Cyberkriminelle kompromittieren gezielt Dienstleister und IT-Partner, um über Umwege in die Systeme ihrer eigentlichen Ziele vorzudringen. 2025 verzeichneten laut Branchenanalysen 97 Prozent global agierender Unternehmen Betriebsstörungen durch Supply-Chain-Angriffe. NIS-2 und DORA machen Third-Party-Risikomanagement deshalb zur Pflicht auf Führungsebene.
Cyberkriminelle kompromittieren gezielt Dienstleister, um über Umwege in Zielsysteme vorzudringen. NIS-2 und DORA machen Third-Party-Risikomanagement zur Pflicht auf Führungsebene.
Gehackte Rechenzentren von Banken, lahmgelegte Energie- und Versorgungsdienstleister von Industrieunternehmen: Die Wucht feinjustierter Third-Party-Angriffe ebbt auch 2026 nicht ab. Laut Angaben internationaler Sicherheitsanbieter verzeichneten 2025 rund 97 Prozent ausgewählter global agierender Unternehmen spürbare Betriebsstörungen infolge von Angriffen auf ihre Supply Chain. Im Jahr zuvor lag dieser Wert noch bei 81 Prozent.
Cyberkriminelle nehmen dabei immer seltener ihr eigentliches Ziel direkt ins Visier. Stattdessen kompromittieren sie Dienstleister, IT-Partner oder andere Akteure entlang der Lieferkette. Das große Problem: Entscheider, die sich darauf verlassen, dass hauseigene Schutzprogramme reichen, wiegen sich so in falscher Sicherheit. Es reicht nicht mehr, digitale Resilienz im eigenen Ökosystem zu entwickeln. Vielmehr müssen externe Partner mindestens genauso modern gerüstet sein.
Davon versprechen sich Hacker einen indirekten, oft kaum bemerkten Zugang zu hochkritischen Systemen. Quasi „über Umwege“ erreichen die Cyberangriffe so ihr eigentliches Ziel. Wie damit umgehen? Und welche Prognosen können für die Zukunft getroffen werden? Für Unternehmen bedeutet diese Entwicklung: Risikoexpositionen verlagern sich zunehmend in Bereiche, die außerhalb der eigenen direkten Steuerung liegen.
Wichtig für einen fundierten Deep Dive: Die Angriffe sind längst kein Randphänomen mehr. Auch deutsche Unternehmen geraten zunehmend unter Druck, da ihre Geschäftsmodelle stark von externen IT-Services, Cloud-Anbietern und spezialisierten Zulieferern abhängen. Diese Verflechtungen erhöhen Effizienz und Skalierbarkeit einerseits. Erweitern jedoch zugleich die Angriffsfläche andererseits.
Häufig über Jahre gewachsene Partnerschaften zwischen Unternehmen und Dienstleistern, die sicherheitstechnisch nie ganzheitlich betrachtet wurden, bleiben riskante Einflugschneisen. Der besondere Reiz von Drittanbietern aus Sicht der Angreifer liegt in ihrer Rolle als Vertrauensanker.
Ein kompromittierter Wartungsdienstleister, ein Software-Update oder ein externer IT-Betrieb eröffnet häufig Zugriff auf mehrere Zielunternehmen gleichzeitig. Zudem sind viele kleinere und mittelständische Partner deutlich schwächer abgesichert als Konzerne, verfügen über geringere Budgets und weniger ausgereifte Sicherheitsprozesse und inhouse Expertise.
Drittanbieter und Lieferanten sind in der Praxis so gesehen wichtige Einstiegspunkte für Cyberkriminelle, da Verstöße in der Lieferkette verheerende Auswirkungen auf Unternehmen haben können. Jüngsten Studien zufolge sind 61 Prozent der Datenschutzverletzungen von Drittanbietern beteiligt. Das Management dieser Risiken wird immer wichtiger, da Unternehmen immer abhängiger von externen Partnern werden.
Erschwerend kommt hinzu, dass Lieferketten in der IT nicht linear verlaufen. Subdienstleister, ausgelagerte Entwicklungsleistungen oder externe Administratoren bleiben oft unsichtbar. Angreifer und ihre ausgeklüngelten Cyberangriffe, nutzen genau diese Intransparenz aus. Und manövrieren sich dann lateral durch Netzwerke, ohne klassische Alarmsignale auszulösen. Für Unternehmen entsteht dadurch ein Risiko, das sich operativ auswirkt, jedoch intern nur begrenzt steuerbar erscheint.
Die zunehmende Bedrohungslage hat auch den europäischen Gesetzgeber auf den Plan gerufen. Sowohl die NIS-2-Richtlinie als auch der Digital Operational Resilience Act (DORA) adressieren Third-Party-Risiken ausdrücklich.
Unternehmen werden verpflichtet, ihre Abhängigkeiten von IKT-Dienstleistern systematisch zu erfassen, Risiken zu bewerten und deren Steuerung auf Management-Ebene zu verankern. Insbesondere DORA fordert ein durchgängiges Drittparteienmanagement. Von der Risikoanalyse über vertragliche Mindestanforderungen bis hin zu Exit-Strategien für kritische Dienstleister. Verantwortung für Drittparteienrisiken wird damit zunehmend zur Führungsaufgabe unter C-Levels.
Für viele Organisationen bedeutet das einen Paradigmenwechsel: Weg von punktuellen Lieferantenbewertungen, hin zu einem kontinuierlichen, dokumentierten und prüfbaren Risikomanagement. Third-Party-Risiken werden damit explizit zu einem Thema der operativen Resilienz und nicht mehr nur des „Silos“ IT-Sicherheit.
Wer frühzeitig digitale Resilienz entwickelt, wird auch wirtschaftlich wettbewerbsfähiger bleiben. Denn die Absicherung der digitalen Infrastrukturen ist für Unternehmen heute genauso wichtig wie hohe Produktqualität oder funktionierendes Projektmanagement.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Resilienz entsteht nicht durch Checklisten: How to Third-Party-Angriffe?
Wirksame Resilienz gegen Third-Party-Angriffe lässt sich nicht allein durch formale und standardisierte Compliance herstellen. Entscheidend ist ein integrierter Ansatz, der Governance, Prozesse und Technik miteinander verzahnt. Zur Entwicklung resilienter Strukturen, gehören mehrere Teilschritte.
Identifikation und Bewertung
Relevante Drittanbieter und deren Dienstleistungen werden frühestmöglich für das jeweilige Unternehmen erfasst. Die jeweilige Branche, vollständige Mitarbeiterzahlen, implementierte Securitylösungen: All diese Punkte spielen eine zentrale Rolle. Denn so kann der komplette Geltungsbereich des Risikomanagements eindeutig festgelegt werden.
Zeitgleich müssen eingesetzte Lösungen gegen Third-Party-Angriffe die kontinuierliche Überwachung von Verträgen, Leistungen und Compliance-Anforderungen gewährleisten. Das Risiko einer Attacke wird so analysiert, frühzeitig erkannt und gezielt adressiert.
Stetiges Monitoring und Exit-Management
Zusätzliche Monitoring-, Reporting- und Dashboard-Funktionen verbessern den gesicherten Überblick über den Drittanbieter.
Optimiert wird dieser Schritt durch ein strukturiertes Exit- und Übergangsmanagement. Dieses ermöglicht einerseits den kontrollierten Anbieterwechsel. Andererseits die Fortsetzung des operativen Geschäfts.
Darauf aufbauend braucht es klare Verantwortlichkeiten, risikobasierte Klassifizierungen von Drittanbietern und regelmäßige Bewertungen, die über reine Selbstauskünfte hinausgehen.
Ebenso wichtig sind realistische Notfall- und Ausfallpläne für kritische Partner. Wer im Ernstfall erst klärt, wie der Zugriff eines kompromittierten Dienstleisters entzogen werden kann, verliert wertvolle Zeit.
Technisch gewinnen Zero-Trust-Ansätze, segmentierte Zugriffsmodelle und kontinuierliches Monitoring an Bedeutung. Ziel ist es, selbst im Fall einer erfolgreichen Kompromittierung die Ausbreitung zu begrenzen und frühzeitig Anomalien zu erkennen. Bleiben diese Maßnahmen aus ist es nicht eine Frage ob, sondern wann unternehmerische Strukturen von Third-Party-Angriffen lahmgelegt werden.
KI zwischen Risiko, Beschleuniger und Kontrollinstanz
Künstliche Intelligenz nimmt eine ambivalente Rolle ein. Auf der einen Seite nutzen Angreifer KI-gestützte Werkzeuge, um Schwachstellen schneller zu identifizieren, Phishing-Kampagnen hochgradig zu personalisieren oder Schadsoftware dynamisch anzupassen.
Auf der anderen Seite eröffnet KI neue Möglichkeiten für die Verteidigung. Automatisierte Risikoanalysen, kontinuierliche Auswertung großer Datenmengen und die frühzeitige Erkennung von Auffälligkeiten in Lieferkettenbeziehungen können Unternehmen helfen, Bedrohungen schneller zu identifizieren. Voraussetzung ist allerdings eine saubere Governance: KI darf nicht zur Blackbox werden, sondern muss nachvollziehbar, überprüfbar und in bestehende Kontrollmechanismen eingebettet sein.
Third-Party-Angriffe sind kein Ausnahmeereignis mehr, sondern ein strukturelles Risiko der vernetzten Wirtschaft. Unternehmen, die Resilienz allein als IT-Thema begreifen, greifen zu kurz.
Gefordert ist ein ganzheitlicher Ansatz, der regulatorische Anforderungen, organisatorische Verantwortung und technologische Innovationen zusammenführt. Nur so lässt sich verhindern, dass der nächste Ransomware-Angriff zur digitalen Katastrophe führt.
Über den Autor: Fino Scholl ist Managing Director der Swiss GRC Germany und verantwortet den Ausbau des Deutschlandgeschäfts sowie die Weiterentwicklung der Marktaktivitäten des Unternehmens. Zuvor war er in leitenden Funktionen bei der IAV im Risiko- und Kontrollumfeld sowie in der industriellen Forschung tätig. Scholl promovierte im Maschinenbau an der Universidad de Valladolid und hält einen Masterabschluss der Karlsruhe University of Applied Sciences.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/29/86/298680c8efc8d28b11e52f5eccd33719/0131154208v2.jpeg "Instructure untersucht einen Cybersecurity-Vorfall, bei dem ein Angreifer Zugriff auf Daten von Nutzern der Lernplattform Canvas erlangt hat. (Bild: Envato Elements)")
:quality(80)/p7i.vogel.de/wcms/20/c8/20c8d28236226a61a0a699be6d3e98ba/0126797743v1.jpeg "Das wirkmächtige KI-Modell von Anthropic, Claude Mythos, wirft Fragen der nationalen Sicherheit auf. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/3e/31/3e3134557f51faf6ca07fe183d7373c7/0131070066v2.jpeg "Durch einen Logikfehler im Codepfad des Kernel‑Moduls „algif_aead“ können unprivilegierte Nutzer über eine fehlerhafte Fehlerbehandlung beim Kopieren („copy fail“) einen gezielten 4‑Byte‑Schreibzugriff in den Page‑Cache auslösen und so im Speicher gehaltene Binaries manipulieren. (Bild: © Duminda - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/6f/84/6f8494488e59da69d4425f687828c237/0130553928v2.jpeg "Laut Ivanti wird Agentic AI in der Cybersicherheit mittlerweile breit eingesetzt und genießt zunehmend vertraut, doch trotz hoher Akzeptanz besteht ein „Cybersecurity Readiness Deficit“. (Bild: © leszekglasner - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ab/88/ab8878adf6bf649c6d327154c55a483c/0130917727v2.jpeg "Active Directory bietet keine native MFA für Kennwortanmeldungen. Von Smartcard über multiOTP und Duo bis Silverfort gibt es fünf praktikable Alternativen. (Bild: © Have a nice day - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/78/95/7895c9a5170c451c5c58f5c943fb33b2/0130403143v1.jpeg "Für echte Ausfallsicherheit nach einem Angriff benötigen Unternehmen einen Datensatz, der für Angreifer unerreichbar und logisch vom Rest der Infrastruktur getrennt ist. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/0e/a2/0ea2191c9c894533d3f3e62be1b6a1d9/0129243939v1.jpeg "Für Peter Nowack, CEO der Gamma Placetel, entscheidet sich digitale Souveränität dort, wo Unternehmen Kontrolle über ihre Kommunikationsinfrastruktur behalten. (Bild: Placetel)")
:quality(80)/p7i.vogel.de/wcms/90/c1/90c13acae662d8e91c6526ea441b1ab4/0130712596v1.jpeg "Deutschland zählt zu den größten Playern in der Cybersicherheitsforschung. Doch die theoretischen Ergebnisse verlassen zu selten die Labore. (Bild: Gemini / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/70/17/7017e8d76fa5797366a42e075a6411b4/0131054108v1.jpeg "Nach Shai-Hulud folgt „mini Shai-Hulud“. (Bild: Gemini / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/1b/82/1b82f6c30153361498d21d56d8a0a44e/0130843915v2.jpeg "Statische Secrets sind die strukturelle Schwäche hybrider IT. SPIFFE und SPIRE ersetzen sie durch automatisierte, kurzlebige Workload-Identitäten für den Mittelstand. (Bild: © Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0e/b0/0eb02d3779a1b37f24888eb473dbff97/0130914935v1.jpeg "Cyberkriminelle kompromittieren gezielt Dienstleister, um über Umwege in Zielsysteme vorzudringen. NIS-2 und DORA machen Third-Party-Risikomanagement zur Pflicht auf Führungsebene. (Bild: © Deemerwha studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/64/d6/64d68a07918d732b89a9988555028cc3/0126593157v1.jpeg "Das European Cybersecurity Competence Centre (ECCC) ist das Europäische Kompetenzzentrum für Cybersicherheit mit Sitz in Bukarest. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/9d/8e/9d8e6fc97f50307232c1d98c39f4bb0a/0130052295v2.jpeg "RansomHub erlaubt es seinen RaaS-Partnern, die komplette Lösegeldsumme zu behalten und auch mit anderen Gruppen zu arbeiten. Möglicherweise konnte sich RansomHub so als eine der dominierenden Ransomware-Gruppen etablieren. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/e7/04/e70481da107589efc1fd491106c4eea9/0130685142v1.jpeg "IT-Compliance bildet den rechtlichen Rahmen für die IT von Unternehmen und Behörden. Neben internen Richtlinien gehören dazu auch die gesetzlichen und vertraglichen Pflichten, die von der IT zu erfüllen sind. (Bild: MicroStockHub via Getty Images Signature)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/68/2d/682dd583dcc4c/fsas-afc-horizontal-2-positive-rgb-nov24.png "fsas-afc-horizontal-2-positive-rgb-nov24 (Fsas)")
:fill(fff,0)/p7i.vogel.de/companies/67/f6/67f625705f340/ftapi-logo.jpeg "ftapi-logo (FTAPI Software GmbH)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/96/28/9628fcb02935bfd7e1c928d4b7e39141/0124106201v2.jpeg "Mehr als die Hälfte der befragten deutschen Firmen war bereits Opfer eines Datenlecks oder einer Cyberattacke, die durch oder mittels Zugriff aus der eigenen Lieferkette erfolgte. (Bild: jariyawat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/24/df/24dfa682f544febbd13650651a1265df/0127832205v1.jpeg "Vernetzte Lieferketten erhöhen die Angriffsfläche: Schwachstellen bei Partnern und menschliche Fehler zählen zu den Haupttreibern von Cybervorfällen in der Logistik. (Bild: © Gorodenkoff - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c3/e5/c3e526ce4b19b6b8fe4a78c238212491/0123767236v2.jpeg "Securityscorecard zufolge steigt für Unternehmen weltweit das Risiko, Opfer eines Supply-Chain-Angriffs zu werden. (Bild: Romolo Tavani - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/9e/43/9e43dcf1cbf2a1ac7766c9535aa6d4fa/0126366743v2.jpeg "IKT-Drittanbieter bergen hohe Risiken, aber ein strukturiertes Third Party Risk Management sichert Kontrolle, Resilienz und Compliance nach DORA und NIS2. (Bild: © chiew - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c5/75/c5754ce1c35d5c702b48494667c66be3/0125539543v2.jpeg "Lieferketten sind ein attraktives Ziel für Cyberkriminelle, besonders wenn wirtschaftlicher Druck zu Abstrichen bei der IT-Sicherheit führt. (Bild: © Travel mania - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/9e/43/9e43dcf1cbf2a1ac7766c9535aa6d4fa/0126366743v2.jpeg "IKT-Drittanbieter bergen hohe Risiken, aber ein strukturiertes Third Party Risk Management sichert Kontrolle, Resilienz und Compliance nach DORA und NIS2. (Bild: © chiew - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c5/75/c5754ce1c35d5c702b48494667c66be3/0125539543v2.jpeg "Lieferketten sind ein attraktives Ziel für Cyberkriminelle, besonders wenn wirtschaftlicher Druck zu Abstrichen bei der IT-Sicherheit führt. (Bild: © Travel mania - stock.adobe.com)")