Die letzten zwei Jahre hat vor allem die Covid-19 Pandemie unseren Alltag geprägt, aber trotzdem bereitet aktuell ein anderes Risiko Unternehmen mehr Sorgen. Das Risiko eines Ransomware-Angriffes, Daten-Leaks oder IT-Ausfalls wird aktuell als gefährlicher eingestuft, als die Risiken von Geschäftsunterbrechungen, Naturkatastrophen oder der Covid-19-Pandemie.
Auch im Zusammenhang mit der Supply-Chain-Security gilt nach wie vor das Sprichwort: Jede Kette ist nur so stark wie ihr schwächstes Glied.
(Bild: Romolo Tavani - stock.adobe.com)
Unternehmen schätzen Cyberrisiken als größte Bedrohung für Unternehmen im Jahr 2022 ein, das geben zumindest 2.600 globale Unternehmensvertreter in der jährlichen Umfrage des Allianz Risk Barometer an. Einen Zusammenhang lässt sich sicher über die rapide Zunahme erfolgreicher Cyber-Angriffe in den letzten Jahren herstellen. Dabei zielt ein Großteil dieser Attacken nicht mehr nur auf das anvisierte Zielunternehmen ab, sondern lässt sich immer häufiger auf die gesamte Lieferkette zurückführen. Die bekanntesten Beispiele der jüngsten Zeit für diese Art von indirekten Cyber-Angriffen waren der Hack des Software-Unternehmens Solarwinds im Jahr 2020 sowie das Bekanntwerden der Schwachstelle im log4j-Framework, welche das BSI zu einer Einstufung der Cyber-Bedrohungslage als extrem kritisch veranlasste.
Diese Attacken über die Supply Chain (Lieferkette) stellen eine Kombination von mindestens zwei Angriffen dar, wobei der erste Angriff meist einem Zulieferer gilt und als Sprungbrett genutzt wird, um damit in die Systeme des eigentlichen Ziels einzudringen. Laut Accentures State of Cybersecurity Report 2021 dominieren indirekte Angriffe mittlerweile die Bedrohungslandschaft. So stieg die Anzahl der erfolgreichen indirekten Angriffe von 2020 auf 2021 um 17 Prozent auf 61 Prozent an. Gründe für den Anstieg sind zum einen die Ausweitung der weltweiten Lieferketten im Zuge der Globalisierung, die die Angriffsfläche enorm vergrößert und einzelne IT-Dienstleister zum Einfallstor für tausende Organisationen weltweit gemacht haben. Diesen Umstand machen sich Cyber-Kriminelle verstärkt zunutze, indem sie organisierte Attacken auf Zulieferer starten, um über sie in die Systeme der teils deutlich besser geschützten Zielunternehmen zu gelangen.
Im Falle des Angriffs auf das auf Netzmanagement-Software spezialisierte Unternehmen Solarwinds im Jahr 2020 konnten HackerSchadsoftware in deren Software-Produkt „Orion“ einschleusen und somit in die Systeme von potenziell 18.000 Orion Nutzern gelangen, darunter auch amerikanische Regierungsbehörden. Diese Aussicht auf einfache Skalierung ist ein weiterer Anreiz, der die zunehmende Attraktivität dieser Art von Attacken erklärt.
Betroffen sind dabei grundsätzlich alle Sektoren, vor allem aber Branchen, die auf eine große Lieferkette angewiesen sind oder selbst sehr hohe Schutzstandards haben, wie der Verteidigungssektor oder die Finanzindustrie. Die Agentur der Europäischen Union für Netz- und Informationssicherheit (ENISA) zeigte in einer Studie wie gravierend die Lücke in den Cybersecurity-Fähigkeiten zwischen Zulieferern und ihren Kunden ist: Bei 66 Prozent der analysierten Attacken über die Lieferkette wussten die Zulieferer nicht, wie sie angegriffen wurden, während das nur bei neun Prozent der angegriffenen Kunden der Fall war.
Um sich gegen indirekte Attacken zu schützen, reicht es für Unternehmen deshalb nicht mehr aus, sich nur auf ihre eigenen Systeme zu fokussieren. Um Angriffe über die gesamte Wertschöpfungskette zu vermeiden, gilt es nun auch für das gesamte Ökosystem an Zulieferern und Prozessbeteiligten mitzudenken. Dabei sollten Unternehmen auf einen dreistufigen Ansatz aus Transparenz, Vorgaben und Prüfung zurückgreifen.
In der ersten Stufe sollten sich Unternehmen Klarheit über die eigene Lieferkette verschaffen, indem sie die einzelnen Bestandteile identifizieren. Das betrifft nicht nur die Zulieferer im klassischen Sinne, wie beispielsweise Bremsenhersteller für ein Automobilunternehmen, sondern vor allem auch IT-Provider. Dabei ist es wichtig zu erfahren, welche Verbindungen zu den Lieferanten bestehen: Auf welche IT-Assets und Daten können diese in welchem Kontext zugreifen? Zusätzlich muss sich ein Unternehmen einen Überblick darüber verschaffen, welche IT wo intern eingesetzt wird, um auf einen Hack oder eine Schwachstelle schnell reagieren zu können. Gerade bei log4j hatten viele Unternehmen nach Bekanntgabe der Schwachstelle Probleme schnell und umfassend zu erkennen, ob und wo sie Technologie einsetzen, die log4j beinhaltet.
Im zweiten Schritt gilt es, Vorgaben in Bezug auf die Cybersecurity der Lieferanten sowie die Art des Zugriffs und den Austausch von Daten auszuarbeiten. Hierfür muss das Unternehmen Risikokriterien entwickeln, die den verschiedenen Arten von Lieferantenbeziehungen angepasst sind und außerdem spezielle Kategorien wie kritische Software-Abhängigkeiten oder Single Points of Failure (SPoF) berücksichtigen. Diese Vorgaben sollten verbindlich festgehalten werden, um die Einhaltung des geforderten Cybersicherheitsniveaus zu garantieren.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Zuletzt muss die Einhaltung der Standards überprüft werden. Hierbei sollte man sich nicht nur auf die Selbsteinschätzung der Zulieferer verlassen, sondern sich mittels eigener Audits oder externe Prüfer ein verlässliches Bild machen. Darüber hinaus sollte das Unternehmen auch in der Überwachung der Risiko- und Bedrohungslandschaft seinen Blick erweitern und potenzielle Risiken für seine Supply Chain stets einbeziehen.
Dass viele Unternehmen beim Thema Supply-Chain-Security noch Nachholbedarf haben, unterstreicht eine Umfrage der Firma BlueVoyant: Weniger als 25 Prozent der befragten Unternehmen gaben an, ihre gesamte Lieferkette zu überwachen, und nur 32 Prozent prüfen das Cybersicherheitsniveau ihrer Versorger in regelmäßigen Abständen.
Auch Branchenstandards bzw. Regulierungen können das Sicherheitsniveau in Sektoren anheben, die bisher nicht eigenständig ein ausreichendes Sicherheitsniveau erreicht haben. Ein Beispiel für eine effektive Branchenkooperation ist der Trusted Information Security Assessment Exchange (TISAX) des Verbands der Automobilindustrie, der als Mechanismus zum Austausch von Prüfergebnissen auf Basis eines branchenspezifischen Standards fungiert. Automobilhersteller sowie deren Dienstleister können sich durch ein anerkanntes TISAX-Team in Bezug auf die sichere Verarbeitung von vertraulichen Informationen sowie Datenschutz prüfen lassen. Das jeweilige Prüfergebnis wird dann an andere TISAX-Teilnehmer weitergeleitet. Ziel ist es, objektive Bewertungskriterien zu etablieren, um so eine Transparenz über den Reifegrad der Cybersecurity bei Dienstleistern und Lieferanten innerhalb der Automobilindustrie zu schaffen.
Doch trotz dieser Initiativen werden indirekte Attacken auch in Zukunft dazu beitragen, dass Cyber-Risiken nicht aus unserem Unternehmensalltag verschwinden werden. Grund dafür ist, dass laut ENISA eine immer größere Anzahl an indirekten Attacken als Advanced-Persistent-Threats (ATPs) eingestuft wird. ATPs sind komplexe, zielgerichtete und effektive Angriffe, die viel Aufwand und Ressourcen erfordern. Oft werden diese Angriffe daher mit staatlich oder anders finanzierten Hackergruppen in Verbindung gebracht. Diese Gruppen machen sich die erwähnten Eigenschaften indirekter Angriffe zunutze, um damit ihre stark abgesicherten Ziele wie Nationalstaaten, Behörden oder Rüstungsunternehmen zu erreichen. Sie schrecken dabei auch nicht vor möglichen Kollateralschäden zurück.
Geht es also um den Schutz des Ökosystems, ist Kooperation das Gebot der Stunde. Unternehmen, Dienstleister, Lieferanten müssen über Branchengrenzen hinweg eng zusammenarbeiten, um eine abgestimmte Security-Strategie entlang der Wertschöpfungskette zu definieren. Denn auch im Zusammenhang mit Supply-Chain-Security gilt nach wie vor das Sprichwort: Jede Kette ist nur so stark wie ihr schwächstes Glied.
Über den Autror: Thomas Schumacher ist Leiter IT Security bei Accenture.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/1d/db/1ddbdc9047cbd3cd27d7cb0efca62bc4/0128713610v2.jpeg "Am 25. Dezember 2025 griffen mutmaßlich japanische Cyberkriminelle Adobe-ColdFusion-Server, mit dem Ziel, Zugriffe zu kapern, um diese dann zu verkaufen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/e3/48/e348498d4582bb6d2bd6993b70462a5b/0129264709v2.jpeg "Bei der Microsoft-365-Security gibt es viele blinde Flecken, auf die IT-Verantwortlichen in Unternehmen achten müssen. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/d4/df/d4dfa5d473ecbb140447fb4755cab804/0129131184v2.jpeg "Bundesinnenminister Alexander Dobrindt (CSU) will härter gegen hybride Angriffe durch staatliche Geheimdienste vorgehen. (Bild: @ BMI / Henning Schacht)")
:quality(80)/p7i.vogel.de/wcms/3c/5c/3c5c6e99bcdad07637fea060dc2eab27/0127436898v1.jpeg "Der Autor: Alexander Waldmann ist Vice President bei Applause (Bild: Applause)")
:quality(80)/p7i.vogel.de/wcms/22/5d/225d1d7930c9090fe8fbf68e9d3465c2/0129163513v2.jpeg "Betroffen von der kritischen Schwachstelle EUVD-2026-4712 / CVE-2026-24858 sind die Produkte FortiOS, FortiManager, FortiAnalyzer, FortiProxy und FortiWeb. Die Sicherheitslücke erlaubt es Angreifern, sich über die FortiCloud-SSO-Anmeldung auf anderen Geräten unautorisiert anzumelden. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/24/aa/24aad994e872a642db8ce5e566b2ff5a/0128652115v2.jpeg "Mit Agentic AI wollen Cyberkriminelle Angriffe effizienter durchführen, um ihren ROI zu erhöhen. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/9a/22/9a22abecd3b81745aafb5167c9a4eed5/0129101394v1.jpeg "OPSI wird nach dem WSUS-Ende zur Open-Source-Alternative und verwaltet Windows, Linux und macOS zentral mit automatischen Updates und Echtzeit-Status. Mehr in Text, Bildergalerie und Video (Tool-Tipp 38). (Bild: © Irene Kulinchyk - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/46/86/4686355223b7afc15b0ec2dcc54a5e58/0128882706v1.jpeg "Die Risiken der digitalen Erpressbarkeit: Genügt ein Klick, um Europa ins digitale Dunkel zu führen? (Bild: frei lizenziert Pete Linforth)")
:quality(80)/p7i.vogel.de/wcms/c6/7e/c67ee3c3d518dfe5a48378e20a95fde5/0129075400v1.jpeg "Clickjacking nutzt Autofill aus um an Zugangsdaten zu gelangen, aber die Deaktivierung der Funktion sorgt eher für mehr Probleme! Endpoint-Security, MFA und URL-Abgleich schützen wirksamer. (Bild: © Montri - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2c/7f/2c7f325ab87e8cde7456fb75e3fd2e0b/0128865641v2.jpeg "Die Code-Injection-Sicherheitslücke in PowerPoint von 2009 ermöglicht es Angreifern, durch speziell gestaltete PowerPoint-Dateien beliebigen Code auszuführen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/0c/1d/0c1d11fd4db504d22e5e49ede52d9f70/0128678308v1.jpeg "WPS ist ein Standard der Wi-Fi Alliance zur vereinfachten Konfiguration der Endgeräte in einem verschlüsselten WLAN. (Bild: Oksana Latysheva)")
:quality(80)/p7i.vogel.de/wcms/7b/1b/7b1b6408a02a8308f697aee84799029c/0128685819v1.jpeg "Das Dynamic Host Configuration Protocol ist im Netzwerk für die automatische Zuweisung der IP-Netzwerkkonfiguration zuständig. (Bild: @alemedia via Canva: Visual Suite for Everyone)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/68/2d/682dd583dcc4c/fsas-afc-horizontal-2-positive-rgb-nov24.png "fsas-afc-horizontal-2-positive-rgb-nov24 (Fsas)")
:quality(80)/p7i.vogel.de/wcms/a9/cb/a9cbb525a2a3e3c6684e3007654884ed/0123877073v3.jpeg "Was Sie über Sicherheitsrisiken in der IT-Lieferkette wissen müssen, ein Interview von Oliver Schonschek, Insider Research, mit Gerald Beuchelt von Acronis. (Bild: Vogel IT-Medien / Acronis / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/c5/75/c5754ce1c35d5c702b48494667c66be3/0125539543v2.jpeg "Lieferketten sind ein attraktives Ziel für Cyberkriminelle, besonders wenn wirtschaftlicher Druck zu Abstrichen bei der IT-Sicherheit führt. (Bild: © Travel mania - stock.adobe.com)")