Herr Durbin, Supply-Chain-Risiken sind seit einiger Zeit in aller Munde. Worin liegt das Problem?
In der Tat gehören die Risiken in der Supply Chain zurzeit zu den brennendsten Themen bei den Mitgliedsunternehmen des ISF. Viele Firmen sind mit einer kaum zu überschauenden Anzahl externer Partner, Lieferanten und Service Provider direkt oder indirekt verbunden. Gerade für international tätige Unternehmen ist es nahezu unmöglich für all diese Partner eine Bewertung hinsichtlich deren Informationssicherheit bzw. des Risikomanagements durchzuführen. Risikobewertungen können vielleicht die oberste Ebene der Supply-Chain-Verflechtungen abdecken, auf nach gelagerten Ebenen – also zum Beispiel Lieferanten von Lieferanten – greifen sie nicht, obwohl die Risiken die Selben sind.
Wie managen Unternehmen Supply-Chain-Risiken in der Praxis?
Vor allem in großen, global tätigen Unternehmen mit einer geringen Wertschöpfungstiefe ist das Thema inzwischen angekommen. Das macht Sinn, denn Unterbrechungen in der oftmals hochkomplexen Lieferkette haben mitunter katastrophale Auswirkungen für das operative Geschäft. In den Unternehmen setzt sich daher immer stärker ein risikobasierter Ansatz zur Identifizierung und Charakterisierung von Sicherheitslücken durch. Ein solcher Ansatz ermöglicht es, Ressourcen und Maßnahmen zur Risikominderung auf jene Bereiche der Lieferkette zu konzentrieren, in denen der größte Bedarf besteht – und zwar unabhängig von der Kontraktgröße. In vielen mittelständischen Unternehmen, die inzwischen ebenfalls globale Lieferkette unterhalten, beobachten wir dagegen noch immer eine gewisse Sorglosigkeit. Relativierend muss man natürlich sagen, dass diese Unternehmen auch nicht die Ressourcen und die Marktmacht wie Global Player haben, um entsprechende Veränderungen in der Lieferkette durchzusetzen.
Wo sollte das Management von Supply-Chain-Risiken organisatorisch aufgehängt sein?
Aufgrund der Bedeutung die funktionierende Lieferketten inzwischen für viele Unternehmen haben muss das Thema im Vorstand aufgehängt sein. Da Supply-Chain-Risiken immer auch finanzielle und rechtliche Aspekte tangieren ist der CFO der natürliche Verantwortungsträger dafür.
Was ist das ISF und was leistet es für seine Mitgliedsunternehmen?
Das Information Security Forum (ISF) ist eine unabhängige, weltweit tätige Non-Profit-Organisation für Informations- und Cybersicherheit sowie Risikomanagement. Zu unseren mehr als 300 Mitgliedsunternehmen gehören Firmen wie IBM, Nokia, Telefonica, Airbus oder Daimler. In Deutschland engagiert sich etwa die Hälfte der DAX-Unternehmen im ISF. Für seine Mitglieder bildet das ISF ein Netzwerk, in dem sie sich zu aktuellen Problemen und Herausforderungen rund um Informationssicherheit und Risikomanagement austauschen können. Darüber hinaus haben wir mit dem „Supply Chain Information Risk and Assurance Process“ (SCIRAP) ein detailliertes Vorgehensmodell entwickelt, mit dem Unternehmen ihre Top-Risiken schnell erfassen und bewerten, externe Partner evaluieren und miteinander vergleichen sowie Kernhandlungsfelder definieren können.
