Die digitale Supply Chain - Risiken bedrohen Ihre Daten

02.01.2016 | Das vollständig digitale Supply Chain Management bietet erhebliche Vorteile: Der Erfassungsaufwand kann reduziert und der Durchlaufprozess verkürzt werden. Doch wie realistisch ist eine vollständige Digitalisierung in näherer Zukunft? Eine international aufgestellte Lieferkette mit zahlreichen Beteiligten birgt grosse juristische und IT-Probleme.

Werden Informationen von Akteur zu Akteur weitergereicht, so müssen sie zahlreiche Schnittstellen passieren. Werden sie international ausgetauscht, stellt das hohe Anforderungen an die Compliance. Denn für die Übermittlung und die Aufbewahrung der Daten gelten je nach Staat unterschiedliche Vorgaben und Regelungen, ebenso für die Frage, inwieweit elektronische Dokumente ausreichen oder das Recht des jeweiligen Staats (noch) auf papiernen Originaldokumenten besteht.
 
Wem gehören die Daten?
Sicherheitsrelevante Fragen ergeben sich zum einen im Rahmen der Übermittlung. Die Daten laufen durch die Systeme verschiedenster Akteure, gegebenenfalls in verschiedensten Staaten. Wer setzt die Standards fest, die diese Akteure einzuhalten haben? Dies ist mit der juristisch schwer zu beantwortenden Frage verknüpft, wer eigentlich Eigentümer der Daten ist und wem die Verantwortung für diese Daten obliegt. Es stellen sich aber noch weitere Fragen: Wie ist es um die Sicherheit in den verschiedenen Systemen bestellt? Gibt es insbesondere schwer ausschliessbare Zugriffsmöglichkeiten staatlicher Stellen? Wie kann sichergestellt werden, dass Daten in den fremden Systemen nicht unzulässigerweise kopiert, gespeichert oder weitergegeben werden?
 
Speicherung und Archivierung – wer hat Zugriff?
Zum anderen stellt die Speicherung und Archivierung der Dokumente eine weitere Herausforderung an die Sicherheit. Dabei ist zunächst entscheidend, welche Lösung gewählt wird. Erfolgt die Aufbewahrung in einer Cloud? Wer erhält hier Zugriffsmöglichkeiten? Oder speichern die Unternehmen (welche?) die Daten in ihrer eigenen EDV? Soll ein gemeinsames Portal aller Beteiligten geschaffen werden? Jede dieser Lösungen hat ihre spezifischen Schwachstellen, die einen unerlaubten Zugriff auf die Daten ermöglichen.
 
Datendiebstahl mit fatalen Folgen
Damit sollte deutlich geworden sein, dass gerade digitale Supply Chains neben den erwähnten Vorteilen auch handfeste Datendiebstahlsrisiken bergen. Diese können für die beteiligten Unternehmen schwerwiegende Folgen haben – lassen sich aus den Daten doch Preise, Kundenbeziehungen oder Produktionsgeheimnisse ersehen. Wenn diese Informationen Konkurrenten, kriminellen Organisationen oder unseriösen Regierungsstellen in die Hände fallen, kann das im Extremfall die Existenz eines Unternehmens bedrohen. Beispielsweise wird davon ausgegangen, dass der Diebstahl einer 1,5 Millionen Dollar teuren Lieferung von iPad Minis im November 2012 am JFK-Airport in New York durch ein Datenleck möglich wurde.
 
Malware und Trojaner
Neben dem Diebstahl von Daten besteht ausserdem die Gefahr, dass die Dateien mit Schadpro-grammen infiziert werden. Wenn dadurch Daten verfälscht oder unleserlich werden, kann das zu empfindlichen Schwierigkeiten in der Lieferkette führen. Denkbar ist zudem die Installation von Spionagetools, etwa Trojanern, die einen Zugang für Datendiebstahl und Spionage ermöglichen.
Die bisherigen Erörterungen zeigen, dass ein EDV-basiertes Supply Chain Management präzise Vorarbeiten erfordert. EDV-Fachleute und Juristen müssen gemeinsam Verhaltensregeln, Standards und technische Voraussetzungen schaffen, die sicherstellen, dass bei jedem einzelnen Glied der Lieferkette der unbefugte Zugriff auf die Daten, sei es durch Diebe oder infolge Einschleusens von Schadprogrammen, ausgeschlossen ist. Dabei werden sie umgehen müssen mit dem Problem, dass die verschiedenen Akteure jeweils individuell auf sie zugeschnittene IT-Umgebungen haben, die oftmals erheblich voneinander abweichen. Dies erschwert die Kommunikation der einzelnen Systeme untereinander und auch die Einrichtung gemeinsamer Standards.
 
Lösungsansätze: das Kind nicht mit dem Bad ausschütten
Bereits bestehende Ansätze weisen gefährliche Schwachstellen auf. GS1-Standards erlauben zwar einen zuverlässigen Informationsaustausch, vernachlässigen aber die Problematik des unerlaubten Zugriffs auf die Daten. Wirkungsvoller ist die Auslagerung des Datenflusses und der Datenverwaltung auf einen zentralen zuverlässigen Dienstleister, wie ihn etwa die Richtlinien des National Institute of Standards and Technology (NIST) vorsehen. Wenig hilfreich ist, wenn zur Vermeidung der Risiken bisweilen versucht wird, möglichst wenig sensible Daten zu liefern. Dies konterkariert im Einzelfall die Vorteile des EDV-Einsatzes, da fehlende Zugriffsberechtigungen für diese Daten zu Verzögerungen und erhöhtem Rückfrage- und Bearbeitungsaufwand führen. Die Ausarbeitung eines klugen Massnahmen-pakets durch Juristen und EDV-Fachleute ist dann auf Dauer die kostengünstigere Alternative.
 
Fazit
Die Digitalisierung der Supply Chain ist einerseits ein wirkungsvolles Instrument zur Beschleunigung der Warenströme und zur Kostenminimierung. Auf der anderen Seite bringt der vermehrte Einsatz von EDV aber auch juristische und technische Probleme und Risiken für die Datensicherheit mit sich, die gezielt angegangen werden müssen. Die sonst drohenden Schäden können immens sein.
 
Thorsten Vogl / Rechtsassessor / Associate GSL Consulting LLC

Bewertung Ø:
   
Meine Bewertung:

Fragen und Kommentare (0)