Live aus dem Cyberwar

Security: Wenn Partner schlampig sind

Cybersecurity
17.02.2023

Sie machen bei der IT-Security in Ihrem Unternehmen alles richtig? Großartig! Nur dumm, wenn dann ein Partner- oder Subunternehmen Mist baut und Sie oder Ihre Kunden dadurch zu Schaden kommen. Doch es gibt Wege, auch kleinen Partnern auf die Finger zu schauen.

Schlampiger Geschäftspartner

Gäbe es ein Ranking der unbeliebtesten Unternehmen Österreichs, wäre ich nicht überrascht, wenn die ORF-Tochter Gebühren Info Service (GIS) einen Spitzenplatz besetzen würde. Jetzt dürfte die GIS noch weiter in der Gunst der Bürgerinnen und Bürger sinken – und zwar aufgrund eines gewaltigen Datenlecks, bei dem die personenbezogenen Daten fast aller Österreicherinnen und Österreicher offen zugänglich im Internet standen. Vor Kurzem wurde ein Hacker in den Niederlanden festgenommen, der auf die rund neun Millionen Datensätze gestoßen war und diese zum Kauf anbieten wollte. Die Behörden kamen einem möglichen Käufer zuvor, doch der Imageschaden für die GIS ist wohl enorm. Dabei trägt die GIS offenbar keine Schuld an der Datenpanne, denn es war ein von ihr beauftragtes IT-Unternehmen, das fahrlässig mit den GIS-Datensätzen umgegangen war. Es hatte diese 2020 für einen Test wahrscheinlich mindestens eine Woche lang ohne Zugangssicherung ins Internet gestellt, wo der besagte Hacker sie fand.

Der Fall zeigt, dass auch ein noch so sorgfältiger Umgang mit personenbezogenen Daten und eine noch so gute IT-Security im eigenen Haus – beides unterstelle ich der GIS jetzt einfach mal – nicht bedeuten, dass kein massives Datenleck bzw. ein Datendiebstahl passieren kann, weil Partnerunternehmen schlampen. Ähnliches höre ich auch aus einem Statement von Marco Felsberger heraus, der als Head of Corporate Security für die Sicherheitsagenden beim Logistikdienstleister Gebrüder Weiss zuständig ist. Im Podcast „sicherheitsbewusst“ sagt er, dass Gebrüder Weiss mit vielen kleineren Sub-Dienstleistern zu tun habe, die oft in Sachen IT-Sicherheit noch sehr viel Aufholbedarf hätten: „Selbst wenn wir als Gebrüder Weiss im IT-Security-/Cyber-Security-Bereich sehr weit und State of the Art sind, haben wir die Thematik, dass unsere Zulieferer – in dem Fall kleinere Frächter – diesen Reifegrad nicht aufweisen.“ Dadurch sei die Cyber-Supply-Chain trotzdem anfällig.

Was also tun, zumal man gerade von KMU keine ISO-Zertifizierung als Absicherung verlangen kann, da ihnen die Ressourcen für den aufwendigen Zertifizierungsprozess fehlen? Ronke Babajide, Managerin des Enterprise-Systems-Engineering-Teams beim Cyber-Security-Anbieter Fortinet, rät zu kontrollieren, ob Partner ausreichend interne Awareness-Schulungen anbieten, und darauf zu achten, dass sie bei Soft- und Hardware nachvollziehbare Prozesse haben und etwa im Fall von Bugs und Schwachstellen gut und rasch kommunizieren. Für sinnvoll hält Babajide hier das neue Cyber Trust Label, welches den Cyber-Risk-Status von Organisationen bewertet – Unternehmen können sich das Label nämlich nicht nur selbst holen, sondern auch Partner prüfen lassen. Babajide: „Das ist gerade für kleinere Unternehmen eine gute Möglichkeit, sich ein bisschen abzusichern. So können sie sich anschauen, ob Unternehmen, die sie beauftragen wollen, bestimmte Sicherheitsstandards erfüllen.“ Babajide rät, sich gleich selbst labeln zu lassen: „So haben KMU einen Wettbewerbsvorteil und bekommen auch selbst einen besseren Überblick, inwiefern sie bei der Security alles richtig machen.“

In Bezug auf das GIS-Beispiel gibt die Expertin aber einen eher bitteren Hinweis: „Menschliche Fehler wie in diesem Fall sind leider nie zu 100 Prozent vermeidbar – weder in Partnerunternehmen noch im eigenen.“ So etwas könne immer passieren: „Selbst wenn man dauernd damit konfrontiert ist, kann einem ein Fehler unterlaufen.“ Immerhin: „Unternehmen, die regelmäßig interne und externe Security-Prozesse überprüfen und Security-Awareness-Schulungen für Mitarbeiter anbieten, sind jedenfalls besser geschützt als die, die es nicht tun.“ Also: Vor der eigenen Tür kehren und checken (lassen), wie sauber die Nachbarn sind!

Die Autorin

Alexandra Rotter berichtet von aktuellen Cyberwar-Schauplätzen, über Angreifer und deren Strategien, Schäden sowie Rettungs- und Schutzmaßnahmen.