Je digitalisierter Prozesse und Produkte werden, desto stärker sind Unternehmen den Gefahren aus dem Cyberspace ausgesetzt. Das betrifft zunehmend auch Branchen wie die Automobil-, Konsumgüter-, Chemie- oder Luftfahrtindustrie. Um Daten und Infrastruktur adäquat zu schützen, bedarf es daher immer mehr Ressourcen. Zu diesem Ergebnis kommt die neue Studie von Roland Berger Strategy Consultants mit dem Titel "Cyber-Security: Managing threat scenarios in manufacturing companies".
"Hackerangriffe zu bewältigen ist sehr problematisch, da oft verschiedene Bereiche der Wertschöpfungskette eines Unternehmens gleichzeitig angegriffen werden", erklärt Roland Berger-Partner Manfred Hader. Klassische IT-Sicherheitsbereiche hätten aber meist nur die Business IT im Blick, wie etwa Kommunikationssysteme oder Geschäftsanwendungen. Firmen sollten daher die Problematik der Cyber Security ganzheitlich angehen, so Hader.
Foto: Roland Berger Strategy Consultants
Mit dem in der Studie vorgestellten "Roland Berger Cyber Security Approach" sollen Unternehmen den Überblick über die Bedrohungslage zurückgewinnen und vorhandene Strukturen, Prozesse und Systeme stetig weiterentwickeln, um bestehende Sicherheitssysteme kontinuierliche an die möglichen Bedrohungen anzupassen. Eine wichtige Rolle spielt die Übertragung klassischer ISMS (Informationssicherheits-Management-Systeme) auf Nicht-IT-Bereiche und die Sensibilisierung der Mitarbeiter.
Fünf Schritte zur Security-Strategie
Damit es gar nicht erst soweit kommt, dass Unternehmen einen erfolgreichen Angriff beklagen müssen, empfehlen die Berater fünf wesentliche Faktoren zu berücksichtigen:
Ziele und Prioritäten setzen: In jedem Unternehmen sind viele mögliche Angriffspunkte vorhanden. Diese gilt es zu identifizieren und anschließend auch zu priorisieren - seien es sensible Daten, Systeme, Produkte, Prozesse, Know-how, Prozesswissen oder Patente. Diese Aufgabe muss durch das Management erfolgen.
Mögliche Bedrohungsszenarien definieren: Im zweiten Schritt sollten Firmen für die kritischen Bereiche, die Schutz benötigen, mögliche Bedrohungsszenarien bestimmen und bereits vorhandene Schutzmaßnahmen eruieren.
Potenzielle Schäden bestimmen: Welcher Schaden droht, wenn ein Angriff Erfolg hat? Ist dieser objektiv bezifferbar? Was ist mit möglichen Reputationsschäden?
Handlungsoptionen vergleichen: Welche Risikolücken sind akzeptierbar - wo liegen die Kosten für die Absicherung über dem Nutzen? Anhand dieser Kosten-Nutzen-Analyse werden bestimmte Sicherheitskonzepte definiert.
Cyber Security in der gesamten Wertschöpfungskette verankern: Unternehmen sollten bereichsübergreifende Security planen. Auch die Mitarbeiter sind frühzeitig mit einzubeziehen und sollten über mögliche Attacken offen informiert werden.
Roland Berger weist darauf hin, dass auch die Stakeholder mit in die Security-Überlegungen einzubeziehen sind. Sowohl Geschäfts- als auch Privatkunden entscheiden zunehmend nach dem Status des Datenschutzes. Wie steht es um die Security-Strategie meines Anbieters? Wie um die meines Zulieferers? Auch Versicherungen erhöhen ihr Engagement sowohl mit spezifischen Cyberschutz-Produkten als auch beim generellen Blick auf Industrierisiken.
Die Studie "Cyber-Security: Managing threat scenarios in manufacturing companies" können Sie bei Roland Berger auf der Website herunterladen.
- 1. Verfügt der Anbieter über eine definierte Strategie für das Risk Management?
Verfügt er über keine Strategie, wird sich ein Investment kaum lohnen. Hat er doch eine, die allerdings eher zweifelhaft ist, macht ein Auftrag ebenfalls keinen Sinn. - 2. Verfügt der Anbieter über ein (aktuelles) Regelwerk, Organisationsstrukturen, Vorgaben und Maßnahmen für die Umsetzung dieser Strategie?
Wenn die Führung einer Organisation die Cyber-Sicherheit nicht als Priorität ansieht, dann wird das auch die Belegschaft nicht tun. Anders, wenn Security integraler Bestandteil der Unternehmens-DNA ist. - 3. Welche Verwaltungsstrukturen belegen, dass der Anbieter seine Sicherheitsstrategie ernst nimmt? Gibt es einen gesonderten Ausschuss oder andere überwachende Stellen?
Je ranghöher die Mitglieder eines solchen Ausschusses besetzt sind, desto mehr können Sie darauf vertrauen, dass es sich nicht nur um Lippenbekenntnisse handelt. - 4. Wie stellt der Anbieter sicher, dass die Sicherheit integraler Bestandteils seines Angebotes ist, wie ist der Vorstand darin eingebunden und wie kann er zur Rechenschaft gezogen werden?
Tragen bestimmte Vorstände persönliche Verantwortung für die Umsetzung der Sicherheitsstrategie beim Kunden? - 5. Welchen Ansatz verfolgt der Anbieter, um die Umsetzung der Sicherheitsstrategie in all seinen Unternehmensteilen sicherzustellen? Wie wird er angewendet?
Ist die Sicherheitsstrategie des Anbieters nur bei einigen wenigen Stellen konzentriert, kann sie nicht Teil der Unternehmens-DNA sein. - 6. Welche Unterstützung erfährt die Sicherheitsstrategie im Unternehmen des Anbieters? Stehen auch die letzten regionale Außenstellen hinter ihr?
Trägt jeder Teil des Anbieters zur Umsetzung der Sicherheitsstrategie bei oder wird dies durch ein spezielles Team verantwortet? Im zweiten Falle kann die Verantwortung leicht abgeschoben werden. - 7. In jeder Firma treten Sicherheitsvorfälle auf. Wie ist der Anbieter in der Vergangenheit damit umgegangen und was wurde daraus gelernt?
Hat sich das Management nicht mit diesen Vorfällen befasst, dann kann Security auch kein integraler Bestandteil des Unternehmens sein. - 8. War die IT des Anbieters jemals Opfer einer Cyberattacke? Wenn ja: Was wurde daraus gelernt?
Der Anbieter sollte die Anwendung seiner eigenen Medizin in seiner Organisation demonstrieren können. - 9. Unterstützt der Provider in seiner Sicherheitsstrategie international anerkannte Standards? Welche Standardisierungsgremien wachen über deren Einhaltung?
Erst wenn stets die neuesten Standards übernommen werden, lässt sich von einer Sicherheitsstrategie "up-to-date" sprechen. - 10. Wie erfolgt die Identifikation neuester Standards und Vorgaben? Welche Maßnahmen werden ergriffen, um mögliche Konflikte mit bestehenden Gesetzen und Vorgaben zu lösen und immer auf dem Stand zu sein?
Der Anbieter sollte über ein definiertes Verfahren verfügen, um neue Standards zu überprüfen und rechtliche Konflikte auszuschließen. - 11. Verfügt der Anbieter über geeignete Stellen oder ein Team, um die neusten Standards zu unterstützen – inklusive und insbesondere Kryptografie?
Neben der Verschlüsselung sollte auf die Prozess-Standards der ISO 27000-Serie sowie Industriestandards wie X.805, PCI und OWASP geachtet werden. - 12. Was tut der Anbieter, um gesetzliche Vorgaben und Bestimmungen zur Cybersicherheit in all den Ländern, in denen er agiert, zu verstehen und umzusetzen? Wie fließen diese in seine Produkte und Services ein?
Der Anbieter muss zeigen können, wie er auf teilweise widersprüchliche Gesetze in den verschiedenen Ländern reagiert. - 13. Wie stellt der Anbieter sicher, dass sein Angebot gesetzeskonform ist? Was, wenn dies einmal nicht der Fall ist? Gibt es Aussagen des Providers über seine Beziehung zu Regierungen?
Können sich die verschiedenen Länderteams beim Gesamtmanagement Gehör verschaffen? Nimmt das Management Rücksicht auf Gesetze? - 14. Wie stellt der Anbieter sicher, dass sein Angebot mit den gesetzlichen Exportbestimmungen d'accord geht? Etwa im Falle von starker Kryptografie gibt es Ausfuhrverbote.
Der Anbieter muss integrale Prozesse vorweisen können, um auch hier sicherzustellen, dass die gesetzlichen Bestimmungen ausreichend Berücksichtigt werden. - 15. Wie steht es um den Umgang mit geistigem Eigentum?
Der Anbieter muss definierte Vorgaben für den Umgang mit geschützten Inhalten vorweisen können, die auch ethnische und regionale Unterschiede in Betracht ziehen. - 16. Wie stellt der Anbieter sicher, dass seine lokalen Vertriebsteams nur Produkte und Services anbieten, die im jeweiligen Land gesetzeskonform sind?
Vertriebler wollen verkaufen und betrachten dabei Gesetze und Vorgaben oft als lästig. Es braucht stringente unternehmensinterne Regeln, um diese Teams auf die jeweils gültigen Regeln einzuschwören. - 17. Wie stellt der Anbieter sicher, dass abgeschlossene Verträge die jeweils geltenden Gesetze berücksichtigen?
Vertragswerke sind in der Regel sehr komplex, dennoch muss ein Verfahren bestehen, mit dem sie auf ihre "Wasserdichtheit" bezüglich der jeweils geltenden Gesetze überprüft werden können. - 18. Kaum ein Service beziehungsweise Software kommt ohne Bestandteile von Dritten aus. Wie stellt der Anbieter sicher, dass diese ebenfalls allen gesetzlichen Bestimmungen entsprechen?
Der Anbieter muss Kontrollmechanismen vorweisen können, um etwa Lizenzkonflikte auszuschließen. - 19. Wird auch das Management-Team des Anbieters in Sachen Cyber Security geschult? Erhalten sie regelmäßige Updates und Trainings?
Solange das Management – und hier besonders das mittlere Management – keine Vorbildfunktion einnimmt, werden auch die Angestellten eine laxe Haltung der Sicherheit gegenüber einnehmen. - 20. Hat der Anbieter besonders sensible Posten identifiziert, also Stellen, an denen besonders auf Risiken geachtet werden muss?
Jeder Mitarbeiter des Anbieters, der auf Ihr System und Ihre Daten Zugriff hat, muss ganz besonders geschult werden, um seiner Verantwortung gerecht werden zu können. - 21. Wie werden diese sensiblen Stellen überprüft und überwacht? Wird der Background der betreffenden Person gecheckt? Wie können Sie eine möglicherweise unsichere Person schnell loswerden?
Interne Gefahren sind größer als externe, Sie müssen sowohl darauf vorbereitet sein als auch darauf reagieren können. - 22. Welche Schulungsmaßnahmen werden für sensible Stellen angeboten? Wie wird die Teilnahme daran überprüft?
Wenn das Wissen der entscheidenden Mitarbeiter nicht "up-to-date" ist, gehen Sie ein hohes Risiko ein. - 23. Hat der Anbieter Regeln für die Fortbildung der sensiblen Stellen aufgestellt?
Kritische Posten müssen definierte Prozesse der Fortbildung durchlaufen. - 24. In vielen Ländern gibt es Gesetze gegen Bestechung und Korruption. Sind die Mitarbeiter in diesem Hinblick auf dem jeweils neusten Stand?
Der Anbieter muss standardisierte Verfahren vorweisen können, mit denen Mitarbeiter die Gesetzeslage nahe gebracht wird. - 25. Kann der Anbieter Mechanismen vorweisen, mit denen Mitarbeiter das Management auf etwaige Regelverstöße aufmerksam machen kann?
Die Mitarbeiter, nicht das Management, haben den Finger am Puls des Kunden und spüren als erstes, wenn etwas schief läuft. Es muss dezidierte Abläufe für Alarmrufe an das Management geben. - 26. Was macht der Anbieter, wenn ein wichtiger Mitarbeiter das Unternehmen verlässt?
Mitarbeiter haben oft jede Menge Erfahrungen gesammelt – profitiert der Anbieter davon, auch wenn der Mitarbeiter das Unternehmen verlässt, etwa dadurch, dass er ihn abschließend befragt? Auch hier sollte es festgelegte Mechanismen geben. - 27. Welche definierten Strafmaßnahmen hat der Anbieter für Mitarbeiter vorgesehen?
Wie will der Anbieter gegen Mitarbeiter vorgehen, die wissentlich gegen die Vorgaben und Regularien zur Cybersicherheit verstoßen haben? - 28. Beziehen die Strafmaßnahmen auch die Vorgesetzten mit ein?
Verstöße sollten erst gar nicht passieren, da das Management seine Mitarbeiter streng überwachen sollte. Bei Vorfällen sollten sich diese übergeordneten Stellen nicht aus der Verantwortung stehlen können. - 29. Gibt es standardisierte Vorgaben für den Entwicklungsprozess, die auf die Einhaltung von Cyber-Security-Richtlinien abzielen?
Der Anbieter muss ein Regelwerk vorlegen können, um sichere Entwicklungsprozesse gewährleisten zu können. Hier gibt es keinen globalen Standard, jedes Unternehmen muss seine eigenen Prozesse definieren. - 30. Wie ist die Sicherheit im Entwicklungsprozess verankert und wie reagiert sie auf eine wandelnde Bedrohungslage? Wie unterscheidet der Anbieter zwischen zwingenden und eher lässlichen Maßnahmen?
Der Anbieter muss belegen können, dass sein Sicherheitskonzept dynamisch und fest im Entwicklungsprozess integriert ist. - 31. Kunden aus aller Welt haben unterschiedliche, manchmal widersprüchliche Ansprüche an die Sicherheit. Verfügt der Anbieter über ein Portfolio integrierter Prozesse, die den unterschiedlichen Interessen Rechnung trägt?
Jedes Land hat andere Gesetze – unflexible Prozesse sind nicht in der Lage, darauf adäquat zu reagieren. - 32. Verfügt der Anbieter über ein Life-Cycle-Management für seine Produkte in Hinblick auf die Sicherheit? Wenn ja, wie ist dieses definiert?
Wie schließt der Anbieter Konflikte zwischen Sicherheitsanforderungen und gewünschten Funktionen über den gesamten Lifecycle hinweg aus? - 33. Kann Ihr Anbieter detailliert darlegen, wie sein Produkt weiterentwickelt und damit verbessert werden kann? Sind Reviews, Sicherheitschecks und Ausschlusskriterien vordefiniert?
Software kann sehr komplex sein, ihre Weiterentwicklung muss in einem eng gesteckten Rahmen erfolgen, sonst wird sie leicht überladen und kontraproduktiv. - 34. Software besteht oftmals aus vielen verschiedenen Programmen von verschiedenen Herstellern. Wie garantiert der Anbieter, dass sie alle sicher sind?
Ungeprüfte Unterprogramme von Dritten können ein System behindern oder gar lahmlegen, von der mangelnden Sicherheit ganz abgesehen. - 35. Mittels eines Konfigurations-Managements wird das ordentliche Zusammenspiel verschiedenen Programme gewährleistet. Dafür gibt es unterschiedliche Ansätze. Wie sieht der Ihres Anbieters aus?
Der Anbieter sollte die Integration einer neuen Software in das bestehende System demonstrieren können. - 36. Die Trennung von Aufgaben ist unumgänglich, um Bedrohungen zu begrenzen und Schäden auszuschließen. Wie spiegelt sich das im Entwicklungsprozess insbesondere bei der Arbeit der Entwickler wider?
Es gilt, interne Gefahren einzudämmen, indem nicht zu viel Verantwortung in eine Hand gelegt wird. - 37. Oftmals wird Code von Drittanbietern in eigene Programme integriert – wie genau wird dies überprüft?
Die Software Ihres Anbieters mag konfliktfrei und sicher sein – stimmt dies aber auch für alle fremden Teile? - 38. Open-Source-Software und andere Programme können oft kostenfrei von diversen Websites bezogen werden – wie stellt der Anbieter sicher, dass diese Trojaner-frei ist?
Die Qualitätskontrolle muss auch auf Software von Dritten angewandt werden. - 39. Mit welchen Mechanismen wird Code von Dritten auf Schwachstellen hin überprüft?
Wie sieht die Qualitätskontrolle konkret aus? - 40. Wie stellt der Anbieter sicher, dass gefundene Fehler überall ausgemerzt werden, wo sich die betreffende Software im Einsatz befindet?
Guter Code findet sich oft in vielen Bereichen eines Systems – ein Fehler darin muss methodisch und überall behoben werden. - 41. Kommen verschiedene Entwicklungssprachen und -werkzeuge zum Einsatz?
Im Laufe des Bestehens eines Unternehmens sammeln sich viele verschiedene Programme an – mit welchen Mitteln stellt der Anbieter sicher, dass sie alle auf ihre Sicherheit hin überprüft werden? - 42. Welchen Ansatz verfolgt der Anbieter, um den gesamten Entwicklungsprozess von Anfang bis zum Ende zu dokumentieren, inklusive aller Open-Source-Bestandteile und anderer Software von Dritten?
Ohne genauen Überblick über alle eingesetzten Komponenten kann die Fehlersuche Tage oder gar Wochen dauern. In dieser Zeit können Sie das Angebot nicht nutzen. - 43. Ausgefeilte Programme bestehen aus Millionen von Code-Zeilen. Mit welchem Verfahren werden sie im Rahmen des Entwicklungsprozesses überprüft?
Automatisierte Programme und Werkzeuge sollten für eine dynamische und permanente Überprüfung des Systems sorgen. - 44. Welche Verfahren setzt der Anbieter ein, um ein Produkt als "marktreif" freizugeben?
Ihr Anbieter sollte Ihnen garantieren können, dass sein Produkt nicht nur zu 95 sondern zu 100 Prozent marktreif ist. - 45. Im Leben einer Software treten immer wieder mal Defekte auf – wie werden diese entdeckt und ausgebessert?
Sie wollen sich nicht immer aufs Neue mit einem bekannten Problem herumschlagen. Wie stellt der Anbieter sicher, dass ein Defekt ein und für alle mal aus dem System verschwindet? - 46. Wie belegt der Anbieter seine Kompetenz in Sachen Cybersicherheit? Gibt es dafür etwa ein Competence-Center?
Niemand kann Experte für alles sein. Es muss unter den Entwicklern spezielle Personen für die Sicherheit von Codes geben. - 47. Die Bedrohungslage ändert sich ständig. Wie reagiert der Anbieter darauf?
Nicht nur bekannte Gefahren gilt es abzuwehren, auch für künftige müssen Sie gewappnet sein. Wie will dies der Anbieter garantieren? - 48. Mit welchen Mitteln arbeiten die Sicherheitsmechanismen des Anbieters? Hat er eine Datenbank der bekannten Bedrohungen aufgebaut oder eine Bibliothek für durchgeführte Tests?
Für jeden Prozess ihres Anbieters sollte es eine Reihe von integrierten Plattformen geben. - 49. Wie sieht das Release Management Ihres Anbieters aus? Wird eine Anwendung oder ihre Überarbeitung gleichzeitig an alle Kunden in allen Ländern ausgegeben oder gibt es andere Mechanismen?
Hier gibt es kein "richtiges" Modell, Sie müssen einfach überprüfen, ob das Release Management Ihres Anbieters zu Ihnen passt. - 50. Gibt es zusätzlich zum Expertenteam im Entwicklungsbereich ein Cyber Security Laboratory, das Software unabhängig und noch vor dem Marktstart auf Herz und Nieren überprüft?
Entwickler haben ihre eigene Sicht der Dinge – erst eine unabhängige Instanz sorgt für ausreichend Objektivität. - 51. Können die Entwickler oder das Marketing des Anbieters Weisungen dieses Cyber Security Laboratory ignorieren?
Der unabhängigen Testinstanz muss ein Vetorecht zugebilligt werden. - 52. Führt das Laboratory Penetrationstests sowie statische und dynamische Code-Scans durch, um die Sicherheit zu gewährleisten?
Welche Methoden kommen zum Einsatz, um die Produkte des Anbieters wasserdicht zu halten? - 53. Gibt es externe und unabhängige Einrichtungen, die die Sicherheit der Produkte des Anbieters überprüfen?
Ein gewisser Wettbewerb zwischen interner und externer Kontrollinstanz gewährt ein Plus an Sicherheit. - 54. Können Anwender die Produkte des Anbieters in ihren eigenen Test-Centern überprüfen?
Je offener Ihr Anbieter Ihnen gegenüber auftritt, umso sicherer können seine Produkte werden. - 55. Würde Ihr Anbieter Ihnen oder anderen Kunden erlauben, ein unabhängiges Testlabor mit der Überprüfung seines Codes zu beauftragen?
Je offener Ihr Anbieter Ihnen gegenüber auftritt, umso sicherer können seine Produkte werden. - 56. Falls ja: Besteht der Anbieter auf die Ersteinsicht in die Ergebnisse der Überprüfung durch ein unabhängiges Testlabor?
Erhalten Sie von dem unabhängigen Testlabor einen ungeschminkten Ist-Bericht oder will der Anbieter diesen schönen? - 57. Hat Ihr Anbieter Einfluss auf die Untersuchungsmethoden des unabhängigen Testlabors?
Kennt ihr Anbieter die eingesetzten Untersuchungsmethoden, dann kann er sich dafür präparieren. - 58. Welche Mechanismen stellen sicher, dass von unabhängigen Testlaboren gefundene Fehler an das Entwicklerteam zurückgemeldet und behoben wird?
Fehlerreports dürfen nicht einfach in der Ablage P oder einer Schublade landen. - 59. Darf ein unabhängiges Testlabor die bereinigte Software neuerlich überprüfen?
Vermeintlich "gesäuberte" Software ist nur vermeintlich sicher – sie muss neuerlich überprüft werden. - 60. Lernt der Anbieter aus den von einem unabhängigen Testlabor gefundenen Fehlern und sammelt er systematisch Erkenntnisse?
Fehler (und Lösungen) müssen systematisch gesammelt werden, damit sie in Zukunft ausgeschlossen werden können. - 61. Wie hält es der Anbieter mit der Sicherheit in den Produkten seiner Zulieferer (Hardware, Software, Services)?
Wie garantiert Ihr Anbieter, dass alle von Zulieferern bezogenen Produkte Ihren Sicherheitserwartungen entsprechen? - 62. Welche Sicherheitsanforderungen stellen diese Zulieferer an ihre Zulieferer?
Hier wird es schnell unübersichtlich: Zertifikate können dabei helfen, die Produkte von Zulieferern der Zulieferer als sicher zu behandeln. - 63. Hat der Anbieter einen Katalog über Sicherheitsanforderungen an seine wichtigsten Zulieferer formuliert?
Zulieferer müssen wissen, was von ihnen in Sachen Sicherheit erwartet wird. - 64. Wie gedenkt Ihr Anbieter die Einhaltung dieser Sicherheitsanforderungen zu überprüfen? Kommen Scorecards oder andere Metriken zum Einsatz?
Zulieferer kommen und gehen – es muss eine davon unabhängige und festgeschriebene Methode zur Überprüfung der Einhaltung des Maßnahmenkatalogs vorgesehen sein. - 65. Gibt es ein definiertes Berichtswesen für etwaige später gefundene Fehler in Produkten von Zulieferern?
Immer wieder treten in Anwendungen erst nach einiger Zeit Probleme auf. Ihr Anbieter muss darüber schnellstmöglich informiert werden, so dass er Sie schützen kann. - 66. Welche Maßnahmen gedenkt Ihr Anbieter zu ergreifen, wenn ein Zulieferer nicht mehr Ihren Sicherheitsansprüchen genügt?
Ein Zulieferer muss dazu gebracht werden können, Sicherheitsüberprüfungen durchzuführen und Maßnahmen zu verbessern. Ist dies aus welchen Gründen auch immer nicht möglich, müssen weitere Maßnahmen greifen. - 67. Hält sich Ihr Anbieter an international gültige Bestimmungen wie Trade Partnership Against oder Transported Asset Protection Association (TAPA)? Ist er dafür zertifiziert?
In verschiedenen Ländern gelten verschiedene Standards – Ihr Anbieter sollte eine wirklich große Palette an unterstützten Protokollen vorweisen können. - 68. Führt Ihr Anbieter regelmäßig Sicherheits-Audits bei seinen Zulieferern durch? Worauf achtet er dabei? Wie wird auf gefundene Schwachstellen reagiert?
Ein kollaborativer Ansatz kann Ihnen, Ihrem Anbieter und seinen Zulieferern helfen, Produkte sicherer zu machen. - 69. Welche Standards und Best Practices kommen bei Ihrem Anbieter im Fertigungsprozess zum Einsatz?
In der Fertigung kommen viele komplexe Prozesse und Verfahren zum Einsatz. Ihr Anbieter sollte einen holistischen Ansatz dafür darlegen können, in dem die besten international gültigen Standards und Ansätze versammelt sind. - 70. Ihr Anbieter muss den Fertigungsprozess von Anfang bis Ende beschreiben können und angeben, an welchen Kontrollinstanzen schad- oder fehlerhafte Codes aussortiert bzw. repariert werden.
Treten Anwendungsfehler im Betrieb auf, müssen die betreffenden Teile separiert und geprüft werden, bevor sie zurück ins System gespielt werden. - 71. Wie stellt der Anbieter sicher, dass die von ihm eingesetzten Codes von Dritten auch tatsächlich die Codes sind, die er bestellt hat?
Ihr Anbieter sollte keinem seiner Zulieferer Vertrauen schenken, sondern auf Nummer Sicher gehen. - 72. Wie stellt der Anbieter sicher, dass die von ihm eingesetzten Codes von Dritten nicht von eigenen Mitarbeitern verändert werden?
Wieder gilt es, die internen Gefahren im Haus des Anbieters zu minimieren. - 73. Wie schützt der Anbieter seine Software nach deren Vollendung vor Manipulationen?
Fertige, aber noch nicht eingesetzte Produkte bieten ideale Möglichkeiten für Manipulationen. Wie schützt sich der Hersteller dagegen in seinen Fabriken und Lagerhallen? - 74. Wie stellt Ihr Anbieter sicher, dass das Produkt, das Sie erhalten, identisch ist mit dem, was er Ihnen zuvor demonstriert hat?
Logistikströme müssen überwacht und vor Manipulationen geschützt sein. - 75. Wie stellt Ihr Anbieter sicher, dass die von ihm in seinen Produkten eingesetzten Komponenten immer auf dem neusten Stand sind?
Software ist oft fehlerhaft und braucht Updates. Der Einsatz der jeweils neusten Releases minimiert das Fehlerrisiko. - 76. Wie stellt Ihr Anbieter sicher, dass die bei Ihnen eingespielte Software exakt diejenige ist, die von seinem Entwicklerteam freigegeben wurde?
Ihr Anbieter muss eine lückenlose End-to-End-Integration demonstrieren können. - 77. Wie stellt Ihr Anbieter sicher, dass keiner seiner Mitarbeiter während des Fertigungsprozesses Malware in die Software einschleust?
Gerade während der Fertigung braucht Software besonderen Schutz. Eine Monitoring-Lösung sollte den Zugriff von Unautorisierten verhindern. - 78. Wie stellt Ihr Anbieter sicher, dass nach angeschlossener Produktion alle Verbindungen von seinen Mitarbeitern zur Software gekappt wurden?
Offene Ports erlauben es, auch noch nachträglich Manipulationen am fertigen Produkt vorzunehmen. - 79. Ist Ihre Software während des Fertigungsprozesses anonymisiert?
Ein Produkt, das einem Abnehmer fix zugeordnet ist, lädt zu Angriffen auf eben diesen spezifischen Abnehmer ein. Anonymisierte Software minimiert dieses Risiko. - 80. Wie stellt Ihr Anbieter sicher, dass das Produkt nicht manipuliert wurde, falls das Produkt "ungebraucht" an den Anbieter zurückgegeben wird?
Wieder muss Ihr Anbieter beweisen können, dass er niemandem traut – noch nicht einmal Ihnen! - 81. Sollten Sie Ihr Produkt einmal etwa wegen eines Fehlers zurückgeben müssen, wie stellt der Anbieter sicher, dass dabei keine Ihrer Daten mit übernommen werden?
Oft handelt es sich um Kundendaten, und die dürfen schon aus datenschutzrechtlichen Gründen nicht weitergegeben werden, natürlich auch nicht an Ihren Software-Anbieter. - 82. Wie stellt Ihr Anbieter sicher, dass eine "gefixte" Software frei von Malware ist und dass es sich tatsächlich um die Software handelt, die sie zur Reparatur eingeschickt haben?
Auch beim Beheben von Fehlern darf der Anbieter von seinem Konzept der absoluten Überwachung nicht abweichen. - 83. Wie genau werden alle Komponenten einer Software überwacht, sei es bei der Fertigung oder während einer Reparatur? Wer wann und wo wie Zugriff hat, muss genau dokumentiert sein.
Die Sicherheit einer Software kann nur durch eine lückenlose Überwachung und Dokumentation gewährleistet werden. - 84. Wie erhalten die Service-Mitarbeiter Ihres Anbieters Zugang zum Produkt?
Auch die von Ihnen eingesetzte Software benötigt Wartung – Sie dürfen aber die Kontrolle über den Zugang dazu nie verlieren. - 85. Welche Schutzmechanismen hat Ihr Anbieter für die Service-Zugänge installiert?
Der Anbieter muss Richtlinien und Verfahren vorweisen können, wie die Zugangsdaten geschützt sind und was mit Ihnen nach Beendigung der Wartung passiert. - 86. Wie sind die PCs und Laptops der Mitarbeiter Ihres Anbieters abgesichert? Können sie eigene Software aufspielen?
Sind die Rechner der Mitarbeiter verseucht, besteht auch höchste Gefahr für Ihre Anwendung und Ihre Daten. - 87. Wie stellt Ihr Anbieter sicher, dass seine Mitarbeiter immer die korrekte Software einsetzen?
Produkte für Unternehmenskunden sind oft sehr komplex, Teile davon benötigen Updates etc. Ihr Anbieter muss nachweisen können, dass stets die aktuelle Version bearbeitet wird. - 88. Wie will Ihr Anbieter Ihnen garantieren, dass die Service-Mitarbeiter keine Malware in Ihr Produkt einschleusen?
Hier müssen Methoden installiert sein, um das Korrumpieren Ihres Produkts zu verhindern. - 89. Ihr Anbieter muss Ihnen sein Sicherheitskonzept bis ins Detail darlegen und Komponenten daraus - wie etwa Firewalls - demonstrieren können.
Auch alle Hardware-Komponenten müssen abgesichert werden. - 90. Wenn Ihr Anbieter für die Problembehandlung mit Ihren Kundendaten umgehen muss, holt er dafür die Erlaubnis des Kunden ein? Wie stellt er sicher, dass mit den Daten sorgsam umgegangen wird?
Es muss Vorschriften und Regeln über den Umgang mit Kundendaten geben, diese muss man Ihnen vorlegen können. - 91. Welche Regeln gelten, wenn für das Beheben von Problemen Kundendaten über Landesgrenzen hinweg versendet werden müssen?
Sie müssen sich mit Ihrem Anbieter auf Vorgaben einigen, was in diesem Fall erlaubt ist und was nicht. Bedenken Sie dabei immer die Datenschutzrichtlinien der betreffenden Länder. - 92. Was passiert mit den verschobenen Daten nach der Behebung des Problems?
Auch für das Löschen von Daten müssen automatisierte Methoden vorliegen, diese muss man Ihnen demonstrieren können. - 93. Für das Finden von Fehlern sind Überwachungsprotokolle essentiell – wie stellt Ihr Anbieter sicher, dass in diesen wirklich alle relevanten Daten erfasst werden?
Hier sollten industrieweit anerkannte Überwachungsprotokolle zum Einsatz kommen. - 94. Sie benötigen Ihren Anbieter ganz besonders in Krisenzeiten – wie wird Ihnen Ihr Anbieter im Falle von Naturkatastrophen oder Systemausfällen beistehen? Fordern Sie konkrete Beispiele und konkrete Hilfestellungen ein.
Business Continuity muss neben der Sicherheit ganz oben auf der Prioritätenliste Ihres Anbieters stehen. - 95. Verfügt Ihr Anbieter über ein Kriseninterventionsteam (PSIRT/CSIRT)? Wo ist es ansässig und wie können Sie es schnellstmöglich erreichen? Wie laufen im Notfall die Prozesse ab?
Vorkonfigurierte Prozesse und ein jederzeit erreichbares Kriseninterventionsteam minimieren den Schaden. - 96. Wie arbeitet das Kriseninterventionsteam Ihres Anbieters mit Ihrem eigenen Kriseninterventionsteam zusammen? Gibt es eine zentrale Stelle, die gegebenenfalls die Kommunikation koordiniert?
Ihr Anbieter sollte sich als flexibel genug erweisen, um mit Ihnen beziehungsweise Ihrem Team auch im Krisenfall reibungslos zusammenarbeiten zu können. - 97. Arbeitet Ihr Anbieter mit der Security Research-Community zusammen?
Ihr Anbieter muss sich als lernfähig erweisen und in Sachen Sicherheitsbedrohungen auf dem jeweils neusten Stand sein. - 98. Wie werden Sie im Krisenfall informiert?
Treten Probleme auf, zählt jede Sekunde. Stellen Sie sicher, dass es vorkonfigurierte Kommunikationskanäle vom Anbieter zu verantwortlichen Stellen in Ihrem Unternehmen gibt. - 99. Welche Vorschriften und Methoden hat Ihr Anbieter eingerichtet, damit sein Management-Team und der Vorstand schnellstmöglich über interne Vorfälle und die allgemeine Sicherheitslage informiert werden?
Je mehr Feedback die Konzernspitze Ihres Anbieters über die eigene Sicherheitslage erhält, umso vertrauenswürdiger ist er. - 100. Erlaubt Ihr Anbieter seinen wichtigsten Anteilseignern und anderen externen Stellen ein Audit seiner Prozesse?
Je offener ein Anbieter für Untersuchungen und Expertisen von Dritten ist, desto wahrscheinlicher ist sein Unternehmen ein sicheres.