Wie deine Lieferanten zu deinem größten Cyberrisiko werden
In immer komplexeren Partnerschaften stellen Lieferanten und Subunternehmer eine digitale Achillesferse dar: verletzlich, trügerisch sicher und oft unbewusst ignoriert. Warum die Vordertür aufbrechen, wenn du auch durch eine unbekannte Hintertür eintreten kannst? Das Management der Lieferkette, also die Sicherheit deiner gesamten Wertschöpfungskette, ist nicht optional, sondern unerlässlich.
Autor: Renee van der Post
Die Lieferkette: Größer und unsichtbarer, als du denkst
Wo Unternehmen früher hauptsächlich mit einer Handvoll lokaler Partner zusammengearbeitet haben, sind moderne Lieferketten heute international und komplex. Ein Softwareanbieter nutzt möglicherweise Hosting-Dienste aus einem anderen Land, die wiederum Hardware aus anderen Regionen beziehen.
In unserer globalisierten Wirtschaft sind Lieferketten oft so verzweigt, dass niemand mehr den vollständigen Überblick hat, wer alles daran beteiligt ist. Es entsteht ein Netzwerk von Abhängigkeiten, das sich über mehrere Länder, Zeitzonen und Rechtsprechungen erstreckt. Das erschwert nicht nur die Transparenz, sondern macht auch die Absicherung komplex.
Während Cyberkriminelle diese Netzwerke geschickt ausnutzen, vertrauen Unternehmen oft blind auf ihre Partner, ohne systematisch zu prüfen, ob die Sicherheit dort genauso ernst genommen wird wie bei ihnen selbst.
Stell dir vor: Du bist ein mittelständischer E-Commerce-Anbieter. Dein Marketingteam nutzt ein beliebtes E-Mail-Tool für Kampagnen. Dieses Tool wird von einem amerikanischen Softwareunternehmen entwickelt, das wiederum sein Hosting an einen asiatischen Cloud-Anbieter auslagert. Wird dieser Cloud-Anbieter Opfer eines Datenlecks, könnten Hacker Zugriff auf die gesamten Kundenlisten deines Unternehmens erhalten.
Die Vertrauenskrise
Was als ein Vorfall am anderen Ende der Welt beginnt, endet in den Niederlanden als Vertrauenskrise gegenüber deinen Kunden – noch bevor du überhaupt wusstest, dass etwas nicht in Ordnung war. Deine eigene Cybersicherheit war vielleicht vorbildlich, aber der Angriff fand irgendwo tief in deiner digitalen Lieferkette statt.
Selbst wenn du alles richtig machst
Wir müssen nicht weit in die Vergangenheit blicken, um zu sehen, wie Angriffe auf die Lieferkette Unternehmen lahmlegen können. Im Jahr 2020 wurde SolarWinds von einem weitreichenden Angriff getroffen, bei dem Angreifer Zugang zu den Netzwerken von Tausenden von Unternehmen und Regierungsbehörden weltweit erhielten. Der Angriff blieb monatelang unentdeckt und führte zu schwerwiegenden Datenlecks, unter anderem bei amerikanischen Ministerien und großen Technologiekonzernen.
Auch der MOVEit-Hack im Jahr 2023 hatte weitreichende Folgen: Tausende Organisationen wurden Opfer eines Datenlecks, ohne selbst einen Fehler gemacht zu haben. Anfang 2025 wurde ein großer Einzelhändler vorübergehend lahmgelegt, als sein Anbieter für Logistiksoftware getroffen wurde. Die Filialen konnten keine Zahlungen mehr abwickeln, und die Kunden standen buchstäblich vor verschlossenen Türen.
Diese Vorfälle haben eines gemeinsam: Der Angriff begann nicht beim betroffenen Unternehmen selbst, sondern bei einem Partner in der Lieferkette.
Resilienz in der Lieferkette beginnt mit Transparenz
Echte digitale Widerstandsfähigkeit beginnt nicht nur mit noch mehr technologischen Maßnahmen im eigenen Unternehmen, sondern mit dem Einblick in deine gesamte Lieferkette. Welche Parteien haben Zugriff auf deine Daten? Mit wem arbeiten sie zusammen? Und welche Vereinbarungen wurden über Sicherheit und Vorfälle getroffen?
Stelle konkrete Anforderungen an deine Lieferanten. Denke dabei an die Einhaltung eines Mindestsicherheitsstandards (wie ISO 27001), das Anfordern aktueller Auditergebnisse oder die Implementierung eines gemeinsamen Verfahrens zur Meldung von Vorfällen. Organisiere regelmäßig Gespräche oder Kettensitzungen, um Risiken besprechbar zu machen – nicht, um mit dem Finger auf andere zu zeigen, sondern um gemeinsam stärker zu werden. Darüber hinaus stellt die NIS2-Richtlinie explizite Anforderungen an das Management von Lieferkettenrisiken. Dies ist also nicht nur klug, sondern in vielen Fällen auch eine gesetzliche Verpflichtung.
So stark wie dein schwächstes Glied
Cybersicherheit endet nicht an deiner Haustür und auch nicht bei deinen Lieferanten. Kettensicherheit ist daher kein Luxus mehr, sondern eine Notwendigkeit. Nicht, um jedes Risiko vollständig auszuschließen – das ist unmöglich – sondern um sicherzustellen, dass du nicht unwissentlich eine tickende Zeitbombe in deine Organisation holst. Bei Defenced helfen wir Organisationen, ihre Lieferkette transparent und widerstandsfähig zu machen. Von schnellen Bewertungen bis hin zur strukturellen Überwachung: Gemeinsam sorgen wir dafür, dass du keinen blinden Fleck mehr hast. Neugierig, wie es um deine Lieferkette bestellt ist?
Kontaktiere uns
Bronnen:
¹ Cybercrime Trends Survey (2024)
² Wired – MOVEit Data Breach (2023)
³ Nu.nl – SolarWinds hack (2020)
⁴ The Guardian – Marks & Spencer cyberaanval (2025)