08. Juli 2023

Unsichere IT-Lieferketten: Das bedeuten sie für den Datenschutz

DP+

Um die Zielkunden zu kompromittieren, konzentrieren sich die Angreifer bei etwa 66 % der gemeldeten Vorfälle auf den Code der Lieferanten. Bei etwa 58 % der von ENISA analysierten Vorfälle in der Lieferkette handelt es sich bei den angegriffenen Vermögenswerten überwiegend um Kundendaten, darunter personenbezogene Daten und geistiges Eigentum.

Bild: ENISA

0,00 (0)

Datenschutz und Cybersicherheit, Teil 1

IT-Sicherheitsbehörden warnen vor Schwachstellen in der Software- und Hardware-Lieferkette. Aktuelle Vorfälle belegen diese Gefahren, die sich auch auf den Datenschutz auswirken. Datenschutzkonzepte sollten deshalb die Sicherheit der IT-Lieferkette berücksichtigen.

Gestörte Lieferketten zeigen Abhängigkeiten

Jedes Unternehmen und jede Behörde ist Teil einer Lieferkette. Wer nicht selbst produziert und fertigt, ist mindestens am Ende der Lieferkette, als Anwender und Verbraucher.

Kommt es zu Störungen oder Ausfällen, merkt dies nicht nur die direkt betroffene Stelle, sondern jeder Teil der Lieferkette. Einem Automobilbauer fehlt dann ein Teil für die Fertigstellung, dem Vorlieferanten fehlt der ausgefallene Kunde, dem Verbraucher und Anwender fehlt das Produkt oder die Dienstleistung.

Diese Abhängigkeiten und Folgewirkungen machen Lieferketten als Angriffsziele so interessant. Entsprechend häufig zielen Angreifer auf Lieferketten oder nutzen sie für Attacken aus (Supply Chain Attacks). IT-Sicherheitsbehörden wie die Agentur der Europäischen Union für Cybersicherheit (ENISA) warnen ausdrücklich vor solchen Angriffen.

IT-Lieferketten führen zu den Daten

In der IT umfasst eine Lieferkette Hardware und Software sowie Cloud- oder lokale Speicher- und Verteilungsmechanismen. Die Hardware und die Software selbst bestehen aus Komponenten und Modulen. Sie sind ebenfalls Teil einer eigenen, angreifbaren Lieferkette.

Für den Datenschutz ist es wichtig, dass die IT-Lieferketten mit Daten „arbeiten“ und zu Daten hinführen, auch zu personenbezogenen Daten. Denn bei der Entwicklung und Erstellung von IT werden Daten verarbeitet, mit den Endprodukten, also den IT-Produkten und -Services, natürlich auch. Deshalb sind Störungen, Ausfälle, Angriffe und Abhängigkeiten bei IT-Lieferketten immer auch ein T…

Oliver Schonschek

Weiterlesen mit DP+

Sie haben noch kein Datenschutz-PRAXIS-Abo und möchten weiterlesen?

Konzentrieren Sie sich aufs Wesentliche

Profitieren Sie von kurzen, kompakten und verständlichen Beiträgen.

Kein Stress mit Juristen- und Admin-Deutsch

Lesen Sie praxisorientierte Texte ohne Fußnotenapparat und Techniker-Sprech.

Sparen Sie sich langes Suchen

Alle Arbeitshilfen und das komplette Heftarchiv finden Sie online.

Jetzt testen

zu den Kommentaren

Wie nützlich war dieser Beitrag für Sie?

Cybersicherheit

drucken

Verfasst von

Oliver Schonschek

Oliver Schonschek ist freiberuflicher News Analyst, Journalist und Kommentator, der sich auf Sicherheit, Datenschutz und Compliance spezialisiert hat. Er schreibt für führende Medien, ist Herausgeber und Autor mehrerer Lehrbücher.