Sichere Lieferketten : IT-Angriffe „über Umwege“

Third-Party-Angriffe nutzen eine zentrale Eigenschaft moderner Wirtschaftssysteme: ihre engmaschige und jahrelang gewachsene Vernetzung. Cloud-Services, externe Rechenzentren, Softwareanbieter oder spezialisierte Dienstleister sind integraler Bestandteil der ausgelagerten digitalen Infrastruktur. Ein erfolgreicher Angriff kann daher gleichzeitig viele Organisationen treffen. Experten sprechen deshalb von sogenannten „One-to-many-Angriffen“. Ein einziger kompromittierter Anbieter kann ganze Lieferketten destabilisieren.

Cyberrisiken werden zum akuten Geschäftsrisiko

Zahlen belegen, dass 2025 rund 97 Prozent global agierender Unternehmen Betriebsstörungen durch Angriffe auf ihre Lieferkette verzeichneten. Das markierte einen deutlichen Anstieg gegenüber dem Vorjahr (81 Prozent). Der Kontext: Ein wachsender Teil der operativen Resilienz liegt außerhalb der direkten Kontrolle eines Unternehmens. Angreifer konzentrieren sich daher gezielt auf Dienstleister mit geringerer Sicherheitsreife.

Gerade kleine und mittelständische Unternehmen verfügen über zu wenig Expertise innerhalb ihrer Organisationen. Und bemerken den Angriff oft erst, wenn bereits Daten abgeflossen sind, Systeme ausfallen, Apps nicht mehr bedient werden können oder regulatorische Meldepflichten greifen.

Third-Party-Angriffe sind somit längst kein reines IT-Problem mehr. Ihre Auswirkungen reichen tief in wirtschaftliche Prozesse hinein. Solche Ereignisse wirken sich unmittelbar auf Ergebnis, Liquidität und Unternehmenswert aus. Cyberrisiken entwickeln sich damit zunehmend zu einem klassischen Management- und Governance-Thema. Die Frage lautet nicht mehr nur: „Wie schützen wir unsere Systeme?“ Sondern auch: „Wie stabil sind die digitalen Lieferketten, von denen unser Geschäftsmodell abhängt?“

Regulierung reagiert auf neue Bedrohungslage

Auch der europäische Gesetzgeber hat die steigende Bedeutung dieser Risiken erkannt. Mit der NIS-2-Richtlinie sowie dem Digital Operational Resilience Act (Dora) werden Unternehmen verpflichtet, Risiken durch externe IT-Dienstleister systematisch zu erfassen und zu steuern. Damit verschiebt sich Verantwortung zunehmend auf die Managementebene. Unternehmen müssen ihre kritischen Dienstleister identifizieren, Risiken bewerten und vertragliche Sicherheitsanforderungen definieren.

Auch Exit-Strategien, also Pläne für den kurzfristigen Ersatz eines Dienstleisters, gehören inzwischen zu den regulatorischen Mindestanforderungen. Bei Verstößen sind Bußgelder von bis zu zehn Millionen Euro oder zwei Prozent des weltweiten Jahresumsatzes sowie eine persönliche Haftung der Geschäftsführung möglich.

Wie Unternehmen sich jetzt schützen können

Eine Toolbox, die Third-Party-Angriffe ernst nimmt, beinhaltet folgende Punkte:

1. Listing aller Third Parties

Am Anfang steht die vollständige Identifikation aller relevanten Drittanbieter. Einschließlich Subdienstleistern. Nur wenn klar ist, welche Partner geschäftskritische Funktionen unterstützen, lassen sich Risiken priorisieren.

Eine der größten Herausforderungen: Verträge zu Kooperationspartnern und den implementierten IT-Lösungen sind teils viele Jahre alt und nicht selten offline gesichert. Eine vollständige Dokumentation funktioniert also nur dann, wenn sämtliche Ablagen sauber digitalisiert und zentralisiert sind. Unternehmen scheuen oft den zeitlichen Aufwand, was wiederum eine erhöhte Anfälligkeit zulasten der IT-Sicherheit bedingt.

Darauf aufbauend sind risikobasierte Klassifizierungen, regelmäßige Bewertungen und klar definierte Sicherheitsanforderungen erforderlich, idealerweise unterstützt durch integrierte, workflowbasierte Lösungen.

2. Digitales Maßnahmenpaket für vernetzte Unternehmen

Kontinuierliches Monitoring, definierte Meldewege und klare Verantwortlichkeiten erhöhen die Transparenz. Technisch gewinnen Zero-Trust-Modelle, segmentierte Zugriffsrechte, Multi-Faktor-Authentifizierung und ein gründliches, regelmäßiges Monitoring an Bedeutung. Ziel ist es, im Falle einer Kompromittierung die Ausbreitung zu begrenzen und Anomalien frühzeitig zu erkennen.

3. Den Exit managen

Ein häufig unterschätzter Aspekt ist das Exit-Management. Was passiert, wenn ein kritischer Dienstleister kurzfristig ausfällt oder ersetzt werden muss? Ohne vorbereitete Übergangsszenarien entstehen schnell hohe Zusatzkosten und lange Betriebsunterbrechungen. Exit-Strategien sind daher nicht nur regulatorische Pflicht, sondern Bestandteil vorausschauender Unternehmenssteuerung.

Absolute Sicherheit wird es auch künftig nicht geben. Doch Unternehmen können ihre Widerstandsfähigkeit gegenüber Third-Party-Angriffen deutlich erhöhen, wenn sie digitale Resilienz systematisch aufbauen.

Resilienz beginnt außerhalb der eigenen Organisation

Die zentrale Erkenntnis lautet deshalb: In einer vernetzten Wirtschaft entscheidet nicht nur die eigene Sicherheitsarchitektur über den Schutz eines Unternehmens. Mindestens genauso entscheidend ist die Resilienz der Partner, Dienstleister und Zulieferer, die Teil der digitalen Wertschöpfungskette sind.

Denn der nächste Cyberangriff kommt möglicherweise nicht durch die eigene Tür, sondern durch die eines vertrauten Partners.

Fino Scholl ist Managing Director der Swiss GRC Germany GmbH, einem Softwareunternehmen mit Fokus auf Governance, Risk & Compliance.