Dein Lieferant wurde gehackt und jetzt bist du auch dran

Die Szene, die sich gerade abspielt

"Wir haben alle Best Practices implementiert. Unsere Firewall ist erste Klasse."

Das hörten wir von einem Kunden - kurz bevor sein Cloud-Provider gehackt wurde. Und plötzlich war alles irrelevant.

Das Problem: Du kontrollierst deine Sicherheit nur bis zur Tür deines Lieferanten. Danach hast du keine Sicht mehr.

Und genau das nutzen Angreifer aus. Sie greifen nicht mehr die Festung an. Sie klopfen an die Hintertür.

SolarWinds, MOVEit, Log4j - die Lehren

SolarWinds (2020): Angreifer hackten den Software-Hersteller und modifizierten ein Update. 18.000 Kunden luden unwissentlich Malware herunter. US-Regierungsbehörden, Fortune-500-Unternehmen - alle kompromittiert.

MOVEit (2023): Eine SQL-Injection-Lücke in einer Transfer-Software. Millionen Datensätze gestohlen. Der Lieferant kannte das Problem - aber reagierte zu langsam.

Log4j (2021): Eine Open-Source-Bibliothek, die in Milliarden von Systemen steckt. Ein Bug - und plötzlich ist jeder betroffen, der diese Library irgendwo in seinem Stack hat.

Das Muster ist immer gleich: Nicht du wurdest angegriffen. Dein Lieferant wurde angegriffen. Oder der Lieferant deines Lieferanten.

(Das ist übrigens keine Theorie. Das passiert ständig.)

Warum das Problem wächst

Jeder zusätzliche Lieferant vergrössert deine Angriffsfläche. Ein Unternehmen mit 50 Lieferanten hat nicht 50-mal mehr Risiko - es hat exponentiell mehr.

Du haftest, nicht dein Lieferant. Wenn dein Cloud-Provider gehackt wird und Kundendaten verloren gehen - wer trägt die Verantwortung? Du. GDPR, NIS2, andere Frameworks machen das klar.

Du siehst die Lieferkette nicht. Du kennst deine direkten Lieferanten. Aber deren Lieferanten? Praktisch niemand weiss, was sich dort abspielt.

Die Komplexität wächst ständig. CRM, Buchhaltung, HR-Systeme, Security-Tools, APIs, Plug-ins. Jeder Touchpoint ist ein potentieller Einstiegspunkt.

Die sechs Arten von Lieferanten-Risiken

1. Direkter Zugriff

Dein Hosting-Anbieter hat Root-Zugriff. Dein Security-Provider sieht deine Firewall-Logs. Dein CRM-Partner hat Kundendaten.

Wenn dieser Lieferant kompromittiert wird, hat der Angreifer sofort Zugriff auf deine kritischen Systeme.

2. Software-Abhängigkeiten

Dein Hersteller nutzt Open-Source-Libraries. Diese haben wieder eigene Dependencies. Ein Bug irgendwo in dieser Kette - und du bist betroffen, ohne es zu wissen.

3. Daten-Sharing

Dein Marketing-Tool hat Kundendaten. Dein Analytics-Anbieter hat Nutzungsdaten. Was passiert mit diesen Daten, wenn dein Lieferant gehackt wird?

4. Service-Abhängigkeit

Was passiert, wenn dein Cloud-Anbieter ausfällt? Wenn dein DNS-Provider gehackt wird? Plötzlich führt deine Domain nicht mehr zu dir - sondern zum Angreifer.

5. Fourth-Party-Risiken

Dein Lieferant hat Lieferanten. Und die haben Lieferanten. Log4j war genau das - ein Bug in einer Library, die dein Lieferant nutzte, ohne es zu wissen.

6. Compliance-Vererbung

Du musst GDPR-konform sein. Wenn dein Lieferant Daten in den USA speichert ohne angemessene Schutzklauseln - bist du automatisch nicht mehr konform.

Was du tun kannst

Vor der Beauftragung:

• Frag nach Zertifizierungen (ISO 27001, SOC 2). Das ist kein Garant, aber ein Zeichen.

• Frag nach Datenhaltung: Wo sind die Daten? Wer hat Zugriff?

• Frag nach Incident Response: Was passiert, wenn sie gehackt werden?

Im Vertrag:

• Klare Security-Anforderungen festhalten

• Audit-Rechte sichern

• Incident-Benachrichtigungspflichten definieren

• Exit-Klauseln für den Notfall

Laufend:

• Die kritischen Lieferanten regelmässig überprüfen

• News-Alerts für Security-Vorfälle bei deinen Lieferanten

• Jährliche Re-Assessment für die Top-10

Wenn es passiert:

• Sofort Kontakt mit dem Lieferanten

• Scope verstehen: Welche deiner Daten sind betroffen?

• Intern eskalieren

• Kunden informieren, wenn nötig

Der häufigste Fehler

Der grösste Fehler: Nur einmal prüfen und dann vergessen.

Ein Lieferant, der heute sicher ist, kann morgen gehackt sein. Security ist keine Checkbox - es ist ein laufender Prozess.

Ein Unternehmen, mit dem wir arbeiteten, hatte seinen Cloud-Provider vor zwei Jahren geprüft. Alles in Ordnung. Dann wurde der Provider gehackt. Das Assessment von vor zwei Jahren war wertlos.

Was du tun kannst

1. Liste deine kritischen Lieferanten auf - nicht alle, nur die, die Daten haben oder Zugriff auf deine Systeme.

2. Priorisiere nach Risiko - Dein Cloud-Provider ist kritisch. Dein Kaffee-Lieferant nicht.

3. Frag bei den Top-5: Haben sie Zertifizierungen? Wie sieht ihr Incident-Response-Plan aus?

4. Prüfe deine Verträge - Gibt es Audit-Rechte? Incident-Benachrichtigungspflichten?

5. Richte Alerts ein - Google Alerts für "[Lieferantenname] security breach" ist besser als nichts.

Das Fazit

Deine Sicherheit ist nur so stark wie die schwächste Stelle in deiner Lieferkette.

Du kannst die beste Firewall haben. Du kannst das beste Team haben. Aber wenn dein Lieferant gehackt wird - bist du auch kompromittiert.

Die Unternehmen, die das verstanden haben, prüfen ihre Lieferanten regelmässig. Sie haben klare Verträge. Sie haben Alerts eingerichtet. Sie wissen, was zu tun ist, wenn es passiert.

Die anderen? Die hoffen, dass es nicht passiert.

(Spoiler: Es passiert. Die Frage ist nur wann.)

Du willst wissen, wie gut deine Lieferanten-Sicherheit wirklich ist? Wir machen Third-Party-Risk-Assessments für Schweizer Unternehmen - pragmatisch und ohne Panik-Mache. Sprich mit uns.