.avif)
Cybersecurity in der Lieferkette: Wie Angreifer heute Vertrauensbeziehungen als Türöffner nutzen
Viele Unternehmen sind sich sicher: „Wir sind gut geschützt.“ Und tatsächlich ist die interne Abwehr von Cyberangriffen oft sehr gut. Problematisch wird es an anderer Stelle: in der eigenen Lieferkette, die längst digital mit dem operativen Betrieb verzahnt ist. Denn viele der folgenschwersten Vorfälle starten heute dort, wo Systeme, Prozesse und Zugriffe über Organisationsgrenzen hinweg miteinander verzahnt sind.
Die großen Vorteile für Angreifer: Soft Targets & Kaskadierung
Cyberkriminalität über die Lieferkette ist oft erfolgreich, weil Angreifer das „Bollwerk“ der Cybersecurity großer Firmen einfach umgehen. Sie setzen vielmehr auf Soft Targets wie Schwachstellen bei weniger gut geschützten Betrieben, etwa kleinen Zulieferern.
Dabei nutzen sie die digitalen Verbindungen, die wir im Alltag benötigen und daher absichtlich zulassen: Partnerzugänge, Updates, Integrationen und ausgelagerte Betriebsmodelle. Anders gesagt: Angreifer „brechen“ nicht mehr mit frontalen Angriffen in Ihr Netzwerk ein. Vielmehr nutzen sie legitime Vertrauensbeziehungen zwischen Geschäftspartnern als Türöffner aus.
Ist solch ein Zulieferer zum „Trojanischen Pferd“ geworden, gleichgültig, welche Art der Manipulation oder Schadsoftware, kaskadieren die Effekte schnell: Dutzende weitere Firmen sind über API und Co. mitbetroffen. Zugleich aber laufen Angriffe heute oft lange unbemerkt ab, sodass weitere Firmen infiziert werden können.
Ein Beispiel: Kaseya VSA 2021
2021 wurde die Fernwartungs- und Management-Software Kaseya VSA von Cyberkriminellen missbraucht. Über den Update- und Verwaltungsmechanismus konnte die Schadsoftware bis zu 1.500 weitere Unternehmen infizieren und mit Ransomware erpressen. Die Schadenssumme ist unbekannt, aber die Bedrohung deutlich: Ohne Transparenz über Zugänge und Sicherheitsnachweise entstehen Kaskadeneffekte entlang der Lieferkette.
Lieferkette als vernetztes Ökosystem
Wenn wir „Lieferkette“ sagen, denken viele an physische Güter. Diese materiellen Ketten sind bereits digital eingebunden, damit Betriebsprozesse reibungslos ablaufen. Zugleich umfassen Lieferketten heute auch digitale Produkte: Software-Komponenten, Cloud- und SaaS-Services, Managed Services, Schnittstellen und Identitäten, die zusammen Geschäftsprozesse ermöglichen.
Die EU-Agentur für Cybersecurity, ENISA, ordnet Supply-Chain-Risiken entsprechend als relevante Bedrohungskategorie ein.
Praktisch heißt das: Ihre kritischen Abläufe hängen an Dingen, die Sie nicht vollständig kontrollieren, aber die dennoch operativ auf Ihr Unternehmen wirken können.
Warum Supply-Chain-Angriffe so gut skalieren
Das Beispiel oben zeigt ein typisches Muster von Cyberangriffen über die Lieferkette: Angreifende suchen sich den Hebel mit maximaler Wirkung. Anstatt ein stark abgesichertes Ziel direkt anzugreifen, wird ein weniger gut geschützter Zulieferer, Dienstleister oder eine Abhängigkeit kompromittiert und anschließend „mitverwendet“. Bitkom e.V. beschreibt dieses Prinzip sehr klar: Die schwächste Stelle ist häufig ein weniger gut geschützter Zulieferer. Von diesem aus „frisst“ sich der Angriff durch verbundene digitale Systeme, umgeht deren Abwehrmechanismen und verbreitet sich immer weiter.
Auch ENISA betont in der „Threat Landscape for Supply Chain Attacks“, warum gerade Update- und Vertrauensketten besonders attraktiv sind: Ein Eingriff an einer Stelle kann viele Organisationen treffen.
.avif){kind=spacer}
Die vier häufigsten Einfallstore
Lassen Sie uns auf einige wiederkehrende Pfade genauer schauen, um die vergrößerte Angriffsfläche eines Unternehmens deutlich besser zu verstehen.
- Updates und Release-Strecken
Sie arbeiten problemfrei mit einer Software oder einem Partner? Das bildet Vertrauen. Und somit gilt auch jedes Update im Betrieb oft als „vertrauenswürdig“. Genau das macht solche Update-Strecken so wertvoll für Angreifende: Wenn Build- oder Release-Prozesse kompromittiert werden, wird ein offizielles Update zum Transportmittel für Schadsoftware. ENISA ordnet Update-/Software-Lieferketten entsprechend als typischen Risikohebel ein.
Die wichtigste operative Frage lautet hier nicht „Haben wir Updates?“, sondern: Welche Kontrollen und Nachweise belegen, dass Releases integer erzeugt, geprüft und ausgerollt werden?
- Managed Services und Dienstleisterzugänge
Managed Services sind produktiv, aber sie bringen oft privilegierte Zugänge mit: Remote-Wartung, Admin-Rechte, Ticketprozesse, Notfallzugänge. Da viele Managed Service Provider zahlreiche Kunden betreuen, werden sie im Ernstfall zu Multiplikatoren. So wie im Beispiel oben die Software von Kaseya.
ENISA empfiehlt deshalb ausdrücklich, Drittparteienzugriffe und Rollen klar zu steuern und deren Sicherheitspraktiken risikobasiert zu adressieren.
- APIs und Integrationen
APIs sind die Nervenbahnen moderner Lieferketten. Jede zusätzliche Integration erhöht die Angriffsfläche, insbesondere wenn Tokens, Scopes, Service Accounts und Berechtigungen nicht sauber gemanagt werden. Supply-Chain-Guidance verbessert die Cybersecurity vor allem dann, wenn Unternehmen konsequent auf Transparenz über Abhängigkeiten und technische Kopplungen setzen.
- Identitätsbasierte Angriffe
Andere Cyberangriffe kommen ohne klassische Malware aus: Ein kompromittierter Zugang reicht, wenn er organisationsübergreifend wirkt und nicht sauber rezertifiziert wird. Vor allem dann, wenn Mitarbeitende die gleichen Benutzernamen und Passwörter bei vielen Plattformen verwenden, kann ein Datenleck zu einer Vielzahl von erfolgreichen Angriffen führen.
Stichwort NIS-2: Cybersecurity in der Lieferkette wird zur Managementaufgabe
Regulatorik und Markterwartungen verschieben die Messlatte für die Cybersicherheit: Lieferketten-Cybersecurity wird nicht mehr als „nice to have“ bewertet, sondern als Bestandteil von Risikomanagement, Verantwortlichkeit und Nachweisbarkeit. In Deutschland unterstreicht das auch das Ende 2025 verabschiedete NIS-2-Umsetzungsgesetz, das Lieferketten- und IT-Lieferkettenrisiken als relevanten Bedrohungsraum und als Teil von Sicherheitsmaßnahmen adressiert. Damit setzt nun auch die Bundesrepublik den verabschiedeten Rechtsrahmen der Europäischen Union in ein nationales Gesetz um.
Der Kernpunkt bleibt dabei praktisch: Unternehmen müssen nachweisen können, dass und wie sie Lieferkettenrisiken angemessen managen. Entscheidend ist die Erkenntnis, dass es selten an der Technik oder an Regeln, sondern vielmehr an der Steuerungsfähigkeit mangelt.
Viele Organisationen haben einzelne Regeln, Tools und Kontrollen. Trotzdem rutschen Lieferkettenrisiken durch, weil Zuständigkeiten verteilt sind: Einkauf, IT, Security, Fachbereiche und Compliance optimieren für ihren Arbeitsbereich, doch der Überblick fehlt und die Verzahnung leidet. ENISA beschreibt dieses Muster in der Praxis so, dass es häufig weniger an Frameworks fehlt, sondern an klaren Rollen, Verantwortlichkeiten und Ressourcen, um Supply-Chain-Security konsequent umzusetzen.
Steuerungsfähigkeit besteht aus drei Bausteinen:
- Priorisierung (was ist kritisch, was nicht?)
- Entscheidungslogik (wer gibt was frei, unter welchen Bedingungen?)
- Nachweisführung (welche Evidenz trägt diese Entscheidungen, aktuell und prüfbar?)
Nur wenn diese drei Elemente zusammenkommen, lässt sich die Cybersicherheit für ein so komplexes Ökosystem wie moderne Lieferketten gewährleisten. Entscheidend sind dabei auch Nachweise von Partnern aus der Lieferkette.
Trust Documents: Warum Nachweise ein operatives Security-Werkzeug sind
Zertifikate, Auditberichte, Sicherheitsnachweise, Freigaben oder Prüfberichte sind nicht nur Audit-Artefakte. Sie werden vielmehr operativ relevant, sobald sie Entscheidungen tragen oder triggern wie:
- Ist dieser Partner vertrauenswürdig?
- Darf ein Lieferant Zugriff behalten?
- Darf ein Update in Produktion?
- Ist eine Ausnahme vertretbar und befristet?
Damit Nachweise als Steuerungsinstrument funktionieren, müssen sie dafür brauchbar sein: integer, authentisch, nachvollziehbar und über den Lebenszyklus gepflegt. Genau dieses Denken „prüfen statt ablegen“ prägt auch viele staatliche Empfehlungen zu C-SCRM. So etwa beim Schweizer Bundesamt für Cybersicherheit (BACS), das C-SCRM (Cyber Supply Chain Risk Management) als strategischen Ansatz inklusive kontinuierlicher Überprüfung von Abhängigkeiten beschreibt.
Drei Praxisfragen, die sofort Klarheit schaffen
Entlang der folgenden Punkte können Sie Ihre Cybersicherheit prüfen und bei Bedarf optimieren.
- Welche externen Hebel liegen außerhalb unserer direkten Kontrolle?
Welche Drittparteien sind im Betrieb handlungsrelevant?
Wer hat privilegierte Zugänge für Admin, Remote oder Wartung?
Wer liefert Updates?
Welche Plattformen (SaaS/Cloud) sind in kritische Bereiche eingebunden?
Welche Integrationen (APIs/SSO/Datenflüsse) bestehen?
- Welche Beziehungen sind kritisch genug für Tiering?
Gibt es ein risikobasiertes Tiering?
Folgen Prüftiefe und Kontrollen der Kritikalität eines Zulieferers oder nur seiner Größe?
- Welche Entscheidungen treffen wir heute „aus Gewohnheit“ statt evidenzbasiert?
Welche Zugriffe laufen ewig, weil niemand sie rezertifiziert?
Wenn kritische Ausnahmen genehmigt werden, sind sie befristet? Wie wird hier nachgehalten?
Welche Zertifikate liegen vor, aber niemand prüft systematisch, ob sie noch gültig sind und welchen Bereich sie tatsächlich abdecken?
Wie stellen wir Zugriffsrechte, Versionierung und Manipulationssicherheit sicher, wenn wir Trust Docs austauschen?
Fazit: Cyber-Resilienz entsteht, wenn Vertrauen prüfbar ist
Supply-Chain-Angriffe sind erfolgreich, weil sie Vertrauensbeziehungen ausnutzen und zugleich im Alltag übliche Prozesse imitieren: Partnerzugänge, Integrationen, Updates, Freigaben. Wenn Sie Cybersecurity in der Lieferkette messbar verbessern wollen, führt der Weg fast immer über denselben Hebel: prüfbares Vertrauen statt implizitem Vertrauen. Dazu gehört, alle wichtigen
Vertrauensdokumente (Trust Docs) mit Partnern ausschließlich sicher, nachvollziehbar und manipulationssicher auszutauschen. Zugleich können Ihnen eben diese Trust Docs als Steuerungswerkzeuge dienen: Mit automatisierter Prüfung auf Verlässlichkeit, Quelle und Ablaufdatum sind sie eine ideale Grundlage für Entscheidungen und können kritische Änderungen frühzeitig sichtbar machen.
Wenn Sie tiefer einsteigen möchten: Unser Whitepaper „Cybersecurity in der Lieferkette: Herausforderungen & Strategien für mehr Resilienz“ (Februar 2026) vertieft den Ansatz inkl. Praxis-Impulsen und zeigt, wie Trust Docs als operatives Steuerungsinstrument in C-SCRM-Prozesse eingebettet werden.
Sie möchten mehr über den sicheren Austausch von Vertrauensdokumenten und wie er Ihre Cybersecurity entlang der Lieferkette stärkt, wissen?
Werfen Sie einen Blick in unseren Leitfaden!
