Lieferkettensicherheit 2026: Risiken, Maßnahmen & Lifecycle

Die Cybersicherheit hat sich zu einer der bedeutendsten globalen Herausforderungen entwickelt. Angesichts der zunehmenden globalen Vernetzung und Digitalisierung reicht es längst nicht mehr aus, nur die eigene IT-Infrastruktur zu sichern. Die Schwachstellen lauern im komplexen Geflecht externer Beziehungen. Ein einziger kompromittierter Zulieferer kann weitreichende Kaskadeneffekte auslösen, die ganze Geschäftsbetriebe lahmlegen und hohe finanzielle und reputationelle Schäden nach sich ziehen. Angesichts strengerer gesetzlicher Anforderungen wie NIS2 ist das Cyber-Supply Chain Risk Management (C-SCRM) im Jahr 2026 keine Kür mehr, sondern eine strategische Pflicht.

1. Fundamente der Lieferkettensicherheit

Lieferkettensicherheit, oder Supply Chain Security, ist ein integraler Bestandteil des Lieferkettenmanagements. Ihr Hauptziel ist es, die Risiken für die Sicherheit und Integrität der Wertschöpfungsketten zu reduzieren, die aus der Zusammenarbeit mit externen Partnern und Lieferanten entstehen. Dieser Schutz umfasst dabei nicht nur den Warenfluss und physische Bedrohungen (wie Diebstahl oder Sabotage), sondern in der modernen Wirtschaft vor allem digitale und elektronische Lieferketten, wie etwa die Software-Lieferkette.

Ein essenzieller Schritt ist die transparente Identifizierung aller beteiligten Akteure. Dabei wird zwischen verschiedenen Arten von Partnern unterschieden: Der direkte Lieferant (oder Drittanbieter/Third-Party) erbringt unmittelbar Leistungen oder liefert Produkte an das eigene Unternehmen. Ein Viertanbieter (Fourth-Party) ist ein Subdienstleister oder ein Zulieferer Ihres direkten Lieferanten. Der Cloud-Anbieter beispielsweise bleibt für die Risiken verantwortlich, selbst wenn er bestimmte Tätigkeiten zur Bereitstellung des Dienstes an solche Subdienstleister auslagert. Risiken können auch in diesen tieferen Ebenen entstehen, etwa wenn ein Drittanbieter ungesicherte Komponenten in Hardware verbaut.

Die Notwendigkeit, diese externen Risiken zu beherrschen, wird durch gesetzliche und normative Rahmenwerke stark untermauert:

  • NIS2-Richtlinie (NIS2-RL): Diese europäische Richtlinie verpflichtet besonders wichtige und wichtige Einrichtungen (bwE und wE) dazu, ein Konzept für die Sicherheit der Lieferkette zu implementieren. Die NIS2-RL betrachtet die Cybersicherheit der Lieferkette als festen Bestandteil des Risikomanagements und macht die Geschäftsleitung für deren Einhaltung rechenschaftspflichtig.
  • ISO/IEC 27001 (ISMS): Die Norm verlangt von Organisationen im Rahmen des Supplier Managements die sorgfältige Auswahl und fortlaufende Überwachung ihrer Lieferanten. Ein etabliertes Informationssicherheits-Managementsystem (ISMS) nach ISO 27001:2022 dient als solide organisatorische Grundlage für ein umfassendes C-SCRM.
  • BSI C5: Der Kriterienkatalog des BSI für Cloud-Dienste enthält spezifische Anforderungen (z. B. im Bereich Steuerung und Überwachung von Dienstleistern und Lieferanten), die Transparenz und Sicherheit in Cloud-Lieferketten gewährleisten sollen.
  • Cyber Resilience Act (CRA): Dieser Entwurf legt grundlegende Anforderungen an Produkte fest (wie Security by Design und Security by Default) und verpflichtet Hersteller, Sicherheitsupdates über den gesamten Lebenszyklus eines Produkts bereitzustellen sowie Schwachstellen zu melden und zu beheben.

2. Die Bedrohung durch Lieferkettenangriffe

Ein Lieferkettenangriff stellt die vielleicht größte indirekte Bedrohung für die Cybersicherheit von Unternehmen dar. Per Definition handelt es sich um einen Angriff, bei dem die Angreifer zunächst einen Lieferanten kompromittieren und diesen dann als vertrauenswürdigen Vektor nutzen, um das eigentliche Ziel – den Kunden – anzugreifen.

Angriffe auf die Lieferkette sind effektiv

Die besondere Wirksamkeit dieser Methode beruht auf zwei zentralen Faktoren: dem ausgenutzten Vertrauen und dem Kaskadeneffekt.

  1. Ausnutzung des Vertrauens: Organisationen pflegen eine enge Beziehung zu ihren Lieferanten, die oft weitreichende Zugriffsrechte auf sensible Systeme oder Daten besitzen. Die Angreifer nutzen dieses natürliche Vertrauen aus. Eine Analyse der ENISA zeigte, dass bei rund 62 Prozent der Angriffe auf Kunden das Vertrauen in den Lieferanten ausgenutzt wurde.
  2. Skalierbarkeit und Reichweite: Ein erfolgreicher Angriff auf einen einzigen, weit verbreiteten Anbieter (z. B. eine Software- oder Cloud-Lösung) verschafft Angreifern gleichzeitig Zugang zu einer riesigen Anzahl von Opfern. Anstatt viele einzelne Ziele direkt angreifen zu müssen, kompromittieren sie einmal die Quelle, um tausende Unternehmen zu infizieren.

Die Gefahr wird in Deutschland von vielen unterschätzt. Gut drei Viertel der Befragten erkennen laut der TÜV Cybersecurity Studie 2025 keine oder nur eine geringe Gefahr durch Angriffe über Zulieferer oder Kunden. Dies steht im klaren Widerspruch zur Realität: Jedes zehnte Unternehmen (10 %) in Deutschland hat bereits Angriffe festgestellt, die über Zulieferer oder Kunden erfolgt sind.

Die größte Gefahr geht dabei von organisierter Kriminalität und staatlich organisierten Hackern (APT-Gruppen) aus. APT-Gruppen sind für mehr als 50 Prozent der Lieferkettenangriffe verantwortlich und setzen diese mit sorgfältiger Planung und hohem Aufwand um.

Angriffe aus der Lieferkette und ihre Folgen

Die Bedrohung, die vom kompromittierten Lieferanten auf den Kunden übergeht, kann sich in verschiedenen Formen manifestieren, wobei oft Schadprogramme (Malware) und die Ausnutzung der Vertrauensbeziehung die Haupttechniken sind, um Kunden zu kompromittieren.

Die häufigsten Angriffsziele beim Kunden sind dabei:

  • Daten und geistiges Eigentum: Das Hauptziel (58 % der Vorfälle) ist der Zugang zu Kundendaten, personenbezogenen Daten oder geistigem Eigentum.
  • Finanzieller Schaden: Die Angriffe zielen auf finanzielle Ressourcen ab, etwa durch Lösegeldforderungen oder das Kapern von Konten.
  • Betriebsunterbrechungen: Die Kompromittierung kann zu gravierenden kaskadierenden Systemausfällen führen, welche die Handlungsfähigkeit und Resilienz der gesamten digitalen Wirtschaft untergraben.

Gartner prognostizierte, dass bis 2025 45 Prozent der Unternehmen Angriffe auf ihre Software-Lieferketten erleben werden.

Beispiele für bekannte Lieferkettenangriffe

Die Notwendigkeit, das Risiko in der Lieferkette zu steuern, wird durch Vorfälle verdeutlicht, bei denen ein einzelnes kompromittiertes Glied eine massive Schadwirkung entfaltet:

  • NotPetya (2017): Dieser Angriff, der über ein manipuliertes Software-Update (MeDoc) verbreitet wurde, führte zu einem massiven Ransomware-Angriff in der Ukraine und weltweit. Die geschätzten Kosten dieses Vorfalls lagen bei fast 10 Milliarden Dollar.
  • SolarWinds (2020/2021): Bei diesem globalen Angriff wurden die Prozesse und der Code von SolarWinds kompromittiert. Die daraus resultierende manipulierte Software (Orion-Plattform) verbreitete Schadcode (Malware) an Tausende Kunden weltweit. Die Angreifer nutzten die Vertrauensbeziehung der Kunden in die Software-Updates des Lieferanten, um große Mengen an Daten und sensiblen Informationen abzugreifen.
  • Kaseya (2021): Bei diesem Vorfall verschafften sich Angreifer über eine Sicherheitslücke in der VSA-Software von Kaseya (einem IT-Management-Dienstleister) Zugang. Sie nutzten diesen Zugang, um Ransomware auf der Infrastruktur der Kaseya-Kunden und deren nachgeschalteten Kunden zu installieren. Dies demonstrierte die Gefahr von Managed Service Providern (MSPs) als Single Point of Failure.
  • CrowdStrike-Vorfall (Juli 2024): Dieser Vorfall, obwohl kein Cyberangriff, veranschaulichte die systemischen Auswirkungen kritischer Abhängigkeiten. Ein fehlerhaftes Update eines Sicherheitsprodukts von CrowdStrike legte weltweit den IT-Betrieb lahm, betraf Krankenhäuser, den internationalen Flugverkehr und die Produktion und führte zu nicht bezifferbaren wirtschaftlichen Schäden. Dies zeigte, dass schon operative Fehler bei einem kritischen Lieferanten die Resilienz ganzer Sektoren gefährden.
  • XZ-Angriff (2024): Ein geplanter, extrem raffinierter Angriff, bei dem eine bösartige Hintertür in die weit verbreitete Open-Source-Komponente XZ Utils (Teil fast aller Linux-Installationen) eingeschleust wurde. Hätte ein Entwickler die Backdoor nicht rechtzeitig bemerkt, hätte dieser Angriff potenziell Millionen von Benutzern getroffen und die Integrität der gesamten Software-Lieferkette gefährdet.

Diese Beispiele verdeutlichen das Bedrohungspotenzial von Lieferkettenangriffen. Die Ausnutzung des hohen Vertrauens in die gelieferten Produkte (Software, Updates, Dienstleistungen) können weitreichenden Schaden beim Endkunden anrichten.

3. Governance und Risikominimierung

Um die Risiken aus der Lieferkette effektiv zu minimieren, ist ein risikobasiertes Lieferantenmanagement unerlässlich. Dies beginnt mit der Sicherheits-Due-Diligence, bei der Lieferanten zunächst nach der Kritikalität der Informationen und der Verfügbarkeit der bereitgestellten Systeme in Risikogruppen eingeteilt werden. Ein Partner mit Zugriff auf streng vertrauliche Daten oder geschäftskritische Systeme (wie ein Cloud-Anbieter oder Stromversorger) stellt ein höheres Risiko dar als ein Lieferant von Büromaterial.

Bei der Due-Diligence-Prüfung und Auswahl neuer Anbieter müssen Organisationen (z.B. gemäß NIS2) eine Reihe von Kriterien berücksichtigen:

  • Cybersicherheitsverfahren: Wie sicher sind die Prozesse und die Software-Entwicklungsverfahren des Anbieters?
  • Qualität und Resilienz: Wie widerstandsfähig sind die IKT-Produkte und -Dienste, und welche Sicherheitsmaßnahmen sind implementiert?
  • Abhängigkeit und Diversifizierung: Gibt es eine übermäßige Abhängigkeit von einem einzigen Anbieter (Critical Supplier Concentration), und welche Möglichkeiten zur Diversifizierung der Bezugsquellen bestehen?
  • Jurisdiktion: In welchen Rechtsräumen agiert der Anbieter, und wie sind die Abhängigkeiten zu ausländischen Regierungen?

Diese Anforderungen werden in vertragliche Kontrollen überführt, um die Einhaltung der Sicherheitsstandards zu garantieren und die Rechenschaftspflicht festzulegen.

Unverzichtbare vertragliche Kontrollen:

  1. Recht auf Prüfung und Berichterstattung: Unternehmen sollten sich das Recht auf Audits oder zumindest auf den Erhalt von Prüfberichten (z. B. im Rahmen des C5-Kriterienkatalogs oder TISAX) vertraglich zusichern lassen.
  2. Meldepflichten bei Sicherheitsvorfällen: Anbieter müssen sich verpflichten, Sicherheitsvorfälle unverzüglich zu melden.
  3. Schwachstellenmanagement: Es muss eine vertragliche Verpflichtung zur zeitnahen Behebung von Schwachstellen bestehen, die ein Risiko für die Systeme des Kunden darstellen.
  4. Kaskadierung (Flow-down): Die Cybersicherheitsanforderungen müssen bei der Vergabe von Unteraufträgen (Viertanbieter) an die Subauftragnehmer weitergegeben werden.
  5. Pflichten bei Vertragsende: Die Regeln für die Handhabung und unwiderrufliche Löschung von Unternehmensdaten beim Offboarding müssen klar definiert sein.

Ergänzend zu vertraglichen Absicherungen erwarten Regulatoren und Best Practices technische und operative Kontrollen. Dazu gehören die Implementierung von Multi-Faktor-Authentifizierung (MFA) für den Zugriff auf Systeme, die Nutzung von Zero-Trust-Sicherheitsmodellen, eine strenge Zugriffskontrolle nach dem Least-Privilege-Prinzip, sowie End-to-End-Verschlüsselung. Im Bereich der Software-Lieferketten ist die Forderung nach einer Software Bill of Materials (SBOM), die alle verwendeten Komponenten auflistet, zu einem zentralen Element der Risikominimierung geworden.

4. Lieferanten-Lifecycle

Ein effektives Management von Lieferkettenrisiken erstreckt sich über den gesamten Lebenszyklus des Produkts oder der Dienstleistung. Dies beginnt mit der Prüfung und Auswahl und endet mit einem geregelten Ausstieg (Offboarding).

Audits und regelmäßige Überprüfung

Obwohl nur ein Drittel der Unternehmen Sicherheitsanforderungen an Zulieferer stellt und nur eine kleine Minderheit regelmäßig (6 Prozent) oder unregelmäßig (7 Prozent) Audits durchführt (TÜV Cybersecurity Studie 2025), ist das Lieferantenaudit ein entscheidendes Instrument.

Der Prüfungsrhythmus sollte stets risikobasiert sein und auf der Klassifizierung und Kritikalität des Lieferanten beruhen. Angesichts der dynamischen Bedrohungslage reichen jährliche oder halbjährliche Überprüfungen oft nicht mehr aus; hier ist kontinuierliche Kontrolle (Continuous Monitoring) gefragt.

Eine Audit- oder Bewertungs-Checkliste sollte je nach Risikogruppe unterschiedliche Methoden umfassen:

  • Selbstauskunft: Umfassende Fragebögen zur Informationssicherheitsleitlinie, etablierten Standards (z. B. ISO 27001) und Einhaltung gesetzlicher Vorschriften (z. B. NIS2, DSGVO).
  • Risiko-Assessment: Überprüfung des Schutzbedarfs, der Auswirkungen einer Schutzverletzung und der Abhängigkeit vom Lieferanten.
  • Technische Kontrollen: Bewertung des Vulnerability Managements und des Patch-Managements, der Protokollierung und Überwachung (Logging und Monitoring), sowie des Notfall- und Krisenmanagements.
  • Zertifikate: Verlangen von Nachweisen wie ISO 27001-Zertifikaten oder branchenspezifischen Standards wie TISAX, insbesondere bei Lieferanten der höchsten Risikogruppen.

Zusammenarbeit im Vorfallmanagement (Incident Response)

Die Abstimmung des Verhaltens bei einem Sicherheitsvorfall ist kritisch, da ein Mangel an koordinierten Plänen den Schaden vervielfachen kann. Es müssen vertraglich klare Meldewege und Reaktionsprotokolle festgelegt werden. Nur 23 Prozent der Unternehmen informieren im Falle eines Vorfalls ihre Kunden oder Lieferanten (TÜV Cybersecurity Studie 2025). Eine enge Kooperation, die den Einbezug kritischer Lieferanten in Notfallübungen und Incident Response Tests vorsieht, ist Best Practice.

Nach einem Sicherheitsvorfall ist ein Re-Audit erforderlich. Die Organisation muss die Sicherheitspraktiken des Anbieters überwachen und bewerten und bei Mängeln die Umsetzung korrigierender und präventiver Maßnahmen durch den Lieferanten sicherstellen.

Offboarding – Der sichere Ausstieg

Auch der Austritt aus einer Lieferantenbeziehung erfordert eine definierte Ausstiegsstrategie (Offboarding). Diese sollte eine Risikoanalyse der potenziellen Kosten und Auswirkungen eines Übergangs zu einem alternativen Anbieter beinhalten. Essentiell ist die vertragliche Verpflichtung zur vollständigen und unwiderruflichen Löschung aller Unternehmensdaten beim Lieferanten nach Beendigung des Vertrags.

Fazit

Das Cyberrisiko zählt heute zu den bedeutendsten Risiken für die Weltwirtschaft. Die zunehmende Komplexität der Lieferketten und die steigende Zahl ausgefeilter Angriffe von organisierten Kriminellen machen das Cyber-Supply Chain Risk Management (C-SCRM) unumgänglich.

Die gesetzlichen Anforderungen, insbesondere durch die NIS2-Richtlinie und den Cyber Resilience Act, manifestieren die Notwendigkeit, das Risikomanagement über die eigenen Unternehmensgrenzen hinaus auszudehnen. Die erfolgreiche Sicherung der Lieferkette basiert auf einem kontinuierlichen PDCA-Zyklus (Plan-Do-Check-Act): der risikobasierten Bewertung, der Festlegung klarer vertraglicher und technischer Kontrollen (wie MFA und SBOM) und einem gut koordinierten Incident Response Management.

Unternehmen, die in eine hohe Transparenz, einen kontinuierlichen Austausch mit ihren Partnern und die strikte Umsetzung von Best Practices wie ISO 27001 investieren, stärken nicht nur ihre eigene Position, sondern erhöhen die Resilienz der gesamten digitalen Wirtschaft. Jetzt ist der Zeitpunkt, C-SCRM als strategische Initiative zu etablieren, um die eigene Handlungsfähigkeit und Vertrauenswürdigkeit dauerhaft zu gewährleisten.

ND Concepts • 3. November 2025

Informationssicherheit aus Köln

Sie brauchen Unterstützung?

ND Concepts unterstützt Sie in den Bereichen Informationssicherheit, Security Awareness und IT-Compliance. Durch die Umsetzung nachweisbarer und alltagstauglicher Informationssicherheit schützen Sie Ihr Unternehmen effektiv vor Cyberbedrohungen und erfüllen vertragliche und regulatorische Anforderungen. 

In unserem unverbindlichen Expertengespräch können Sie Ihre Fragen und aktuellen Herausforderungen mit uns besprechen. Gemeinsam finden wir die passende Lösung zum Schutz Ihres Unternehmen.

Kostenloses Expertengespräch vereinbaren

Mehr über Informationssicherheit

Internes Audit nach ISO 27001:2022

von ND Concepts 26. Oktober 2025
ISO 27001 Internes Audit meistern: Anforderungen (Klausel 9.2), Ablauf, Auditor wählen und Nachweise sichern. ISMS erfolgreich für die Zertifizierung vorbereiten.

10 Tipps für Informationssicherheit: alltagstauglich & nachweisbar

von ND Concepts 14. Oktober 2025
So verankern Sie Informationssicherheit alltagstauglich und nachweisbar: Daten klug klassifizieren, Rollen klären, Meldekultur stärken, KI-Einsatz steuern und Lieferanten absichern.

Metadaten, Schatten-IT, NIS-2: Was heute alles zu sicherer Kommunikation gehört

von Teamwire (Gastbeitrag) 6. Oktober 2025
Sichere Kommunikation im Kontext von NIS-2 und DSGVO. Schatten-IT vermeiden und Metadaten schützen. Reicht eine Ende-zu-Ende-Verschlüsselung aus?
Mehr anzeigen