Sie haben Ihre eigenen Systeme abgesichert, Ihre Mitarbeiter geschult, Ihre Backups geprüft. Aber wie sicher ist Ihr Softwarelieferant? Wie gut schützt Ihr IT-Dienstleister seine eigenen Systeme? Und was passiert, wenn ein Angreifer nicht direkt Sie angreift — sondern über einen Ihrer Partner?
Supply Chain Attacks — Angriffe über die Lieferkette — sind heute eine der effektivsten Methoden, gut geschützte Unternehmen zu kompromittieren. Laut einer Studie von Bitkom aus dem Jahr 2025 berichtet jedes zweite Unternehmen in Deutschland von Angriffen, die über Dritte oder Zulieferer erfolgten. Gleichzeitig verzichten 75 Prozent dieser Unternehmen auf regelmäßige Sicherheitsaudits ihrer Lieferkette.
Wie funktionieren Lieferkettenangriffe?
Ein Lieferkettenangriff nutzt das Vertrauensverhältnis zwischen einem Unternehmen und seinen Partnern aus. Anstatt das gut gesicherte Zielunternehmen direkt anzugreifen, kompromittieren Angreifer einen schwächer gesicherten Zulieferer — und gelangen von dort ins eigentliche Ziel.
Typische Angriffsvektoren:
- Kompromittierte Software-Updates: Ein Angreifer schleust Schadcode in ein legitimes Softwareupdate ein. Wer das Update einspielt, installiert auch die Schadsoftware.
- Zugang über Dienstleister: IT-Dienstleister, Managed Service Provider oder externe Berater haben oft weitreichenden Zugang zu Kundensystemen. Wird ihr eigenes Netz kompromittiert, ist der Weg ins Kundennetzwerk kurz.
- Kompromittierte Entwicklungsumgebungen: Open-Source-Bibliotheken oder Entwicklungstools werden manipuliert, bevor sie in Produkte integriert werden.
- E-Mail-Spoofing über Lieferanten: Angreifer, die die Systeme eines Lieferanten kontrollieren, können glaubwürdige Phishing-Mails im Namen des Lieferanten versenden.
Laut BSI-Lagebericht 2025 hat die Zahl der bekannt gewordenen Supply-Chain-Angriffe in Deutschland gegenüber dem Vorjahr um mehr als 40 Prozent zugenommen.
NIS2: Supply Chain Security ist jetzt Pflicht
Die NIS2-Richtlinie, die seit Oktober 2024 in deutsches Recht umgesetzt werden musste, macht Supply Chain Security für betroffene Unternehmen zur gesetzlichen Pflicht.
Artikel 21 der NIS2-Richtlinie verlangt explizit Maßnahmen zur Sicherheit in der Lieferkette — einschließlich sicherheitsbezogener Aspekte der Beziehungen zwischen Einrichtungen und ihren direkten Anbietern oder Dienstleistern. Das bedeutet konkret: Wer unter NIS2 fällt, muss nachweisen können, dass er die Sicherheit seiner Lieferanten und Dienstleister bewertet und kontrolliert.
Betroffen sind unter NIS2 unter anderem: Unternehmen aus den Bereichen Energie, Transport, Gesundheit, digitale Infrastruktur, aber auch viele mittelständische Unternehmen als Teil kritischer Lieferketten.
Wer die Anforderungen nicht erfüllt, riskiert Bußgelder von bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes — je nachdem, was höher ist.
Wie Sie Ihre Lieferkette sicherer machen
Supply Chain Security klingt nach einem Mammutprojekt. In der Praxis ist es ein strukturierter Prozess, der in überschaubaren Schritten umsetzbar ist.
1. Lieferanten und Dienstleister inventarisieren
Der erste Schritt ist ein vollständiger Überblick: Wer hat Zugang zu Ihren Systemen oder Daten? Wer liefert Software, die Sie einsetzen? Wer hat Remote-Zugang zu Ihrer Infrastruktur?
Erstellen Sie ein Lieferantenregister mit:
- Art des Zugangs (Datenzugang, Systemzugang, physischer Zugang)
- Sensibilität der übertragenen/verarbeiteten Daten
- Kritikalität für den Betrieb (was passiert, wenn dieser Lieferant ausfällt?)
2. Risikobasierte Bewertung
Nicht jeder Lieferant ist gleich risikoreich. Priorisieren Sie nach Zugang und Kritikalität:
- Hoch: Direkter Systemzugang, Verarbeitung sensibler Daten, kritisch für den Betrieb
- Mittel: Begrenzter Datenzugang, unkritische Systeme
- Niedrig: Kein direkter IT-Zugang, physische Lieferanten
Für Hochrisiko-Lieferanten sind tiefergehende Prüfungen notwendig.
3. Sicherheitsanforderungen in Verträgen verankern
Vertragliche Anforderungen sind das stärkste Steuerungsinstrument. Wichtige Klauseln:
- Mindeststandards für IT-Sicherheit (z. B. ISO 27001, BSI Grundschutz)
- Pflicht zur Meldung von Sicherheitsvorfällen, die den Kunden betreffen
- Recht auf Audit oder Nachweis durch Zertifizierung
- Regelungen zur Weitergabe von Daten an Subunternehmer
- Abschluss eines Auftragsverarbeitungsvertrags (AVV) nach DSGVO
4. Lieferanten regelmäßig auditieren
Ein Fragebogen zur Erstzertifizierung reicht nicht. Lieferantensicherheit muss regelmäßig überprüft werden — mindestens jährlich für kritische Partner.
Mögliche Ansätze:
- Selbstauskunft: Strukturierter Fragebogen zu Sicherheitsmaßnahmen (z. B. nach TISAX, ISO 27001)
- Zertifizierungsnachweis: Verlangen Sie Nachweise über bestehende Zertifizierungen
- Technische Prüfung: Bei direktem Systemzugang ist ein technisches Audit sinnvoll
5. Zugänge minimieren und überwachen
Jeder externe Zugang zu Ihren Systemen ist ein potenzielles Einfallstor. Best Practices:
- Least Privilege: Dienstleister erhalten nur den Zugang, den sie für ihre Aufgabe benötigen
- Zeitlich begrenzte Zugänge: Zugänge für bestimmte Aufgaben werden nach Abschluss entzogen
- Zwei-Faktor-Authentifizierung: Für alle externen Zugänge obligatorisch
- Logging und Monitoring: Alle Zugriffe externer Parteien werden protokolliert und ausgewertet
6. Incident-Response-Prozesse für Lieferantenvorfälle vorbereiten
Was tun, wenn ein Dienstleister mitteilt, dass seine Systeme kompromittiert wurden? Oder wenn Sie selbst bemerken, dass ein Lieferant als Ausgangspunkt für einen Angriff gedient hat?
Definieren Sie Eskalationswege, Isolationsmaßnahmen und Kommunikationsprozesse — bevor der Ernstfall eintritt. Mehr zu Incident Response lesen Sie in unserem Artikel zu Ransomware 2026.
Software-Lieferkette: ein oft vergessener Aspekt
Neben den klassischen Dienstleistern ist die Software-Lieferkette ein zunehmend relevantes Thema. Jede Open-Source-Bibliothek, jedes externe Paket, jeder Drittanbieter-Dienst, der in Ihre eigenen Anwendungen oder Prozesse integriert ist, kann ein Angriffsvektor sein.
Maßnahmen:
- Software Bill of Materials (SBOM): Dokumentieren Sie alle eingesetzten Softwarekomponenten und deren Versionen.
- Dependency Scanning: Automatisierte Tools prüfen, ob eingesetzte Bibliotheken bekannte Schwachstellen enthalten.
- Signaturprüfung: Updates und Pakete sollten vor der Installation kryptografisch verifiziert werden.
Fazit
Supply Chain Security ist keine Aufgabe für große Konzerne allein — sie betrifft jedes Unternehmen, das mit externen Dienstleistern, Softwareanbietern oder Zulieferern zusammenarbeitet. Das gilt für fast alle.
Die Kombination aus steigenden Angriffszahlen und NIS2-Verpflichtungen macht es notwendig, jetzt zu handeln. Der gute Ausgangspunkt: ein vollständiges Lieferantenregister und eine erste Risikobewertung. Der Rest baut darauf auf.
Auch im Bereich KI-Nutzung entstehen neue Lieferketten-Risiken — mehr dazu in unserem Artikel zu KI-Agenten im Unternehmen. Und wer SSL-Zertifikate über externe Dienstleister verwaltet, sollte auch deren Automatisierungsprozesse prüfen: SSL-Zertifikate 200 Tage.
Binary System Services unterstützt Unternehmen bei der Umsetzung von NIS2-Anforderungen, der Bewertung ihrer Lieferantensicherheit und dem Aufbau nachhaltiger Supply-Chain-Governance-Prozesse.