine hohe Sorgfalt bei der Verarbeitung von Daten entlang der gesamten Wertschöpfungskette. Eine besonders wichtige Säule einer umfassende IT-Security-Strategie darf dabei auf keinen Fall in übersehen werden: Die Schulung der Mitarbeiter in Form eines Security Awareness-Trainings.
Pressekontakt:
Kafka Kommunikation GmbH & Co. KG
Auf der Eierwiese 1
82031 Grünwald
KnowBe4@kafka-kommunikation.de
089 747470580
Quelle:Warnung vor Vendor E-Mail Compromise
Importiert mit WPna von Tro(v)ision
