Lieferketten sind komplex, undurchsichtig und unsicher: Regulierungsbehörden fordern bessere Lösungen

Lieferketten sind komplex, undurchsichtig und unsicher: Regulierungsbehörden fordern bessere

Von Phil Muncaster • 13 August 2025

Was haben Marks & Spencer und Jaguar Land Rover (JLR) gemeinsam? Beide Unternehmen erlitten in diesem Jahr erhebliche Ransomware-Angriffe, nachdem Angreifer Zulieferer ins Visier genommen hatten. Im Fall von M&S handelte es sich vermutlich um den Laptop eines Tata-Auftragnehmers. Für JLR, es war ein Infostealer der sich gegen einen Mitarbeiter von LG Electronics richtete, der Zugriff auf das Netzwerk des Autoherstellers hatte.

Beide verdeutlichen die wachsende Bedrohung für Unternehmen durch oft undurchsichtige und instabile Abhängigkeiten in den Lieferketten. Die Herausforderung wird sich vermutlich noch verschärfen, da ein neuer globaler Handelskrieg Unternehmen dazu zwingt, ihre Lieferketten rasch umzustrukturieren, ohne dass ihnen Zeit für die Prüfung neuer Partner bleibt. Wie neue Forschungsergebnisse zeigen, gibt es viel zu verbessern.

Ein Problem in zwei Teilen

Laut dem Weltwirtschaftsforum (WEF) sehen über die Hälfte (54 %) der globalen Organisationen Herausforderungen in der Lieferkette als größtes Hindernis für die Cyber-Resilienz. „Die zunehmende Komplexität der Lieferketten, gepaart mit mangelnder Transparenz und Kontrolle über die Sicherheitsniveaus der Lieferanten, hat sich zum größten Cybersicherheitsrisiko für Unternehmen entwickelt“, so das WEF. Notizen notieren.

Die Herausforderung der Lieferkettensicherheit besteht aus zwei Teilen:

Software, die Malware oder Schwachstellen in vertrauenswürdige Umgebungen einführt. Open-Source-Komponenten sind hier besonders schuld, da sie oft nicht ausreichend dokumentiert sind, was zu Sicherheitslücken führt. Vorfälle wie Log4Shell. Aber sie sind nicht das einzige Risiko. Proprietäre Software wie MOVEit und GoAnywhere war in der Vergangenheit auch Ziel von Zero-Day-Exploits im Rahmen groß angelegter Datendiebstahl- und Erpressungskampagnen, die Millionen von nachgelagerten Kunden betrafen.
Ein kompromittierter Lieferkettenpartner – wie ein MSP, ein SaaS-Anbieter oder ein professionelles Dienstleistungsunternehmen – kann erhebliche Sicherheitsrisiken bergen. Angreifer könnten direkt auf die Daten eines Unternehmens zugreifen, sofern diese beim Partner gespeichert sind, oder sich über den Lieferanten Zugang zu dessen Netzwerk-/Cloud-Konten verschaffen. Sie könnten Lieferanten auch mit Ransomware angreifen, was verheerende Auswirkungen auf die gesamte Lieferkette haben kann, wie die Synnovis NHS-Angriff.

Leider verdeutlichen zwei kürzlich veröffentlichte Berichte die anhaltenden Herausforderungen bei der Risikominimierung in der Lieferkette. LevelBlue-Studie Die Studie zeigt, dass 80 % der Unternehmen, die von einer „sehr geringen Transparenz“ in der Software-Lieferkette sprechen, in den letzten 12 Monaten von einer Sicherheitsverletzung betroffen waren. Im Vergleich dazu geben nur 6 % an, über eine „sehr hohe Transparenz“ zu verfügen.

Separat Risiko-Ledger-Berichte Fast die Hälfte (46 %) der britischen Unternehmen hat im vergangenen Jahr mindestens zwei Cybersicherheitsvorfälle in ihrer Lieferkette erlebt. Der Bericht zeigt außerdem, dass 90 % der Befragten Cybervorfälle in der Lieferkette als Hauptsorge für 2025 ansehen und nur zwei Fünftel (37 %) ihr Third-Party-Risikomanagement als „sehr effektiv“ bezeichnen.

Regulierungsbehörden wollen Maßnahmen

Laut LevelBlue sind CEOs tendenziell besorgter über Lieferkettenrisiken als ihre Kollegen in der obersten Führungsebene. 40 % nennen sie als das größte Sicherheitsrisiko im Unternehmen, während dies bei CIOs (29 %) und CTOs (27 %) deutlich weniger der Fall ist. Dies wird vermutlich zusätzlichen Druck von oben auf CISOs und ihre Teams bedeuten. Tatsächlich stehen sie jedoch bereits jetzt unter enormem Druck, eine Reihe neuer Vorschriften einzuhalten, die sich mit Lieferantenrisiken befassen. Dazu gehören:

DORA: DORA schreibt Finanzunternehmen unter anderem vor, das Risiko externer IT-Lieferanten als integralen Bestandteil des gesamten IT-Risikomanagements unter Aufsicht des Vorstands zu managen. Sie müssen außerdem ein detailliertes, aktuelles Register aller Verträge mit diesen Lieferanten führen und neue Lieferanten sorgfältig prüfen.

NIS 2: Verlangt von allen betroffenen Organisationen, Richtlinien zum Risikomanagement in der Lieferkette zu implementieren und die spezifischen Schwachstellen jedes einzelnen direkten Lieferanten und Dienstleisters zu bewerten. Leitende Direktoren und Führungskräfte sind direkt für die Überwachung dieser Maßnahmen verantwortlich.

Gesetzentwurf zur Cybersicherheit und -resilienz: Die britische Aktualisierung der NIS wird von regulierten Organisationen verlangen, dass sie ihre Lieferantenbeziehungen bewerten und stärken, ein robustes Risikomanagement für Dritte implementieren und Sicherheitserwartungen unter anderem in Verträgen festschreiben.

Maßnahmen ergreifen

Theresa Lanowitz, Chief Evangelist von LevelBlue, argumentiert, dass Transparenz in der Software-Lieferkette oberste Priorität haben muss – „insbesondere, da Lieferketten immer größer und komplexer werden und Unternehmen immer mehr KI-gestützte Lösungen einsetzen“.

Sie erklärt gegenüber ISMS.online: „CISOs sollten sich auf vier Schlüsselmaßnahmen konzentrieren: das Bewusstsein der Führungsebene nutzen, um Ressourcen zu sichern, intern die größten Schwachstellen identifizieren, in proaktive Sicherheitsmaßnahmen investieren und die Cybersicherheitspraktiken der Lieferanten regelmäßig bewerten. Dieser ausgewogene, proaktive Ansatz stärkt die Transparenz, die Bereitschaft und die Verantwortlichkeit entlang der gesamten Lieferkette.“

Justin Kuruvilla, Chefstratege für Cybersicherheit bei Risk Ledger, erklärt gegenüber ISMS.online, dass Unternehmen von einem Verstoß ausgehen und ihre Sicherheitsinfrastruktur so gestalten müssen, dass böswillige Aktivitäten eingedämmt und begrenzt werden.

„Daher ist es unerlässlich, Einblick in die Beziehungen zu Dritt-, Viert- und sogar N-ten Parteien zu gewinnen. Dieser umfassendere Überblick hilft Sicherheitsverantwortlichen, ihre Gefährdung besser zu verstehen und ihre Maßnahmen zur Risikominderung dort zu priorisieren, wo sie am wichtigsten sind“, fügt er hinzu.

Kuruvilla argumentiert, dass Software-Lieferketten angesichts der potenziellen Auswirkungen von Schwachstellen in weit verbreitetem Code einer besonderen Prüfung bedürfen.

„Unternehmen sollten von ihren Lieferanten erwarten, dass sie sichere Entwicklungspraktiken anwenden, die mit branchenweit anerkannten Frameworks übereinstimmen“, fügt er hinzu. „Der Grad der Sorgfaltspflicht kann je nach der Kritikalität des Lieferanten und der Risikobereitschaft des Unternehmens variieren. Sie sollte jedoch Elemente sicherer Softwareentwicklung wie CI/CD-Praktiken, Schwachstellenmanagement und die Bereitstellung einer Software Bill of Materials (SBoM) umfassen.“

Wie ISO 27001 helfen kann

Lanowitz von LevelBlue argumentiert, dass Best-Practice-Standards wie ISO 27001 eine nützliche Grundlage für den Aufbau einer besseren Lieferkettensicherheit bieten können.

„Unternehmen kämpfen mit einer fragmentierten Risikotransparenz und inkonsistenten Praktiken. ISO 27001 kann dazu beitragen, die Compliance-Bemühungen über Regionen und Branchen hinweg zu vereinheitlichen und zu vereinfachen. Mithilfe des Standards können CISOs einen strukturierten Ansatz für Risikomanagement und kontinuierliche Verbesserung verfolgen“, fügt sie hinzu.

„Da viele Vorschriften dieselben grundlegenden Best Practices verwenden – darunter Risikobewertungen, Zugangskontrolle, Lieferantenprüfung und Notfallreaktionsplanung – kann die Implementierung von ISO 27001 auch die Compliance-Redundanz reduzieren.“

Kuruvilla von Risk Ledger stimmt dem zu, warnt jedoch vor der Einhaltung von „Ankreuzfeldern“.

Stattdessen erreichen Organisationen, die bei der Bewältigung von Cyberrisiken einen robusten, risikobasierten Ansatz verfolgen, Compliance in der Regel als natürliches Ergebnis, so sein Fazit.

Phil Muncaster

Phil Muncaster ist seit 20 Jahren IT-Journalist. Er begann 2005 als Reporter beim Unternehmens-IT-Titel „IT Week“ und stieg zum Nachrichtenredakteur auf, bevor er das Unternehmen verließ, um eine freiberufliche Karriere einzuschlagen. Seitdem hat Phil für Titel geschrieben, darunter The Register, wo er über zwei Jahre lang als Asien-Korrespondent in Hongkong arbeitete, MIT Technology Review, SC Magazine, Infosecurity Magazine und andere.

Lesen Sie mehr von Phil Muncaster

Internet-Sicherheit 6 Januar 2026

Fünf Sicherheits- und Compliance-Trends, die Sie 2026 im Auge behalten sollten

Wie könnten die kommenden zwölf Monate für Cybersicherheits- und Compliance-Experten aussehen? Wir haben die Nachrichten durchforstet und die Prognosen der Branche analysiert…

Phil Muncaster

Internet-Sicherheit 11 December 2025

Ist ein Sicherheitsverstoß durch eine Agenten-KI im Jahr 2026 unvermeidlich?

Ist ein Sicherheitsverstoß bei Agentic AI im Jahr 2026 unvermeidbar?

Seit dem Start von ChatGPT, der einen neuen technologischen Wettlauf auslöste, sind zwar drei Jahre vergangen, doch nun richten sich alle Augen auf agentenbasierte KI. Befürworter behaupten, sie werde…

Phil Muncaster

Informationssicherheit 9 December 2025

Ein Jahr der Einhaltung der Vorschriften: Fünf Dinge, die wir im Jahr 2025 gelernt haben (Banner)

Ein Jahr im Einklang mit den Vorschriften: Fünf Dinge, die wir im Jahr 2025 gelernt haben

Die vergangenen zwölf Monate haben einmal mehr gezeigt, dass es in der Cybersicherheitslandschaft kaum an Vorfällen mangelt. Schwere Sicherheitslücken verursachen Unternehmen hohe Kosten ...

Phil Muncaster