Die Cybersicherheit des eigenen Unternehmens hat inzwischen wohl fast jeder auf dem Schirm. Aber wie sieht es mit der Lieferkette aus? Während die physische Sicherheit oft im Fokus steht, erweisen sich digitale Vernetzung und Software als kritische Einfallstore.
Die Lieferkette hat oft schwache Glieder und ist deshalb ein beliebtes Ziel für Cyberangriffe. Das trifft auch auf die Software-Lieferkette zu.
Die Schadsoftware Shai-Hulud verbreitet sich über „Standard‑Bausteine“, die viele Firmen aus dem Netz beziehen. Installiert ein Entwickler so einen infizierten Baustein, stiehlt der Wurm seine Zugangsschlüssel und veröffentlicht heimlich manipulierte Versionen der von ihm betreuten Bausteine. Dadurch steckt er immer mehr Projekte und Nutzer an – wie eine Kettenreaktion in der Software‑Lieferkette.
Die Folgen von Angriffen über die Lieferkette sind dieselben, die auch ein direkter Angriff auf das Unternehmen hat, und damit genauso wenig vernachlässigbar. Neben finanziellen Verlusten zählen Betriebs- und Produktionsausfälle bis zur Wiederherstellung, kompromittierte Daten, der Verlust geistigen Eigentums sowie von Kunden, Partnern und deren Vertrauen zu den größten Schäden. Angriffe auf Software-Lieferketten nahmen bereits in den vergangenen Jahren stetig zu. Neu dazu kamen 2025 in vermehrtem Ausmaß Attacken auf Edge-Geräte und End-of-Life-Systeme.
Probleme bei der Umsetzung
Für Unternehmen ist also nicht nur die Sicherheit der physischen Lieferkette enorm wichtig, sondern auch die der digitalen. Eine abgesicherte Lieferkette bietet mehr Resilienz und erhöht den Schutz sensibler Daten und Systeme und damit auch das Vertrauen in Produkte und Anbieter. Das hat auch die deutsche Regierung erkannt und entsprechende Punkte in Richtlinien und Gesetze mit aufgenommen. Das Ende letzten Jahres in Kraft getretene NIS2-Umsetzungsgesetz (NIS2UmsuCG) enthält ebenso wie der Cyber Resilience Act (CRA) und das KRITIS‑Dachgesetz erweiterte Vorgaben zur Lieferkettensicherheit.
Rechtliche Vorgaben für die Lieferkettensicherheit
NIS2UmsuCG (seit 6.12.2025 in Kraft) weitet Pflichten massiv aus: ca. 30.000 Unternehmen müssen ein Konzept zur Sicherheit der Lieferkette etablieren, Risiken bewerten, Vorfälle melden, sich registrieren und die Wirksamkeit von Maßnahmen nachweisen. Geschäftsleitungen haften; hohe Bußgelder möglich.
Cyber Resilience Act (CRA): Sicherheitsanforderungen für „Produkte mit digitalen Elementen“ über den gesamten Lebenszyklus, inkl. SBOM (Software Bill of Materials), Schwachstellenmanagement, Updates und Transparenzpflichten entlang der Lieferkette. Wesentliche Anforderungen greifen ab 2026/2027.
KRITIS‑Dachgesetz (Annahme Anfang 2026): stärkt physische und organisatorische Resilienz kritischer Einrichtungen (All‑Gefahren‑Ansatz) und ergänzt NIS2; Lieferkettenstörungen sind in Risiko‑ und BCM‑Prozesse einzubeziehen.
Die rechtlichen Vorschriften geben also einen Rahmen, doch decken sie nicht die zahlreichen Herausforderungen bei der Sicherheit gegen Cyberbedrohungen in der Lieferkette ab. Dazu zählen:
Mangel an Informationen über das Risiko, das ein oder mehrere Zulieferer darstellen
Mangel an Transparenz oder Kontrolle der Lieferanten
Komplexität der Lieferketten: Betroffene kennen weder die Lieferanten ihrer Lieferanten noch alle möglichen Einstiegspunkte.
Insider-Bedrohungen durch externe Dienstleister
Open-Source-Software
Gerade der letzte Punkt bereitet vielen Unternehmen Bauchschmerzen, denn jeder User kann bei Open-Source-Software den Code einsehen und verändern – also auch Cyberkriminelle. „Tatsächlich ist es aber gerade diese Offenheit, die für ein sehr hohes Maß an Sicherheit sorgt“, ist Lars Francke, CTO und Mitgründer von Stackable, Anbieter einer Open-Source-Plattform, überzeugt. „Da viele Menschen rund um den Globus an dem Code mitarbeiten und ihre Erfahrungen teilen, werden Schwachstellen meist sehr schnell entdeckt und geschlossen. Viele Augen sehen einfach mehr.“ Shane Barney, CISO beim Cybersecurity-Anbieter Keeper Security, meint dazu: „Open-Source-Risiken lassen sich nicht allein auf Entwicklerebene managen. Eine wirksame Risikominderung erfordert Verantwortung auf Führungsebene sowie richtlinienbasierte Kontrollen, die die Sicherheit der Software-Lieferkette als organisationsweite Aufgabe begreifen.“
Spezialfälle: Telekommunikation und Logistik
Die Telekommunikationsbranche ist besonders anfällig für Vorfälle bei Lieferanten, da sie als kritische Infrastruktur (KRITIS) fungiert und einen extrem hohen Grad an digitaler Vernetzung aufweist. Vorfälle in diesem Sektor haben weitreichende Folgen für die öffentliche Sicherheit und andere Wirtschaftsbereiche, weshalb die Branche deutlich sensibler reagiert als andere Sektoren. Einer Umfrage von Sophos zufolge sahen 46,2 Prozent der TK-Unternehmen einen Cybersicherheitsvorfall bei einem Lieferanten als Grund zur Trennung. Durchschnittlich waren es nur 12,4 Prozent der befragten Unternehmen.
Wie bei ISC2 geben auch knapp 70 Prozent der von Sophos Befragten „große oder eher große Bedenken“, wenn es darum geht, dass die Unternehmensintegrität durch Cybersicherheitsvorfälle in der Lieferkette beeinträchtigt werden kann. Nach Branchen betrachtet sticht die Telekommunikation negativ heraus: 64,1 Prozent hatten hier „große Bedenken“.
Sophos hat auch die Logistikbranche hinsichtlich Schwachstellen in der Lieferkette untersucht. 40 Prozent der 147 befragten Fach- und Führungskräfte gaben zu, von Sicherheitslücken oder Ausfällen in der Lieferkette beeinträchtigt gewesen zu sein. „Die Logistik ist so eng vernetzt, dass ein einzelner Schwachpunkt die ganze Kette treffen kann“, warnt Michael Veit, Sicherheitsexperte bei Sophos.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Checkliste für Unternehmen zur Lieferkettensicherheit
Verantwortlichkeiten festlegen
Scope und Lieferanteninventar
Risikoanalyse und Due Diligence
Sicherheitsanforderungen in Verträgen
Onboarding und Offboarding
Technische Mindestkontrollen für Anbindungen
Kontinuierliche Überwachung
Notfallmanagement und Meldewege
Dokumentation und Nachweisführung
Umsetzungsfahrplan und Schulung
Es gibt zahlreiche Ansätze zur Umsetzung der Lieferkettensicherheit. Wichtig ist es, nicht an einzelnen Punkten „herumzudoktorn“, sondern ein ganzheitliches, für das Unternehmen passende Konzept zu entwickeln. „Zur Verbesserung der Cybersicherheit muss es darum gehen, Geschäftspartner entlang der Lieferkette zu sensibilisieren, Schutzmaßnahmen zu vereinbaren und gemeinsam zu implementieren“, empfiehlt Bitkom-Präsident Dr. Ralf Wintergerst.
Was ist also zu tun? Zunächst gilt es, die verantwortlichen Personen für die Cybersicherheit der Lieferkette festzulegen. In der Regel ist das der CISO. Anschließend sollte ein vollständiges Register aller Drittparteien (Lieferanten, IT-Dienstleister, Cloud, Open Source, Freelancer) erstellt und deren Kritikalität, Zugriffsrechte, Datenarten, Standorte/Subunternehmer und Abhängigkeiten erfasst werden.
In Verträge müssen Sicherheitsanforderungen aufgenommen werden. Dazu zählen Sicherheits-SLAs (Service Level Agreements), Incident-Meldung, Prüf- und Auditrechte, Subunternehmer-Freigabe und Datentilgung bei Vertragsende. Für Software und Produkte müssen die SBOM-Bereitstellung, sichere Update-Prozesse und Vulnerability Disclosure geregelt werden.
Neben einem kontrollierten und dokumentierten On- und Offboarding eines Lieferanten gehören auch technische Mindestkontrollen für Anbindungen wie Netzwerksegmentierung, API- und Schnittstellenschutz sowie Absicherungen für die Cloud zum Pflichtprogramm.
Schließlich sollte man die Lieferanten regelmäßigen Reviews unterziehen, sie auf Schwachstellen überprüfen, ein gemeinsames Notfallmanagement inklusive Playbooks erstellen und Ernstfallübungen durchführen. Um den Umsetzungsfahrplan komplett zu machen, stehen noch die Punkte Dokumentation und Nachweisführung sowie Schulungen aller Unternehmensmitarbeiter auf der Agenda.
Über die Umfragen
Die ISC2-Online-Umfrage wurde unter 1.062 Befragten durchgeführt, die in einer Position mit Cybersicherheitsverantwortung arbeiten. Die Befragten arbeiteten in Organisationen unterschiedlicher Größe: klein (1–499 Mitarbeiter), mittlere (500–2.499 Mitarbeiter), große (2.500–4.999 Mitarbeiter) und Unternehmen (5.000+ Mitarbeiter). Die Daten wurden vom 12. bis 28. August 2025 erhoben.
Die Sophos-Umfrage zu Cybersicherheitsvorfällen in der Lieferkette wurde im April 2025 von Techconsult durchgeführt. Befragt wurden 201 Verantwortliche in der Geschäftsführung, dem Einkauf und der IT aus Unternehmen unterschiedlicher Branchen und Größen – darunter Industrie, Telekommunikation, Finanzwesen, öffentliche Verwaltung und Non-Profit-Organisationen.
Die Sophos-Befragung zur Cybersicherheit in der Logistik wurde im September 2025 von Techconsult im Auftrag von Sophos durchgeführt. Insgesamt nahmen 147 Fach- und Führungskräfte aus der Logistikbranche in Deutschland teil. Die Teilnehmer kommen aus Unternehmen aller Größenordnungen.
:quality(80)/p7i.vogel.de/wcms/24/c2/24c27aeefdf93876a395faa9790e6e40/0128909922v2.jpeg "Das Vorspiel ist vorbei. NIS2 fordert Unternehmen heraus, endlich aus ihrem Tiefschlaf zu erwachen und Cybersicherheit zur Priorität zu machen. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/53/9a/539a7369f3f6420e59149463d2a30c44/0128372174v3.jpeg "Wie sollte man im IT-Channel die Segel setzen, um auch 2026 erfolgreich zu sein? (Bild: © AlfaSmart - stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/f7/01/f701d737e67de7edf60a815556f87792/0128380190v2.jpeg "Europa spielt bei der Produktion von IT-Hardware überwiegend nur als Standort für die Endmontage von importierten Komponenten eine Rolle. (Bild: © Khusi - stock.adobe.com / KI-generiert)")
![KI in Deutschland: was muss passieren, dass Deutschland bei KI nicht den Anschluss verliert? (Bild: midjourney / KI-generiert - [M] J Rath)](https://cdn1.vogel.de/OR9Fozt0vJYiF8WyvqFIobegcW8=/288x162/smart/filters:format(jpg):quality(80)/p7i.vogel.de/wcms/59/e9/59e942e7bcde7a66e41bfbb69823c213/0127869976v3.jpeg "KI in Deutschland: was muss passieren, dass Deutschland bei KI nicht den Anschluss verliert? (Bild: midjourney / KI-generiert - [M] J Rath)")
:quality(80)/p7i.vogel.de/wcms/b8/62/b862d52eb76e32cfe5bb76f66ea6fe86/0129333855v1.jpeg "Armin Müller hat zuvor seine Führungsqualitäten bei globalen Software-Giganten unter Beweis gestellt und soll nun das Wachstum beschleunigen und Innovationen in Mitteleuropa vorantreiben. (Bild: Veeam)")
:quality(80)/p7i.vogel.de/wcms/e1/db/e1db462475f9ef325896bb189bf1af55/0129305930v2.jpeg "Das Führungsteam von Memorysolution: (vorne v. l.) Gerald Diercks, Ulf Kilper sowie (hinten v. l.) Maximilian Jaud und Ralf Thoma (Bild: Memorysolution)")
:quality(80)/p7i.vogel.de/wcms/b7/3b/b73bce166acc4ab95790226ec52b48a1/0129323942v2.jpeg "Laut dem Aufsichtsratsvorsitzenden Klaus Winkler (hier im Bild) sind es Konstantin Eberts internationale Erfahrung und Branchenkenntnisse, die ihn als Nachfolger von CEO Dr. Thomas Olemotz qualifzieren. (Bild: Bechtle)")
:quality(80)/p7i.vogel.de/wcms/4b/ee/4bee19d172fd9c8c8993590986ba9c06/0129260266v2.jpeg "Enrique Lores, Präsident und CEO von HP, ist zurückgetreten und wechselt zum Zahlungsdienstleister Paypal. (Bild: HP)")
:quality(80)/p7i.vogel.de/wcms/0e/0d/0e0dc2d860d6d1f36c2d4f3a1ddb528c/0129180236v2.jpeg "Die Lieferkette hat oft schwache Glieder und ist deshalb ein beliebtes Ziel für Cyberangriffe. Das trifft auch auf die Software-Lieferkette zu. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/36/29/3629c18692f8c48c628f2b4e64ddacf4/0129159658v1.jpeg "Amazon plant in diesem Jahr, rund 200 Milliarden US-Dollar in KI-Infrastruktur, Robotik und Satelliten zu investieren. (Bild: Amazon)")
:quality(80)/p7i.vogel.de/wcms/f2/be/f2bed5020faa27cbad62efeaf30126b1/0128866846v1.jpeg "Die Digital Office Conference 2026 am 18. März in Berlin: Innovation, Verantwortung und Digitale Souveränität stehen im Fokus. (Bild: Bitkom)")
:quality(80)/p7i.vogel.de/wcms/10/d2/10d2aa579acf13a179abcd1f6a6d1cd1/0128893976v1.jpeg "Das neue ISC2-Zertifikat umfasst vier On-Demand-Kurse mit insgesamt rund elf Stunden Lernzeit. (Bild: ISC2)")
:quality(80)/p7i.vogel.de/wcms/5c/20/5c20b89c9c31b761d190be7d356c18b4/0129349715v2.jpeg "Die Kehrseite der schönen neuen KI-Welt: Für deren Betrieb reicht saubere Energie nicht aus. Eine sinnvolle Datacenter-Planung kann aber den Stromhunger zumindest begrenzen. (Bild: © ThomasStockArt - stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/57/09/5709060e43557da3a4af32c6c4d46723/0129231012v2.jpeg "Solange mit Künstlicher Intelligenz nicht zuverlässig Erlöse erwirtschaftet werden, ist es in den Augen mancher Analysten gefährlich, massiv in Fertigungskapazitäten für AI-Chips zu investieren. (Bild: AMD)")
:quality(80)/p7i.vogel.de/wcms/7d/fb/7dfb4249c7572a0668dc877c216812f9/0128967846v1.jpeg "Evasion-Angriffe zielen darauf ab, das vorher eingesetzte Sicherheits- oder Verhaltensprofil eines LLM zu umgehen, indem Eingaben so manipuliert werden, dass das Modell Sicherheitsregeln ignoriert oder sein Verhalten ändert. (Bild: © OKA - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ef/e8/efe8cb40b4b367b9bbc6d8144d5be246/0129173166v1.jpeg "Quanten-KI heißt nicht, einfach bestehende KI-Modelle beziehungsweise -Algorithmen auf schnellere Rechner zu portieren; auf Quantencomputern gelten andere Gesetzmäßigkeiten als in der Digitalwelt, die überraschende Ergebnisse liefern. (Bild: IBM/Flickr)")
:quality(80)/p7i.vogel.de/wcms/83/d2/83d22e9a3735a0cd6cb59a7c4735e93d/0129082547v1.jpeg "Die Cyberangriffe auf Luxshare könnten schwerwiegende Auswirkungen auf Apple haben, da vertrauliche Produktpläne und Fertigungsdaten nicht nur die Wettbewerbsfähigkeit von Apple gefährden, sondern auch potenzielle Sicherheitsrisiken in bereits ausgelieferten Produkten schaffen. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/5c/b0/5cb0fef004a4384adc3c93722f33faed/0103178673v1.jpeg "NextWave, das neue Partnerprogramm von Palo Alto Networks, soll die Profitabilität der Partner und die plattformbasierte Zusammenarbeit im KI-Zeitalter erhöhen. (Bild: yokie - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/98/50/9850475c7e7526e33d2cafc5ad0c5d1b/0128095819v1.jpeg "Lösungen für modernes Datenmanagement (Bild: AvePoint, vom AvePoint-Grafikteam gestaltet )")
:quality(80)/p7i.vogel.de/wcms/76/cb/76cbe49cfea473087f6945c0ce27b878/0128603154v2.jpeg "(Bild: Samsung)")
:quality(80)/p7i.vogel.de/wcms/1c/93/1c9397c3fcd862e27d544c1da0a2e6ec/0128411324v1.jpeg "Klare Kommunikation - auf das richtige Headset kommt es an! (Bild: Herweck)")
:quality(80)/p7i.vogel.de/wcms/1e/ab/1eab169e9eb77aed17ecb731bc0aaa81/0128441842v2.jpeg "(Bild: TD SYNNEX)")
:quality(80)/p7i.vogel.de/wcms/8a/3c/8a3ca24fcd1aad93d9217fad474cf3b4/0129050382v2.jpeg "Der Europa-Park Rust wird vom 23.03.-26.03.2026 wieder von den Cloud-Enthusiasten bevölkert. (Bild: René Lamb Fotodesign GmbH)")
:quality(80)/p7i.vogel.de/wcms/3d/4e/3d4eb05a9bb6148a258e1d7a320a0595/0128770700v1.jpeg "Der Lego Smart Brick ist vollgepackt Beschleunigungsmessern, Lichtsensoren und einem Schallsensor sowie einem Miniaturlautsprecher, der von einem integrierten Synthesizer angetrieben wird,. (Bild: Lego)")
:quality(80)/p7i.vogel.de/wcms/37/68/3768a9690d67761ff08303668746b35f/0128683978v1.jpeg "Auf der CES in Las Vegas lässt sich zum Jahresauftakt ablesen, was die Tech-Trends 2026 werden. (Bild: CTA)")
:fill(fff,0)/p7i.vogel.de/companies/64/47/644794f95e7d3/g-data-cyberdefense-logo-sq.jpeg "g-data-cyberdefense-logo-sq (G Data)"){kind=logo}
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/133500/133538/65.jpg "Logo_WatchGuard_Color_Vector_HighRes.jpg ()")
:fill(fff,0)/p7i.vogel.de/companies/68/b9/68b9bb61e8f14/ic-logo-black-green.png "ic-logo-black-green (Impossible Cloud)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/a8/3e/a83e609a54b07f8eeab50c9fbb85ad40/0127880172v2.jpeg "Cybersecurity bekommt in der Logistikbranche eine höhere Priorität. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/fb/c6/fbc66db9d7f25dca8098c71c51d9e15d/0129168715v2.jpeg "Am 29. Januar 2026 befasste sich der Deutsche Bundestag in zweiter und dritter Lesung mit dem KRITIS-Dachgesetz. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/24/c2/24c27aeefdf93876a395faa9790e6e40/0128909922v2.jpeg "Das Vorspiel ist vorbei. NIS2 fordert Unternehmen heraus, endlich aus ihrem Tiefschlaf zu erwachen und Cybersicherheit zur Priorität zu machen. (Bild: Midjourney / KI-generiert)")