Supply Chain Risk Management in der Verpackungsindustrie

Die europäische Politik macht in puncto Cybersicherheit Ernst: Regulierungsinitiativen wie die NIS-2-Richtlinie (Network and Information Systems) oder der Cyber Resilience Act (CRA) tragen dazu bei, die IT-Sicherheit in der Industrie nachhaltig zu stärken, indem sie strengere Standards und Meldepflichten etablieren.

Doch insbesondere die Verpackungsindustrie bleibt aufgrund ihrer Schlüsselstellung innerhalb der Lieferketten weiterhin anfällig für Cyberangriffe. Ihre zentrale Rolle innerhalb der Wertschöpfungskette macht sie zu attraktiven Zielen für Kriminelle, die auf maximale Störung aus sind. Treffen die Angreifer mit ihren Attacken das richtige Verpackungsunternehmen, steht im schlimmsten Falle auch bei vielen Abnehmern die Produktion still – ganz egal, wie hoch deren Cyberschutzniveau ist. Denn Verpackungsmaterialien sind vielerorts betriebskritische Komponenten, ohne die keine Ware das Lager verlassen kann.

Steigende Komplexität erfordert Aufmerksamkeit

Während die Verpackungsbranche für viele große Unternehmen ein betriebskritisches Glied in der Lieferkette ist, sind auch die Hersteller selbst stark auf ihre vorgelagerten Lieferanten angewiesen. Das bringt gewisse Risiken mit sich. So nutzen beispielsweise manche Zulieferer im Materialsektor Fertigungstechnologien, die bereits viele Jahre im Einsatz sind und demnach auf alten Betriebssystemen ohne regelmäßige Sicherheitsupdates laufen. Da viele Unternehmen Produktionsanlagentechnik nicht im IT-Asset-Management integriert haben, fällt das bisweilen gar nicht auf. Eine erfolgreiche Attacke auf ein solches System kann sich aber schnell auf die gesamte Lieferkette auswirken und die Produktion bei sämtlichen Beteiligten erheblich stören. Hinzu kommt, dass viele Zulieferer mittelständische Betriebe sind, die oft nicht die finanziellen und personellen Ressourcen haben, um umfassende Cybersicherheitsmaßnahmen zu implementieren. Das macht sie für Angriffe besonders anfällig, da sie oft keine dedizierten IT-Sicherheitsexperten beschäftigen und auf veraltete oder unzureichende Sicherheitslösungen angewiesen sind.

Doch auch große Unternehmen stoßen auf Herausforderungen: In bestimmten Fällen erschwert schon die schiere Komplexität der Lieferketten den Schritt, alle potenziellen Schwachstellen zu überwachen und zu sichern. Gerade internationale Konzerne arbeiten oft mit einer Vielzahl von Zulieferern zusammen, was die Verwaltung der Cybersicherheitsrisiken erheblich erschwert.

Nutzen Cyberkriminelle dann noch besonders manipulative und subtile Methoden wie Phishing oder Social Engineering, wird die Suche nach Schwachstellen schnell zur sprichwörtlichen Nadel im Heuhaufen. Verschiedene nationale wie internationale Regularien erhöhen die Komplexität in solchen ohnehin schon intransparenten Konstellationen weiter. Denn wessen Lieferketten sich über die EU-Grenzen hinausbewegen, der muss die Sicherheitsmaßnahmen seiner Lieferanten nach unterschiedlichen Maßgaben beurteilen. Ein weiterer erschwerender Faktor.

Zielgerichtetes Risikomanagement schafft Transparenz

Um die geschilderten Herausforderungen langfristig in den Griff zu bekommen, ist ein systematisches Cyber Supply Chain Risk Management (C-SCRM) unerlässlich. Ein wichtiger Teil dieser Praxis liegt darin, alle Drittanbieter und Partner zu identifizieren, die für Geschäftskontinuität kritisch sind oder Berührungspunkte mit Teilen der IT-Infrastruktur haben.  Das können beispielsweise Partner sein, die Zugang zu Lösungen wie Lieferantenplattformen haben. Aber auch Unternehmen, deren Produkte oder Leistungen kritisch für den eigenen Betrieb sind. Eine detaillierte Kategorisierung der Lieferanten nach ihrer Bedeutung und dem Risiko, das sie darstellen, ist dabei entscheidend.

Die Risikobewertung erfolgt in der Regel stufenweise: Bei geringem Risiko genügen oft schnelle Cyberbewertungen durch unabhängige Dritte, während bei höherem Risiko detaillierte Fragebögen oder Audits erforderlich sind. So muss ein Verpackungsunternehmen den wichtigen Zulieferer für hochspezialisierte Kunststoffe anders bewerten und kontrollieren als den Versandhändler für Büromaterialien. Das ist scheinbar naheliegend, aber umso wichtiger, um die ohnehin oft knappen Ressourcen für Sicherheitsprüfungen möglichst wirksam einzusetzen.

Audits sind wichtiges Werkzeug für Sicherheit

Regelmäßige Audits und Sicherheitsbewertungen helfen, potenzielle Risiken zu identifizieren, bevor Kriminelle sie ausnutzen können. Dies kann durch detaillierte Fragebögen zu spezifischen Sicherheitsmaßnahmen und -protokollen oder durch umfassende Audits erfolgen, die vor Ort durchgeführt werden. Solche Audits beinhalten oft eine gründliche Überprüfung der technischen Infrastruktur, der Sicherheitsrichtlinien und -praktiken sowie der des Bewusstseins der Mitarbeitenden in Bezug auf Cybersicherheit. Auch periodische Sicherheitsbewertungen, bei denen aktuelle Bedrohungen und Schwachstellen analysiert werden, gehören im Idealfall dazu.

Durch das frühzeitige Aufdecken von Schwachstellen in der IT-Infrastruktur eines Lieferanten können Unternehmen präventive Maßnahmen ergreifen, um die Sicherheit der Lieferkette zu verbessern. Das kann beispielsweise ein konsequenteres Patch-Management, eine Netzwerksegmentierung oder die Implementierung strengerer Zugangskontrollen sein, um sicherzustellen, dass nur autorisierte Personen auf kritische Systeme und Daten zugreifen können. Auch gemeinsame Schulungen mit Lieferanten helfen dabei, gewisse Sicherheitsrisiken zu reduzieren und das Gefahrenbewusstsein zu stärken. Ein wichtiger Aspekt ist dabei die kontinuierliche Überwachung der Lieferantenbeziehungen. Dazu gehört es auch, Risikobewertungen regelmäßig zu aktualisieren und Sicherheitsanforderungen an neue Bedrohungslagen anzupassen. Durch eine enge Zusammenarbeit mit den Lieferanten und das Teilen von Best Practices können beide Seiten von einem höheren Sicherheitsniveau profitieren.

Vertrauensvolles Miteinander innerhalb der Lieferkette

C-SCRM hilft nicht nur, sich robust gegen Cyberangriffen aufzustellen, sondern auch das Vertrauen von Kunden, Partnern und Stakeholdern zu stärken. Nur durch eine kontinuierliche Identifikation, Bewertung und Verwaltung von Risiken können Unternehmen die Sicherheit ihrer Lieferkette ganzheitlich gewährleisten. Angesichts der zunehmenden Digitalisierung und Vernetzung in Feldern wie Fertigung und Logistik wird die Bedeutung von C-SCRM weiter steigen. Hinzu kommt, dass immer mehr Produkte erst möglich werden, weil globale und digitalisierte Lieferketten reibungslos ineinandergreifen. Und auch die angespannte, geopolitische Lage macht es unerlässlich, Cybersicherheit in der Lieferkette als strategische Priorität zu betrachten und proaktiv Maßnahmen zu ergreifen, um die Wertschöpfungskette vor potenziellen Bedrohungen zu schützen.

Europäische Regulierungsinitiativen wie der CRA und NIS-2 tragen dazu bei, die erforderliche Transparenz zu erhöhen. Der CRA macht beispielsweise eine Software Bill of Materials (SBOM) für viele Produkte mit digitalen Komponenten in Zukunft obligatorisch. Das hilft auch Verpackungsunternehmen dabei, Softwarekomponenten auf bekannte Schwachstellen zu untersuchen. Wird etwa eine Schwachstelle in der Firmware einer industriellen Steuerung entdeckt, können Unternehmen sofort prüfen, ob diese in ihrer Produktion zum Einsatz kommt und entsprechende Gegenmaßnahmen einleiten.

Risikomanagement bei Lieferketten auf der Packaging Machinery Conference 2025

Nicht nur Hackerangriffe setzen die Logistik unter Druck. Die Corona-Pandemie und noch mehr der Zwischenfall im Suezkanal zeigten klar: Die globalen Lieferketten waren extrem fragil. Weshalb wir dem Thema nicht Beiträge auf unserem Portal widmen, sondern auch einen Vortrag auf der Packaging Machinery Conference 2025, die auch in diesem Jahr am 04. und 05. Juni in München stattfindet.

Cristian Reiter, CTO & Managing Director bei Uhlmann Pac-Systeme, spricht im Themenblock Globalisierung am zweiten Veranstaltungstag über Learnings des Maschinenbaus und darüber, wie modernes Risikomanagement bei Lieferketten heute aussieht. Damit auch Ihre Verpackungsmaschine immer pünktlich beim Kunden ankommt – egal, an welchen Ort der Welt diese geliefert werden soll.