Cyber Supply Chain Attacks

Cyber Supply Chain Attacks

  • September 2022
  • Esther Kern, Alexander Szanto
  • BIGS Policy Paper Nummer 10
  • CyberFactory#1

Eine Kette ist nur so stark wie ihr schwächstes Glied. Diesen Satz hört man häufig, wenn es um den Grad der Sicherheit von Lieferketten geht. Eine Übersicht über die Vielzahl an Schnittstellen zu Lieferanten haben viele Unternehmen allerdings nicht. Dieser Umstand führt dazu, dass komplexe Lieferketten anfällig für digitale Bedrohungen sind, da die Gefahrenlage für dieses weitverzweigte und intransparente Netz oftmals nicht erkannt wird. Cyberkriminelle, staatliche Akteure und staatlich unterstützte Hacker versuchen schon lange, vertrauenswürdige Dritte in Lieferketten zu infiltrieren und sie als Eingangstor für ihre ursprünglichen Ziele zu nutzen oder als „Spreader“, für die Vervielfältigung von beispielsweise Ransomware, zu missbrauchen.

Im BIGS Policy Paper No. 10, haben Esther Kern und Alexander Szanto Angriffe auf Lieferketten genauer untersucht und versuchen, einen systemischen Einblick in diesen Bereich zu geben. Zunächst wird die Ausgangslage kurz erläutert sowie eine begriffliche Differenzierung zwischen gezielten Angriffen (Targeted Attacks) und verteilten Angriffen (Distributed Attacks) vorgenommen (Kapitel 2). Danach werden zwei Fallstudien für jeweils eine Form der Cybervorfälle aus fünf Betrachtungsebenen vorgestellt (Kapitel 3). Daran anschließend wird die ökonometrische Analyse vorgenommen die zunächst die methodische Vorgehensweise von Ereignisstudien (Event Studies) und die zugrundliegenden Datenquellen vorstellt, bevor die Ergebnisse und die daraus resultierenden Erkenntnisse erläutert werden (Kapitel 4). Schließlich fließen die Ergebnisse der Analyse in Handlungsempfehlungen ein (Kapitel 5).

Diese Studie hatte somit zum Ziel, mithilfe der ökonometrischen Analyse, den Schaden von Cybervorfällen für Unternehmen zu beziffern und diese für gezielte und verteilte Angriffe in jeweils einer Fallstudie plastisch darzustellen. Auch wenn die Ergebnisse des Schadens für börsennotierte Unternehmen auf den ersten Blick scheinbar nicht eindeutig sind, können Schäden immense Ausmaße annehmen, wie einige Geschäftsberichte deutlich machen. Mit dem Policy Paper soll erstens ein größeres Bewusstsein für die Risiken geschaffen werden, die sich durch den Vernetzungsgrad als Teil einer Lieferkette ergeben und zweitens die Risikoanalyse von Unternehmen mit konkreten Zahlen und Handlungsoptionen unterstützt werden.

Schlagwörter: Cybersicherheit
Erschienen auf: Englisch