Michael Herburger von der FH Oberösterreich untersucht, wie sich Unternehmen gegen das Risiko von Cyberangriffen auf ihre Lieferanten wappnen können. Sensibilisierung ist dabei das A und O.
„Der Räuber, der mit gezückter Pistole ein Unternehmen überfällt, ist passé“, sagt der Jurist und Betriebswirtschaftler Michael Herburger. „Heute bekommen Firmen Erpresser-E-Mails, in denen steht dann zum Beispiel, dass ihre Server übers Wochenende verschlüsselt wurden und ihre Daten erst nach einem bezahlten Lösegeld wieder zugänglich gemacht würden.“
Dabei geht es meist „nur“ um ein paar Tausend Euro. Die Dunkelziffer sei hoch, weil die meisten Unternehmen aus pragmatischen Gründen zahlen, um den laufenden Betrieb nicht zu gefährden, vermutet Herburger, der sich an der Fachhochschule (FH) Oberösterreich mit dem Management von Lieferketten beschäftigt. Das Cyberrisiko spielt dabei eine große Rolle: Nicht nur kleine Firmen, die glauben, sich wenig Gedanken über IT-Security machen zu müssen, werden Opfer von Angreifern im Netz, sondern selbst große Konzerne. Das zeigte zuletzt der Hack bei Solar Winds, einem texanischen Softwareanbieter. Über Updates einer Software des IT-Unternehmens hatten sich Hacker Zugang zu Großkonzernen und US-Behörden verschafft.
Die Sicherheit der anderen
Herburger forscht seit mittlerweile vier Jahren zum unternehmerischen Umgang mit Risken von Cyberattacken – und zwar nicht aus Sicht der IT, sondern aus Perspektive der Logistik. „Cyberrisken gehören längst zu den Top-drei-Risken für Unternehmen. Während viele die eigene IT-Sicherheit im Kopf haben, wissen die wenigsten, wie ihre Lieferanten und derer Lieferanten da aufgestellt sind.“
Je mehr die Digitalisierung auch im Bereich der operativen Technologien voranschreitet, desto höher werde auch das Risiko, gehackt zu werden. „Wenn mein Lieferant angegriffen wird, gefährdet das meinen Betrieb möglicherweise genauso, wie wenn ich angegriffen werde“, bringt Herburger es auf den Punkt. „Dann kann es schon vorkommen, dass die Produktion wochenlang steht, ohne dass man selbst etwas tun kann.“
Ihn interessiert vor allem, wie sich Unternehmen auf den Fall der Fälle vorbereiten können. Dazu hat er sich die Situation in vier oberösterreichischen Unternehmen und deren Lieferketten im Detail angeschaut. Erste Ergebnisse zeigen, dass die Basis für einen glimpflichen Ausgang im Vorfeld gelegt werden muss. „Kleine Unternehmen haben natürlich weniger Handhabe als große, die auf ihre Zulieferer einwirken können, mehr in die IT-Sicherheit zu investieren“, erklärt er. „Wesentlich ist aber ganz generell, ein Bewusstsein für Cyberrisken zu schaffen. Das gelingt am besten, wenn das Thema in bestehende Prozesse integriert wird.“ Das heißt, es sollte in Gesprächen, Verträgen oder Audits explizit Raum finden.
Anders als etwa das Risiko für Naturkatastrophen sei die Bewertung des Cyberrisikos der Lieferantenbasis kaum möglich: „Der Hack bei Solar Winds macht deutlich, dass es wirklich jeden treffen kann. Unternehmen sollten auf jeden Fall jene Partner identifizieren, bei denen ein Ausfall für sie kritisch wäre.“ Eine Risikostreuung durch eine Mehr-Lieferanten-Strategien ist jedoch nicht immer möglich. Deshalb sei die Sensibilisierung aller Akteure sowie die Identifikation der jeweils zuständigen Personen enorm wichtig. Das stärkt auch das gegenseitige Vertrauen und erhöht die Chancen, bei einem Vorfall rasch informiert zu werden: „Denn schnelles Handeln ist dann entscheidend.“ [ Foto: Logistikum/Herburger ]
("Die Presse", Print-Ausgabe, 20.03.2021)