Das Lieferkettengesetz besagt, dass jeder Teil der Kette geschützt sein soll – vielen Unternehmen fehlt es aber noch an einer soliden Cybersecurity-Strategie für ihre Lieferketten. Mit welchen Maßnahmen lassen sich diese Herausforderungen adressieren und die Lieferketten vor Risiken und Angriffen schützen?
Unternehmen müssen sich vor Schwachstellen in ihren digitalen Lieferketten schützen. Nur dann können sie ihre gesamten Supply Chains schützen und erfolgreich am Markt bestehen.
(Bild: Travel mania - stock.adobe.com)
Im Juni 2021 beschloss die Bundesregierung das neue Lieferkettengesetz. Die Sorgfaltspflicht der Unternehmen erstreckt sich dabei auf die gesamte Lieferkette – vom Rohstoff bis zum fertigen Verkaufsprodukt. Über dieses Gesetz hinaus ist ein weiterer wichtiger Punkt, dass digitale Supply Chains an jedem Teil der Kette geschützt sein sollten. Für viele Unternehmen stellt das Thema Security jedoch eine große Herausforderung dar – auch wenn sie sich der Risiken bewusst sind, denen sie ohne eine solide Cybersecurity-Strategie für ihre Lieferketten ausgesetzt sind.
Die Einführung der Digitalisierung als Teil des Business-Ökosystem eines Unternehmens erhöht auch die Risiken für das Unternehmen insgesamt. Daher reicht es nicht mehr aus, die interne Sicherheitshygiene nur beizubehalten. Die Risiken erstrecken sich auf das gesamte Ökosystem. Dazu gehören nehmen dem Unternehmen selbst auch Partner, Lieferanten und andere Drittanbieter. Das Risikomanagement von Drittanbietern (Third Party Risk Management, TPRM) gehört heute zu den fünf größten Herausforderungen für die Führungsetagen. Das Ergebnis: Das Risikomanagement in der Lieferkette entwickelt sich von einer Compliance- und Checkbox-Übung zu einer strategischen Initiative, um das Risiko für Unternehmen zu reduzieren.
Cyber-Risiken im Zusammenhang mit Lieferanten nehmen zu
Cyber-Angriffe sind heute weitaus ausgefeilter als in der Vergangenheit. Der Grund: Cyber-Kriminelle werden technologisch immer versierter und bösartiger. Auf der anderen Seite lagern viele Firmen aus Kostengründen viele nicht zum Kerngeschäft gehörenden Aktivitäten an externe Anbieter aus. Dies hilft ihnen zwar, wettbewerbsfähiger und flexibler zu werden, setzt sie aber auch neuen Risiken aus.
Es sind aber nicht nur die direkten Lieferanten, um die Firmen sich kümmern müssen. Sondern die Risiken können auch in anderen Teilen der Lieferkette bestehen, zum Beispiel bei Dritt- oder Viertlieferanten. Kauft ein Unternehmen beispielsweise Hardware, in der ungesicherte Komponenten eines Drittanbieters verbaut sind, haben Cyber-Kriminelle leichtes Spiel. Sie können leicht bösartigen Code über die ungeschützten Komponenten einschleusen.
Nehmen wir ein Szenario, in dem ein Einzelhandelsunternehmen einen Teil seines IT-Betriebs an einen externen Partner auslagert. Dieser gibt wiederum bestimmte Aspekte des Projekts an eine kleine lokale Organisation weiter. Jede Verletzung des Datenschutzes durch die lokale Firma könnte Auswirkungen auf das Einzelhandelsunternehmen haben – und zwar sowohl hinsichtlich der Sicherheit von Daten als auch der Reputation.
Die meisten Unternehmen sind jedoch nicht in der Lage, Risiken zu bewerten und Verstöße zu erkennen, die über die Grenzen ihres Unternehmens hinausgehen. Daher ist ein Umdenken erforderlich, wenn es um die Verbesserung der Sicherheit von Lieferanten geht. Neben der Vorgabe von Protokollen müssen Cybersicherheitsteams einen partnerschaftlichen Ansatz verfolgen. Dazu gehört, dass sie ihre Partner schulen und möglicherweise das Security-Perimeter des Unternehmens auf ihre Lieferanten ausweiten.
Best Practices gegen Risiken in der Lieferkette
Es gibt eine Reihe von Best Practices, die Unternehmen befolgen sollten, um sich vor Risiken in der Lieferkette zu schützen. Dazu gehören die folgenden Punkte.
Wasserdichte Lieferantenverträge und -richtlinien
Da die Lieferanten eine wichtige Rolle dabei spielen, die Sicherheit eines Unternehmens zu gewährleisten, ist es wichtig, alle notwendigen Schutzmaßnahmen in den Vertrag aufzunehmen. Dazu gehören beispielsweise Klauseln im Hinblick auf die Durchführung von Audits oder Fristen für die Meldung von Vorfällen. Die Vereinbarung enthält auch detaillierte Richtlinien für die Ausgliederung von Lieferanten. So muss beispielsweise vorgeschrieben werden, dass alle Unternehmensdaten vom Zulieferer vernichtet werden, nachdem sie ihren Zweck erfüllt haben. Praktiken wie die statische Codeanalyse durch Dritte, regelmäßige Sicherheitsscans lokaler und Cloud-basierter Umgebungen, DevSecOps und die Integritätsprüfung von Codes für Zulieferer sind weitere wichtige Punkte, um die Sicherheit zu gewährleisten.
Umfassendes Lieferanten-Profiling
Nicht alle Lieferanten stellen das gleiche Risiko dar. Ein Partner, der Zugang zu sensiblen Daten wie dem Produktdesign hat, stellt ein größeres Risiko dar als einer, der Verpackungsmaterial liefert. Lieferantenprofile müssen unter entsprechenden Risikogesichtspunkten bewertet werden, insbesondere wenn die Zahl der Lieferanten in die Tausende oder mehr geht. Mithilfe von künstlicher Intelligenz (KI) und Machine Learning (ML) können vorhandene Daten von Lieferanten genutzt werden, um das Risikomanagement zu verbessern.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Unterstützen kann hier eine kontextbezogene Analyse, die auf die Risikobereitschaft des Unternehmens abgestimmt ist und einen expliziten Nachweis von Richtlinien verlangt. Er muss selbstverständlich auch mit den Branchenstandards und -vorschriften übereinstimmen.
Kontinuierliche Kontrolle
Die meisten Unternehmen führen circa zweimal im Jahr eine Risikobewertung ihrer Anbieter durch, doch dies reicht angesichts der dynamischen Natur der Risiken möglicherweise nicht mehr aus. Da die Zahl der Geräte und Berührungspunkte zunimmt, wird die betriebliche Sicherheit ebenso wichtig wie Security der Informationstechnologie. In einem solchen Szenario müssen Tools zur kontinuierlichen Kontrolle von nach außen gerichteten Informationen, einschließlich des Dark Web und des internen Risikomanagement-Mechanismus integriert werden, um die Risiken zu reduzieren.
Definierte interne Prozesse für Anbieterbewertungen
Es ist sinnvoll, sämtliche Prozesse im Vorfeld zu definieren. Dazu gehören beispielsweise die Eingangs- und Ausgangskriterien für die Durchführung der Bewertungen oder Pläne, um Probleme zu beheben. Gut definierte Service Level Agreements (SLAs) für die Steuerung und Nachverfolgung tragen zusammen mit standardisierten Vorlagen dazu bei, Lieferanten ebenso wie internen Stakeholdern die Kontrollerwartungen und Risikoerklärungen zu vermitteln.
Darüber hinaus müssen interne Teams geschult werden, um ein einheitliches Verständnis der Kontrollen, der erwarteten Nachweise und der Risiken zu vermitteln. Umsetzbare datenbasierte Erkenntnisse und Anleitungen für Anbieter tragen des Weiteren zu einer besseren Synergie bei. Ein partnerschaftlicher Ansatz ist besonders konstruktiv bei der Bewertung von Drittanbietern.
Silos aufbrechen
Heutzutage haben Cyber-Security-, Rechts-, Beschaffungs- und Risikoteams eine isolierte Sicht auf die Anbieter. Häufig sind die Daten nicht übergreifend verfügbar und werden somit auch nicht gemeinsam genutzt. Unternehmen müssen zu einem einheitlichen und integrierten Ansatz für das Lebenszyklusmanagement von Anbietern übergehen. Dies kann dazu beitragen, risikobehaftete Organisationen auszusortieren und sich auf die Anbieter zu konzentrieren, die die Anforderungen des Unternehmens erfüllen.
Der Angriff auf SolarWinds im Jahr 2020 war der erste von vielen Angriffen auf die Lieferkette, die im Jahr 2021 folgten – und damit deutlich machten, dass Lieferketten ein attraktives Ziel für Cyber-Kriminelle sind. Im August 2021 warnte die Agentur der Europäischen Union für Cybersicherheit (ENISA) in einem Bericht, dass die Zahl der Cyber-Angriffe auf die Lieferkette innerhalb eines Jahres um das Vierfache ansteigen dürfte. Die Lieferkettenlandschaft wird sich kontinuierlich weiterentwickeln. Unternehmen müssen neue Wege gehen, um sich vor den Schwachstellen zu schützen, die sich aus den kontinuierlichen Veränderungen ergeben. Nur dann werden sie ihre Supply Chains schützen und erfolgreich am Markt bestehen.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/d9/5d/d95db308f21105edf9003cfc42f866e2/0128657338v2.jpeg "Die Hackergruppe Ashen Lepus ist durch ihre Spionageaktivitäten motiviert, die auf das Sammeln sensibler Informationen aus Regierungsstellen und diplomatischen Einrichtungen im Nahen Osten abzielen, wobei sie zunehmend auch ihre Ziele auf andere Regionen, einschließlich Europa, ausdehnt. (Bild: Midjourney / Paula Breukel / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/18/47/18475a0050ccbb07a3717ca5968b7e50/0129075506v1.jpeg "Viele Solaranlagen hängen mit schwachen Passwörtern am Internet; NIS 2 bringt Haftung, aber verbindliche Standards für Zugriffskontrolle und Updates fehlen noch. (Bild: SolarEdge)")
:quality(80)/p7i.vogel.de/wcms/1f/2b/1f2bceb72469cea0323e7dd906576d1b/0129080111v2.jpeg "Der 28. Januar wurde als Europäischer Datenschutztag gewählt, da an diesem Datum im Jahr 1981 der Europarat das Übereinkommen Nr. 108 annahm, das erste rechtsverbindliche zwischenstaatliche Abkommen zum Schutz personenbezogener Daten bei automatischer Verarbeitung. (Bild: © lucadp - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/41/31/4131a45084a47e14cf5abac95b596231/0128075274v1.jpeg "Echtzeiteinblicke in aktive Netzwerkverbindungen: WhoIsConnectedSniffer und, oder wie in dem Fall hier, Sniffnet liefern Administoren eine präzise Übersicht über Geräte und Datenverkehr. (Bild: Joos)")
:quality(80)/p7i.vogel.de/wcms/02/81/02817f46ea84a6cb411406cc3d0ddc17/0128648824v2.jpeg "KI-gestützte Angriffe ermöglichen es Cyberkriminellen, ihre Angriffsmethoden durch automatisierte Malware-Entwicklung und raffinierte Social-Engineering-Taktiken zu optimieren und jede Phase ihrer Angriffe zu beschleunigen, was das Reaktionsfenster für Verteidiger drastisch verkürzt. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/7b/1b/7b1b6408a02a8308f697aee84799029c/0128685819v1.jpeg "Das Dynamic Host Configuration Protocol ist im Netzwerk für die automatische Zuweisung der IP-Netzwerkkonfiguration zuständig. (Bild: @alemedia via Canva: Visual Suite for Everyone)")
:quality(80)/p7i.vogel.de/wcms/74/a3/74a32ab50064418130cd1cd627ab666e/0128576134v1.jpeg "Extreme Herausforderungen, sicher gespeichert: Flexxon enthüllt X-Mask Pro, eine laut Hersteller zuverlässige Speicherlösung für kritische Industrien. (Bild: © Cedric - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ca/54/ca546583f644634e8620e31635a34b88/0129056071v2.jpeg "Blick in die Zukunft: Der Nachfolger von Windows Server 2025 heißt wahrscheinlich Windows Server 2028/2029. Bereits jetzt gibt es eine Testversion und neue Funktionen sickern durch. (Bild: © PNG City - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/57/cc/57cc4ad7badd6e36300bf10fcda97eac/0129117117v2.jpeg "Microsoft reagiert mit außerplanmäßigen Updates auf eine Sicherheitsanfälligkeit in Office 2016 bis 2024 und Office 365-Apps und stellt derzeit im Eiltempo Notfall-Patches bereit, um schwerwiegende Angriffe durch das Umgehen von Sicherheitsfunktionen zu verhindern. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/cc/df/ccdf983e4b47b1a7895509210d721d8c/0129059286v1.jpeg "Waren 2025 Speaker bei der ISX (v.l.n.r.): Georgia Voudoulaki beim Think Tank, Lukas Wagner und Leonard Bunjaku bei ihren Vorträgen (Bild: Vogel IT-Akademie)")
:quality(80)/p7i.vogel.de/wcms/8b/bc/8bbc7f8f7dd3167fcc3ab5e1e8188770/0129039996v2.jpeg "Manipulierte Trainings- und Eingabedaten gehören zu den zentralen Angriffsflächen agentischer Künstlicher Intelligenz: Data Poisoning und Prompt Injection setzen dort an, wo KI Entscheidungen ableitet und Aktionen auslöst. (Bild: © Xchip - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e5/20/e520a4ead3ccf0de1445916fd8a89cdc/0129077672v2.jpeg "Sicherheitsforscher Jeremiah Fowler hat auf einem ungeschützten Server 149 Millionen gestohlene Passwörter entdeckt, die durch Infostealer-Malware gesammelt wurden. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8d/a6/8da69ebdef1090970a7ef7d44f304864/0129086965v2.jpeg "Die Niedersächsische Landesregierung reagiert auf die zunehmenden Cyberangriffe, indem sie einen neuen digitalen Schutzschirm einführt. Der Anbieter des neuen Schutzschilds kommt aus den USA. (Bild: Canva / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/13/01/1301d39b914ab1dc9ffa517f98f26840/0126593157v1.jpeg "Prompt Injection ist eine auf Sprachmodelle abzielende Form von Cyberangriff durch einschleusen manipulativer KI-Anweisungen. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/60/c3/60c36cdf3aea0/sysob-logo-weiss-auf-o.png "sysob-logo-weiss-auf-o (sysob)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/68/2d/682dd583dcc4c/fsas-afc-horizontal-2-positive-rgb-nov24.png "fsas-afc-horizontal-2-positive-rgb-nov24 (Fsas)")
:fill(fff,0)/p7i.vogel.de/companies/67/f6/67f625705f340/ftapi-logo.jpeg "ftapi-logo (FTAPI Software GmbH)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/a4/82/a482b10466fe1e02cef427898577953f/0123523984v2.jpeg "Security-Experten von Sphera ermittelten im Jahr 2023 einen Anstieg von 62 Prozent gegenüber 2022 bei cyberbedingten Lieferkettenproblemen. (Bild: Aidas - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/8d/12/8d12db80b700e6648a13d02939aa9662/0123712305v2.jpeg "Von den Attacken der Huthi-Rebellen im Roten Meer bis zum Einsturz der Francis-Scott-Key-Brücke – durch viele externe Faktoren sind Lieferketten extrem störungsanfällig. Hinzu kommen digitale Angriffsvektoren. (Bild: Igor Groshev - stock.adobe.com)")