Einen Sicherheitsstandard entlang der Lieferkette zu gewährleisten, ist nicht einfach. Der Rat der EU betont aus dem Grund die Bedeutsamkeit, Maßnahmen zu ergreifen. So kann man als Auftraggeber vertraglich festgeschriebene, cybersicherheitsbezogene Anforderungen stellen. Das neue Lieferkettengesetz aus Juni 2021 setzt außerdem die Sorgfaltspflicht der Unternehmen über die gesamte Lieferkette hinweg voraus. Schließlich gibt es auch eine Reihe von Best Practices, die Unternehmen als Cybersecurity-Strategie befolgen sollten.
Ist die Cybersecurity-Strategie nicht ausreichend, so greifen Bedrohungsakteure Informationen von Geschäftspartnern aus der Lieferkette ab und können darüber Angriffe auf das eigentliche Zielunternehmen vorbereiten. Malware kann nun durch die verbundenen IT-Systeme weiterverbreitet werden. Eine übliche Methode, die am Anfang einer Kompromittierung von Unternehmen steht, ist das BEC (Business Email Compromise); Sicherheitsforscher warnen jüngst auch vor VEC (Vendor E-Mail Compromise) als neue Form des BEC. Laut dem Anbieter Cloudflare imitiert der Angreifer beim VEC die Identität einer vertrauenswürdigen dritten Partei, eben eines bekannten Zulieferers des eigenen Unternehmens. Der VEC-Betrüger gibt sich als externer Anbieter aus, um einen finanziellen Profit zu erzielen oder Zugang zu Daten und Unternehmensnetzwerken zu erlangen.
Die Risiken einer Cyberattacke erstrecken sich über das gesamte Ökosystem. Das Lieferkettengesetz erfordert eine hohe Sorgfalt bei der Verarbeitung von Daten entlang der gesamten Wertschöpfungskette. Eine besonders wichtige Säule einer umfassende IT-Security-Strategie darf dabei auf keinen Fall in übersehen werden: Die Schulung der Mitarbeiter in Form eines Security Awareness-Trainings.