Sicherung der Lieferkette

Lernziele

Nachdem Sie diese Lektion abgeschlossen haben, sind Sie in der Lage, die folgenden Aufgaben auszuführen:

• Beschreiben der Verantwortung eines Unternehmens bei der Beurteilung des Cyberrisikos von Lieferanten
  
• Nennen der wichtigsten Fertigkeiten, die zum Schutz des Anwendungsentwicklungsprozesses erforderlich sind
  
• Beschreiben des Zero Trust-Sicherheitsansatzes
  

Dieses Modul wurde in Zusammenarbeit mit dem Weltwirtschaftsforum realisiert. Erfahren Sie mehr über Inhalte von Partnern in Trailhead.

Bewerten des Cyberrisikos von Lieferanten

Im Modul "Risikomanagement für Cybersicherheit" haben Sie gelernt, wie eine Führungskraft zu denken und interne und externe Partnerschaften zu pflegen. Außerdem wurden dort Praktiken für eine robuste Cyberhygiene, die Implementierung einer starken Authentifizierung und der Schutz vor Phishing behandelt. Thema dieses Moduls sind die verbleibenden fünf Grundsätze des WEF-Leitfadens, wobei wir mit der Sicherung der Lieferkette beginnen.

Das Risikomanagement bezüglich Drittanbietern ist ein Thema, das viele CISOs (Chief Information Security Officers) nachts um den Schlaf bringt. Als Führungskraft empfiehlt es sich, ein aktuelles Verzeichnis darüber zu führen, welche Daten für welche Entität unter welchen Bedingungen freigegeben werden. Es gibt mehrere Schritte, mit denen Sie das Risiko der Kompromittierung sensibler Daten verringern können: 

• Prüfen Sie den Hintergrund von Lieferanten sorgfältig. Dazu gehört auch die Festlegung der Sicherheitsprüfungen, die bei den Mitarbeitern des Drittanbieters durchgeführt werden.
  
• Beschränken Sie den Drittanbieterzugriff auf das notwendige Maß. Teilen Sie nur die Informationen, die der Drittanbieter benötigt, um seine Aufgabe zu erfüllen, und überprüfen Sie regelmäßig die Vereinbarungen über die Informationsfreigabe.
  
• Binden Sie Lieferanten vertraglich an Sicherheitsrichtlinien. In Datenfreigabevereinbarungen sollte ganz klar festgelegt werden, welche Richtlinien der Lieferant einhalten muss, und welche Konsequenzen eine Nichteinhaltung nach sich zieht.
  
• Legen Sie ein Intervall für Audits und Überprüfungen der Drittanbieterbeziehung fest, das sich an Kritikalität und Risiko der Beziehung orientiert.
  

Sichern des Softwareentwicklungszyklus

Die Bestandteile, aus denen der Softwareentwicklungszyklus eines Unternehmens besteht, sind ein wichtiger Aspekt der Lieferkette. Für einen sicheren Softwareentwicklungszyklus ermöglichen versierte Sicherheitsteams es Entwicklern, von Anfang an sicheren Code zu schreiben, indem sie "Security by Design"-Praktiken in den gesamten Lebenszyklus des Projekts und die Produktentwicklung integrieren. Mehr über diesen Ansatz finden Sie im Trailhead-Modul "Aufgaben eines Anwendungssicherheitsingenieurs". Zusätzlich zur Sicherheit des Entwicklungszyklus überlegen sich versierte Cybersicherheitsverantwortliche zudem, wie sie ihre Daten schützen können, ganz gleich wo sie sich befinden. Dieses Konzept wird als Zero Trust-Sicherheitsansatz bezeichnet.

Implementieren eines Zero Trust-Sicherheitsansatzes

In der Vergangenheit setzten Unternehmen meist auf einen perimeterbasierten Sicherheitsansatz: Dabei galt das Unternehmensnetzwerk als vertrauenswürdige Zone, und die primären Sicherheitsvorkehrungen, wie Firewalls und Virenschutz, wurden an den Grenzen des Systems platziert. Heutzutage erkennen die Verantwortlichen für Cybersicherheit, dass ein Zero Trust-Ansatz notwendig ist, bei dem nicht davon ausgegangen wird, dass ein Unternehmen innerhalb der Grenzen seines eigenen "sicheren" Unternehmensnetzwerks komplett sicher ist. Bei einem Zero Trust-Ansatz werden die Datenbestände selbst mit Kontrollmechanismen umgeben. Mehr über diesen Ansatz erfahren Sie im Trailhead-Modul "Planung der Netzwerksicherheit".

Zusammenfassung

In dieser Einheit haben Sie gelernt, wie Unternehmen sensible Daten unabhängig von ihrem Speicherort schützen. Sie bewerten und prüfen dazu Beziehungen zu Drittanbietern, sichern den Softwareentwicklungszyklus und stellen auf einen Zero Trust-Ansatz bei der Netzwerksicherheit um. Als Nächstes befassen wir uns damit, wie Unternehmen Cyberbedrohungen verhindern, überwachen und auf sie reagieren können. 

Ressourcen

• Externe Website: WEF: Ein Leitfaden zu Cybersicherheit für Führungskräfte in der digitalen Welt von heute
  
• Externe Website: U.S. Chamber of Commerce: Bewertung des Cyberrisikos für Unternehmen 
  
• Externe Website: Forbes: Warum das Cyberrisikomanagement bezüglich Drittanbietern für moderne Unternehmen wichtig ist
  
• Externe Website: NIST: Sicherheit von Mitarbeitern bei Drittanbietern vom National Institute of Standards and Technology 
  
• PDF: NIST: Bewährte Vorgehensweisen bei Auswahl und Management von Lieferanten
  
• Trailhead: Entwicklung eines Cyberresilienz-Programms