Vorwort

Die Art und Weise, wie wir arbeiten, hat sich in den letzten Jahren durch die Einführung von Cloud-Technologien, die die Geschäftsstrategie vorantreiben, durch künstliche Intelligenz, die Daten auf ungeahnte Weise zum Leben erweckt, und durch Rechenleistung, die jedem zur Verfügung steht und die es uns ermöglicht, mehr zu tun, stark verändert.

Dieser Wandel wurde durch das zugrunde liegende Ökosystem der Technologie ermöglicht, das in jeden Bereich unseres Lebens eingebettet ist. Jedes Gerät, jedes Fahrzeug, jedes Krankenhaus, jede Schule, jedes Büro und jedes Zuhause wird von Technologie gesteuert. Diese Technologie hat eine eigene Lieferkette aus Software-, Hardware- und Firmware-Komponenten, die dafür sorgen, dass sie funktioniert und mit unserem täglichen Leben verbunden ist.

Die Lieferkette ist für die meisten nahtlos, aber nicht für diejenigen, die sie schützen sollen. Es ist eine großartige Entwicklung der Technologie, die unser Leben verändert hat. Es ist daher keine Überraschung, dass sich auch die Art und Weise, wie wir diese Technologien entwerfen, entwickeln und betreiben, weiterentwickeln muss. Damit einher geht eine große Verantwortung, unsere Technologie vor Cyberangriffen zu schützen, die alles Mögliche verursachen können - von Datenverlusten über Betriebsausfälle und Umsatzeinbußen bis hin zum Verlust von Menschenleben.

Wie bei jeder Revolution kann das Pendel manchmal zu weit in eine Richtung ausschlagen, bevor es sich mit der Zeit wieder normalisiert. Der Wendepunkt zwischen Innovation und Regulierung, die an den entgegengesetzten Enden des Spektrums ansetzen, ist ein Gleichgewicht, das wir finden müssen. In der Entwicklung der Lieferkette haben sich im Laufe der Jahre viele Gesetze und Vorschriften geändert, von Bundesvorschriften bis hin zu internationalen Gesetzen, die den Lebenszyklus der Softwareentwicklung regeln. Diese Art von Gesetzen ist wichtig, aber sie dürfen uns nicht daran hindern, innovativ zu sein und zu arbeiten.

Wir müssen sie mit einem praktischen Blick anwenden. Wie bei den meisten Aspekten der Sicherheit gibt es viele Rahmenwerke, die sicherstellen sollen, dass wir vor den zahlreichen Bedrohungen, denen wir ausgesetzt sind, geschützt sind. Die Rahmenwerke, die für den Lebenszyklus der Softwareentwicklung entwickelt wurden, bieten eine gute Anleitung für ein Thema, das oft missverstanden wird. Es ist sehr wichtig für die Kontinuität des Geschäftsbetriebs, sie in die täglichen Praktiken einzubauen und sie als Ermöglicher und nicht als Hindernis zu nutzen.

Bevor ich in die Technik ging, war ich viele Jahre lang Betrugsdetektiv in England. Als junger Rekrut erinnere ich mich daran, dass einer meiner Ausbilder bei der Polizei mir sagte: "Vergiss nie, dass wir alle im Menschengeschäft sind." Diese Aussage hat sich während meiner gesamten Laufbahn bewahrheitet und gilt auch für Cybersecurity-Fachleute, die zu fast 100 % darauf angewiesen sind, dass jemand anderes etwas für sie tut, um erfolgreich zu sein.

Als ehemaliger Chief Information Security Officer (CISO) eines Fortune-500-Unternehmens mit sehr unterschiedlichen technologischen Lieferketten, von Gebäuden über Flugzeuge bis hin zu Softwareprodukten, weiß ich, wie schwierig es ist, die vielen Teams zusammenzubringen, damit sie sich auf die Bewältigung dieser Aufgaben einigen können. Es handelt sich um ein komplexes Ökosystem, das bei jedem Schritt besondere Aufmerksamkeit erfordert. Kontinuität, Integrität und Transparenz in der gesamten Technologie-Lieferkette sind entscheidend. Und wie mein ehemaliger Polizeiausbilder mit Stolz sagen würde, sind auch die Menschen entscheidend.

Sicherheit ist nicht nur die Aufgabe einer Person oder eines Teams, sondern die Aufgabe aller.

Was Cassie in diesem Buch zusammengetragen hat, ist ein durchdachter, durchgängiger Leitfaden für alle beweglichen Teile und Überlegungen, die Technologie- und Sicherheitsteams bei der Entwicklung ihrer Produkte oder Dienstleistungen berücksichtigen müssen. Es ist ein praktischer Leitfaden dafür, wie du deine Sicherheitsprogramme mit Blick auf die modernen Risiken in der Lieferkette konzipierst und umsetzt, ganz gleich, ob du in der Softwareentwicklung, der Fertigung, der kritischen Infrastruktur oder irgendwo dazwischen tätig bist.

Cassie ist eine der wenigen Expertinnen ihres Fachs und verfügt über jahrelange praktische Erfahrung im Management dieser Prozesse für komplexe Unternehmen. Sie kennt sich mit dem breiteren Spektrum der Lieferkettenrisiken aus, die über die eigenen vier Wände hinausgehen. Die Risiken der Lieferkette müssen auf allen Ebenen deines Unternehmens berücksichtigt werden, auch bei der Wahl deiner Partner. Jedes Unternehmen ist ein Ökosystem.

Die vielschichtige Verantwortung für die Sicherheit der Lieferkette bezieht sich daher nicht nur auf das, was wir entwickeln, herstellen oder liefern, sondern auch auf die Integrität und Sicherheit der Partner, die in unsere Unternehmen integriert sind. Wir sind für die Risiken Dritter und Vierter verantwortlich. Cassie erklärt in diesem Buch, wie wichtig diese Sichtweise ist.

Als Risikokapitalpartner habe ich nun das Privileg, mit einigen der klügsten Köpfe der Branche zusammenzuarbeiten, die nach Lösungen für aufkommende Herausforderungen im Cyberbereich suchen. Hier trifft Innovation auf Betrieb. Das Konzept der Sicherheit der technologischen Lieferkette ist zwar nicht neu, aber die Art und Weise, wie wir arbeiten, schon. Code ist überall. Das Risiko ist überall.

Mit der richtigen Herangehensweise an das Gleichgewicht zwischen den technischen Designs und Prozessen, der für Transparenz und Integrität notwendigen Governance und den menschlichen Aspekten, die ein erfolgreiches Sicherheitsprogramm ausmachen, sind deine Erfolgschancen viel höher. Cassies Bereitschaft, ihr Fachwissen weiterzugeben und mit anderen zu teilen, ist ein Beispiel dafür, was die Cybersicherheitsgemeinschaft so stark macht. Gemeinsam sind wir stärker.

Bleib sicher da draußen!

Emily Heath

General Partner, Cyberstarts Venture Capital

Vorstandsmitglied, Gen Digital (NASDAQ: GEN)

Vorstandsmitglied, Wiz

Vorstandsmitglied, Logicgate