Diese digitale Lieferkette erweitert die Angriffsfläche erheblich. Mit der Verbreitung von Technologie wächst auch die Anfälligkeit für Cyberangriffe. Eine aktuelle Umfrage zeigt: Rund die Hälfte der befragten deutschen Firmen, die inden letzten Jahren von einem Cyberangriff betroffen waren, führt die Ursache auf Schwachstellen bei Zulieferern zurück. Die Zunahme spektakulärer Supply-Chain-Angriffe – wie SolarWinds, Kaseya oder MOVEit – unterstreicht die Dringlichkeit.

Typische Schwachstellen in der digitalen Lieferkette

Die digitale Lieferkette umfasst ein weites Spektrum – von ERP-Systemen über Cloud-Services bis zu IoT-Geräten und Partner-APIs. Viele dieser Schnittstellen sind im Unternehmensnetzwerk „unsichtbar“ und bieten Einfallstore. Häufig sind falsch konfigurierte Dienste, ungeschützte Zugangsdaten oder Schatten-IT ein Problem. Ebenfalls kritisch sind ungesicherte Partnerportale oder internetseitig erreichbare Verwaltungsoberflächen mit zu weiten Berechtigungen. Solche Systeme entziehen sich oft herkömmlichen Sicherheitschecks und benötigen eine kontinuierliche Risikoanalyse.

Fallbeispiele: SolarWinds, Kaseya, MOVEit

SolarWinds (2020): Im berüchtigten „Sunburst“-Angriff kompromittierten Angreifer den Software-Entwicklungsprozess des Orion-Monitoring-Tools. Durch manipulierte Updates wurden so Schadprogramme an tausende Kunden ausgeliefert, darunter auch US-Behörden. Kaseya (2021): Beim REvil-Ransomware-Angriff auf den Dienstleister Kaseya nutzten Kriminelle eine Lücke in dessen VSA-Management-Software. Sie erhielten Zugriff auf die Server des MSP und infizierten zahlreiche Kunden. MOVEit (2023): Die Erpressungsgruppe CL0P fand eine Zero-Day-Schwachstelle in der Datei-Transfer-Software MOVEit Transfer und drang in Systemezahlreicher Unternehmen und Behörden ein.

Schutzmaßnahmen: organisatorisch, technisch, vertraglich

Unternehmen können verschiedenste Hebel ansetzen, um Lieferkettenrisiken zu reduzieren. Als erstes ist Transparenz entscheidend: Die gesamte Kette sollte kartiert und nach kritischen Abhängigkeiten analysiert werden. Dazu gehören organisatorische Schritte wie die Kategorisierung von Partnern nach Zugriffsrechten und regelmäßige Audits. Vertragsseitig sollten Lieferanten verpflichtet werden, IT-Sicherheits- und Datenschutzstandards einzuhalten. Technisch ist ein mehrschichtiges Konzept gefragt: Netzwerksegmentierung, Verschlüsselung, Firewalls, IDS/IPS,regelmäßige Patches sowie strenge Fernzugriffsregeln. Zudem sind Notfallpläne und Kontinuitätskonzepte für den Krisenfall unerlässlich.

Cyberversicherung: Absicherung und Grenzen

Angesichts der hohen Schäden durch Cybervorfälle setzen viele Unternehmen auch auf den Transfer von Restrisiken über Versicherungen. Nach aktuellen Erhebungen verfügt in Deutschland rund die Hälfte der Unternehmen über eine Cyberversicherung, wobei der Anteil mit der Unternehmensgröße deutlich steigt – bei großen Unternehmen liegt er bei etwa 65 bis 70 Prozent, bei kleinen deutlich darunter. Typischerweise decken Policen Erst- und Drittschäden ab und können auch Ausfälle durch betroffene Zulieferer abdecken (Contingent Business Interruption).

Dennoch bleiben Grenzen: Viele Versicherer schließen staatliche Angriffe aus und verlangen grundlegende Sicherheitsmaßnahmen, bei deren Nichteinhaltung Leistungen gekürzt werden können.