Cyberkriminelle nehmen immer häufiger die vermeintlich schwächste Stelle ins Visier: die Lieferkette. Supply-Chain-Attacken zählen zu den gefährlichsten und folgenreichsten Angriffen auf Unternehmen weltweit – mit teilweise katastrophalen Konsequenzen.
Was sind Supply-Chain-Attacken – und warum sind sie so gefährlich?
Supply-Chain-Attacken, auch als Lieferkettenangriffe bezeichnet, zielen darauf ab, über Dritte – etwa IT-Dienstleister, Softwareanbieter oder andere Zulieferer – in die Systeme eines Zielunternehmens einzudringen. Da viele dieser Zulieferer Zugang zu kritischen Infrastrukturen oder sensiblen Daten besitzen, bieten sie oft eine effektivere und weniger gut geschützte Angriffsfläche als das primäre Ziel.
Die Besonderheit dieser Angriffsform liegt darin, dass sie das Vertrauen zwischen Geschäftspartnern ausnutzt – Angreifer infizieren beispielsweise legitime Software-Updates, Schnittstellen oder Hardwaresysteme, sodass das Zielunternehmen selbst unwissentlich den Angriffsweg öffnet.
Laut dem ENISA Threat Landscape 2023 Report sind 62 Prozent aller Cyberangriffe auf Lieferketten besonders schwerwiegend, da sie komplexe Netzwerke betreffen und weitreichende Kollateralschäden verursachen. Angriffe wie SolarWinds (2020), Kaseya (2021) oder Log4Shell (2021) zeigen eindrucksvoll, wie durch Dritte ganze Wirtschaftszweige ins Wanken geraten können.
Die Bedrohungslage in Zahlen: Supply Chains als Schwachstelle
Eine Studie von IBM Security und dem Ponemon Institute („Cost of a Data Breach Report 2024“) zeigt, dass 19 % aller untersuchten Sicherheitsvorfälle durch Drittanbieter oder Zulieferer verursacht wurden. Besonders alarmierend: Der durchschnittliche finanzielle Schaden bei einem solchen Vorfall lag bei 4,76 Millionen US-Dollar – rund 13 % höher als der Durchschnitt aller Datenpannen.
Derweil verzeichnet das Bundesamt für Sicherheit in der Informationstechnik (BSI) in seinem „Lagebericht zur IT-Sicherheit in Deutschland 2024“ eine Zunahme von Supply-Chain-Angriffen um 41 % gegenüber dem Vorjahr. Insbesondere KMU und Dienstleister stehen im Fokus, da sie oft über begrenzte Ressourcen für Cybersicherheit verfügen.
Prominente Fallbeispiele: Wenn der Schutz der Partner zur Bedrohung wird
Ein bekanntes Beispiel für eine gelungene Supply-Chain-Attacke ist der SolarWinds-Hack. Angreifer manipulierten das Update-Tool der IT-Management-Software „Orion“, das weltweit von über 33.000 Kunden genutzt wird, darunter US-Behörden und Fortune-500-Unternehmen. Die bösartige Software wurde per regulärem Update verteilt – mit verheerenden Auswirkungen.
Ein weiteres Beispiel ist der Angriff auf den IT-Dienstleister Kaeya im Jahr 2021. Die Angreifer nutzten Schwachstellen in der Remote-Management-Software VSA, um über Managed Service Provider (MSPs) Ransomware bei mehreren Hundert Kunden gleichzeitig zu verteilen.
Auch der Vorfall rund um 3CX im Jahr 2023 zeigt, wie sich Malware über legitime Softwarelieferketten verbreiten lässt: Die Softphone-Lösung wurde durch eine kompromittierte DLL infiziert – in der Folge wurden Kunden weltweit zum Ziel.
Warum Zulieferer zunehmend ins Fadenkreuz geraten
Zulieferer, insbesondere in der IT- und Cloud-Dienstleistungsbranche, erhalten häufig administrative Zugriffsrechte und betreuen kritische Systeme remote. Gleichzeitig verfügen sie oft über weniger ausgebaute Sicherheitsmechanismen, geringere Budgets für Security-Teams und kein strenges Sicherheitsmonitoring.
Angreifer suchen gezielt nach diesen Schwachstellen und nutzen neue Angriffsmethoden wie die sogenannte „Island Hopping“-Taktik: Dabei springen sie über ein schwächer geschütztes Unternehmen in die Systeme von Kunden.
Insbesondere kleine und mittelständische Unternehmen (KMU) sind betroffen: Laut einer Bitkom-Studie aus dem Jahr 2024 sehen 68 Prozent der befragten Unternehmen das größte Cyberrisiko durch ihre Dienstleister beziehungsweise Zulieferer entstehen.
Wie Unternehmen vorbeugen können: Schutzfaktoren gegen Supply-Chain-Angriffe
Um sich besser gegen Supply-Chain-Angriffe zu schützen, sind ganzheitliche Strategien und klare Verantwortlichkeiten entscheidend. Unternehmen müssen die eigene Sicherheitsarchitektur über die Grenzen des Unternehmens hinausdenken. Zentral ist dabei ein systematisches Third-Party Risk Management (TPRM).
- Vertragliche Sicherheitsanforderungen: Bereits bei der Auswahl von Dienstleistern sollten Cybersicherheitsstandards vertraglich festgelegt werden (z. B. ISO/IEC 27001, NIS2-Konformität, regelmäßige Penetrationstests).
- Zero-Trust-Strategien: Zugriffskontrollen nach dem Prinzip „Vertraue niemandem“ minimieren potenzielle Schäden durch kompromittierte Partnerzugänge.
- Security Monitoring und Asset Management: Transparenz über Zugriffe Dritter, Authentifizierungen und Datenflüsse ist essenziell – durch SIEM-Systeme und kontinuierliche Supply-Chain-Überwachung.
Darüber hinaus empfiehlt sich eine Risiko-Kategorisierung aller Zulieferer und Dienstleister, um kritische Partner mit besonderem Schutzbedarf zu identifizieren. Automatisierte Audits und Sicherheitsprüfungen bieten zusätzliche Sicherheit.
Regulatorische Entwicklungen: NIS2, DORA und Co.
Ab Oktober 2024 müssen viele Unternehmen in der EU die Vorgaben der überarbeiteten NIS2-Richtlinie umsetzen. Diese schreibt u. a. vor, dass Organisationen Sicherheitsmaßnahmen auch auf ihre Lieferketten ausweiten. Besonders kritische Infrastrukturen und ihre Zulieferer stehen im Fokus.
Auch die Digital Operational Resilience Act (DORA), die Banken und Finanzdienstleister innerhalb der EU betrifft, schreibt ab 2025 striktere Anforderungen an das IT-Risikomanagement vor – inklusive gegen Risiken aus der Lieferkette.
Diese Entwicklungen unterstreichen die zunehmende Bedeutung von Cyberresilienz auf allen Ebenen der Wertschöpfungskette.
Der Blick nach vorn: Lieferkettensicherheit als strategisches Ziel
Die Absicherung der Lieferkette wird in der IT-Sicherheit zur Chefsache. Nicht nur CIOs, sondern auch CEOs und Aufsichtsräte müssen sich aktiver mit der Digitalen Resilienz ihrer Partnerlandschaften befassen. Der Aufbau nachhaltiger, vertrauensvoller Partnerschaften mit transparenten Sicherheitsniveaus ist Schlüssel für Resilienz und Wettbewerbsfähigkeit.
Innovative Ansätze wie Software Bill of Materials (SBOM), Secure Development Lifecycles (SDLs) und Third-Party Intelligence Systeme gewinnen an Relevanz. Auch KI-gestützte Lösungen zur Anomalieerkennung in Lieferketten werden verstärkt eingesetzt.
Eine zentrale Erkenntnis bleibt: Sicherheit endet nicht am Firewall-Perimeter. Nur wer die gesamte Wertschöpfungskette stärkt, kann nachhaltige Cyberresilienz aufbauen.
Die Community ist gefragt: Welche Erfahrungen haben Sie mit der Sicherung Ihrer Lieferbeziehungen gemacht? Welche Tools und Strategien haben sich bewährt? Teilen Sie Ihre Perspektiven in den Kommentaren – gemeinsam gestalten wir eine resilientere digitale Zukunft.
