Mehr Informationssicherheit in der Supply Chain

Anbieter zum Thema

AFC Europe Ltd Bochum Technisches Zentrum

Was also können Unternehmen für mehr Informationssicherheit in der Supply Chain tun? Zunächst müssen sie sich klarmachen: Mehr Sicherheit in der Supply Chain kann nur durch eine gemeinsame Anstrengung aller miteinander verbundenen Partner – Kunden, Zwischenhändler, Lieferanten, Entwicklungspartner, Hersteller,... – erreicht werden. Informationssicherheit ist dabei kein definierter, zu erreichender Status, sondern ein fortlaufender Prozess. Zudem sollten sie sich Klarheit verschaffen, welche Arten von Informationen es innerhalb des Unternehmens gibt. Das können zum Beispiel personalisierte Daten, geistiges Eigentum, betriebswirtschaftliche Informationen, Verträge,... sein.

Ergänzendes zum Thema

Checkliste

So machen Sie Ihre Organisation und die Geschäftsprozesse widerstandsfähig

Daten nach Bedeutung kategorisieren: Bei zunehmender Datenmenge benötigen Unternehmen vor allem Klarheit, welche ihrer Daten geschäftskritisch sind und deshalb eines besonderen Schutzes bedürfen.

Wissen, wo sich die Informationen befinden: Unternehmen müssen wissen, wo sich welche Daten befinden und wie sie dort geschützt sind. Trends wie Bring your own Device (BYOD) oder Bring your own Cloud (BYOC) erschweren diese Aufgabe.

Kunden, Lieferanten und Service Provider berücksichtigen: Beim Thema Sicherheit müssen Unternehmen auch ihre Verflechtungen mit Kunden, Lieferanten oder Service Providern berücksichtigen. Sie sollten sorgfältig prüfen, welche Daten mit Externen geteilt werden müssen und wie das am sichersten möglich ist.

Informationssicherheit wie andere Geschäftsrisiken behandeln: Aufgrund der existenziellen Bedeutung sollten Unternehmen die IT- und Informationssicherheit genauso wie andere Geschäftsrisiken behandeln und deshalb als festen Bestandteil in ihr Risikomanagement und ihre Geschäftsprozesse aufnehmen.

Sicherheitsmaßnahmen regelmäßig überprüfen: Gefahren und Risiken für geschäftskritische Informationen ändern sich. Die Sicherheitsstrategie muss deshalb regelmäßig auf den Prüfstand.

Informationssicherheit zur Chefsache machen: IT- und Informationssicherheit sind keine rein technische Angelegenheit mehr. Das Thema sollte deshalb im Unternehmen auf höchster Ebene aufgehängt sein.

Mitarbeiter einbinden: Informationssicherheit ist ein „People Business“ und erfordert permanente Aufmerksamkeit des gesamten Unternehmens. Eine entscheidende Rolle spielen die Mitarbeiter. Sie benötigen verbindliche Regeln und Handlungsempfehlungen für den Umgang und den Zugang zu den Geschäftsinformationen.

Sich mit anderen austauschen: Die meisten Unternehmen stehen beim Thema Sicherheit vor sehr ähnlichen Herausforderungen. So wie sie über eine Supply Chain miteinander verbunden sind, sollten sich Unternehmen deshalb regelmäßig zu Fragen der Informationssicherheit austauschen. Das ist keine Schwäche, sondern langfristig eine Stärke.

Wahrscheinlichkeit und Konsequenzen des Verlusts verschiedener Informationstypen abschätzen

Außerdem müssen sie abschätzen, wie wahrscheinlich der Verlust einzelner Informationen ist und welche Folgen dies hätte. Welcher Geschäftsbereich wäre von einem Verlust, kurz- oder langfristiger Nichtverfügbarkeit oder einer nicht beabsichtigten Veröffentlichung wie betroffen? Diese Überlegungen dürfen nicht an der Firmengrenze halt machen, sondern müssen auch die Supply Chains einbeziehen: Wie sehen die Informationsverflechtungen aus? Welche Informationen werden mit wem geteilt, wer hat potenziell Zugriff und wer muss unbedingt darauf zugreifen können und wer nicht? Abhängig von der Branche oder der Art der Geschäftspartner kann das Risiko für unterschiedliche Informationstypen stark variieren.

Ein solcher informationszentrierter Ansatz macht es Unternehmen einfacher, die besonderen Charakteristika der Datensicherheit in ihrem „Supply Net“ zu identifizieren und die Sicherheit ihrer Informationen nach und nach immer weiter zu verbessern. Mit einem genauen Verständnis über ihren Status-quo und ihre Informationsverflechtungen können sie eine wirksame Strategie für den Umgang mit ihren individuellen Risiken umsetzen. Dazu gehört beispielweise die Implementierung verschiedener Standards wie ISO/IEC 27002, ISO/IEC 27036 oder der Standard of Good Practice (SOGP) des Information Security Forums.

Bei allen Bemühungen dürfen Unternehmen eines nicht aus den Augen verlieren: Einen hundertprozentigen Schutz gibt es nicht. Es existieren einfach zu viele Unwägbarkeiten im weitverzweigten Netz von Lieferanten, Kunden und Partnern, in dem Unternehmen heute miteinander verbunden sind. Sie sollten stattdessen versuchen, ihre Widerstandfähigkeit zu erhöhen, damit ein Zwischenfall möglichst geringe Folgen für die Organisation und die laufenden Geschäftsprozesse hat. MM

* Steve Durbin ist Managing Director des Information Security Forum in SE1 1SZ London (UK), Tel. +44 (0) 20 72 12 11 73, steve.durbin@securityforum.org

(ID:42827465)