Bereits im Februar 2021 veröffentlichte das britische National Cyber Security Center (NCSC) ein Dokument, das vor einer Zunahme derartiger Angriffe warnte. Darin wurden Organisationen und Entwickler dazu aufgefordert, die Schutzmaßnahmen zu erhöhen, etwa durch die Automatisierung der Softwareentwicklung mit Continuous Integration und Continuous Delivery (CI/CD). Im Oktober 2021 erklärte der Vorstand des NCSC, dass Ransomware zwar die größte Cyberbedrohung unserer Zeit wäre, doch auch Angriffe auf Lieferketten würden uns noch über Jahre zu schaffen machen. In einer aktuellen Verlautbarung hat das NCSC nun erklärt, dass es einen neuen Leitfaden veröffentlicht hat, der es mittleren und größeren Organisationen ermöglichen soll, „die Cyber-Risiken der Zusammenarbeit mit Lieferanten zu bewerten und sich zu vergewissern, dass Mindestmaßnahmen vorhanden sind.“ Außerdem werden Cybersicherheitsexperten, Risikomanager und Beschaffungsspezialisten dazu aufgefordert, die „12 Sicherheitsprinzipien der Lieferkette“ des NCSC umzusetzen. Damit folgt das NCSC einer ähnlichen Empfehlung der amerikanischen NSA, die sich bereits vor einem Monat an Entwickler gewandt hatte.
Grund für diesen neuen Leitfaden ist die Tatsache, dass die Zahl der Angriffe, die ihren Ursprung in einer verwundbaren Lieferkette haben, in den letzten Jahren deutlich angestiegen sei. Trotzdem scheinen sich nur wenige Unternehmen in Großbritannien mit der Sicherheit der Lieferketten zu befassen. Einer aktuellen Studie der Regierung zufolge hat mehr als die Hälfte der großen und kleinen Unternehmen die IT- und Cybersicherheit an Dritte ausgelagert. Aber nur 13 % der britischen Unternehmen bewerteten die Risiken, die von unmittelbaren Lieferanten ausgehen, überhaupt – und gaben darüber hinaus an, dass Cybersicherheit kein wichtiger Faktor bei der Beschaffung sei.
Diese Zahlen lassen aufhorchen, denn die letzten Jahre haben gezeigt, dass Angriffe auf Lieferketten ein gewaltiges Risiko darstellen und mitunter Auswirkungen auf Unternehmen weltweit haben können. Das NCSC fordert daher nachdrücklich dazu auf, die Zusammenarbeit mit Zulieferern in puncto Cybersicherheit zu intensivieren und die in der Leitlinie dargestellten Maßnahmen schnellstmöglich umzusetzen.