Durch die globale Arbeitsteilung, komplexe Produkte und die Digitalisierung werden Lieferketten immer länger und verwundbarer. Unternehmen profitieren daher stark davon, diese Risiken durch Supply Chain Risk Management proaktiv zu adressieren. Im folgenden Kommentar stellt Patrick Steinmetz von BitSight fünf wesentliche Instrumente dafür vor.
Beim Supply Chain Risk Management müssen Risikomanager eine Vielzahl von Risiken berücksichtigen, von schlechtem Passwortmanagement bis hin zu geopolitischen Umbrüchen. Technologieunternehmen bieten Lösungen an, die Supply Chain Risk Management erleichtern. Die Lösungen setzen auf Big Data, maschinelles Lernen sowie künstliche Intelligenz und unterstützen Risikomanager dabei, Risiken in der Lieferkette effektiver zu überwachen, sich darauf vorzubereiten und sie zu minimieren. Abhängig von der Art ihrer Lieferketten sollten Verantwortliche erwägen, zumindest einige der nachfolgenden Lösungen für ihr Supply Chain Risk Management einzusetzen.
Mapping-Lösungen
Eine der wichtigsten Komponenten eines Supply-Chain-Risk-Management-Programms ist eine aktuelle Karte der Lieferantenbeziehungen. Für die meisten Unternehmen ist das Mapping von Tier-1-Lieferanten relativ einfach, aber eine echte Transparenz setzt voraus, dass man auch weiß, wer die Tier-1-Lieferanten beliefert. Diese Karten können sehr schnell sehr komplex werden; sich darauf zu verlassen, dass Menschen allein sie erstellen und pflegen, kann dazu führen, dass Lieferbeziehungen übersehen oder vergessen werden.
Darüber hinaus müssen auch digitale Lieferketten berücksichtigt werden. Schließlich können Probleme bei Anbietern von Cloud Services oder Betriebssystemen genauso kostspielig werden wie Schwierigkeiten bei Lieferanten von physischen Gütern.
Anbieter von Mapping-Lösungen setzen meist auf künstliche Intelligenz, um Unternehmen bei der Abbildung ihrer globalen Lieferketten zu unterstützen und automatisierte Erkenntnisse über potenzielle Risiken zu gewinnen. Um digitale Lieferketten abzubilden, müssen auch extern verfügbare Daten genutzt werden.
Umweltrisiken adressieren
Lösungen mit künstlicher Intelligenz und Big Data unterstützen Unternehmen dabei, Wetterereignisse schneller als je zuvor vorherzusagen und darauf zu reagieren. Die Lösungen nutzen eine Kombination aus Prognosedaten, Echtzeit-Updates über den Status der Infrastruktur, historische Daten und Compliance-Faktoren.
Lösungen zur Code-Verifizierung
Innerhalb einer digitalen Lieferkette werden einige der größten Risiken durch Schwachstellen verursacht, die auf Code von Drittanbietern zurückzuführen ist, der in ein proprietäres System integriert wurde. Das Ausnutzen genau solch einer Schwachstelle hat 2018 bei Ticketmaster zu einem größeren Datenleck geführt. Der gesamte Code von Drittanbietern sollte daher mit Lösungen zur Code-Verifizierung auf Integrität überprüft werden, bevor er integriert wird.
Geopolitische Risiken
Viele Unternehmen haben Lieferanten, die über die ganze Welt verteilt sind. Geopolitische Risiken können daher auch die Lieferkette betreffen. Risikomanager aus Mitteleuropa müssen nicht zu Experten für die komplexen politischen Realitäten in Ländern wie China oder Indien werden, aber sie müssen wissen, ob ihre ausländischen Zulieferer gefährdet sind. Auch in diesem Bereich gibt es Technologielösungen. Aggregierte Daten aus Social Media, Nachrichten und anderen Quellen können mit Algorithmen zur Verarbeitung natürlicher Sprache und maschinellen Lernen analysiert werden und Indikatoren für das politische Risiko fast in Echtzeit liefern.
Lieferanten-Risikomanagement
Unabhängig davon, ob es sich um die physische oder digitale Lieferkette handelt, ist das Cyber-Risiko ein wichtiger Faktor. Sehr weit verbreitete Sicherheitslücken und großangelegte Hacker-Angriffe wie Heartbleed, Petya und WannaCry können große Teile der Lieferkette eines Unternehmens fast sofort lahmlegen. Jedes Unternehmen ist Cyberbedrohungen ausgesetzt, und die Unternehmen, die nicht darauf vorbereitet sind, sich gegen Cyberattacken zu verteidigen, riskieren Betriebsstörungen, Gesetzesverstöße und Datenlecks.
IT-Sicherheitsratings eignen sich gut, die eigene IT-Sicherheit und die von Lieferanten zu überprüfen. Sie bieten eine messbare und vergleichbare IT-Sicherheitsperformance, also einen Blick von außen auf die IT-Sicherheit beliebiger Organisationen – eine datenbasierte und kontinuierliche Messung der IT-Sicherheit. Diese Informationen umfassen Daten zu Risiken in vier breit gefassten Kategorien: kompromittierte Systeme, IT-Sicherheitsorgfalt, Nutzerverhalten und allgemeine Veröffentlichungen. Die Ratings werden täglich aktualisiert und Risikomanager können damit schnell feststellen, wie gut die gesamte Lieferkette eines Unternehmens auf Cyberangriffe vorbereitet ist.
Ausgestattet mit dieser Transparenz über die Cyberrisikoexposition ihrer Lieferanten können Risikomanager die notwendigen Schritte unternehmen, um potenzielle Probleme zu minimieren, bevor sie außer Kontrolle geraten.
Fazit
Nicht jedes Unternehmen muss alle fünf Instrumente nutzen. Empfehlenswert sind stattdessen kontinuierliche Überwachung und erweiterte Analysen, um genauesten über die Risiken informiert zu sein, die die Lieferkette betreffen.
