Supply Chain Security ist Teil des Lieferkettenmanagements und befasst sich mit dem Erkennen, Analysieren und Verhindern von Bedrohungen der Lieferketten. Ziel ist es, die durch die Zusammenarbeit mit Partnern und Lieferanten entstehenden Risiken für die Sicherheit und Integrität der Lieferketten zu reduzieren.
Die Lieferkettensicherheit ist ein wichtiger Bestandteil des Lieferkettenmanagements und beschäftigt sich mit Risiken für die Sicherheit von Lieferketten.
Der deutsche Begriff für Supply Chain Security lautet Lieferkettensicherheit. Die Lieferkettensicherheit ist ein wichtiger Bestandteil des Lieferkettenmanagements (Supply Chain Management - SCM). Supply Chain Security befasst sich mit Strategien, Verfahren und Maßnahmen zur Verbesserung der Sicherheit von Liefer- beziehungsweise Wertschöpfungsketten. Ziel ist es, die durch die Zusammenarbeit mit externen Partnern und Lieferanten entstehenden Risiken für die Sicherheit und Integrität der Lieferketten zu reduzieren. Durch geeignete Maßnahmen sollen Bedrohungen und Angriffe auf Lieferketten identifiziert, analysiert und verhindert beziehungsweise abgewehrt werden.
Der Begriff Lieferkette bezieht sich dabei längst nicht mehr nur auf die Lieferung von physischen Waren und die Herstellung von physischen Produkten, sondern schließt auch Lieferketten für elektronische oder digitale Produkte und Services mit ein. Eine digitale Lieferkette ist beispielsweise die Softwarelieferkette. Sie beinhaltet alle an der Entwicklung, Bereitstellung, Anwendung und Wartung einer Software beteiligten Partner, Prozesse und Komponenten. Maßnahmen für die Sicherheit von Softwarelieferkette sind über den kompletten Lebenszyklus einer Software notwendig. Im Zuge der zunehmenden Globalisierung, Vernetzung und Digitalisierung der Wirtschaft gewinnt die Bedeutung der Supply Chain Security für Softwarelieferketten und andere digitale Lieferketten mehr und mehr an Bedeutung. Um das Risiko für Betriebsunterbrechungen oder Produktionsausfällen zu reduzieren, sind traditionelle und digitale Lieferketten sowohl vor physischen Bedrohungen wie Diebstahl oder Sabotage als auch vor Cyberbedrohungen wie unbefugten Zugriffen, Manipulation oder gefälschtem, bösartigem Code zu schützen. Cybersicherheit der Lieferketten ist ein Teilbereich der Lieferkettensicherheit und bezieht sich auf die für einen sicheren Datenaustausch mit Lieferanten und Partnern notwendigen IT-Komponenten, Netzwerke, Datenverarbeitungssysteme und Anwendungen.
Globale und zunehmend digitalisierte Lieferketten sind zahlreichen Bedrohungen und Risiken ausgesetzt. Intakte Lieferketten sind eine unverzichtbare Voraussetzung für funktionierende Produktions- und Geschäftsprozesse. Unterbrechungen oder Störungen von Lieferketten können gravierende Auswirkungen für einzelne Unternehmen, aber auch für die komplette Weltwirtschaft haben. Wichtigstes Ziel der Lieferkettensicherheit ist es, für funktionierende, unterbrechungsfreie Lieferketten zu sorgen. Durch gestörte, unterbrochene oder unsichere Lieferketten verursachte negative Auswirkungen wie finanzielle oder reputative Schäden sollen vermieden werden. Darüber hinaus sollen auch Risiken wie unbefugter Zugriff, Manipulation, Geschäftsspionage, Datenschutzverletzungen oder unerwünschte Offenlegung für die im Rahmen von Lieferketten ausgetauschten sensiblen, personenbezogenen oder geschäftskritischen Informationen eingeschränkt werden. Die Maßnahmen und Strategien der Lieferkettensicherheit tragen dazu bei, dass die Sicherheit, Zuverlässigkeit und die Widerstandsfähigkeit von physischen oder digitalen Lieferketten gestärkt werden.
Grundsätzlich lassen sich die Bedrohungen der Lieferkettensicherheit in physische und digitale Bedrohungen (Cyberbedrohungen) unterteilen. Typische physische Bedrohungen sind beispielsweise Diebstahl, Sabotage, Naturkatastrophen, Terrorismus, Störungen der Verkehrsinfrastruktur, Lieferantenausfälle, Personalausfälle, Pandemien, Störung der Energieversorgung und andere.
Neben diesen physischen Bedrohungen sind Lieferketten heute zahlreichen Cyberbedrohungen ausgesetzt. Die durch Cyberbedrohungen verursachten Risiken für die Lieferkettensicherheit nehmen kontinuierlich zu. Zu diesen digitalen Risiken zählen beispielsweise Schwachstellen, Fehler oder Hintertüren in IT-Systemen und Software, unbefugter Zugriff und Einbruch in Datennetzwerke oder IT-Systeme, eingeschleuster bösartiger Code, Auslieferung von gefälschter oder mit Malware versehener Hard- oder Software, mangelnde Sicherheit und fehlende Transparenz in der Verwaltung von IT-Ressourcen durch Dritte (zum Beispiel Gewährung übermäßiger Zugriffsrechte), Insider-Bedrohungen und einiges mehr.
Beispiel für einen Angriff auf die Sicherheit einer Softwarelieferkette
Zur Verdeutlichung der Bedeutung der Lieferkettensicherheit ein Beispiel, wie die Sicherheit einer Softwarelieferkette gefährdet werden kann:
Ein Angreifer identifiziert eine Schwachstelle innerhalb einer Softwarelieferkette. Eine solche Schwachstelle kann beispielsweise eine mangelhaft abgesicherte Bereitstellung einer für bestimmte Anwendungen benötigten Softwarebibliothek sein. Gelingt es dem Angreifer, veränderten Code in die Bibliothek einzuschleusen, kann dies gravierende Auswirkungen haben. Durch die Bereitstellung der Bibliothek im Rahmen einer Softwarelieferkette wird die kompromittierte Bibliothek an andere Software, Systeme oder Anwendungen weitergegeben. Sobald die kompromittierte Bibliothek in einem System oder in einer Anwendung integriert ist, können Angreifer unerwünschte Aktivitäten ausführen wie Daten stehlen oder Anwendungsfunktionen stören. Handelt es sich um eine häufig genutzte Softwarebibliothek und um eine weltweit etablierte Softwarelieferkette, sind unter Umständen tausende Anwendungen oder Systeme betroffen. In der Vergangenheit gab es bereits Angriffe auf Softwarelieferketten, die globale Auswirkungen hatten.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Strategien und Maßnahmen zur Absicherung von Lieferketten
Entsprechend den Bedrohungsarten lassen sich auch die Strategien und technischen und organisatorischen Maßnahmen zur Absicherung von Lieferketten in physische und digitale beziehungsweise cyberbasierte Maßnahmen und Strategien unterteilen.
Zu den physischen Maßnahmen zur Verbesserung der Lieferkettensicherheit zählen die Nachverfolgung und Protokollierung von Warenflüssen, die Einrichtung, Prüfung und Durchsetzung von Qualitätsrichtlinien, die Prüfung von behördlichen Dokumenten und Lieferpapieren, Inspektionen, Audits und Zertifizierungen von Lieferanten, Lagern und Produktionsstätten, die Implementierung von physischen Zugangskontrollen, die Bewachung von Warenflüssen und Arealen, die Verwendung von Schlössen oder Plomben, physische Penetrations- und Schwachstellentests, die Schulung und Sensibilisierung von Mitarbeitern, Lieferanten und Geschäftspartnern und einiges mehr.
Anmerkungen zur Bedeutung des Lieferkettengesetzes
Im Zusammenhang mit der Supply Chain Security fällt manchmal der Name des Anfang 2023 in Deutschland in Kraft getretenen Lieferkettengesetzes. Es wird auch als Lieferkettensorgfaltspflichtengesetz (LkSG) oder Gesetz über die unternehmerischen Sorgfaltspflichten in Lieferketten bezeichnet. Wichtig anzumerken ist, dass beim Lieferkettengesetz nicht die Sicherheit von Lieferketten im Fokus steht. Das Lieferkettengesetz wurde eingeführt, um sicherzustellen, dass Unternehmen bei ihren Lieferketten ihren Sorgfaltspflichten hinsichtlich der Einhaltung von Menschenrechten und Umweltstandards nachkommen. Unternehmen sind laut dem Gesetz dazu verpflichtet, sicherzustellen, dass ihre Zulieferer Mindeststandards beim Umweltschutz einhalten und keine Kinder- oder Menschenrechte verletzen. Unternehmen ab einer gewissen Anzahl von Beschäftigten müssen sich an das Lieferkettengesetz halten. Ziele des Lieferkettengesetzes sind also nicht die Lieferkettensicherheit, sondern der Schutz vor Diskriminierung, Zwangsarbeit und Kinderarbeit, das Recht auf faire Entlohnung, die Einhaltung von Mindeststandards beim Arbeits- und Gesundheitsschutz, das Recht auf gewerkschaftliche Organisation, die Verhinderung von Landraub, der Schutz vor Trinkwasserverunreinigung und einiges mehr.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/09/7b/097be8af7888fc22051e329663da4ecc/0128787261v2.jpeg "Ein iranischer Cyberangreifer konnte über einen unbestimmten Zeitraum hinweg in 50 Unternehmen einbrechen, da diese keine Mulifaktor-Authentifizierung hatten. (Bild: oz - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3f/8d/3f8d46b4a7fd9b48db0788c0bde6936b/0128970278v2.jpeg "Der Gemeinde- und Städtebund warnt, dass Hacker nahezu täglich die IT-Systeme unserer Gemeinden und Städte angreifen. (Bild: Canva / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/5f/01/5f01f4759ed9713f2d51b9ac93f87e4e/0129075784v2.jpeg "2026 wird KI-Governance Pflicht, Datensouveränität entscheidet über Clouds, Exposure Management läuft kontinuierlich und IT/OT konvergiert durch NIS2-Druck. (Bild: © Celt Studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f9/c2/f9c2294159cf54881cc858b0423d08aa/0128304876v1.jpeg "Tiho Saric, Senior Sales Director bei Gigamon, zeigt, weshalb Deep Observability die Grundlage für Zero Gap bildet und Unternehmen hilft, Blind Spots zu eliminieren, verschlüsselte Workloads zu überwachen und Zero Trust konsequent umzusetzen. (Bild: Gigemon)")
:quality(80)/p7i.vogel.de/wcms/b9/35/b935e76917a2e60a68d35b91e24f2147/0128651087v2.jpeg "Für OT-Umgebungen wird es immer wichtiger, in verbesserte Erkennungssysteme und gezielte Investitionen in Sicherheitsmaßnahmen wie effektive Segmentierung und sicheren Fernzugriff zu investieren, um Cybervorfälle effektiv zu managen und Betriebsunterbrechungen zu minimieren. (Bild: greenbutterfly - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a4/95/a495b3f6cd1fa2bd22d1c1ff3c4f4104/0128522811v1.jpeg "Souveräne Cloud-Infrastrukturen sollen der öffentlichen Verwaltung Kontrolle, Sicherheit und digitale Handlungsfähigkeit über kritische Daten sichern. (Bild: © Anca - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/18/47/18475a0050ccbb07a3717ca5968b7e50/0129075506v1.jpeg "Viele Solaranlagen hängen mit schwachen Passwörtern am Internet; NIS 2 bringt Haftung, aber verbindliche Standards für Zugriffskontrolle und Updates fehlen noch. (Bild: SolarEdge)")
:quality(80)/p7i.vogel.de/wcms/f4/07/f40741c3efecd5069f248cf96f033389/0129088128v1.jpeg "Der Data Act verpflichtet Hersteller seit September 2025 zu Datenzugang, aber die Abgrenzung zwischen Bereitstellungspflicht und DSGVO-Schutz bleibt komplex. (Bild: © Zay Win Htai - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/71/6d/716df686b73c0f960dd9478cade83bd6/0129087137v1.jpeg "Mit dem Auslaufen von SAP ECC rücken auch Security-Abhängigkeiten wie SAP GRC stärker in den Fokus, vor allem bei Notfallzugriffen und Rollenverwaltung in produktiven S/4HANA-Umgebungen. (Bild: © Starmarpro - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0b/b8/0bb8f7990d17673a2e7cdc3a8c6a6eda/0129034359v2.jpeg "Angreifer erlangen Root-Zugriff auf Produkte von Cisco, indem sie manipulierte HTTP-Anfragen senden, die eine Sicherheitslücke ausnutzen. (Bild: pixabay)")
:quality(80)/p7i.vogel.de/wcms/8b/bc/8bbc7f8f7dd3167fcc3ab5e1e8188770/0129039996v2.jpeg "Manipulierte Trainings- und Eingabedaten gehören zu den zentralen Angriffsflächen agentischer Künstlicher Intelligenz: Data Poisoning und Prompt Injection setzen dort an, wo KI Entscheidungen ableitet und Aktionen auslöst. (Bild: © Xchip - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e5/20/e520a4ead3ccf0de1445916fd8a89cdc/0129077672v2.jpeg "Sicherheitsforscher Jeremiah Fowler hat auf einem ungeschützten Server 149 Millionen gestohlene Passwörter entdeckt, die durch Infostealer-Malware gesammelt wurden. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/35/67/35679a2ca8f2e8d2d960430c70823994/0112150345v1.jpeg "Im Podcast klären wir, wie das richtige Wissen um Rahmenwerke einen chaotischen Zoo von Anweisungen, Projekten und internen Richtlinien verhindert. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/0c/1d/0c1d11fd4db504d22e5e49ede52d9f70/0128678308v1.jpeg "WPS ist ein Standard der Wi-Fi Alliance zur vereinfachten Konfiguration der Endgeräte in einem verschlüsselten WLAN. (Bild: Oksana Latysheva)")
:quality(80)/p7i.vogel.de/wcms/7b/1b/7b1b6408a02a8308f697aee84799029c/0128685819v1.jpeg "Das Dynamic Host Configuration Protocol ist im Netzwerk für die automatische Zuweisung der IP-Netzwerkkonfiguration zuständig. (Bild: @alemedia via Canva: Visual Suite for Everyone)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/67/f6/67f625705f340/ftapi-logo.jpeg "ftapi-logo (FTAPI Software GmbH)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/8d/d3/8dd3236fbd94ee5f9a84a8cf6ed3a5c1/0120406845v2.jpeg "Auch Drucker- oder Notebook-Komponenten sind Teil einer Lieferkette und damit angreifbar. (Bild: Tomasz Zajda - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/45/3f/453f5babd1420bab0cde75f74a30a570/0108282963.jpeg "Ab 2023 sind in Deutschland Unternehmen mit einer Größe von mehr als 3.000 Mitarbeitern dazu verpflichtet, den Schutz von Umwelt und Menschenrechten entlang ihrer Lieferkette einzuhalten, zu verbessern und zu dokumentieren. Ab 2024 sind auch Unternehmen ab 1.000 Mitarbeitern betroffen. (Bild: Lee - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/07/17/071777879046e5c3fe439bf33688ea58/0116975583.jpeg "Gartner prognostiziert, dass bis 2025 45 Prozent der Unternehmen Angriffe auf ihre Software-Lieferketten erleben werden. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/66/6b/666b57a654144848a07e23ca19bb71be/0117932513.jpeg "Die Sicherheit der Software-Lieferkette steht vor vielschichtigen Herausforderungen. (Bild: immimagery - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/8f/58/8f588138eccc088592c113be7b748095/0114780503.jpeg "Die Autoren Fabian Mihailowitsch und Stephan Rogalski von Deloitte betrachten die Ursachen und Auswirkungen von Cyberangriffen auf Lieferanten- und Abnehmernetzwerke. (Bild: metamorworks - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e3/4a/e34a68d48018059ecb7aef41e101dcff/0111274291.jpeg "Wenn Mitarbeitende durch Simulationen lernen, was im Notfall zu tun ist, wissen sie, wie sie im Ernstfall reagieren sollten. (Bild: Andrea Danti - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4b/48/4b4878d0a0ba3255d26a09db331efd98/0107730533.jpeg "Unternehmen müssen sich vor Schwachstellen in ihren digitalen Lieferketten schützen. Nur dann können sie ihre gesamten Supply Chains schützen und erfolgreich am Markt bestehen. (Bild: Travel mania - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4e/0c/4e0c11eb5fec8640e2b1aec71e928eaa/0128384623v2.jpeg "ISC2 empfiehlt Unternehmen fünf zentrale Maßnahmen um ihre Sicherheit zu stärken, darunter regelmäßige Bewertungen von Drittanbietern, Zero Trust, klare Vertragsprüfungen und der Ausbau von Cybersicherheitskompetenzen. (Bild: Lee - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a4/82/a482b10466fe1e02cef427898577953f/0123523984v2.jpeg "Security-Experten von Sphera ermittelten im Jahr 2023 einen Anstieg von 62 Prozent gegenüber 2022 bei cyberbedingten Lieferkettenproblemen. (Bild: Aidas - stock.adobe.com)")