Von Nate Cote
Es liegt also an Ihnen, das beste IT-Produkt für die Implementierung in die Infrastruktur Ihres Unternehmens auszuwählen. Doch welches Produkt sollten Sie kaufen? Natürlich gibt es auch einfache Punkte, die berücksichtigt werden müssen, wie etwa Leistung, Kompatibilität, Preis und Support.
Aber was ist mit dem eigentlichen „Eingeweide“ des Produkts?
Da die Verbreitung von Cyber-Kriegen zunimmt, unabhängig davon, ob sie von Nationalstaaten, ethisch benachteiligten Unternehmen oder Hackern unterstützt werden, wird es immer wichtiger, den Produkten zu vertrauen, auf die wir uns verlassen, um die „bösen Dinge“ draußen zu halten. Es gibt zahlreiche Berichte über Rootkits und Trojaner, die auf Chips auf Komponentenebene installiert wurden, um Netzwerke von innen zu infiltrieren. Regierungsbehörden haben ihre Sorgfaltspflicht hinsichtlich der Produkte erhöht, die zum Schutz der Infrastruktur auf hohem Sicherheitsniveau zugelassen sind. Allerdings haben kommerzielle Unternehmen und Endbenutzer nicht immer Zugriff auf die gleichen Informationen oder Ressourcen wie Regierungsbehörden.
Obwohl es schwierig ist, wirklich zu verstehen, wie gut ein Produktunternehmen im IT-Bereich seine Lieferkette sichert, um Fehlverhalten zu verhindern, gibt es ein paar vernünftige Schritte, die unternommen werden können, um die Chancen, dass das Produkt sicher ist, zumindest zu verbessern. Am einfachsten ist es, bei einem Unternehmen zu bleiben, das über einen guten Ruf und einen Kundenstamm verfügt, zu dem auch Organisationen gehören, die ihre Sicherheit ernst nehmen (Regierungsbehörden, Finanzinstitute usw.). Der Gedanke hier ist zweierlei: 1) Das Unternehmen hat viel zu verlieren, wenn es das Vertrauen seiner Kunden gefährdet, daher sollten auf seiner Seite angemessene Maßnahmen in der Lieferkette ergriffen werden. 2) Nutzen Sie die Sorgfaltspflicht von Kollegen, um Ihre eigene unabhängige Forschung zu validieren.
Ein weiterer Schritt besteht darin, sich zu erkundigen, ob die Organisation unabhängigen Tests unterzogen wurde, die eine eingehende Analyse des Lieferkettenmanagements erfordern, wie z. B. Common Criteria. Eine der typischen Anforderungen in Common Criteria besteht darin, die Integrität der Lieferkette von der Komponentenebene über die Produktion, Integration, Verladung bis hin zur endgültigen Lieferung über das Vertriebsnetzwerk und den Endbenutzer zu beschreiben.
Der dritte Schritt besteht darin, einfach den Anbieter zu fragen. Je nachdem, um welche Anfrage es sich handelt, ist ein Anbieter möglicherweise bereit, bestimmte Fakten über die Lieferkette offenzulegen und im Rahmen einer Vertragsverhandlung etwas schriftlich festzuhalten. Es kann nie schaden, nachzufragen.
Das Befolgen dieser Schritte ist eine relativ einfache Möglichkeit, zusätzliche Einblicke in die Gesamtsicherheit eines Produkts und/oder Anbieters zu gewinnen. Eine kleine Due-Diligence-Prüfung kann viel dazu beitragen, Schwachstellen innerhalb der Lieferkette zu erkennen und Ihnen zusätzliche Sicherheit zu geben.