Supply-Chain-Angriffe: Wenn die Lieferkette zum Einfallstor wird

Wenn der Zulieferer zum Einfallstor wird

Ende Mai 2025 wurde Adidas Opfer eines Datenlecks — nicht über die eigenen Systeme, sondern über einen Dienstleister. Kundendaten gelangten in die Hände von Cyberkriminellen, weil ein Drittanbieter kompromittiert wurde. Der Fall ist kein Einzelfall, sondern Symptom eines systemischen Problems: Die digitale Lieferkette ist zum bevorzugten Angriffsvektor geworden.

Das Handelsblatt berichtete am 25. März 2026 unter dem Titel „Attacke durch die Hintertür” ausführlich über die wachsende Bedrohung durch Supply-Chain-Angriffe. Die Zahlen sind alarmierend — und sie bestätigen, was wir bei NEOSEC seit Jahren in der Praxis sehen.

Die Zahlen sprechen eine klare Sprache

Laut dem Global Incident Response Report von Palo Alto Networks haben sich Supply-Chain-Attacken seit 2022 um das 3,8-Fache erhöht und machen mittlerweile 23 Prozent aller Angriffe aus. Eine Studie des Branchenverbands Bitkom zeigt: Fast jedes zehnte deutsche Unternehmen (9 %) weiß, dass eigene Zulieferer in den vergangenen zwölf Monaten Opfer von Cyberangriffen wurden. Weitere 19 Prozent hatten zumindest einen Verdachtsfall.

Die Europäische Agentur für Cybersicherheit (ENISA) stuft Supply-Chain-Kompromittierungen in ihrem aktuellen Threat Landscape Report als eine der Top-Bedrohungen ein. Das BSI bestätigt im Lagebericht zur IT-Sicherheit in Deutschland 2024, dass Angriffe über die Lieferkette ein zunehmendes Risiko für die deutsche Wirtschaft darstellen — insbesondere für kritische Infrastrukturen und deren Zulieferer.

Und die Konsequenzen? Laut Bitkom erlitten 41 Prozent der betroffenen Unternehmen Produktionsausfälle, Lieferengpässe oder Reputationsschäden.

Der Dominoeffekt: Warum ein Angriff viele trifft

Christoph Demiriz, Geschäftsführer von Digital Recovery, bringt es auf den Punkt: Angriffe auf Unternehmen in der Lieferkette sind für Cyberkriminelle strategisch besonders attraktiv, weil sie einen Dominoeffekt erzeugen.

Die Logik dahinter ist einfach: Wenn ein IT-Dienstleister, ein Softwareanbieter oder ein Managed-Service-Provider kompromittiert wird, sind potenziell Dutzende oder Hunderte seiner Kunden betroffen — gleichzeitig. Zwei Beispiele illustrieren das:

Ein Systemhaus in Schleswig-Holstein, das die IT von rund 30 Unternehmen betreute, wurde über einen Update-Mechanismus kompromittiert. Angreifer konnten Schadsoftware bei mehreren Kunden gleichzeitig einschleusen und zentrale Systeme verschlüsseln.
Ein kommunaler Dienstleister in Südwestfalen wurde angegriffen — über 100 Städte und Gemeinden in Nordrhein-Westfalen waren betroffen. IT-Dienste, Websites und Telefonanlagen fielen aus. Die Bearbeitung von Bürgeranträgen verzögerte sich teilweise um mehrere Monate.

Diese Fälle stehen in einer Reihe mit den großen Supply-Chain-Angriffen der letzten Jahre: SolarWinds (2020), Kaseya (2021) und die MOVEit-Schwachstelle (2023) zeigten auf globaler Ebene, wie verheerend ein einziger kompromittierter Dienstleister sein kann.

NIS2 macht Lieferkettensicherheit zur Pflicht

Die EU hat reagiert. Mit der NIS2-Richtlinie — in Deutschland umgesetzt durch das NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) — wird Lieferkettensicherheit erstmals explizit zur gesetzlichen Pflicht.

Artikel 21 der NIS2-Richtlinie verlangt von Unternehmen unter anderem:

Sicherheit der Lieferkette — einschließlich sicherheitsbezogener Aspekte der Beziehungen zwischen Unternehmen und ihren unmittelbaren Anbietern oder Diensteanbietern
Risikobewertung der IT-Sicherheit von Zulieferern und Dienstleistern
Meldepflichten — 24 Stunden für die Erstmeldung, 72 Stunden für den Detailbericht ans BSI
Persönliche GF-Haftung bei Nichteinhaltung

IT-Rechtsanwalt Jens Ferner betont: Die Richtlinie verlangt verhältnismäßige Maßnahmen, über die Unternehmen selbst entscheiden müssen. Eine Untersuchung aller technischen Einrichtungen sei nicht erforderlich — aber die Unternehmen müssen nachweisen können, dass sie ihre Lieferkette im Blick haben.

Wer das nicht tut, riskiert Bußgelder bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes — je nachdem, was höher ist.

Was Unternehmen jetzt tun müssen

Die Empfehlungen aus verschiedenen Quellen — BSI, ENISA, und unserer eigenen Praxis bei NEOSEC — konvergieren auf dieselben Kernmaßnahmen:

1. Sichtbarkeit schaffen

Wer nicht sieht, kann nicht erkennen. Wer nicht erkennt, kann nicht reagieren. Ein zentrales SIEM-System erfasst alle sicherheitsrelevanten Ereignisse — auch die, die über Schnittstellen zu Dienstleistern und Zulieferern hereinkommen. Ohne SIEM gibt es keine nachweisbare Erkennung, ohne Erkennung keinen NIS2-konformen Nachweis.

2. Netzwerksegmentierung

Wenn ein Zulieferer-Zugang kompromittiert wird, darf der Schaden nicht das gesamte Netz betreffen. Klare Netzwerksegmentierung begrenzt die Ausbreitung — im IT- wie im OT-Bereich.

3. Lieferanten-Audits

Lassen Sie sich die Sicherheitsmaßnahmen Ihrer Partner konkret nachweisen. Nicht mit einem Fragebogen, sondern mit technischen Nachweisen: Penetrationstests, SIEM-Logs, Incident-Response-Pläne, ISO-27001-Zertifizierungen.

4. Backup- und Wiederanlaufstrategie

Notfallkonzepte müssen regelmäßig getestet werden — nicht nur dokumentiert. Viele Firmen verfügen zwar über Datensicherungen, sind jedoch nicht in der Lage, diese im Ernstfall in der erforderlichen Geschwindigkeit einzusetzen.

5. Meldeketten etablieren

Die 24h/72h-Meldepflicht der NIS2 lässt keinen Spielraum für Improvisation. Wer im Ernstfall erst klären muss, wen er anruft, hat bereits verloren.

J. Benjamin Espagné

Lieferketten sind Vertrauensketten — und Vertrauen ist kein Sicherheitskonzept

Warum Supply-Chain-Angriffe die Archillesferse Ihrer IT-Sicherheit sind

Der Handelsblatt-Bericht bestätigt, was wir bei NEOSEC in der Praxis täglich sehen: Unternehmen investieren in Perimeter-Sicherheit, Endpoint-Schutz und Awareness-Trainings — und übersehen dabei, dass ihre Angriffsfläche längst über die eigenen Systemgrenzen hinausreicht. Jeder Dienstleister, jeder Softwareanbieter, jeder Cloud-Service erweitert die Angriffsfläche.

Die NIS2-Richtlinie macht Lieferkettensicherheit erstmals zur gesetzlichen Pflicht. Das ist richtig und überfällig. Aber Compliance allein schützt nicht — sie schafft nur den Rahmen. Was Unternehmen wirklich brauchen, ist Sichtbarkeit: ein zentrales SIEM, das alle sicherheitsrelevanten Ereignisse erfasst — auch die, die über Drittanbieter-Schnittstellen hereinkommen. Wer nicht sieht, kann nicht erkennen. Wer nicht erkennt, kann nicht reagieren. Und wer nicht reagiert, kann nichts nachweisen.

Bei NEOSEC setzen wir auf Wazuh als SIEM-Plattform, ergänzt durch 24/7 SOC-Monitoring mit KI-gestützter Anomalieerkennung. So schaffen wir die Transparenz, die NIS2 verlangt — und die Ihr Unternehmen braucht, um auf Supply-Chain-Kompromittierungen in Echtzeit reagieren zu können. Dazu gehört auch die Fähigkeit, im Ernstfall forensisch sauber zu arbeiten: Unsere DFIR-Expertise stellt sicher, dass Vorfälle nicht nur erkannt, sondern auch beweissicher dokumentiert und fristgerecht gemeldet werden.

Sprechen Sie uns an. Wir zeigen Ihnen, wie Sie Ihre Lieferkette in Ihr Sicherheitsmonitoring integrieren — bevor es ein Angreifer für Sie tut.

Handelsblatt – Attacke durch die Hintertür (25. März 2026)
Palo Alto Networks – Global Incident Response Report 2025
Bitkom Research – Studie zu Lieferkettenangriffen (2025)
ENISA – Threat Landscape 2024
BSI – Die Lage der IT-Sicherheit in Deutschland 2024
IBM Security – Cost of a Data Breach Report 2024
NIS2-Richtlinie (EU) 2022/2555

Sicherheitslücken schließen. Risiken senken. Jetzt handeln!

Unsere Experten zeigen Ihnen live, wie wir Angriffe erkennen, stoppen und Ihr Unternehmen schützen.

Blog

Aktuelle Sicherheitsereignisse

Hacks Sicherheitslücken

Wenn die Firewall selbst zur Sicherheitslücke wird — Was CVE-2026-20131 für Ihr Unternehmen bedeutet

J. Benjamin Espagné 25. März 2026

Eine kritische Zero-Day-Lücke in Cisco Secure Firewall Management Center wird aktiv für Ransomware-Angriffe genutzt — ohne dass ein Angreifer auch nur ein Passwort braucht. Was das bedeutet und warum schnelles Handeln jetzt entscheidend ist.

lesen Wenn die Firewall selbst zur Sicherheitslücke wird — Was CVE-2026-20131 für Ihr Unternehmen bedeutet
KI MDR Sicherheitslücken

KI beschleunigt Exploits – die Lücke zwischen Bekanntwerden und Angriff schrumpft drastisch

J. Benjamin Espagné 19. Januar 202625. März 2026

Künstliche Intelligenz verändert die Sicherheitslandschaft in einem Tempo, dem viele Unternehmen kaum hinterherkommen. Aktuelle Analysen des SANS Institute zeigen, dass KI nicht…

lesen KI beschleunigt Exploits – die Lücke zwischen Bekanntwerden und Angriff schrumpft drastisch
In eigener Sache Research

Moin Dr. Anatolii Nazarko – Security Analyst & Head of Research bei Neosec

J. Benjamin Espagné 22. Oktober 202525. März 2026

Seit dem 1. September 2025 verstärkt Dr. rer. nat. Anatolii Nazarko das Team von Neosec als Security Analyst & Head of Research bei Neosec. Mit…

lesen Moin Dr. Anatolii Nazarko – Security Analyst & Head of Research bei Neosec
Hacks KEV Sicherheitslücken

Neue “Erfahrungen”: Adobe Experience Manager schafft es in die Hall of Shame

J. Benjamin Espagné 21. Oktober 202525. März 2026

Die US-Behörde CISA (Cybersecurity and Infrastructure Security Agency) hat am 15. Oktober 2025 eine kritische Sicherheitslücke in Adobe Experience Manager (AEM) in ihren Known Exploited Vulnerabilities (KEV)-Katalog…

lesen Neue “Erfahrungen”: Adobe Experience Manager schafft es in die Hall of Shame
Datenklau Sicherheitslücken Tips

Wenn Berechtigung zur Schwachstelle wird – Das Zeitalter des Authorization Sprawl

Dr. Anatolii Nazarko 21. Oktober 202525. März 2026

Die Ergebnisse des aktuellen SANS Whitepapers von Joshua Wright „Authorization Sprawl – The Vulnerability Reshaping Modern Attacks“ (Oktober 2025) zeigen eindrucksvoll, wie sich eine…

lesen Wenn Berechtigung zur Schwachstelle wird – Das Zeitalter des Authorization Sprawl
Sicherheitslücken

Zwei neue Windows-Zero-Days erschüttern das Vertrauen in Microsofts Update-Kultur

J. Benjamin Espagné 20. Oktober 202525. März 2026

Am 15. Oktober 2025 veröffentlichte Microsoft Patches für 183 Sicherheitslücken – darunter zwei aktiv ausgenutzte Zero-Days: Beide erlauben Privilegienerweiterungen bis hin zu Systemrechten. Besonders kritisch: Der…

lesen Zwei neue Windows-Zero-Days erschüttern das Vertrauen in Microsofts Update-Kultur