Fast die Hälfte der deutschen Unternehmen wurden 2024 Opfer eines Cyberangriffs, häufig nicht über eigene Systeme, sondern über Schwachstellen bei Dienstleistern und Zulieferern. Die Lieferkette wird so zum trojanischen Pferd der Cybersicherheit. Regulatorische Vorgaben wie das LkSG machen Supply-Chain-Risikomanagement inzwischen zur Pflicht.
Cybersicherheit endet nicht an der Unternehmensgrenze. Die Lieferkette wird zunehmend zum trojanischen Pferd, über das Angreifer in geschützte Systeme eindringen.
46 Prozent der Unternehmen in Deutschland wurden 2024 Opfer eines Cyberangriffs. Laut einer Cisco-Studie lagen die dabei entstandenen Schäden in sechs von zehn Fällen bei über 300.000 US-Dollar. Gleichzeitig rückt die Lieferkette als kritische Schwachstelle stärker in den Fokus. Vorfälle wie der SolarWinds-Hack oder die Ausnutzung der Log4j-Zero-Day-Schwachstelle haben gezeigt, dass Angreifer nicht mehr nur direkt auf gut geschützte Kernsysteme abzielen. Stattdessen nutzen sie Schwachstellen bei Dienstleistern, Softwareanbietern oder externen Partnern aus, die häufig über weitreichende Zugänge verfügen, aber geringeren Sicherheitsanforderungen unterliegen. Hinzu kommen komplexere Lieferketten, strengere Zeitpläne, geopolitische Veränderungen und Unsicherheiten hinsichtlich Zöllen, die die Verwaltung einer Lieferkette zusätzlich erschweren. Dadurch wird die Lieferkette zunehmend zur Angriffsfläche und entwickelt sich zu einem trojanischen Pferd für Unternehmen.
Strukturell sind viele Organisationen noch nicht ausreichend auf die Absicherung ihrer Lieferketten vorbereitet. Das Grundproblem liegt in einer tiefsitzenden Silo-Mentalität: Während die IT- und Security-Abteilungen die eigenen Systeme schützen, steuern Einkauf und Lieferantenmanagement ihre Prozesse vorrangig nach Kosten und Verfügbarkeit. Die Lieferkette als inhärent bereichsübergreifendes Querschnittsthema bleibt so oft ein blinder Fleck in der Sicherheitsstrategie. Doch das wandelt sich zunehmend: Neue regulatorische Vorgaben verändern die Spielregeln grundlegend. So werden Unternehmen in Deutschland seit 2024 durch das Lieferkettensorgfaltspflichtengesetz (LkSG) dazu verpflichtet, ein Risikomanagement einzurichten, regelmäßige Risikoanalysen durchzuführen, Präventionsmaßnahmen zu verankern und das Lieferkettenmanagement zu dokumentieren. Wird der Sorgfaltspflicht nicht nachgegangen, drohen Bußgelder von bis zu acht Millionen Euro oder bis zu zwei Prozent des Jahresumsatzes.
Unternehmen verfügen oft nur über fragmentierte oder punktuell erhobene Informationen über Abhängigkeiten, den aktuellen Zustand, digitale Zugänge externer Partner sowie Verknüpfungen von Daten, Software und Services entlang der Lieferkette. Werden diese Signale nicht kontinuierlich und transparent zusammengeführt, entstehen blinde Flecken. Dann können Unternehmen nur verspätet und reaktiv auf Angriffe oder Ausfälle reagieren. Wie stark Abhängigkeiten hier zum Problem werden können, zeigt ein Report von Splunk: Für 41 Prozent der Technologieverantwortlichen zählen komplizierte Systemabhängigkeiten zu den größten Herausforderungen im Umgang mit Ausfallzeiten.
ML- und KI-Tools können dabei unterstützen, da sie Daten automatisiert erfassen, zusammenführen und auswerten. Dadurch lassen sich Muster und Unregelmäßigkeiten erkennen, Entwicklungen frühzeitig prognostizieren und Engpässe oder Verluste etwa durch Diebstahl schneller aufdecken und beheben. Durch die gemeinsame Analyse von bestehenden und aktuellen Informationen entsteht ein präzises Echtzeitbild der Warenbewegungen. Zugleich wird das Tracking weitgehend automatisiert. Diese Automatisierung sollte jedoch nicht als „Selbstläufer“ verstanden werden: Das Echtzeitbild der Lieferkette ermöglicht vielmehr eine proaktive Überwachung. Durch die Fähigkeit, Datenintegrität sofort zu verifizieren und Fehler bei der Übertragung kritischer Dokumente (wie Bestellungen oder Rechnungen) unmittelbar zu erkennen, können Unternehmen eingreifen, bevor aus einem technischen Problem ein operativer Ausfall wird.
In einer Lieferkette braucht es verbindliche Regeln. Cybersicherheit kann nicht länger auf freiwilligen Zusagen beruhen, sondern muss vertraglich verankert werden. Dazu gehören klare Mindeststandards, Meldepflichten bei Sicherheitsvorfällen sowie das Recht auf Audits oder Nachweise über umgesetzte Schutzmaßnahmen. Entscheidend ist dabei weniger die formale Kontrolle als die Schaffung klarer Verantwortlichkeiten – auf beiden Seiten der Geschäftsbeziehung.
Frameworks wie das NIST Cybersecurity Framework (NIST CSF) oder die Cybersecurity Maturity Model Certification (CMMC) bieten Unternehmen eine wichtige Orientierung bei der strukturierten Absicherung ihrer IT-Landschaften – auch entlang der Lieferkette. Mit ihren unterschiedlichen Schwerpunkten helfen sie, Sicherheitsanforderungen zu ordnen, Maßnahmen konsistent zu integrieren und Risiken vergleichbar zu bewerten. Gerade in komplexen Lieferanten-Ökosystemen schaffen sie damit eine gemeinsame Sprache zwischen IT, Security, Einkauf und externen Partnern und erleichtern die Abstimmung über Unternehmensgrenzen hinweg.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
NIST CSF stuft technische Cybersicherheitsrisiken als Geschäftsrisiken ein und erleichtert so Kommunikation und Investitionspriorisierung entlang definierter Ziele und Reifegrade. CMMC kommt vor allem in regulierten Branchen und komplexen Lieferketten zum Einsatz, wo es den Sicherheitsreifegrad von Anbietern kontinuierlich bewertet, Anforderungen verbindlicher macht und Drittparteirisiken einschließlich Compliance und Früherkennung von Verstößen transparenter steuert. Für Organisationen, die mit staatlichen Stellen zusammenarbeiten oder kritische Abhängigkeiten steuern, wird die Orientierung an solchen Modellen zunehmend zu einem entscheidenden Wettbewerbsvorteil.
Gleichzeitig dürfen Frameworks nicht mit tatsächlicher Sicherheit verwechselt werden: Sie ersetzen weder Zusammenarbeit noch ein aktives, kontinuierliches Risikomanagement entlang der Lieferkette. Wer sich nur auf formale Compliance fokussiert, dokumentiert Sicherheitslücken oft eher, als sie wirksam zu schließen. In komplexen Lieferketten heißt das, Verantwortung über die eigene Organisation hinaus mitzudenken. Größere Unternehmen müssen Partner stärker bei angemessenen Sicherheitsmaßnahmen unterstützen. Denn gerade für kleinere Unternehmen sind begrenzte Budgets, fehlende Expertise und der Umsetzungsaufwand komplexer Frameworks häufig große Hürden. Skalierbare Ansätze, externe Partnerschaften und ein klares Management-Commitment können diese Lücke verkleinern.
Cybersicherheit endet nicht an der Unternehmensgrenze
Die Zahl erfolgreicher Angriffe über die Lieferkette macht deutlich, dass Cybersicherheit heute nicht mehr isoliert betrachtet werden kann. Angreifer nutzen gezielt organisatorische Lücken, unklare Verantwortlichkeiten und unterschiedliche Sicherheitsniveaus in digitalen Ökosystemen aus. Gleichzeitig verschärfen regulatorische Vorgaben den Handlungsdruck und machen Supply-Chain-Security zu einem festen Bestandteil der unternehmerischen Sorgfaltspflicht. Dabei ist weniger die Einführung einzelner Maßnahmen oder Frameworks entscheidend, sondern vielmehr die Fähigkeit, Risiken entlang der Lieferkette kontinuierlich zu erkennen, transparent zu bewerten und gemeinsam zu steuern. Unternehmen, die Cybersicherheit ganzheitlich denken und bereichsübergreifend verankern, reduzieren nicht nur das eigene Risiko, sondern stärken auch die Resilienz des gesamten Netzwerks, in dem sie agieren.
Über den Autor: Ewald Munz ist Head of Manufacturing, Automotive & Sustainability EMEA bei Splunk, einem Unternehmen von Cisco . Er ist ein Industrie-Experte mit mehr als 25 Jahren Erfahrungen mit Fokus auf Datenanalyse, Nachhaltigkeit, Industrie 4.0, Engineering und technischen Services.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/eb/6d/eb6d7fd969a97cd8508b3f3a0af566ae/0130846598v1.jpeg "Cybersicherheit endet nicht an der Unternehmensgrenze. Die Lieferkette wird zunehmend zum trojanischen Pferd, über das Angreifer in geschützte Systeme eindringen. (Bild: © Alexander Limbach - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/51/3f/513fb8ad773735234d88126b9a537ec9/0131014819v2.jpeg "Mit einem Root‑Zugriff in OpenSSH könnten Cyberkriminelle die Kontrolle über den Server erlangen, beliebige Befehle ausführen, alle Daten lesen, Konten und Dienste manipulieren sowie Sicherheitsmechanismen umgehen oder deaktivieren. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/78/3a/783a9d4898b80a7a6865ef4eb1b7ed7a/0131080475v2.jpeg "BSI-Präsidentin Claudia Plattner spricht bei der Kick-Off-Veranstaltung zu CyberGovSecure in Berlin. (Bild: Bundesamt für Sicherheit in der Informationstechnik)")
:quality(80)/p7i.vogel.de/wcms/8c/95/8c952169f3c1d02127180ede18de651a/0130535511v2.jpeg "Claude Mythos wird von seinen Entwicklern als so gefährlich für weltweite IT-Systeme und Infrastrukturen eingeschätzt, dass das LLM nicht öffentlich verfügbar gemacht wird. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/c0/5c/c05c213406b4577e75095368324d263a/0130849972v2.jpeg "Bis zu 70 Prozent der SOC-Zeit fließen in Fehlalarme. Prozessbasierte Sicherheitsarchitektur gibt Warnmeldungen den nötigen geschäftlichen Kontext. (Bild: © MOHAMMOD - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/79/49/7949c554b8b44ff842447cea44401824/0129016997v1.jpeg "Mit WeSendit Dateien bequem über den Webbrowser teilen. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/90/c1/90c13acae662d8e91c6526ea441b1ab4/0130712596v1.jpeg "Deutschland zählt zu den größten Playern in der Cybersicherheitsforschung. Doch die theoretischen Ergebnisse verlassen zu selten die Labore. (Bild: Gemini / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/70/17/7017e8d76fa5797366a42e075a6411b4/0131054108v1.jpeg "Nach Shai-Hulud folgt „mini Shai-Hulud“. (Bild: Gemini / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/6c/31/6c31db5fda2e2a3d8ad611af2d8f6514/0130849977v1.jpeg "kube-hunter scannt Kubernetes-Cluster aus Angreiferperspektive und deckt reale Zugriffspfade auf, die klassische Konfigurationsanalysen oft übersehen. (Bild: © Art_spiral - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/82/1b82f6c30153361498d21d56d8a0a44e/0130843915v2.jpeg "Statische Secrets sind die strukturelle Schwäche hybrider IT. SPIFFE und SPIRE ersetzen sie durch automatisierte, kurzlebige Workload-Identitäten für den Mittelstand. (Bild: © Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/ab/d7ab758d53e1715c628d27dda3d9b308/0130832273v2.jpeg "Unkontrollierte VPN-Zugänge sind eine offene Tür für Angreifer. Privileged Access Management ersetzt VPN durch granulare Kontrolle und automatisierte Rechtevergabe. (Bild: © ArtemisDiana - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f9/eb/f9eb0ec3acf7efc9b0b695a9760acd9f/0130736463v1.jpeg "Ab Juni laufen die Secure-Boot-Zertifikate für Windows und Linux ab. Das Problem für viele Admins ist nun, dass das bloße Importieren aktueller Zertifikate nicht reicht heißt. Diese müssen auch aktiviert werden. Erst wenn Provisioning, Verarbeitung und Reboot erfolgreich abgeschlossen sind, ist ein System wirklich auf dem neuen Stand! (Bild: JDisc GmbH)")
:quality(80)/p7i.vogel.de/wcms/64/d6/64d68a07918d732b89a9988555028cc3/0126593157v1.jpeg "Das European Cybersecurity Competence Centre (ECCC) ist das Europäische Kompetenzzentrum für Cybersicherheit mit Sitz in Bukarest. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/9d/8e/9d8e6fc97f50307232c1d98c39f4bb0a/0130052295v2.jpeg "RansomHub erlaubt es seinen RaaS-Partnern, die komplette Lösegeldsumme zu behalten und auch mit anderen Gruppen zu arbeiten. Möglicherweise konnte sich RansomHub so als eine der dominierenden Ransomware-Gruppen etablieren. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/e7/04/e70481da107589efc1fd491106c4eea9/0130685142v1.jpeg "IT-Compliance bildet den rechtlichen Rahmen für die IT von Unternehmen und Behörden. Neben internen Richtlinien gehören dazu auch die gesetzlichen und vertraglichen Pflichten, die von der IT zu erfüllen sind. (Bild: MicroStockHub via Getty Images Signature)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/68/2d/682dd583dcc4c/fsas-afc-horizontal-2-positive-rgb-nov24.png "fsas-afc-horizontal-2-positive-rgb-nov24 (Fsas)")
:fill(fff,0)/p7i.vogel.de/companies/67/f6/67f625705f340/ftapi-logo.jpeg "ftapi-logo (FTAPI Software GmbH)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/b9/91/b991bd81f0235828d2b7b3f2bd25b322/0129914165v2.jpeg "Open Source ermöglicht durch Transparenz kontinuierliche Community-Überprüfung der Software-Lieferkette. Software Bills of Materials machen alle Komponenten nachvollziehbar. Nur wer seine Supply Chain kennt, kann sie auch schützen. (Bild: © KanawatTH - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a4/82/a482b10466fe1e02cef427898577953f/0123523984v2.jpeg "Security-Experten von Sphera ermittelten im Jahr 2023 einen Anstieg von 62 Prozent gegenüber 2022 bei cyberbedingten Lieferkettenproblemen. (Bild: Aidas - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/07/17/071777879046e5c3fe439bf33688ea58/0116975583.jpeg "Gartner prognostiziert, dass bis 2025 45 Prozent der Unternehmen Angriffe auf ihre Software-Lieferketten erleben werden. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/7c/67/7c671190996c2cf156ded463687d1d79/0120257758v2.jpeg "Das NIST CSF 2.0 Framework stellt für die Cybersicherheit einen bedeutenden Schritt vorwärts dar, weil es kontinuierliche Verbesserung und agile Praktiken fördert. (Bild: ArtemisDiana - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/42/d0/42d02acaffead3596af0d90aa5643fa8/0124956302v2.jpeg "Mit einer frühzeitigen Implementierung sicherer Cloud- und Edge-Technologien können Unternehmen langfristig wettbewerbsfähig bleiben und sich gegen zukünftige Cyberbedrohungen wappnen. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/96/28/9628fcb02935bfd7e1c928d4b7e39141/0124106201v2.jpeg "Mehr als die Hälfte der befragten deutschen Firmen war bereits Opfer eines Datenlecks oder einer Cyberattacke, die durch oder mittels Zugriff aus der eigenen Lieferkette erfolgte. (Bild: jariyawat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/48/de/48de27101d9d3a6c8fd737b814429d9e/0127714169v1.jpeg "Claroty sieht steigende Risiken für cyber-physische Systeme: Lieferketten, Fernzugriff und regulatorische Veränderungen zählen laut Report 2025 zu den zentralen Belastungsfaktoren. (Bild: © Arsenii - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/be/62/be621f2323e9fc15a65708895e48cd26/0130314714v2.jpeg "Globale Lieferketten bringen Effizienz, aber auch Abhängigkeiten. Auch kleine Zulieferer können zur großen Schwachstelle werden. (Bild: © Travel mania - stock.adobe.com)")