Die Vernetzung der digitalen Welt bietet beispiellosen Komfort, aber Faktoren wie eine wachsende Angriffsfläche, “remote-work” und Schwachstellen in der Lieferkette tragen zu einem zunehmend gefährlichen Ökosystem bei - wobei Angreifer sich der organisatorischen Schwachstellen bewusst sind.
Die Forscher von SecurityScorecard haben herausgefunden, dass 94 Prozent der 100 größten deutschen Unternehmen eine Sicherheitslücke in ihrem Drittanbieter-Ökosystem haben.
(Bild: rufous - stock.adobe.com)
Die jüngste Vergangenheit hat gezeigt, dass eine große Anzahl von Sicherheitsverletzungen bei “third-parties” und in der Lieferkette auf eine einzige Sicherheitslücke zurückzuführen ist. Unser aktueller Global Third-Party Cyber Breach Report zeigt, dass die Ransomware-Gruppe C10p (auch bekannt als FIN11, TA505, Graceful Spider, Gold Tahoe, SectorJ04, Hive0065 und G0092) weltweit für einen beträchtlichen Teil der Sicherheitsverletzungen bei Dritten verantwortlich ist. Dies ist vor allem darauf zurückzuführen, dass C10P eine Zero-Day-Schwachstelle in der Dateiübertragungssoftware MOVEit in großem Umfang ausnutzte, was im Jahr 2023 zu einer besonders großen Zahl von Sicherheitsverletzungen durch Dritte führte.
Unser Bericht ergab auch, dass 75 Prozent der Sicherheitsverletzungen durch Dritte die Software- und Technologie-Lieferkette betrafen. Wir haben uns genauer angesehen, wie sich die Sicherheitsverletzungen durch Dritte je nach Land unterscheiden, und die Cybersicherheit der 100 größten deutschen Unternehmen nach Marktkapitalisierung untersucht. Unsere Analyse ergab, dass 34 Prozent dieser Unternehmen eine schwache oder niedrige Cybersicherheitsbewertung aufweisen (mit einem "C" Rating oder darunter) und fast 10 Prozent im letzten Jahr einen direkten Sicherheitsverstoß erlitten haben. Eine weitere Analyse ergab, dass 21 Prozent der deutschen Top-Unternehmen hervorragende Cybersicherheitspraktiken aufweisen (A) und 44 Prozent mit B bewertet werden.
Untersucht man vergleichbare Daten von Spitzenunternehmen in den Nachbarländern Italien, Frankreich und Großbritannien, so zeigt sich, dass die Unternehmen im Vereinigten Königreich im Vergleich zu ihren französischen, italienischen und deutschen Pendants mit 40 Prozent, 41 Prozent bzw. 34 Prozent, die eine C-Note oder schlechter haben, insgesamt die beste Cybersicherheit aufweisen (24 Prozent mit einer C oder schlechter).
Vielleicht kontraintuitiv fanden wir auch heraus, dass die 25 größten Unternehmen nach Marktkapitalisierung die niedrigsten Bewertungen haben (44 Prozent mit einer C oder schlechter), während die 25 kleinsten Unternehmen nur zu 28 Prozent mit einer C oder schlechter bewertet wurden. Dies zeigt, dass jedes Unternehmen - unabhängig von Größe, Branche, Umsatz oder Marktkapitalisierung - ein Ziel für Cyber-Kriminelle sein kann, wenn es nicht über eine starke Cyber-Abwehr verfügt.
Drittanbieterverletzungen nach Branche
Unsere Analyse ergab auch, dass deutsche Unternehmen im Kommunikationssektor die niedrigsten Sicherheitsbewertungen haben, 57 Prozent erhielten ein C oder schlechter. Dagegen haben Unternehmen im Versorgungssektor die höchsten Sicherheitsbewertungen mit nur 17 Prozent, die ein C oder schlechter erhalten.
Telekommunikationsunternehmen, Internet Service Provider und Cloud-Anbieter sind auf umfangreiche Netzwerke von Drittanbietern, Partnern und Dienstleistern angewiesen, was bedeutet, dass sie ein höheres Risiko für Dritte tragen, weil sie mehr Drittanbieter in Ihrem Ökosystem haben.
Auch wenn es sicherlich wichtig ist, sich auf das Risiko von Drittanbietern zu konzentrieren, so erhöhen auch Anbieter von Drittanbietern das Risiko eines Unternehmens und benötigen ebenfalls eine genauere Untersuchung. Unsere Forscher fanden heraus, dass 94 Prozent der 100 größten deutschen Unternehmen eine Sicherheitslücke in ihrem Drittanbieter-Ökosystem haben. Darüber hinaus haben 95 Prozent der 100 größten deutschen Unternehmen eine Sicherheitslücke in ihrem Fourth-Party-Ökosystem. Diese Bedrohung macht deutlich, wie wichtig es ist, die Sicherheitslage aller N-ten Parteien im digitalen Ökosystem eines Unternehmens zu identifizieren und zu bewerten.
Ein Anbieter, bei dem eine dritte oder vierte Partei kompromittiert wurde, könnte auf einen Schlag eine große Anzahl seiner Kunden oder sogar die Kunden seiner Kunden in Mitleidenschaft ziehen. MOVEit wurde im Frühjahr 2023 entdeckt, und die Unternehmen haben immer noch mit den Folgen der Sicherheitslücke zu kämpfen, deren Kosten auf mindestens 65 Milliarden US-Dollar geschätzt werden.
Empfehlungen von SecurityScorecard
Um das Risiko zu mindern und die Cybersicherheit Ihres Unternehmens zu verbessern sollten Unternehmen diesen Empfehlungen folgen.
Alle Unternehmen sollten die Verbesserung der Anwendungs- und Netzwerksicherheit priorisieren.
Unternehmen mit hohem Risiko: Die 34 Prozent der Unternehmen mit Cybersicherheitsbewertungen von C oder darunter erfordern eine dringendere Aufmerksamkeit und sollten besonderen Wert auf folgende Punkte legen:
DNS-Gesundheit: Stellen Sie die Gesundheit und Integrität Ihrer Domain Name System (DNS)-Konfigurationen sicher.
Endpunktsicherheit: Stärken Sie die Sicherheit aller Endpunkte, einschließlich Laptops, Desktops, mobiler Geräte und BYOD-Geräte.
Patch-Frequenz: Legen Sie eine konsistente und rechtzeitige Patch-Frequenz für Ihre Systeme, Software und Hardware fest.
Über den Autor: Thomas de Raaf ist Senior Field Sales Manager DACH bei SecurityScorecard.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/96/c3/96c3f0eef0140714a3397057a1ac1bb4/0129321130v2.jpeg "Die Werkstatt Bremen betreut als Dienstleister die Computertechnik der Beweisstückstelle der Polizei. Glücklicherweise hat der Ransomware-Angriff keine Auswirkungen auf die reguläre Arbeit der Polizei. (Bild: James Thew - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c8/bb/c8bbb90768f2d69adb08e0d58bb90645/0128934085v1.jpeg "Beim DNS-Tunneling wird legitimer Namensauflösungsverkehr genutzt, um Daten verdeckt durch bestehende Netzwerkverbindungen zu übertragen. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/57/cc/57cc4ad7badd6e36300bf10fcda97eac/0129117117v2.jpeg "Microsoft reagiert mit außerplanmäßigen Updates auf eine Sicherheitsanfälligkeit in Office 2016 bis 2024 und Office 365-Apps und stellt derzeit im Eiltempo Notfall-Patches bereit, um schwerwiegende Angriffe durch das Umgehen von Sicherheitsfunktionen zu verhindern. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/7c/51/7c51f12b88847cbe6b67250785911120/0129310016v2.jpeg "Cybersecurity zog sich als roter Faden durch Debatten über KI, Robotik, den Schutz verteilter IoT-Endpunkte und kritischer Infrastrukturen – sowohl auf den Bühnen des WebSummit 2025 in Lissabon, als auch hinter den Kulissen. (Bild: Web Summit)")
:quality(80)/p7i.vogel.de/wcms/4f/74/4f74da1ef2b573b35e8193c1279bfa5e/0129308675v1.jpeg "Tool-Silos und Schatten-KI machen Unternehmen 2026 haftbar – NIS-2, DORA und CRA fordern Konsolidierung, Identitätsmanagement und Enterprise-Browser für Compliance. (Bild: © DAYA-DAKSH - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/33/0b/330b92560794343f3b2e72a6c0201cfe/0129212056v2.jpeg "Ivanti Endpoint Manager Mobile ist erneut unter Beschuss: Zwei Zero-Day-Sicherheitslücken sollten sofort gepatcht werden. (Bild: Ar_TH - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/64/fd/64fd8544c5bdcae13f66e439f609d03f/0128874380v1.jpeg "Anwendungen, die auf asymmetrischer Kryptografie basieren, müssen auf Post-Quanten-Kryptografie-Verfahren umgestellt werden. (Bild: Achelos GmbH/ Canva)")
:quality(80)/p7i.vogel.de/wcms/84/2b/842b3ec97d08ff445b7e2ee1c2c20166/0129087831v2.jpeg "Die Command-Injection-Schwachstelle EUVD-2026-3437 / CVE-2026-22844 gilt als leicht auszunutzen, das sie keine speziellen Berechtigungen oder Benutzerinteraktionen erfordert, um beliebigen Code auszuführen. (Logo:Zoom)")
:quality(80)/p7i.vogel.de/wcms/9a/22/9a22abecd3b81745aafb5167c9a4eed5/0129101394v1.jpeg "OPSI wird nach dem WSUS-Ende zur Open-Source-Alternative und verwaltet Windows, Linux und macOS zentral mit automatischen Updates und Echtzeit-Status. Mehr in Text, Bildergalerie und Video (Tool-Tipp 38). (Bild: © Irene Kulinchyk - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d8/46/d8461a6f3d03070ca78af2eeb81aa7a0/0129133031v2.jpeg "Bei einem Cyberangriff auf die Stadt Schorndorf wurden mutmaßlich Anmeldedaten der „Forscherfabrik Schorndorf“ gestohlen. (Bild: StockUp - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/39/a9/39a9c9edbf9edbcfdf7e01d87104b924/0129255851v2.jpeg "Auch 2025 fand die European Identity and Cloud Conference in Berlin statt und brachte Experten aus dem Bereich Identity and Access Management zusammen. (Bild: mail@nicolas~det.eu)")
:quality(80)/p7i.vogel.de/wcms/1d/db/1ddbdc9047cbd3cd27d7cb0efca62bc4/0128713610v2.jpeg "Am 25. Dezember 2025 griffen mutmaßlich japanische Cyberkriminelle Adobe-ColdFusion-Server, mit dem Ziel, Zugriffe zu kapern, um diese dann zu verkaufen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/0c/1d/0c1d11fd4db504d22e5e49ede52d9f70/0128678308v1.jpeg "WPS ist ein Standard der Wi-Fi Alliance zur vereinfachten Konfiguration der Endgeräte in einem verschlüsselten WLAN. (Bild: Oksana Latysheva)")
:quality(80)/p7i.vogel.de/wcms/7b/1b/7b1b6408a02a8308f697aee84799029c/0128685819v1.jpeg "Das Dynamic Host Configuration Protocol ist im Netzwerk für die automatische Zuweisung der IP-Netzwerkkonfiguration zuständig. (Bild: @alemedia via Canva: Visual Suite for Everyone)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/68/2d/682dd583dcc4c/fsas-afc-horizontal-2-positive-rgb-nov24.png "fsas-afc-horizontal-2-positive-rgb-nov24 (Fsas)")
:quality(80)/p7i.vogel.de/wcms/76/01/76017f8f4f3da5f39d1b91d3f0e4636b/0117561613.jpeg "Forscher haben eine bösartige Backdoor im Komprimierungstool xz gefunden, das seinen Weg in weit verbreitete Linux-Distributionen gefunden hat, darunter auch die von Red Hat und Debian. Die kritische Sicherheitslücke hat einen CVSS Score von 10.0! (Bild: oz - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a7/50/a75000ed369724f958c73a629d4d81f0/0112150345v5.jpeg "In dieser Folge des Security-Insider Podcast schauen wir auf Entwicklungen, die Security-Experten 2023 nachhaltig umgetrieben haben, wagen aber auch den Blick auf die Themen, die das junge 2024 für uns bereithält. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/c3/e5/c3e526ce4b19b6b8fe4a78c238212491/0123767236v2.jpeg "Securityscorecard zufolge steigt für Unternehmen weltweit das Risiko, Opfer eines Supply-Chain-Angriffs zu werden. (Bild: Romolo Tavani - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/96/28/9628fcb02935bfd7e1c928d4b7e39141/0124106201v2.jpeg "Mehr als die Hälfte der befragten deutschen Firmen war bereits Opfer eines Datenlecks oder einer Cyberattacke, die durch oder mittels Zugriff aus der eigenen Lieferkette erfolgte. (Bild: jariyawat - stock.adobe.com)")