Digitale Spionage und Sabotage gewinnen geopolitisch zunehmend an Bedeutung. Staatliche Akteure greifen vermehrt kleinere Software-Unternehmen an, die als Teil der Lieferkette Punktlösungen bieten. Dadurch erhalten sie Zugang zu ihren eigentlichen Zielen: global agierenden Unternehmen und Regierungen. Die Abwehr solcher Angriffe ist komplex, denn für die Sicherheit ist die gesamte Lieferkette verantwortlich.
Die Verteidigung gegen staatliche Akteure ist ein Thema, das alle betrifft., auch KMU, wie zum Beispiel kleinere Software-Unternehmen.
Ein Beispiel dafür, das wie ein Agentenkrimi wirkt, handelt von der weitverbreiteten XZ-Kompressionsbibliothek. Unbekannte Drahtzieher konnten mithilfe von Social Engineering eine Hintertür in die xz-Tools und -Bibliotheken schmuggeln. Da die Software ein kritischer Teil vieler Open-Source-Plattformen und Lösungen wie etwa Secure-Shell (SSH) ist, wäre ein erfolgreicher Angriff für das vernetzte Bibliothekssystem weltweit gravierend gewesen. Immerhin gilt SSH als das am häufigsten eingesetzte Tool für Fernzugriffe und wird von sehr vielen Server-Administratoren verwendet. Nur die zufällige Entdeckung eines Entwicklers, der eigentlich nach der Ursache mysteriöser Leistungsprobleme suchte, konnte den Erfolg der Attacke verhindern. Das komplexe und lang angelegte Vorgehen der Drahtzieher deutet ebenfalls auf einen staatlichen Akteur hin.
Diese Beispiele belegen, wie verheerend solche elaborierten Supply Chain Attacken sein können – nicht nur für das angegriffene Unternehmen selbst, sondern für alle weiteren Beteiligten in der Lieferkette. Zudem sind diese Angriffe keine Seltenheit mehr. Laut des deutschen Verfassungsschutzes richten sich mittlerweile 61 Prozent aller Cyberangriffe gegen Lieferketten. Die Software-Supply-Chains stehen dementsprechend unter Druck. Wie in den genannten Beispielen, geraten dabei vor allem kleine Softwarehäuser gehäuft ins Visier der Angreifer – nicht etwa, weil sie selbst ein attraktives Ziel sind, sondern weil ihre Lösungen, wie die XZ-Bibliothek, von zahlreichen namhaften Kunden in eigene Prozesse eingebunden werden.
Zudem sind die Systeme der kleinen Hersteller oft weniger aufwendig gesichert als die großer Unternehmen. Letztere verfügen in der Regel über gut ausgebaute IT-Sicherheitsstrukturen. Sie haben ein hohes Schutzniveau, das nur mit großem Aufwand überwunden werden kann. Ein kleiner Anbieter hingegen verfügt oft nicht über die notwendigen Ressourcen, um sein Sicherheitslevel stets auf einem hohen Niveau zu halten. Angreifer finden hier sehr viel einfacher einen Angriffsvektor. Was muss also getan werden, um unsere Supply Chains vor den Angriffen organisierter staatlicher Akteure zu schützen?
Lieferketten-Angriffe sind ein strukturelles Problem
Lieferketten abzusichern, ist keine triviale Aufgabe, denn jedes Unternehmen ist in erster Linie für sich selbst zuständig. Es gibt keine Instanz, die Verantwortung für die Cybersicherheit über die ganze Lieferkette hinweg übernimmt. Was noch dazukommt: Kleinere Softwareunternehmen sind sich oftmals der potenziellen Gefahr gar nicht bewusst, die sie für ihre größeren Kunden darstellen. Manche kritische Software-Bibliotheken und Bestandteile wie XZ werden lediglich von kleinen Teams auf freiwilliger Basis und mithilfe von Spenden aus der Community entwickelt und gepflegt. Selbst wenn diese Unternehmen ihr Risikobewusstsein schärfen, fehlt es ihnen schlicht an ausreichenden Mitteln und Know-how, um sich vor Cybergegnern mit staatlichen Mitteln zu schützen.
Da die Ressourcen zwischen den Beteiligten der Lieferkette dermaßen ungleich verteilt sind, gestaltet es sich schwierig, wirksame Lösungen aufzuzeigen. Sollten kleine Unternehmen die Sicherheitskosten in den Preis der Produkte für größere Kunden einrechnen? Oder stehen größere Organisationen in der Pflicht, die kleinen Unternehmen auf ihre Sicherheitsmaßnahmen hin zu überprüfen und somit die höheren Kosten selbst zu tragen? Diese Schwierigkeiten zeigen: Bei Angriffen auf die Lieferkette handelt es sich um ein komplexes strukturelles Problem, das sich nicht von einzelnen Akteuren in Eigenregie lösen lässt.
Da es äußerst schwierig ist, die Verantwortung entlang der Wertschöpfungskette festzulegen, bedarf es einer ganzheitlichen, strukturellen Lösung, die ein Risikobewusstsein. Der regelmäßige Gedankenaustausch mit anderen hilft, mehr über aktuelle Angriffsstrategien zu erfahren und Abwehrmöglichkeiten zu entwickeln. Als ein Vorbild könnte hier die Open-Source-Gemeinde dienen. Dort gibt es bereits Netzwerke wie TF-CSIRT, die den Wissensaustausch bezüglich Cybersecurity aktiv fördern und unterstützen.
Da es in erster Linie um die Angriffe staatlicher Akteure geht, haben auch betroffene Regierungen ein vitales Interesse daran, Lieferketten abzusichern. Sinnvoll ist es hier, Lösungen zu finden, die global gedacht sind und entsprechend globalen Lieferketten gerecht werden. Gleichzeitig sollte die zentrale Herausforderung – die ungleiche Verteilung der Sicherheitsressourcen – ausreichend adressiert werden. Das vermeidet, dass neue Sicherheitsanforderungen kleine Organisationen stärker treffen.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Innerhalb der Unternehmen gilt es, sich auf den Ernstfall vorzubereiten. Zu diesem Zweck sind regelmäßige Sicherheitsaudits und Tests von Netzwerken und Systemen das A und O. Nur so lassen sich Schwachstellen, die über die Zulieferer-Seite entstehen, frühzeitig erkennen und beheben. Die Kommunikation zwischen den verschiedenen Abteilungen sollte weiterhin verbessert werden, damit sich das Unternehmen im Krisenfall seine Handlungsfähigkeit erhält.
Nicht zuletzt sollte die Lieferkette ständig überwacht werden. Keine Software ist ohne Sicherheitslücken – wenn Supply-Chain-Angriffe bekannt werden, müssen Unternehmen sofort handeln. Die betroffenen Programme und Bibliotheken müssen auf Sicherheitslücken überprüft und diese beseitigt werden. Je transparenter Softwareanbieter hier agieren und kommunizieren, desto schneller werden sie zu einem verlässlichen und unverzichtbaren Teil der Lieferkette.
Fazit: mit transparenter Kommunikation zu nachhaltigen Lösungen
Die Verteidigung gegen staatliche Akteure ist ein Thema, das alle betrifft. Ein erfolgreicher Cyberangriff, so zeigen Beispiele wie XZ, kann immerhin in Windeseile ganze Lieferketten erfassen und Industrien, Branchen sowie Regierungsinstitutionen gleichermaßen unter Druck setzen. Daher sind gemeinsame strukturelle Lösungen erforderlich. Wie so etwas funktionieren kann, zeigt die Open-Source-Community bereits seit geraumer Zeit. Ein dichtes Netz von Kommunikationsnetzwerken, die den Wissensaustausch ermöglichen und fördern, hilft dabei, die Lieferketten in gemeinsamer Anstrengung widerstandsfähiger zu machen. Im nächsten Schritt gilt es, Lösungsansätze zu finden, wie sich eine solche Denkweise auf große Organisationen und staatliche Stellen übertragen lässt. Denn den staatlichen Akteuren einen Schritt voraus zu sein, funktioniert gemeinsam.
Über dne Autor: Thorben Jändling ist Principal Solutions Architect in der Global Security Specialist Group bei Elastic.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/57/cc/57cc4ad7badd6e36300bf10fcda97eac/0129117117v2.jpeg "Microsoft reagiert mit außerplanmäßigen Updates auf eine Sicherheitsanfälligkeit in Office 2016 bis 2024 und Office 365-Apps und stellt derzeit im Eiltempo Notfall-Patches bereit, um schwerwiegende Angriffe durch das Umgehen von Sicherheitsfunktionen zu verhindern. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/02/81/02817f46ea84a6cb411406cc3d0ddc17/0128648824v2.jpeg "KI-gestützte Angriffe ermöglichen es Cyberkriminellen, ihre Angriffsmethoden durch automatisierte Malware-Entwicklung und raffinierte Social-Engineering-Taktiken zu optimieren und jede Phase ihrer Angriffe zu beschleunigen, was das Reaktionsfenster für Verteidiger drastisch verkürzt. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8b/bc/8bbc7f8f7dd3167fcc3ab5e1e8188770/0129039996v2.jpeg "Manipulierte Trainings- und Eingabedaten gehören zu den zentralen Angriffsflächen agentischer Künstlicher Intelligenz: Data Poisoning und Prompt Injection setzen dort an, wo KI Entscheidungen ableitet und Aktionen auslöst. (Bild: © Xchip - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/7b/1b/7b1b6408a02a8308f697aee84799029c/0128685819v1.jpeg "Das Dynamic Host Configuration Protocol ist im Netzwerk für die automatische Zuweisung der IP-Netzwerkkonfiguration zuständig. (Bild: @alemedia via Canva: Visual Suite for Everyone)")
:quality(80)/p7i.vogel.de/wcms/b3/f7/b3f75dd711f2385a1e7d528acc79b1c7/0128774540v1.jpeg "Mit der Übernahme von Armis will ServiceNow eine einheitliche Sicherheitsplattform für die gesamte Angriffsfläche schaffen, die die Lücke zwischen dem Erkennen von Schwachstellen und deren Behebung schließt und so Milliarden von vernetzten Geräten autonom schützt. (Bild: © twindesigner - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ca/54/ca546583f644634e8620e31635a34b88/0129056071v2.jpeg "Blick in die Zukunft: Der Nachfolger von Windows Server 2025 heißt wahrscheinlich Windows Server 2028/2029. Bereits jetzt gibt es eine Testversion und neue Funktionen sickern durch. (Bild: © PNG City - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/cc/df/ccdf983e4b47b1a7895509210d721d8c/0129059286v1.jpeg "Waren 2025 Speaker bei der ISX (v.l.n.r.): Georgia Voudoulaki beim Think Tank, Lukas Wagner und Leonard Bunjaku bei ihren Vorträgen (Bild: Vogel IT-Akademie)")
:quality(80)/p7i.vogel.de/wcms/4d/da/4dda0e5edf9ddd0c31363f92becb045e/0127807026v1.jpeg "Proaktive IT-Wartung: Unified Endpoint Management und Digital Employee Experience sollen Fehler erkennen, bevor sie den Betrieb beeinträchtigen. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/0b/22/0b22469f85709c1d30f4fa6db4f832f4/0129015808v2.jpeg "Unternehmen verlieren den Überblick über ihre Daten. Um sensible Informationen angemessen schützen zu können, müssen sie alle ihre Daten erst sorgfältig klassifizieren. (Bild: © mnirat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e5/20/e520a4ead3ccf0de1445916fd8a89cdc/0129077672v2.jpeg "Sicherheitsforscher Jeremiah Fowler hat auf einem ungeschützten Server 149 Millionen gestohlene Passwörter entdeckt, die durch Infostealer-Malware gesammelt wurden. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/a8/09/a809c2b47ea5879bc108f0e713988bb5/0129070533v2.jpeg "Das Ziel der EU-Kommission hinter der Änderung des Cybersecurity Acts besteht darin, die Cybersicherheitsresilienz und -kapazitäten zu stärken, um Unternehmen und Institutionen besser gegen wachsende Cyberbedrohungen zu schützen und gleichzeitig die Compliance-Anforderungen zu vereinfachen. (Bild: © lucadp - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/13/01/1301d39b914ab1dc9ffa517f98f26840/0126593157v1.jpeg "Prompt Injection ist eine auf Sprachmodelle abzielende Form von Cyberangriff durch einschleusen manipulativer KI-Anweisungen. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/68/2d/682dd583dcc4c/fsas-afc-horizontal-2-positive-rgb-nov24.png "fsas-afc-horizontal-2-positive-rgb-nov24 (Fsas)")
:fill(fff,0)/p7i.vogel.de/companies/60/51/6051ee3ab9254/v2-screen-m.png "V2_Screen_M.png (SEPPmail - Deutschlang GmbH)")
:fill(fff,0)/p7i.vogel.de/companies/67/f6/67f625705f340/ftapi-logo.jpeg "ftapi-logo (FTAPI Software GmbH)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/0c/16/0c1616e7d4fe49725f7853570acefd7f/0112150345v4.jpeg "Gefahr gebannt? Wohl kaum; im Gespräch mit uns vermutet Dr. Pfeifer hinter den Angreifern auf die xz-Tools potentielle Wiederholungstäter. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/a4/82/a482b10466fe1e02cef427898577953f/0123523984v2.jpeg "Security-Experten von Sphera ermittelten im Jahr 2023 einen Anstieg von 62 Prozent gegenüber 2022 bei cyberbedingten Lieferkettenproblemen. (Bild: Aidas - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b7/b6/b7b6c4c904b205f331eaae527a6a317f/0122529653v2.jpeg "Zu einer sicheren Software-Lieferkette gehört unter anderem auch der Schutz von Zugriffsdaten, damit der Code nicht manipuliert werden kann. (Bild: Kittiphat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/8d/d3/8dd3236fbd94ee5f9a84a8cf6ed3a5c1/0120406845v2.jpeg "Auch Drucker- oder Notebook-Komponenten sind Teil einer Lieferkette und damit angreifbar. (Bild: Tomasz Zajda - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/96/28/9628fcb02935bfd7e1c928d4b7e39141/0124106201v2.jpeg "Mehr als die Hälfte der befragten deutschen Firmen war bereits Opfer eines Datenlecks oder einer Cyberattacke, die durch oder mittels Zugriff aus der eigenen Lieferkette erfolgte. (Bild: jariyawat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c3/e5/c3e526ce4b19b6b8fe4a78c238212491/0123767236v2.jpeg "Securityscorecard zufolge steigt für Unternehmen weltweit das Risiko, Opfer eines Supply-Chain-Angriffs zu werden. (Bild: Romolo Tavani - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c5/75/c5754ce1c35d5c702b48494667c66be3/0125539543v2.jpeg "Lieferketten sind ein attraktives Ziel für Cyberkriminelle, besonders wenn wirtschaftlicher Druck zu Abstrichen bei der IT-Sicherheit führt. (Bild: © Travel mania - stock.adobe.com)")