Aktuelles, Branche, Studien - geschrieben von dp am Sonntag, April 20, 2025 0:28 - noch keine Kommentare
Kritische Infrastrukturen: Jede zweite Organisation unzureichend vor Cyber-Attacken in der Lieferkette geschützt
Erkenntnisse aus aktueller „DNV Cyber-Studie“ legen verstärkten Fokus auf Lieferanten nahe
[datensicherheit.de, 20.04.2025] Die neue Studie „Cyber Priority“ von DNV Cyber ist Branchen gewidmet, die als „wesentlich“ für das Funktionieren der Gesellschaft und der Wirtschaft gelten: Diese befinden sich offenkundig in einer Art „Wettrüsten“, da Bedrohungsakteure – Cyber-Kriminelle bzw. staatlich geförderte Hacker-Gruppen – auf digitale Schwachstellen der mit ihnen verbundenen Lieferanten abzielen. „Gerade in Europa werden die Regularien zur Cyber-Sicherheit durch die Behörden weiter verschärft, um die schnell wachsende Bedrohung auch in der Lieferkette zu adressieren.“ Zudem müssten Unternehmen dringend ihre Widerstandsfähigkeit gegen Cyber-Angriffe verbessern. Ein wichtiger Aspekt, der dabei häufig noch zu selten berücksichtigt werde, sei der Einsatz Künstlicher Intelligenz (KI).
Nur 13% der deutschen Befragten setzen KI in der Cyber-Sicherheit ihrer Organisation ein
Nur 13 Prozent der deutschen Befragten geben demnach an, KI in der Cyber-Sicherheit ihrer Organisation einzusetzen. „Weltweit lag dieser Wert doppelt so hoch (26%). Auch bei der Beurteilung der Vor- und Nachteile von KI zeigen sich Unterschiede zwischen Deutschland und anderen Märkten.“
So glaubten 15 Prozent der hierzulande Befragten, dass die Risiken von KI die Vorteile überwiegen würden – global hätten 22 Prozent diese Ansicht geäußert. Dennoch sähen in Deutschland 40 Prozent KI als notwendig an, um mit Bedrohungsakteuren Schritt zu halten (weltweit 47%).
Fokus auf Lieferketten: Drohende Cyber-Angriffen über integrierte Netzwerke, Komponenten, Software und Drittanbieter
Nur gut die Hälfte (53%) der weltweit befragten Experten im Bereich der Kritischen Infrastrukturen seien zuversichtlich, „dass ihr Unternehmen einen vollständigen Überblick über die Cyber-Sicherheitslücken hat, die ihre Lieferkette für ihr Geschäft birgt“. Diese Situation erhöhe das Risiko von Cyber-Angriffen über integrierte Netzwerke, Komponenten, Software und Drittanbieter.
Gleichzeitig betone die überwiegende Mehrheit der in Deutschland Befragten, dass eine starke Cyber-Sicherheit ein Wettbewerbsvorteil in der Gewinnung von Neukunden darstelle. Mehr als ein Drittel (36% international, 33% in Deutschland) glaube, dass Cyber-Angreifer ihre Lieferkette infiltriert haben könnten, „ohne dass Lieferanten dies gemeldet haben“ – so eine Erkenntnis einer Umfrage unter mehr als 1.150 Fachleuten aus Kritischen Infrastruktur-Branchen wie Energie, Schifffahrt, Fertigung und Gesundheitswesen.
Anforderungen an Cyber-Sicherheit in Beschaffungs- und Lieferantenverträgen stärker berücksichtigen
„Man kann nicht schützen, was man nicht kennt. Unternehmen müssen daher die Schwachstellen in ihren Lieferketten besser verstehen und Ansätze verfolgen, die eine größere Transparenz hinsichtlich der Lieferanten ermöglichen“, erläutert Auke Huistra, „Director of Industrial and OT Cybersecurity“ bei DNV Cyber.
„Um die Sicherheit der Lieferkette zu verbessern, sollten sie die Anforderungen an die Cyber-Sicherheit in Beschaffungs- und Lieferantenverträgen stärker berücksichtigen, den Fokus auf Sicherheit bei der Gestaltung von Prozessen und Anlagen erweitern und Cyber-Teams früher in Projekte einbeziehen.“ Laufende Tests sowie Erkennungs- und Reaktionsfähigkeiten seien unerlässlich, um die Auswirkungen von Vorfällen in der Lieferkette zu erkennen und zu reduzieren.
Lieferketten – attraktives Ziel für Cyber-Angriffe
Lieferketten seien ein attraktives Ziel für Cyber-Angriffe, da sie einen potenziellen Single-Entry-Point zu mehreren Organisationen und Systemen böten, einschließlich Kritischer Infrastrukturen. Dabei änderten die Cyber-Kriminellen ständig ihre Vorgehensweise und entwickelten immer ausgefeiltere Taktiken.
Hinzu komme, dass gut drei Viertel (76%) der Fachleute glaubten, dass die Cyber-Sicherheitsschulungen ihres Unternehmens nicht fortschrittlich genug seien, um Mitarbeiter auf anspruchsvollere Bedrohungen vorzubereiten – hierzulande teilten 70 Prozent der Befragten diese Ansicht.
Cyber-physische Angriffe ein zunehmendes Problem
„Organisationen, die Kritische Infrastrukturen betreiben, investieren mehr in Cyber-Sicherheit und unternehmen Schritte zur Absicherung von IT und ,Operational Technology’ (OT).“ Die daraus resultierenden, positiven Effekte dürften sich aber in Grenzen halten, wenn die Cyber-Sicherheit der Lieferkette einer Organisation nicht in ähnlicher Weise gestärkt werde, warnt DNV Cyber auf Basis der vorliegenden Studie. Sogenannte Cyber-physische Angriffe seien ein zunehmendes Problem, bei dem Angriffe auf digitale Technologien direkte Auswirkungen auf die „reale Welt“ physischer Anlagen und Operationen hätten.
„In Branchen der Kritischen Infrastruktur und OT-Umgebungen können die Folgen einer Sicherheitsverletzung besonders schwerwiegend sein: Für die Nationale Sicherheit, die Gesellschaft und die Wirtschaft. Alle Organisationen müssen daher ihre Lieferketten absichern“, betont Huistra. Denn auch die Lieferanten könnten entscheidend zur Verbesserung der Cyber-Sicherheit beitragen. „Es ist wichtig, dass Anlagenbetreiber die Anforderungen an Lieferanten auf Grundlage des Risikoprofils und der Vorschriften ihres Unternehmens festlegen, aber auch die tatsächliche Umsetzung dieser Anforderungen überprüfen.“ Die Zusammenarbeit entlang der Lieferkette sei entscheidend – dies schließe den Informationsaustauschs über Schwachstellen und Vorfälle mit ein.
Verschärfte Regulierung als zeitnahe Reaktion auf Cyber-Bedrohungen der Lieferkette
Regulierung sei der größte Treiber für Investitionen in der Cyber-Sicherheit für Kritische Infrastrukturen, so die aktuelle „Cyber Priority“-Studie. Gleichzeitig gehöre sie zu den stärksten Maßnahmen, um die Cyber-Resilienz zu stärken und das Risiko der Lieferkette zu adressieren. Die neue EU-Richtlinie zur Netzwerk- und Informationssicherheit (NIS-2) befasse sich beispielsweise mit Risiken aus Lieferketten und Lieferantenbeziehungen.
Zusätzlich zur Absicherung der Lieferketten zeigt die „Cyber Priority“-Studie von DNV Cyber demnach, dass Kritische Infrastrukturen
- die OT-Sicherheit stärken,
- die Wachsamkeit der Mitarbeiter verbessern,
- eine Cyber-Kultur aufbauen und
- den Einsatz von KI in der Cyber-Sicherheit beschleunigen
sollten.
In diesem Zusammenhang stellt DNV Cyber detaillierte Cyber-Priority-Berichte zur Verfügung, welche sich mit den Sektoren „Energie“ und „Schifffahrt“ befassen.
Weitere Informationen zum Thema:
DNV CYBER
Energy Cyber Priority 2025: Addressing Evolving Risks, Enabling Transformation
DNV CYBER, 22.01.2025
Energieunternehmen steigern ihre Investitionen im Wettlauf um Cybersicherheit, um das „größte Risiko“ der Branche zu bewältigen
DNV CYBER, 13.11.2024
Neuer Bericht: Maritime Branche ist cyber-risikofreudiger, als andere Industrien / Maritime Cyber Priority 2024/25
DNV CYBER, 13.11.2024
Maritime appetite for cyber risk notably higher than other key industries, new report reveals
datensicherheit.de, 13.04.2025
DORA-Frist vom 14. und dem 28. April 2025: Lieferkettensicherheit als Herausforderung / DORA-Registrierungspflicht umfasst nicht nur die Meldung an die BaFin, sondern auch noch umfassende Prüfpflichten – von der Risikoanalyse bis hin zur Auditfähigkeit
datensicherheit.de, 11.04.2025
BSI und ZenDis: openCode-Leitfaden zur Strategie einer automatisierten Absicherung von Softwarelieferketten / Gemeinsame Veröffentlichung vom BSI und ZenDiS für die Verwaltung
datensicherheit.de, 27.02.2025
Cyber Resilience Act – Absicherung der Software-Lieferkette / Cyberkriminelle nutzen zunehmend Schwachstellen in Entwicklungspipelines aus
datensicherheit.de, 30.10.2024
Cyber-Angriffe auf die Lieferkette: Unternehmen sollten Risiken erkennen und gezielt vorbeugen / Cyber-Angreifer nutzen hierzu bestehendes Vertrauen in Geschäftsbeziehungen und die Sicherheitsarchitektur aus
datensicherheit.de, 19.04.2024
NIS-2: Die Bedeutung der Richtlinie für die Lieferkette / ESET-Podcast „WeTalkSecurity“ widmet sich der Rolle der Lieferkette im Kontext der NIS-2-Richtlinie
Kooperation
Mitgliedschaft
Mitgliedschaft
Multiplikator
Aktuelles, Experten - Apr. 19, 2025 0:55 - noch keine Kommentare
Latenzarmes Industrial IoT entscheidend für Erfolg smarter Industrie
weitere Beiträge in Experten
- MITRE CVE Program: Abschaltung verhindert
- KI-Training mit persönlichen Daten: Meta startet im Mai 2025
- Beziehungsende: Jeder Achte verabschiedet sich mit Ghosting
- eco fordert für Europa dringend Nachfolger für CVE-Datenbank in den USA
- Der Web-Tatort: Cyber-Mobbing kann junge Menschen krank machen
Aktuelles, Branche, Studien - Apr. 20, 2025 0:40 - noch keine Kommentare
Ransomware-Angriffe: Neue Studie zeigt alarmierendes Ausmaß
weitere Beiträge in Branche
- Kritische Infrastrukturen: Jede zweite Organisation unzureichend vor Cyber-Attacken in der Lieferkette geschützt
- Cyber-Sicherheitsanforderungen für Geräte mit Funkschnittstellen: RED II für alle Hersteller ab August 2025 Pflicht
- MITRE CVE Program: Abschaltung verhindert
- MITRE CVE Program: Einstellung der Finanzierung zum 16. April 2025
- DORA macht deutlich: Europas Finanzsektor benötigt neue digitale Risikokultur
Branche, Umfragen - Dez. 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Kommentieren