Supply-Chain-Angriffe: Wie du dich vor kompromittierten Lieferanten schützt

Der Angriff, den niemand kommen sah

Im Dezember 2020 wurde bekannt, dass Angreifer über Monate hinweg die Update-Infrastruktur des IT-Management-Anbieters SolarWinds kompromittiert hatten. Ein manipuliertes Software-Update der Plattform Orion wurde an rund 18.000 Kunden ausgeliefert, darunter US-Bundesbehörden, Fortune-500-Unternehmen und zahlreiche Technologiekonzerne. Die Angreifer hatten sich nicht direkt gegen diese Organisationen gewandt. Sie hatten den Umweg über einen vertrauenswürdigen Lieferanten genommen und damit sämtliche Firewalls, Endpoint-Schutzlösungen und Zugangskontrollen auf einen Schlag umgangen.

Dieser Vorfall war kein Einzelfall, sondern markierte eine Zeitenwende. Supply-Chain-Angriffe sind zur bevorzugten Methode geworden, mit der hochentwickelte Angreifer in Unternehmen eindringen, die direkt nur schwer angreifbar wären. Der Grund ist einfach: Warum eine gut gesicherte Festung frontal angreifen, wenn man durch den Lieferanteneingang hereinspazieren kann?

Für mittelständische Unternehmen ist das Thema doppelt relevant. Einerseits bist du selbst potenzielles Ziel, wenn deine Lieferanten kompromittiert werden. Andererseits fordert NIS2 seit Dezember 2025 explizit, dass du die Sicherheit deiner Lieferkette bewertest und managst. Beides erfordert ein strukturiertes Vorgehen, und genau das liefert dieser Artikel.

Was genau ist ein Supply-Chain-Angriff?

Bei einem Supply-Chain-Angriff kompromittiert ein Angreifer nicht das eigentliche Zielunternehmen direkt, sondern einen vorgelagerten Lieferanten, Dienstleister oder eine Software-Komponente, der das Zielunternehmen vertraut. Der Angriff nutzt die bestehenden Vertrauensbeziehungen und legitimen Zugangswege, um Sicherheitsmaßnahmen zu umgehen.

Das Tückische daran: Die Schadsoftware oder der Zugang kommt über einen Kanal, dem das Unternehmen bewusst vertraut. Ein Software-Update wird eingespielt, weil der Hersteller als seriös gilt. Ein Dienstleister bekommt VPN-Zugang, weil er für die Wartung benötigt wird. Eine Open-Source-Bibliothek wird eingebunden, weil tausende andere Projekte sie ebenfalls verwenden. Genau dieses Vertrauen wird zum Angriffsvektor.

Die Abgrenzung zu anderen Angriffsformen ist dabei klar: Beim klassischen Phishing-Angriff wird ein Mitarbeiter manipuliert. Beim Exploit wird eine technische Schwachstelle ausgenutzt. Beim Supply-Chain-Angriff wird eine Vertrauensbeziehung zwischen Organisationen missbraucht. Das macht die Erkennung so schwierig und die Auswirkungen so weitreichend, denn wenn ein Lieferant kompromittiert wird, sind potenziell alle seine Kunden betroffen.

Die drei Angriffstypen im Detail

Supply-Chain-Angriffe lassen sich in drei Hauptkategorien einteilen, die jeweils eigene Schutzmaßnahmen erfordern.

Software-Supply-Chain-Angriffe

Bei dieser Variante wird die Software eines Anbieters manipuliert, bevor sie beim Kunden ankommt. Das kann auf verschiedenen Wegen geschehen: durch Kompromittierung des Build-Systems, durch Einschleusen von Schadcode in den Quellcode, durch manipulierte Update-Server oder durch Übernahme von Entwickler-Accounts bei Open-Source-Projekten.

SolarWinds (2020) ist das Paradebeispiel. Die Angreifer hatten Zugang zum Build-System und konnten Schadcode in den regulären Build-Prozess einschleusen. Das signierte, legitime Update enthielt eine Backdoor, die monatelang unentdeckt blieb. Die Angreifer konnten über diese Backdoor gezielt in die Netzwerke besonders interessanter Kunden eindringen.

Log4j (2021) repräsentiert eine andere Variante: Eine weit verbreitete Open-Source-Bibliothek enthielt eine kritische Schwachstelle (CVE-2021-44228), die trivial ausgenutzt werden konnte. Da Log4j in hunderttausenden Java-Anwendungen eingebettet war, entstand eine globale Krise. Viele Unternehmen wussten nicht einmal, dass sie Log4j verwendeten, weil die Bibliothek tief in anderen Abhängigkeiten vergraben war.

Weitere Varianten umfassen die Übernahme von npm-, PyPI- oder Maven-Paketen durch Angreifer, das sogenannte Typosquatting (Pakete mit ähnlichen Namen wie populäre Bibliotheken) und die Kompromittierung von Code-Signing-Zertifikaten. Gemeinsam ist allen Varianten, dass die Schadsoftware über vertrauenswürdige Kanäle verteilt wird.

Hardware-Supply-Chain-Angriffe

Hardware-Angriffe zielen auf physische Geräte und Komponenten ab. Ein Gerät wird während der Fertigung, dem Transport oder der Wartung manipuliert. Das kann von vorinstallierten Backdoors auf Netzwerkgeräten über manipulierte Firmware bis hin zu zusätzlich eingelöteten Chips reichen.

Diese Angriffsform ist schwieriger durchzuführen, aber auch schwieriger zu erkennen. Wenn die Firmware eines Routers bereits bei Auslieferung kompromittiert ist, nützt die beste Netzwerksegmentierung wenig. Geräte von Herstellern, deren Produktionskette nicht transparent nachvollziehbar ist, stellen ein erhöhtes Risiko dar.

Für den Mittelstand ist dieses Szenario weniger akut als Software-Angriffe, sollte aber bei der Beschaffung von Netzwerkinfrastruktur, Servern und IoT-Geräten berücksichtigt werden. Die Auswahl vertrauenswürdiger Hersteller mit transparenter Lieferkette und die Verifizierung von Firmware-Integrität sind hier die zentralen Schutzmaßnahmen.

Service-Provider-Angriffe

Bei dieser Variante wird ein Dienstleister kompromittiert, der Zugang zur Infrastruktur des Zielunternehmens hat. IT-Dienstleister, Managed Service Provider (MSPs), Cloud-Anbieter und externe Administratoren sind typische Ziele.

Kaseya (2021) demonstrierte diesen Angriffstyp eindrucksvoll. Die Angreifer kompromittierten die Remote-Management-Software Kaseya VSA, die von zahlreichen MSPs weltweit eingesetzt wird. Über die MSPs wurde dann Ransomware an deren Endkunden verteilt. Ein einziger kompromittierter Zugangspunkt führte so zu Ransomware-Infektionen bei geschätzt 1.500 Unternehmen weltweit.

Gerade für den Mittelstand ist dieser Angriffstyp besonders relevant. Viele KMU lagern IT-Betrieb, Wartung und Monitoring an externe Dienstleister aus, die oft weitreichenden Zugang zu Systemen und Daten haben. Wenn dieser Dienstleister kompromittiert wird, steht dem Angreifer das Netzwerk offen, und zwar über einen völlig legitimen Zugangsweg, der in keiner Firewall-Regel als verdächtig erscheint.

Warum Supply-Chain-Angriffe so effektiv sind

Die Wirksamkeit von Supply-Chain-Angriffen beruht auf mehreren Faktoren, die sie von anderen Angriffsformen unterscheiden.

Vertrauensbeziehungen umgehen Sicherheitskontrollen. Software-Updates werden eingespielt, weil man dem Hersteller vertraut. Dienstleister-Zugänge passieren Firewalls, weil sie explizit freigeschaltet sind. Open-Source-Bibliotheken werden eingebunden, weil die Community sie prüft. Angreifer nutzen genau dieses systematische Vertrauen aus.

Hebelwirkung und Skalierung. Ein einziger kompromittierter Lieferant kann Tausende von Kunden gleichzeitig betreffen. Das macht Supply-Chain-Angriffe für Angreifer extrem effizient. Statt 1.000 Unternehmen einzeln anzugreifen, kompromittiert man einen gemeinsamen Lieferanten.

Schwierige Erkennung. Da der Schadcode über legitime Kanäle kommt, schlagen klassische Erkennungsmechanismen nicht an. Ein signiertes Software-Update wird von der Endpoint-Protection durchgewinkt. Ein VPN-Zugang eines bekannten Dienstleisters löst keinen Alarm aus. Die durchschnittliche Erkennungszeit bei Supply-Chain-Angriffen lag laut verschiedenen Studien bei mehreren Monaten.

Komplexe Verantwortungslage. Wer ist verantwortlich, wenn ein Update des Softwareherstellers Schadsoftware enthält? Die Klärung von Haftung und Verantwortung ist bei Supply-Chain-Vorfällen deutlich komplexer als bei direkten Angriffen. Das erschwert auch die Incident Response.

NIS2 und die Lieferkettensicherheit

Die europäische NIS2-Richtlinie hat Supply-Chain-Sicherheit als eigenen Schwerpunkt aufgenommen. Artikel 21, Absatz 2, Buchstabe d fordert explizit die "Sicherheit der Lieferkette, einschließlich sicherheitsbezogener Aspekte der Beziehungen zwischen den einzelnen Einrichtungen und ihren unmittelbaren Anbietern oder Diensteanbietern".

Das bedeutet konkret: Wenn dein Unternehmen unter NIS2 fällt, musst du nachweisen können, dass du die Cybersicherheitsrisiken deiner Lieferkette bewertest und managst. Das ist keine optionale Best Practice, sondern eine regulatorische Pflicht.

Was NIS2 konkret fordert

Risikobewertung der Lieferanten. Du musst die Cybersicherheitsrisiken deiner direkten Zulieferer und Dienstleister bewerten. Das umfasst sowohl IT-Dienstleister als auch Lieferanten von Software und Hardware-Komponenten, die in deiner Infrastruktur eingesetzt werden.

Vertragliche Sicherheitsanforderungen. Die Beziehungen zu Lieferanten müssen vertragliche Regelungen zur Informationssicherheit enthalten. Dazu gehören Sicherheitsanforderungen, Meldepflichten bei Vorfällen, Audit-Rechte und Mindeststandards für den Umgang mit deinen Daten.

Berücksichtigung der Gesamtlieferkette. NIS2 fordert, dass du nicht nur deine direkten Lieferanten betrachtest, sondern auch kritische Abhängigkeiten in der tieferen Lieferkette berücksichtigst. Wenn dein IT-Dienstleister seinerseits auf einen Cloud-Anbieter angewiesen ist, ist das für deine Risikobewertung relevant.

Regelmäßige Überprüfung. Die Bewertung der Lieferkettensicherheit ist keine einmalige Aktion, sondern muss regelmäßig aktualisiert werden. Änderungen bei Lieferanten, neue Bedrohungen und Vorfälle in der Lieferkette erfordern eine Neubewertung.

Praktische Umsetzung der NIS2-Anforderungen

Für die meisten mittelständischen Unternehmen bedeutet die Umsetzung dieser Anforderungen drei wesentliche Schritte: Erstens eine Bestandsaufnahme aller Lieferanten mit Zugang zu Systemen, Daten oder Infrastruktur. Zweitens eine Risikokategorisierung dieser Lieferanten nach Kritikalität und Zugriffsniveau. Drittens die Implementierung von Bewertungs- und Überwachungsprozessen, die zur Risikokategorie passen.

Die gute Nachricht: Du musst nicht jeden Lieferanten gleich intensiv bewerten. Eine risikobasierte Abstufung ist ausdrücklich vorgesehen und auch sinnvoll. Der Büromateriallieferant braucht keine umfassende Sicherheitsbewertung. Der IT-Dienstleister mit Administratorzugang zu deinen Systemen dagegen schon.

Schutzmaßnahmen: Die Lieferantenbewertung

Die Lieferantenbewertung ist das Herzstück der Supply-Chain-Sicherheit. Sie ermöglicht es dir, Risiken systematisch zu identifizieren, zu bewerten und zu behandeln. Eine praxistaugliche Lieferantenbewertung umfasst mehrere Schritte.

Schritt 1: Lieferanteninventar erstellen

Bevor du bewerten kannst, musst du wissen, welche Lieferanten überhaupt relevant sind. Erstelle eine vollständige Liste aller Lieferanten, die in einer der folgenden Kategorien fallen:

• Software-Anbieter: Alle Anbieter, deren Software in deiner Infrastruktur läuft, von der ERP-Suite bis zum Monitoring-Tool.
• IT-Dienstleister: Alle externen Dienstleister mit Zugang zu deinen Systemen, egal ob remote oder vor Ort.
• Cloud-Services: Alle Cloud-Dienste, die du nutzt, einschließlich SaaS-Anwendungen, IaaS-Plattformen und PaaS-Dienste.
• Hardware-Lieferanten: Anbieter von Netzwerkkomponenten, Servern, Endgeräten und IoT-Geräten.
• Datenverarbeiter: Alle Dienstleister, die in deinem Auftrag personenbezogene oder geschäftskritische Daten verarbeiten.

Vergiss dabei nicht die indirekten Abhängigkeiten. Wenn dein ERP-System in der Cloud eines bestimmten Anbieters gehostet wird, ist dieser Cloud-Anbieter Teil deiner Lieferkette, auch wenn du keinen direkten Vertrag mit ihm hast.

Schritt 2: Risikokategorisierung

Nicht jeder Lieferant stellt das gleiche Risiko dar. Kategorisiere deine Lieferanten in mindestens drei Stufen:

Kritisch (Stufe A): Lieferanten mit direktem Zugang zu produktiven Systemen, Zugriff auf vertrauliche Daten oder deren Ausfall den Geschäftsbetrieb unmittelbar gefährdet. Typische Beispiele: IT-Systemhaus mit Admin-Zugang, ERP-Anbieter, Cloud-Provider für geschäftskritische Anwendungen.

Erhöht (Stufe B): Lieferanten mit eingeschränktem Zugang, Zugriff auf nicht-kritische Daten oder deren Ausfall den Betrieb beeinträchtigt, aber nicht zum Stillstand bringt. Beispiele: E-Mail-Marketing-Tools, HR-Software, spezialisierte Fachsoftware.

Standard (Stufe C): Lieferanten ohne Zugang zu Systemen oder Daten und ohne unmittelbare Auswirkung auf die IT-Sicherheit. Beispiele: Büromateriallieferant, Reinigungsfirma (sofern ohne Zugang zu IT-Räumen), Druckerei.

Schritt 3: Bewertung durchführen

Die Tiefe der Bewertung richtet sich nach der Risikokategorie.

Für Stufe-A-Lieferanten empfiehlt sich ein umfassender Bewertungsprozess: Sicherheitsfragebogen (orientiert an ISO 27001 Annex A oder BSI-Grundschutz), Prüfung vorhandener Zertifizierungen (ISO 27001, SOC 2, TISAX), Einsicht in Audit-Berichte und Penetrationstest-Ergebnisse, Bewertung der Incident-Response-Fähigkeiten und vertragliche Verankerung von Sicherheitsanforderungen und Audit-Rechten.

Für Stufe-B-Lieferanten reicht oft ein vereinfachter Fragebogen, die Prüfung der Datenschutzvereinbarung und eine Bewertung der grundlegenden Sicherheitsmaßnahmen (Verschlüsselung, Zugangsmanagement, Backup).

Für Stufe-C-Lieferanten genügt in der Regel die Prüfung der vertraglichen Rahmenbedingungen und eine anlassbezogene Überprüfung.

Schritt 4: Vertragliche Absicherung

Die Ergebnisse der Lieferantenbewertung müssen sich in den Verträgen widerspiegeln. Wesentliche Vertragsklauseln für Stufe-A-Lieferanten umfassen:

• Verpflichtung zur Einhaltung definierter Sicherheitsstandards
• Pflicht zur unverzüglichen Meldung von Sicherheitsvorfällen, die dein Unternehmen betreffen könnten
• Recht auf Sicherheitsaudits oder Einsicht in Audit-Berichte
• Regelungen zur Datenlöschung bei Vertragsende
• Subunternehmer-Klauseln, die sicherstellen, dass auch Sub-Dienstleister angemessene Sicherheitsstandards einhalten
• Haftungsregelungen für sicherheitsrelevante Vertragsverletzungen

Schritt 5: Kontinuierliche Überwachung

Eine Lieferantenbewertung ist eine Momentaufnahme. Die Sicherheitslage kann sich jederzeit ändern. Implementiere deshalb einen kontinuierlichen Überwachungsprozess:

• Jährliche Neubewertung aller Stufe-A-Lieferanten
• Alle zwei Jahre für Stufe-B-Lieferanten
• Anlassbezogene Überprüfung bei bekannt gewordenen Sicherheitsvorfällen, Übernahmen oder wesentlichen Änderungen beim Lieferanten
• Monitoring öffentlicher Quellen (Sicherheitsmeldungen, CVE-Datenbanken, Branchennachrichten) für kritische Lieferanten

Technische Schutzmaßnahmen

Neben der organisatorischen Lieferantenbewertung gibt es eine Reihe technischer Maßnahmen, die das Risiko von Supply-Chain-Angriffen reduzieren.

Software Bill of Materials (SBOM)

Eine SBOM ist eine vollständige Liste aller Software-Komponenten, die in einer Anwendung enthalten sind, einschließlich aller Bibliotheken und deren Abhängigkeiten. Bei einer neuen Schwachstelle wie Log4j ermöglicht eine SBOM die sofortige Identifikation aller betroffenen Systeme. Ohne SBOM beginnt eine aufwändige Suche, die Tage oder Wochen dauern kann.

Fordere von deinen kritischen Software-Lieferanten SBOMs ein und pflege eine eigene SBOM für intern entwickelte Anwendungen. Tools wie Syft, CycloneDX oder SPDX unterstützen die automatisierte Erstellung.

Dependency Scanning und Vulnerability Management

Automatisiertes Dependency Scanning von Software-Abhängigkeiten identifiziert bekannte Schwachstellen in verwendeten Bibliotheken. Tools wie Dependabot, Snyk oder OWASP Dependency-Check prüfen regelmäßig, ob eingesetzte Komponenten bekannte Schwachstellen aufweisen.

Für den Mittelstand, der Software einkauft statt selbst zu entwickeln, bedeutet das: Stelle sicher, dass deine Software-Lieferanten solche Prozesse implementiert haben. Frage aktiv nach, wie der Anbieter mit Schwachstellen in seinen Abhängigkeiten umgeht und wie schnell Patches bereitgestellt werden.

Netzwerksegmentierung

Selbst wenn ein Lieferant kompromittiert wird, muss das nicht den Zugang zum gesamten Netzwerk bedeuten. Durch konsequente Netzwerksegmentierung begrenzt du den Schaden eines Supply-Chain-Angriffs auf den Bereich, zu dem der Lieferant Zugang hat.

Konkret bedeutet das: VPN-Zugänge für Dienstleister sollten nur auf die Systeme zugreifen können, die für ihre Aufgabe erforderlich sind. Wartungszugänge sollten zeitlich begrenzt und protokolliert sein. Und administrative Zugänge von externen Dienstleistern sollten über Jump-Server oder Privileged Access Management (PAM) Lösungen laufen.

Zero-Trust-Prinzipien

Das Zero-Trust-Modell geht davon aus, dass keinem Akteur automatisch vertraut wird, auch nicht internen Systemen oder vertrauenswürdigen Lieferanten. Jeder Zugriff wird überprüft, jede Aktion wird protokolliert, und Berechtigungen werden nach dem Prinzip der minimalen Rechte vergeben.

Für die Supply-Chain-Sicherheit bedeutet Zero Trust: Lieferanten-Zugänge werden genauso streng kontrolliert wie externe Zugriffe. Software-Updates werden nicht blind vertraut, sondern in Staging-Umgebungen getestet. Und jeder Netzwerkverkehr von und zu Lieferanten-Systemen wird überwacht.

Monitoring und Anomalie-Erkennung

Implementiere Monitoring für alle Zugänge und Aktivitäten, die mit Lieferanten zusammenhängen. Achte auf ungewöhnliche Muster: Zugriffe außerhalb der üblichen Arbeitszeiten, Datenabflüsse in ungewöhnlichem Umfang, Zugriffe auf Systeme, die nicht zum Aufgabenbereich des Lieferanten gehören.

Ein zentrales Security Information and Event Management (SIEM) System oder zumindest ein strukturiertes Logging aller sicherheitsrelevanten Ereignisse ist dafür die Voraussetzung. Setze Alerting-Regeln auf, die bei verdächtigen Aktivitäten von Lieferanten-Accounts automatisch auslösen.

Der Incident-Response-Plan für Supply-Chain-Vorfälle

Dein Incident-Response-Plan sollte explizit Szenarien für Supply-Chain-Angriffe enthalten. Diese unterscheiden sich von klassischen Vorfällen in mehreren Punkten.

Erkennung: Supply-Chain-Vorfälle werden oft nicht durch eigene Monitoring-Systeme entdeckt, sondern durch externe Meldungen, Herstellerwarnungen oder Brancheninformationen. Stelle sicher, dass solche externen Informationsquellen in deinem Erkennungsprozess berücksichtigt sind. Abonniere Security Advisories deiner kritischen Lieferanten und verfolge relevante Threat Intelligence Feeds.

Bewertung: Bei einem Supply-Chain-Vorfall musst du schnell einschätzen können, ob und in welchem Umfang dein Unternehmen betroffen ist. Dafür brauchst du aktuelle Informationen darüber, welche Software in welcher Version wo eingesetzt wird und welche Lieferanten Zugang zu welchen Systemen haben.

Eindämmung: Die Eindämmung kann bei Supply-Chain-Angriffen schwieriger sein, weil du die kompromittierte Komponente möglicherweise nicht sofort ersetzen kannst. Plane für den Fall, dass du einen kritischen Lieferanten-Zugang sperren oder eine Software isolieren musst. Welche Auswirkungen hat das auf den Geschäftsbetrieb? Gibt es Alternativlösungen?

Kommunikation: Wenn du selbst Lieferant für andere Unternehmen bist, musst du bei einem Vorfall auch deine Kunden informieren. NIS2 fordert das explizit. Bereite Kommunikationsvorlagen vor und definiere klare Meldewege.

Praxisbeispiel: Lieferkettensicherheit im Mittelstand

Ein mittelständisches Fertigungsunternehmen mit 200 Mitarbeitern hat seine Supply-Chain-Sicherheit folgendermaßen aufgebaut:

Im ersten Schritt wurde ein Lieferanteninventar erstellt. Das Ergebnis: 8 Stufe-A-Lieferanten (IT-Systemhaus, ERP-Anbieter, Cloud-Provider, zwei Software-Anbieter für Produktionssteuerung, ein externer IT-Sicherheitsberater, der Hosting-Provider und der Anbieter der Backup-Lösung), 15 Stufe-B-Lieferanten und rund 40 Stufe-C-Lieferanten.

Für die Stufe-A-Lieferanten wurde ein detaillierter Sicherheitsfragebogen mit 60 Fragen erstellt, der jährlich aktualisiert wird. Drei der acht Lieferanten waren bereits ISO-27001-zertifiziert, was die Bewertung vereinfachte. Bei den übrigen fünf ergab die Bewertung Handlungsbedarf: fehlende Verschlüsselung von Backup-Daten bei einem Anbieter, unzureichendes Patch-Management bei einem anderen und fehlende Meldeprozesse für Sicherheitsvorfälle bei einem dritten.

Alle Stufe-A-Verträge wurden um IT-Sicherheitsklauseln ergänzt: Meldepflicht bei Vorfällen innerhalb von 24 Stunden, jährliches Audit-Recht, definierte Mindeststandards für Zugangsmanagement und Verschlüsselung.

Technisch wurde der VPN-Zugang des IT-Systemhauses auf die tatsächlich benötigten Systeme eingeschränkt und ein Privileged Access Management eingeführt. Alle Zugriffe werden protokolliert und wöchentlich ausgewertet. Software-Updates des ERP-Systems werden zunächst in einer Testumgebung geprüft, bevor sie produktiv ausgerollt werden.

Der gesamte Aufbauprozess dauerte etwa drei Monate. Die laufende Pflege bindet rund zwei Personentage pro Monat, wobei ein ISMS-Tool wie ISMS Lite die Lieferantenbewertung mit Vorlagen, automatischem Scoring und Erinnerungen an Neubewertungen deutlich vereinfacht. Das ist ein überschaubarer Aufwand, der sich im Ernstfall vielfach auszahlt.

Häufige Fehler bei der Lieferkettensicherheit

Bei der Umsetzung von Supply-Chain-Sicherheitsmaßnahmen beobachten wir regelmäßig dieselben Fehler.

Nur direkte Lieferanten betrachten. Wenn dein IT-Dienstleister seine Aufgaben an einen Sub-Dienstleister delegiert, ist dieser Sub-Dienstleister Teil deiner Lieferkette. Frage aktiv nach, ob und in welchem Umfang Sub-Dienstleister eingesetzt werden, und stelle sicher, dass auch für diese angemessene Sicherheitsstandards gelten.

Zertifizierung als Garantie missverstehen. Eine ISO-27001-Zertifizierung bedeutet, dass ein Managementsystem vorhanden und geprüft ist. Sie garantiert nicht, dass keine Sicherheitsvorfälle auftreten. Nutze Zertifizierungen als einen Baustein deiner Bewertung, aber nicht als alleiniges Kriterium.

Einmalige Bewertung statt kontinuierlichem Prozess. Die Sicherheitslage deiner Lieferanten kann sich jederzeit ändern. Eine Bewertung, die vor zwei Jahren durchgeführt wurde, sagt wenig über die aktuelle Situation aus. Etabliere einen regelmäßigen Überprüfungszyklus.

Fokus auf Fragebogen statt auf Evidenz. Ein ausgefüllter Fragebogen zeigt, was der Lieferant behauptet. Evidenzen wie Zertifizierungen, Audit-Berichte, Penetrationstest-Ergebnisse und technische Nachweise zeigen, was tatsächlich umgesetzt ist. Fordere bei kritischen Lieferanten immer Nachweise ein.

Vertragliche Absicherung vergessen. Die beste Bewertung nützt wenig, wenn die Ergebnisse nicht vertraglich abgesichert werden. Ohne vertragliche Vereinbarung hast du keine Handhabe, wenn ein Lieferant zugesagte Sicherheitsmaßnahmen nicht umsetzt.

Supply-Chain-Sicherheit als Teil des ISMS

Die Lieferkettensicherheit ist kein isoliertes Thema, sondern integraler Bestandteil deines Informationssicherheits-Managementsystems. ISO 27001 adressiert das Thema in mehreren Controls des Annex A:

• A.5.19 Informationssicherheit in Lieferantenbeziehungen
• A.5.20 Behandlung von Informationssicherheit in Lieferantenvereinbarungen
• A.5.21 Management der Informationssicherheit in der IKT-Lieferkette
• A.5.22 Überwachung, Überprüfung und Änderungsmanagement von Lieferantendienstleistungen
• A.5.23 Informationssicherheit bei Nutzung von Cloud-Diensten

Die Integration in dein ISMS bedeutet: Lieferantenrisiken fließen in deine Risikobewertung ein. Sicherheitsanforderungen an Lieferanten werden in deinen Richtlinien definiert. Lieferantenbewertungen werden dokumentiert und im Management Review berichtet. Und Vorfälle in der Lieferkette werden in deinem Incident-Management-Prozess behandelt.

Wenn du dein ISMS sauber aufgebaut hast, fügst du die Supply-Chain-Sicherheit als weiteren Baustein ein, ohne alles neu erfinden zu müssen. Das Risikomanagement-Framework, die Dokumentationsstruktur und die Review-Prozesse sind bereits vorhanden. Du erweiterst sie lediglich um die Lieferanten-Dimension.

Zusammenfassung der wichtigsten Maßnahmen

Für den Einstieg in die Supply-Chain-Sicherheit empfehlen wir folgende Prioritäten:

1. Lieferanteninventar erstellen und alle Lieferanten mit Zugang zu Systemen, Daten oder Infrastruktur erfassen.
2. Risikokategorisierung durchführen und Lieferanten nach Kritikalität in Stufen einteilen.
3. Stufe-A-Lieferanten bewerten mit Sicherheitsfragebogen, Zertifizierungsprüfung und Evidenzen.
4. Verträge anpassen und Sicherheitsanforderungen, Meldepflichten und Audit-Rechte verankern.
5. Technische Maßnahmen umsetzen: Netzwerksegmentierung, Zugangsbeschränkung, Monitoring von Lieferanten-Aktivitäten.
6. Incident-Response-Plan um Supply-Chain-Szenarien erweitern.
7. Regelmäßige Überprüfung etablieren und Lieferantenbewertung als kontinuierlichen Prozess im ISMS verankern.

Supply-Chain-Angriffe werden nicht weniger werden. Die zunehmende Vernetzung und Abhängigkeit von externen Diensten vergrößert die Angriffsfläche kontinuierlich. Aber mit einem strukturierten Ansatz, der die organisatorischen und technischen Maßnahmen verbindet, kannst du das Risiko erheblich reduzieren und gleichzeitig die regulatorischen Anforderungen von NIS2 erfüllen.

Weiterführende Artikel

• NIS2 für den Mittelstand: Was du wissen musst und was jetzt zu tun ist
• AVV prüfen und Dienstleister bewerten: So geht Auftragsverarbeitung richtig
• Top 10 Informationssicherheitsrisiken für den Mittelstand
• ISMS aufbauen: Der komplette Leitfaden für Unternehmen mit 50 bis 500 Mitarbeitern
• Incident Response Plan erstellen: Von der Erkennung bis zur Nachbereitung