smart-transportation

Zeit für mehr Sicherheit in den Lieferketten

Offene Netzwerke und die Digitalisierung bieten ein enormes Fortschrittspotenzial für unsere Gesellschaft, begünstigen Informationsflüsse und schaffen Möglichkeiten für vielfältige Innovationen.

Die Vernetzung hat dazu beigetragen, den Wohlstand weltweit zu steigern. Da der Hunger nach Informationen in den unterschiedlichsten Formaten weiterhin ansteigt, spielen insbesondere die Leistungsfähigkeit der Kommunikationskomponenten sowie die Sicherheit der Übertragung und der Geräte eine zunehmend wichtigere Rolle. Denn die steigende Anzahl erfolgreicher Cyberangriffe zeigt, wie verletzlich IT- und Kommunikationssysteme häufig sind. Oftmals zu wenig Beachtung finden hierbei die Sicherheitsrisiken, die auch durch die Wertschöpfungs- und Lieferkette verursacht werden. Diese ist meist kaum nachzuvollziehen und schwierig zu schützen. Trotz aller Fortschritte im Bereich der Cybersicherheit unterschätzen viele Organisationen nach wie vor die Risiken, denen sie durch die Lieferkette ausgesetzt sind.

Bedingt durch diverse Cyberattacken und andere Vorfälle, wächst in letzter Zeit das Bewusstsein für die Notwendigkeit eines umfassenden Lieferketten-Risikomanagements und den damit einhergehenden Handlungsbedarf. Um hier jedoch Fortschritte zu erzielen, müssen alle beteiligten Akteure enger zusammenarbeiten. Denn nur eine sichere globale Lieferkette mit entsprechendem Risikomanagement sowie den abgeleiteten und angepassten Maßnahmen stellt sicher, dass sowohl Produkte als auch Dienstleistungen „sicher“ zur Verfügung stehen und nicht von externen Akteuren manipuliert werden. Zudem verhindern entsprechende Maßnahmen im Lieferkettenmanagement, dass Produkte gefälscht und verfälscht werden oder gefälschte Komponenten enthalten, die ihrerseits wiederum der Nutzung für illegale Zwecke dienen könnten.

Ein erfolgreiches Risikomanagement beinhaltet insbesondere:

  • das Bekenntnis der ganzen Organisation zu Cybersicherheit und Datenschutz als Teil der Risikomanagement- und Qualitätssicherungsstrategie.
  • die Etablierung und Durchsetzung eines internen Governance-Mechanismus, der von der obersten Managementebene gesteuert und durchgesetzt wird
  • die Identifizierung, Implementierung sowie das Audit von hohen Sicherheitsanforderungen und Baselines in allen Bereichen der Organisation
  • die Definition von Anforderungen in Form von KPIs und Verankerung im Reifegradmodell (CMMI)
  • die Implementierung von soliden und nachweisbaren Überprüfungs- und Compliance-Mechanismen
  • Verständnis von Sicherheit und Evaluierung als wichtige Teile der Abteilungs- und Unternehmensziele.
  • die Analyse von Prozessen und Prozessabläufen sowohl unter Sicherheitsaspekten als auch Risikogesichtspunkten und infolgedessen klare Verantwortlichkeiten auf Management- sowie auf Mitarbeiterebene

Cybersicherheit genießt höchste Priorität bei Huawei

Ziel aller Hersteller muss es sein, die Sicherheitsrisiken in der eigenen Lieferkette so weit wie möglich zu erkennen und anschließend zu minimieren. Eine der zentralen Herausforderungen dabei ist jedoch, erst einmal einen Überblick über die „eigenen“ Lieferketten zu gewinnen – gemeinsam mit allen Drittherstellern, Dienstleistern und deren eigenen Lieferanten.

Deshalb sind wir von Huawei nicht nur daran interessiert, sichere Produkte sicher herzustellen und diese sicher an den Kunden auszuliefern. Über diese Zielsetzung hinaus leistet Huawei auch seinen Beitrag zur Aufklärung und Zusammenarbeit in den relevanten Industriegremien. Die proaktive Zusammenarbeit von Regierungen und Unternehmen ist maßgeblich, um ein gemeinsames Verständnis für Cybersicherheitsrisiken entlang der und in den Lieferketten zu entwickeln. Politik und Wirtschaft müssen gemeinsame Vereinbarungen über Gesetze, Verhaltensregeln, Standards und unabhängige Überprüfungsmechanismen für Zulieferer und Händler anstreben. Es entstehen immer mehr vielversprechende Initiativen, die sich mit diesem Thema auseinandersetzen. Nutzer von IT-Technologien müssen ausreichend informiert werden, sodass sie mit ihrer Kaufkraft die Nachfrage nach Produkten mit verbesserter Sicherheit steigern. Das Bewusstsein und das Verlangen nach Sicherheit müssen Teil des Kaufverhaltens werden. Dieser Entwicklungsprozess verläuft jedoch noch schleppend und scheint manchmal durch das Konsumentenverhalten konterkariert zu werden. Huawei wird seine Arbeit und den Dialog mit allen beteiligten Akteuren weiterführen und sich dafür einsetzen, dass das Thema IKT-Lieferkettensicherheit an Bedeutung gewinnt.

Huawei beschäftigt sich intensiv mit Risiken in der Lieferkette und deren Minimierung im Rahmen seines globalen Ende-zu-Ende-Sicherheitsansatzes. Das Lieferketten-Risikomanagement bei Huawei zählt zu dem Aufgabenbereich des Global Cyber Security and User Privacy Protection Committee (GSPC). Dieses oberste Gremium für Cybersicherheit und Datenschutz wird von einem der stellvertretenden Vorstandsvorsitzenden geleitet.

Maßnahmen von Huawei im Rahmen von Cyber Security:

  • Huawei hat ein umfassendes ISO 28000-konformes Ende-zu-Ende-Managementsystem für Zulieferer entwickelt, das Sicherheitsrisiken vom eintreffenden Material bis hin zur Auslieferung fertiger Produkte identifiziert und minimiert.
  • Huawei trifft die Auswahl der Zulieferer unter anderem auf Grundlage von deren Systemen, Prozessen und Produkten. Es werden diejenigen Zulieferer ausgewählt, die zur Qualität und Sicherheit von Huaweis Produkten beitragen.
  • Huawei erfasst und bewertet kontinuierlich die Qualitätsfaktoren der Zulieferer, einschließlich einer Kontrolle der Integrität von Komponenten Dritter. Sicherheit wird hierdurch zum Qualitätsfaktor.
  • Mit der Erfassung und Dokumentation des Reifegrads seiner Zulieferer hat Huawei so ein nachvollziehbares und auditierfähiges System entlang der gesamten Prozesskette etabliert.

Sensibilisierung für Cybersicherheit

Lieferketten sind im räumlichen Kontext zu betrachten. Hieraus ergeben sich wichtige Indikatoren für Risiken und Bedrohungen, denen eine (globale) Lieferkette ausgesetzt ist. Zu den Faktoren für die Abschätzung zählen unter anderem die Fragen, ob es sich um lokale bzw. nationale Unternehmen mit regionalen Lieferanten oder um internationale Unternehmen mit weltweiten Lieferanten und Lieferketten handelt, welchem Einfluss und welchen Risikoparametern die jeweiligen Unternehmen und Teilketten ausgesetzt sind und inwieweit sich dies wiederum auf das Liefergut (Komponenten, Teilkomponenten, Endprodukte) auswirkt.

Weiterhin gilt es das Gefährdungspotenzial des Lieferguts zu betrachten. Gibt es eine Möglichkeit, zu überprüfen, ob die gelieferten Komponenten die zugesagten oder je nach Vereinbarung auch keine weiteren zusätzlichen Funktionalitäten enthalten? Wie kann neben funktionalen Tests die Integrität geprüft werden? Enthalten die Komponenten eventuell versteckte „Zusatzfeatures“? Wie und durch welche Testverfahren lassen sich diese aufspüren?

Es muss ausgeschlossen werden, dass es sich um gefälschte Komponenten handelt oder, dass die Produkte in irgendeiner Form auf ihrem Transportweg oder im Zwischen- oder Endlager verändert wurden. Dies erfordert die Etablierung eines transparenten Prozesses, der einen lückenlosen Nachweis erbringt, wer wann und wo Zugriff auf Produkte oder Komponenten – sei es beim Hersteller selbst, während des Transports oder im eigenen Unternehmen – hatte. Nur so ist gewährleistet, dass Komponenten, Software oder Funktionsblöcke absichtlich oder unabsichtlich durch Viren, Trojaner bzw. Schadsoftware beeinträchtigt werden.

Bedrohungen durch die und in der Lieferkette sind deshalb ein Schlüsselelement des übergeordneten Cybersicherheitsmanagements. Eine Organisation und deren Management müssen diesen Mechanismus verstehen und in das Risikomanagement integrieren. Wir – gemeinsam mit allen Akteuren – sind gefordert, alle Parteien für die Risiken in und durch die Lieferkette zu sensibilisieren und gemeinsam Lösungen zu entwickeln.

Huawei Journal

Huawei Journal

Künstliche Intelligenz, Autonomes Fahren, Industrie 4.0 - lesen Sie alles rund um die Digitalisierung in Deutschland in unserem Magazin.

Mehr erfahren
Huawei Journal

#huawei

Nichts mehr verpassen und immer auf dem neuesten Stand bleiben. Folgen Sie unseren Kanälen.