12 Tage AppsMas: Levi Strauss & Co.: Verbesserung der Cybersicherheit in der Lieferkette im Jahr 2021
Eines der prägenden Merkmale des Jahres 2021 waren die Störungen in der globalen Lieferkette, die zu Engpässen und einem Ungleichgewicht bei der Nachfrage führten. In Verbindung mit einer Zunahme von Cyberangriffen im Einzelhandel, bei Versorgungsunternehmen und in der Fertigungsindustrie waren die Auswirkungen auf die Stabilität des Handelssystems und der Gesellschaft insgesamt erheblich und weitreichend. Nie zuvor war es für Unternehmen so dringend notwendig, geschäftskritische Anwendungssicherheit in ihr Lieferkettenmanagement zu integrieren – insbesondere angesichts einer zunehmend vernetzten Welt mit neuen Angriffsvektoren für Cyberangriffe. Hier erfahren Sie, wie einer unserer Kunden und eines der ältesten und etabliertesten Unternehmen der Vereinigten Staaten, Levi Strauss and Co., seine Cybersicherheit in der Lieferkette im Jahr 2021 verbessert hat.
Wenn es um das Design und den Verkauf von Jeans geht, können nur wenige Unternehmen mit Levi Strauss mithalten, das seit seiner Gründung in den 1850er Jahren mehr als 3,5 Milliarden Paare verkauft hat. Das Unternehmen hat im Alleingang ein besseres Denim-Produkt entwickelt, indem es Bereiche verstärkte, die starker Beanspruchung ausgesetzt waren, wie beispielsweise die Taschen. Als das Unternehmen sein nächstes Projekt zur digitalen Transformation in Angriff nahm, stellten die Führungskräfte fest, dass sie ihr Geschäftsmodell erneut stärken mussten – diesmal im Bereich der Lieferkettensicherheit.
Levi Strauss legt großen Wert darauf, bei technologischen Trends immer auf dem neuesten Stand zu bleiben, und hat im Laufe der Zeit eine solide Infrastruktur, Lieferkette und ein Cybersicherheitsprogramm aufgebaut. Um auf dem neuesten Stand zu bleiben, beschlossen die Technologieführer des Unternehmens vor etwa sechs Jahren, eine umfassende digitale Transformation durchzuführen, bei der der Großteil der Anwendungen und der Infrastruktur in die öffentliche cloud verlagert werden sollte. Dieser Schritt erwies sich in vielerlei Hinsicht als vorteilhaft, von der Kostensenkung bis zur Effizienzsteigerung. Es war besonders glücklicher Zufall, dass dies noch vor der COVID-19-Pandemie geschah, da Levi Strauss dadurch leichter zu einer stärkeren Ausrichtung auf den E-Commerce übergehen konnte.
Ein wesentlicher Teil der Umstellung bestand darin, vom hauseigenen SAP-ERP-System (Enterprise Resource Planning) auf SAP HANA in der öffentlichen cloud umzusteigen, das von SAP für Levi Strauss verwaltet wird. Das Unternehmen stützt sich in allen Bereichen – von der Finanzverwaltung bis zum Bestandsmanagement – auf SAP. Durch die Umstellung auf ein Managed-Services-Modell für ERP in der cloud erwartete Levi Strauss eine Verbesserung der täglichen Verwaltung und control bessere control .
Zwar waren die Vorteile des Managed-Services-Ansatzes unbestreitbar, doch führte diese Umstellung auch dazu control Levi Strauss weniger Einblick und control über die Sicherheit seiner Geschäftsanwendungen und Daten hatte.
„Als unser ERP-System noch vor Ort betrieben wurde, hatten wir vollständige Transparenz und konnten es unter Sicherheitsaspekten überwachen und verwalten“, sagte Steve Zalewski, stellvertretender Chief Information Security Officer des Unternehmens. „Aber wir tragen nach wie vor die Verantwortung, das Unternehmen vor allen Angriffsarten zu schützen. Ohne die Informationen, über die [SAP] hinsichtlich Infrastrukturkontrollen oder Protokollen verfügt, kann ich bestimmte Angriffstypen nicht identifizieren. Dies führte zu einem Konflikt zwischen meiner Notwendigkeit, das Unternehmen zu schützen, und deren geschäftlichen Verpflichtungen sowie SLAs [Service Level Agreements] und der Bereitschaft, diese gemeinsame Verantwortung zu übernehmen.“
Die Situation war zwar kein Ausschlusskriterium, veranlasste Zalewski und sein Team jedoch dazu, gründlich darüber nachzudenken, wie sie wieder den Überblick und control zurückgewinnen könnten. Diskussionen über geteilte Verantwortung, mögliche Auswirkungen auf die SLA-Anforderungen und die Notwendigkeit von Vertrauen wurden zu zentralen Themen.
Für das Sicherheitsteam von Levi Strauss war eine lückenlose Transparenz die wichtigste Anforderung. Durch das neue Managed-Services-Modell wurde diese Transparenz teilweise eingeschränkt. Im Falle eines Angriffs auf die Infrastruktur oder eine Anwendung hätte Zalewskis Team zunächst keine Kenntnis davon, da dieser Teil der Infrastruktur in den Zuständigkeitsbereich von SAP fällt. Je nachdem, wie sich der Angriff entwickelte, hätte das Levi Strauss-Team ihn vielleicht irgendwann entdeckt, aber dann wäre es möglicherweise schon zu spät gewesen. Wenn sich der Angriff beispielsweise lateral ausbreitete, hätte er ein Geschäftskonto oder Geschäftsdaten kompromittieren können, bevor er erkannt und abgewehrt worden wäre.
Der erste Schritt bei der Ermittlung der besten Vorgehensweise bestand darin, sich auf die internen Abläufe zu konzentrieren. Zalewskis Team musste genau verstehen, auf welche Sicherheitsinformationen die Unternehmensverantwortlichen von jedem Anbieter und aus jedem Funktionsbereich Zugriff benötigten, um die Unternehmensressourcen umfassend zu schützen. Nachdem das Team dies geklärt hatte, bestand der nächste Schritt darin, einen Dritten hinzuzuziehen, dem sowohl Levi Strauss als auch SAP voll und ganz vertrauen konnten.
Das Team entschied sich für Onapsis, eine platform Überwachungstools bereitstellt, die verschiedene Umgebungen miteinander verbinden können. Die Idee war, die Onapsis-Tools innerhalb der IT-Infrastruktur von SAP zu installieren, damit das Sicherheitsteam von Levi Strauss alle Aktivitäten überwachen und relevante Daten abrufen kann. Diese Konfiguration würde es Zalewskis Team ermöglichen, alle Ressourcen aus Sicht der Cybersicherheit ganzheitlich zu überwachen – sowohl die von SAP verwaltete Infrastruktur und die von SAP verwalteten Anwendungen als auch die von Levi Strauss kontrollierten Geschäftsanwendungsdaten und Zugriffsrechte.
Die Integration, die etwa zwei Jahre dauerte und schließlich Anfang 2021 in Betrieb genommen wurde, erforderte die Installation von Onapsis-Tools auf der von SAP verwalteten Infrastruktur. Das bedeutete, dass Levi Strauss darauf vertrauen musste, dass die Tools die Betriebsverfügbarkeit nicht beeinträchtigen würden und dass sie in der Lage waren, die von Zalewskis Team benötigten Informationen zu erfassen und an das Security Operations Center (SOC) sowie den Data Lake von Levi Strauss zu exportieren, die sich in einer anderen öffentlichen cloud befinden.
„Ein Teil der Verhandlungen stand von Anfang an darauf ab, beiden Seiten klarzumachen, dass die neue Beziehung unter dem Gesichtspunkt der Cybersicherheit gestaltet werden musste und dass ich, falls uns dies nicht gelänge, in eine Lage geraten würde, in der ich mein vorrangiges Ziel – nämlich den Schutz des Unternehmens – nicht erreichen könnte“, erklärte Zalewski.
Die Überwachungslösung sorgt nicht nur für die Sicherheit der SAP-Installation des Unternehmens, sondern hat auch andere Probleme aufgedeckt. Da sie dem Unternehmen einen Überblick über die gesamte Infrastruktur ermöglichte – Produktions- und Nicht-Produktionsumgebungen, Qualitätssicherung, Test- und Vorproduktionsumgebungen –, konnte sie Situationen, in denen eine Konfigurationsdatei geändert wurde, problemlos erkennen. So wurden Fehler, die Entwickler bei der Konfiguration von Umgebungen gemacht hatten, schnell aufgedeckt – Fehler, deren Behebung laut Zalewski normalerweise Monate gedauert hätte.
Da nun alles reibungslos funktioniert, plant das Sicherheitsteam, die Funktionalität auf seine verschiedenen cloud auszuweiten. Ziel ist es, die Verwaltung der wachsenden Lieferkette und der zahlreichen, voneinander getrennten Clouds zu verbessern.
„Diese digitale Transformation treibt die Branche immer weiter in stark verteilte und komplexe Lieferketten, in denen immer weniger Teile der Lieferkette unter Ihrer control stehen, die Sie jedoch weiterhin überwachen und steuern müssen“, sagte Zalewski. „Das ist die Herausforderung: Wie können wir unsere Risikomanagementfähigkeiten auf der Grundlage eines Modells des gegenseitigen Vertrauens oder nach dem Motto ‚Vertrauen ist gut, Kontrolle ist besser‘ weiterentwickeln, damit wir dem Unternehmen und seinen wichtigsten Geschäftsprozessen angemessene Versicherungspolicen anbieten können?“
Dieser Artikel wurde ursprünglich auf ITProToday veröffentlicht.
Weitere Beiträge zu „12 Days of AppsMas“:
- 10 Schritte zum Schutz von SAP-Anwendungen vor Ransomware
- SAP-Sicherheit: 4 Schritte zur Reaktion auf einen Ransomware-Angriff
- Lassen Sie sich den Urlaub nicht durch einen Cyberangriff verderben: Tipps für Führungskräfte