Foto: Fotolia, S. Gladwell
Das reibungslose Funktionieren der kompletten Lieferkette scheint für viele Entscheider vor allem eine technische Herausforderung zu sein. Das Thema Informationssicherheit sehen sie eher im Hintergrund. Das Information Security Forum (ISF), nach eigener Darstellung eine der weltweit größten unabhängigen Organisationen auf diesem Gebiet, würde das gern ändern.
Zu dem Zweck hat das ISF den Report "Securing the supply chain" erstellt. Dessen Kernaussage: Von allen Risiken rund um die Lieferkette vernachlässigen Unternehmen das Risiko für ihre geschäftskritischen Daten am meisten.
Zwar genießt der Schutz geistigen Eigentums sehr hohe Priorität - intern. In Sachen Lieferketten-Management jedoch gerät er aus dem Blickfeld der Entscheider, kritisiert das ISF. Dabei könnten sensible Informationen auf ihrem Weg durch die Lieferkette ebenso missbraucht werden wie innerhalb des Unternehmens.
Sofern Entscheider geschäftskritische Daten beim Thema Supply Chain Management (SCM) sichern wollen, beschränken sie sich dabei üblicherweise auf die Verträge. Das ist an sich ja auch nicht falsch. Das ISF meldet dennoch Bedenken an: Wer mit sehr vielen externen Partnern zusammenarbeitet, wendet oftmals nicht die Zeit auf, jeden einzelnen Vertrag genau zu prüfen. Schon an dieser Stelle können "schwarze Löcher" entstehen.
Dramatischer ist aber, dass diese Externen wiederum mit weiteren Partnern kooperieren, die auch wieder mit Externen zusammenarbeiten. Mit jedem weiteren Glied in der Lieferkette steigt das Risiko von Datenverlust, so das ISF.
Das Forum rät, die gesamte Lieferkette auf mögliche Risiken und Gefahrenquellen zu durchforsten und Top-Risiken zu identifizieren. Sämtliche Partner müssen evaluiert und miteinander verglichen werden. Daraus können Entscheider Kernhandlungsfelder ableiten.
In vier Schritten vorgehen
Dabei geben die Autoren des Reports offen zu, dass ihre Vorstellungen einer datensicheren Lieferkette Zeit und Geld kosten. Sie empfehlen ein Vorgehen in vier Schritten:
1. Die Vorarbeit bei der Geschäftsleitung: Eben weil seine Vorstellungen eines perfekten Lieferketten-Management aufwändig sind, ist dem ISF klar, dass zunächst einmal firmeninterne Lobbyarbeit betrieben werden muss. Lieferketten-Manager sollten die Benefits ihres Vorgehens erläutern können. Hierbei hilft Rückendeckung aus den Fachabteilungen. Die größten Erfolgsaussichten hat, wer einen Business Case vorlegen kann.
2. Sicherheit konkretisieren: Für alle Stationen der Lieferkette müssen Sicherheits-Policies entwickelt werden. Eventuell braucht das Unternehmen auch neue Software. Hier ist zu entscheiden, ob zugekauft oder selbst entwickelt wird.
3. Die Partner unter die Lupe nehmen: Wer sämtliche externe Partner evaluiert, stellt häufig fest, dass er gar nicht alle braucht. Insofern ist Supply Chain Management auch Vendor Management, so das ISF.
4. Lieferketten-Management ins Unternehmen einbetten: Ziel all der Bemühungen ist, Supply Chain Management, Beschaffung und Vendor Management zu integrieren. Das soll dauerhaft für mehr Effizienz sorgen.
Erst ein Störfall brachte den Überblick
Der Report zitiert einen Lieferketten-Verantwortlichen mit den Worten: "Es war gar nicht einfach, herauszufinden, wer innerhalb der Lieferkette auf welche Daten zugreifen konnte. Genau wissen wir es erst seit einem großen Störfall."