„Gefährdungslage im Cyber-Raum hoch wie nie“: So lautete der Titel des «BSI-Lagebericht 2022»*. Wie das BSI (Deutsches Bundesamt für Sicherheit in der Informationstechnik) darin festhält, sind im Betrachtungszeitrum 2021 / 2022 10% mehr Schwachstellen in Softwareprodukten entdeckt worden. Das BSI hat auch in dieser Periode den «ersten digitale Katstrophenfall in Deutschland» ausgerufen. U.A. in einer Gemeinde in Sachsen Anhalt konnten 207 Tage lang konnten Leistungen wie Elterngeld, Arbeitslosen- und Sozialgeld u. a. in einer Gemeinde in Sachsen-Anhalt nicht erbracht werden.

Ausblick 2023: Trend «Angriffe auf die Supply Chain»

Diese beiden konkreten Fällen zeigen auch auf, wie stark die IT Infrastrukturen vernetzt sind. Ihr Ausfall hat weitreichende Folgen, die über das Unternehmen hinausgehen. IT-Netzwerke und damit verbunden Fernzugriffe auf Unternehmens-Infrastruktur und -Daten, zeigen sich immer mehr als einfaches Einfallstor für Cyber Kriminelle.

Steuerung, Kontrolle und die Abwehr von Gefahren für das nach aussen vernetzte Unternehmen

Immer häufiger sind Lieferanten in den Wertschöpfungsprozess eingebunden. Um die gesteigerten Cyber Risiken gar nicht erst eintreten zu lassen, ist die Analyse und das kontinuierliche Monitoring von Datenzugriffen und -nutzung notwendig.

„Der sichere Wegbegleiter in ein sicheres, erweitertes Ökosystem ist ein „Internes Kontrollsystem“ („IKS“), welches nicht nur die internen, sondern auch die externen Prozesse, Funktionen und Rollen berücksichtig. Der Datenfluss und -zugriffe stehen dabei dabei im Zentrum.“ 

Value Chain Lieferanten 2022

Wie steht es um Ihr Internes Kontrollsystem, das IKS?

Als Sicherheitsexperten sehen wir für das IKS drei wesentliche Aufgaben:

  • Steuerung des Unternehmens
  • Kontrolle zur Einhaltung von Regeln und
  • Abwehr von Gefahren.

Dabei stellt sich die Frage, welche Kontrollen wann und weshalb durchzuführen sind. Die Funktion von Kontrollen sehen wir in drei verschiedenen Aspekten:

  • Vorbeugend – potenzielle Konflikte gar nicht entstehen lassen: durch ein verlässliches Rollenmanagement in der Business Suite.
  • Reaktiv – Konflikte rasch finden und lösen: durch ein kontinuierliches Monitoring von Transaktionen.
  • Analysierend – aktives Risikomanagement statt Stillstand: durch Datamining, welches Vorfälle gegen ein definiertes Regelset prüft, kontrolliert und Konflikte in Echtzeit meldet.

Diese Aufgaben des IKS lassen sich organisatorisch gliedern und technologisch umsetzen und verlangen die Integration von Geschäftsprozessen in die Technologie. Höchste Priorität bei diesen Aufgaben hat hier der Blickwinkel des Datenflusses: von wo nach wo fliessen unsere Daten, wer greift wann darauf zu?

Der Lieferanten Audit für mehr Sicherheit

Aus unserer Erfahrung wissen wir, dass bei der Einbindung von Lieferanten in die Wertschöpfungskette der Aspekt „Datenfluss“ nur sehr punktuell betrachtet wird. Dabei werden Prozesse in ihrer Gesamtheit ausser Acht gelassen, die in der Konsequenz Tür und Tor für verschiedene externe Angreifer bieten.

Wir haben deshalb einen besonderen Service zusammengestellt, der genau diesen Schwachpunkt behebt. Es erlaubt analysierend und vorbeugend tätig zu sein, bevor es zu spät ist.

Haben auch Sie in Ihrem Unternehmen in den verschiedensten Prozessschritten Lieferanten eingebunden? Gerne diskutieren wir mit Ihnen, wie Sie Ihren Datenfluss, die Zugriffe und Nutzung daraus organisieren, damit Ihr Unternehmen weiterhin sicher und compliant bleibt.

Wir freuen uns auf Ihre unverbindliche Kontaktaufnahme.

Zum Angebot aus unserer „Service Suite“: Der SOD Compliance Report in 72 h

Transparenz hinsichtlich Compliance in Ihrer SAP-Wertschöpfungskette – SAP Applikations-Compliance Report:

  • SOD Konflikte gemäss internem Kontrollsystem
  • Nutzungsgrad von SAP Rollen
  • Compliance und Schwachstellen-Analyse
  • Roadmap mit Quick-Wins – Aufwandschätzung
  • Zum Fixpreis CHF/EUR 6’700.– exkl. MwSt

 

Quellen:

*BSI Lagebericht 2022

https://www.bsi.bund.de/DE/Service-Navi/Publikationen/Lagebericht/lagebericht_node.html

Copyright © 2022 wikima4, Datenschutz & Impressum