Nachricht

Wenn Sie ein Star Wars-Fan sind, kennen Sie wahrscheinlich Befehl 66. Ein Chip wurde in das Gehirn von Klonen eingesetzt, um ihr Verhalten zu mäßigen und Anweisungen einzufügen. Dieser Chip enthielt Order 66, eine Anweisung zur Eliminierung der Jedis. Obwohl Jedis Kaminoaner anheuerten, um eine Klonarmee aufzubauen, nutzte Kaiser Palpatine seine Machtposition aus, um die Anweisungen im Chip zu seinem zukünftigen Vorteil zu manipulieren. Und hier haben Sie ein Beispiel dafür, warum Sie Ihre Hardware schützen müssen, lange bevor sie in Ihren Einrichtungen oder anderen Geräten installiert wird.

Laut Gartner waren im Jahr 2019 65 % der intelligenten Produkte „hackbar“. Beispielsweise brachte ein Spielzeughersteller 2015 eine interaktive Puppe auf den Markt, die sich als anfällig für Angriffe erwies. Wie wir in unserer Cybersecurity-Blogreihe besprochen haben, konzentrieren sich die jüngsten bekannten Angriffe auf die Software- und Netzwerkebene, da es einfacher ist, digitalen Zugang zu erhalten als physischen Zugang. Allerdings haben wir auch bewiesen, dass Hardware-Angriffe keine Seltenheit sind und ihre Folgen für Unternehmen verheerend sein können.

Darüber hinaus diskutieren wir in unseren Blogs Strategien, Technologien und Best Practices, die Sie nutzen können, um Ihr Unternehmen bereits auf der Hardwareebene zu schützen. Dennoch haben wir noch nicht darüber gesprochen, wie Hardware in der Lieferkette geschützt werden kann.

Wie oben erwähnt, ist es schwierig, sich physischen Zugang zu verschaffen, aber nicht unmöglich, und manchmal bedeutet das, die Hardware während der Herstellung zu manipulieren und die Schwachstelle später auszunutzen, genau wie Kaiser Palpatine mit der Klonarmee.

Auf den ersten Blick mag das wie eine verrückte Verschwörungstheorie aus der Fanfiction erscheinen. Bedenken Sie jedoch, dass Hardware-Angriffe den Geschäftsbetrieb stören, zu großen finanziellen Verlusten, Sachschäden, Rufschädigung des Unternehmens und anderen verheerenden Folgen führen können.

Was sind die Sicherheitsherausforderungen in der Lieferkette?

Wenn Unternehmen Automatisierungs- und Digitalstrategien implementieren, erhöhen sie auch ihre Angriffsfläche und Schwachstellenrisiken. Daher hat der Schutz von Daten und IT-Infrastrukturen (Anwendungen, Server, Netzwerke, Kundendaten, Lieferantendaten, Stücklisten, Transportmanagementsysteme) seit Jahren eine hohe Priorität für den Informationsschutz in der Lieferkette. Der Produktschutz hatte jedoch keine Priorität, obwohl die Zahl der Produkte, die eine Verbindung zum Internet herstellen können oder als „intelligent“ gelten, weiter zunimmt.

Diese „intelligenten“ Produkte umfassen normalerweise eingebetteten Code, logiktragende Komponenten oder Mikrocontroller. Bisher beschäftigten sich nur High-Tech-Unternehmen mit den Herausforderungen des Produktschutzes in der Lieferkette. Heutzutage werden jedoch Transport-, Gesundheits- und Konsumgüter immer intelligenter, wodurch die Notwendigkeit steigt, sie zu schützen.

Eine damit verbundene Herausforderung beim Schutz der Lieferkette ist die Technologie für den Betrieb. Da Edge Computing und IOT es uns ermöglichen, Computing näher am Benutzer zu erleben, entstehen neue Schwachstellen. Die für Fertigung und Logistik verwendeten Geräte sind heute in der Regel mit internen Netzwerken verbunden, zumindest um ihre Leistung zu überwachen und Probleme vorherzusagen. Stellen Sie einfach sicher, dass Sie die möglichen Gefahren einer Verbindung dieses Geräts mit dem Internet sowie die Produktivitätsgewinne durch die Installation von Überwachungssoftware und -hardware analysieren.

Aufgrund des Schutzes von IT, Betriebstechnologie und Produkten wird die Governance zu einer Herausforderung. In vielen Unternehmen kümmert sich jede Abteilung um ihren eigenen Teil und es fehlt ein funktionsübergreifendes Team, das sich ganzheitlich und unternehmensweit um die Sicherheit kümmert. Dies bedeutet, dass IT, Technik, Forschung und Entwicklung, Einrichtungen und Betrieb Schwachstellen im Rahmen ihrer Zuständigkeiten beheben und den Produktschutz vernachlässigen. Tatsächlich kümmern sich IT-Abteilungen im Allgemeinen um die Daten sowie die IT-Infrastruktur und den Betrieb.In einigen Unternehmen gibt es ein IT-Team und ein separates Betriebsteam, das sich mit der Sicherheit von OT/IOT/physischer Technologie befasst. In bestimmten Unternehmen gibt es eine Sicherheitsgruppe, die Teil der IT-Gruppe sein kann.

Dies ist ein besonders herausforderndes Problem angesichts der Zunahme von Angriffen und ihrer Ausbreitungsgeschwindigkeit sowie der ständigen Bemühungen, Innovationsinitiativen mit regulären Abläufen in Einklang zu bringen. Supply-Chain-Organisationen müssen mehr denn je verstehen, dass Sicherheit zu ihren Aufgaben gehört. Darüber hinaus muss die gesamte Organisation zusammenarbeiten, um Produkte ganzheitlich zu schützen und gleichzeitig auf unmittelbare Bedrohungen oder Angriffe zu reagieren.

Schutz der Hardware intelligenter Produkte

Wie im Beispiel von Order 66 kann die Motivation hinter dem Angriff darin bestehen, Ihren Betrieb durch Manipulationen an der Hardware zu sabotieren, was unter anderem zu finanziellen Verlusten, Rufschädigungen und Geschäftsunterbrechungen führt. Allerdings könnten die Angriffe auch darauf abzielen, Produkte zu fälschen oder Designinformationen zu stehlen, um Sie auf dem Markt zu überholen, was Sie aus dem Geschäft drängen oder Ihnen große Umsätze kosten kann.

Hardware-Sicherheitsrisiken bestehen während des gesamten Lebenszyklus: vom ersten Entwurf und der Herstellung bis hin zum Recycling und der Entsorgung. Moderne integrierte Schaltkreise sind komplex, was bedeutet, dass es für ein einzelnes Unternehmen unmöglich ist, einen Chip zu entwerfen, herzustellen und zu testen. Dadurch ist die Chipherstellung heute eine Wertschöpfungskette multinationaler Unternehmen.

Bereits vor Beginn der Pandemie standen Unternehmen unter Druck, nach fortschrittlicheren und günstigeren Elektronikprodukten zu suchen. Dies führte zu einem beispiellosen Ausmaß an Hardware-Outsourcing. Jetzt erleben wir immer noch die Nebenwirkungen von Reisebeschränkungen und Betriebsunterbrechungen, die zu einem Mangel an Komponenten geführt haben. Folglich arbeiten Unternehmen, die elektronische Systeme entwickeln, mit Maklern und Drittanbietern statt mit Originallieferanten zusammen, um die Nachfrage zu befriedigen, die Lieferzeiten zu verbessern oder den Preis zu senken. Das Risiko dieser Praktiken besteht darin, gefälschte Chips zu erwerben, die nicht den Spezifikationen entsprechen, recycelt oder geklont werden können (die Ironie!). Diese gefälschten Chips können später in sensible oder kritische Systeme eingebaut werden und Schwachstellen für Angriffe eröffnen (genau wie in Star Wars).

Empfehlungen zur Reduzierung von Schwachstellen in der Hardware-Lieferkette

Die wichtigste Empfehlung besteht darin, die Produktsicherheit als Priorität für das gesamte Unternehmen zu betrachten. Beseitigen Sie Hindernisse, damit funktionsübergreifende Teams aus Betrieb, IT, Forschung und Entwicklung, Marketing, PR und Personal zusammenarbeiten, um Schwachstellen im gesamten Produktlebenszyklus zu identifizieren und zu beheben.

Sie müssen außerdem sicherstellen, dass die erweiterte Lieferkette die Effizienz-, Kosten-, Service-, Qualitäts- und Sicherheitsanforderungen für alle Ihre Produkte, insbesondere die „intelligenten“ Produkte, erfüllen kann, von der Entwurfsphase bis zur Stilllegung und Entsorgung.

Erstellen und implementieren Sie Notfallwiederherstellungspläne und Geschäftskontinuitätsbewertungen. Denken Sie daran, dass externe Faktoren oder höhere Gewalt, wie eine Pandemie, Ihre Geschäftsstrategie und -bedürfnisse schnell ändern können. Sammeln Sie zumindest einige Informationen darüber, wie Sie sich schnell an eine sich ändernde Logistik- oder Lieferkettensituation anpassen können, sowie Informationen zu möglichen Bedrohungen und Schwachstellen. Die Risikobewertung und das Management von Lieferanten sollten Teil der Geschäftskontinuitätspläne sein. Wenn Sie nicht auf die Vorlaufzeit Ihres regulären Anbieters warten können, stehen Ihnen vorab genehmigte sichere Zweitoptionen zur Verfügung. Stellen Sie abschließend sicher, dass alle diese Pläne und Bewertungen den branchenweit anerkannten Standards entsprechen, da diese in der Regel einen nützlichen Leitfaden zum Arbeitsumfang und Zeitrahmen bieten.

Wenn Sie mehr darüber erfahren möchten, wie ein Hardware-OEM Ihnen helfen kann, die Sicherheit beginnend auf der Hardwareebene zu verbessern, können Sie diesen Blog lesen.Sie können auch unsere Cybersicherheits-Blogreihe weiterlesen.