Four people seated at a table in a meeting room, with a presenter speaking in front of a screen.

Dein Lieferant wurde gehackt und jetzt bist du auch dran

Dein Lieferant wurde gehackt und jetzt bist du auch dran

Yannick H.,

TLDR;

Du kannst die beste Firewall haben, das beste Team, die besten Prozesse. Wenn dein Lieferant gehackt wird, bist du auch kompromittiert. Die grössten Cyberangriffe der letzten Jahre kamen nicht durch die Vordertür, sondern durch die Lieferkette.

Die Szene, die sich gerade abspielt

"Wir haben alle Best Practices implementiert. Unsere Firewall ist erste Klasse."

Das hörten wir von einem Kunden, kurz bevor sein Cloud-Provider gehackt wurde. Und plötzlich war alles irrelevant. Die beste Firewall der Welt schützt dich nicht vor einem kompromittierten Lieferanten.

Das Problem: Du kontrollierst deine Sicherheit nur bis zur Tür deines Lieferanten. Danach hast du keine Sicht mehr.

Und genau das nutzen Angreifer aus. Sie greifen nicht mehr die Festung an. Sie klopfen an die Hintertür. Und sie wissen genau, dass die meisten Unternehmen dort nicht hinschauen. Warum die härteste Tür knacken, wenn die Seitentür offen steht?

SolarWinds, MOVEit, Log4j: die Lehren

SolarWinds (2020): Angreifer hackten den Software-Hersteller und modifizierten ein Update. 18.000 Kunden luden unwissentlich Malware herunter. US-Regierungsbehörden, Fortune-500-Unternehmen, alle kompromittiert. Niemand hatte den Lieferanten im Visier.

MOVEit (2023): Eine SQL-Injection-Lücke in einer Transfer-Software. Millionen Datensätze gestohlen. Der Lieferant kannte das Problem, reagierte aber zu langsam. Betroffene Unternehmen hörten von der Lücke zuerst über den Nachrichtenticker, nicht über ihren Lieferanten.

Log4j (2021): Eine Open-Source-Bibliothek, die in Milliarden von Systemen steckt. Ein Bug, und plötzlich ist jeder betroffen, der diese Library irgendwo in seinem Stack hat. Viele Unternehmen wussten nicht einmal, dass sie die Library überhaupt nutzten.

Das Muster ist immer gleich: Nicht du wurdest angegriffen. Dein Lieferant wurde angegriffen. Oder der Lieferant deines Lieferanten. Diese Art von Angriffen ist nicht seltener geworden.

Diesen Aspekt beleuchten wir in Die 5 Dimensionen operativer Resilienz: Ein Framework für Unternehmen.

Warum das Problem wächst

Jeder zusätzliche Lieferant vergrössert deine Angriffsfläche. Ein Unternehmen mit 50 Lieferanten hat nicht 50-mal mehr Risiko, sondern exponentiell mehr. Denn jeder Lieferant bringt seine eigenen Tools, Abhängigkeiten und blinden Flecken mit.

Du haftest, nicht dein Lieferant. Wenn dein Cloud-Provider gehackt wird und Kundendaten verloren gehen, trägst du die Verantwortung. GDPR, NIS2 und andere Frameworks machen das klar. Der Lieferant zahlt selten die Bussgelder, du trägst den Reputationsschaden.

Du siehst die Lieferkette nicht. Du kennst deine direkten Lieferanten. Aber deren Lieferanten? Praktisch niemand weiss, was sich dort abspielt. Log4j hat das auf brutale Weise demonstriert.

Die Komplexität wächst ständig. CRM, Buchhaltung, HR-Systeme, Security-Tools, APIs, Plug-ins. Jeder Touchpoint ist ein potentieller Einstiegspunkt, und die meisten davon sind gar nicht als Sicherheitsrisiko auf dem Radar.

Regulatorische Anforderungen verschärfen sich. NIS2 und DORA verlangen explizit, dass du das Risiko deiner IT-Lieferanten bewertest und dokumentierst. Was bisher informelle Best Practice war, wird zur Pflicht. Wer beim nächsten Audit nicht belegen kann, wen er als kritischen Lieferanten eingestuft hat und was er dabei überprüft hat, steht schlecht da.

Welche Lieferanten sind kritisch?

Nicht alle Lieferanten brauchen dasselbe Mass an Aufmerksamkeit. Die entscheidende Frage ist: Bei welchem Lieferanten wäre der Schaden am grössten, wenn er kompromittiert würde?

Als kritisch gilt ein Lieferant, der direkten Zugriff auf deine Systeme oder Daten hat, einen Service betreibt ohne den dein Betrieb stillsteht, oder regulatorische Implikationen trägt.

In der Praxis sind das meistens: Cloud-Provider, CRM-Systeme, Hosting und DNS, HR-Software, Buchhaltungslösungen mit Bankverbindungen. Auf dieser kurzen Liste kannst du mit echter Sorgfalt arbeiten, ohne dich in Details zu verlieren.

Die sechs Arten von Lieferanten-Risiken

1. Direkter Zugriff

Dein Hosting-Anbieter hat Root-Zugriff. Dein Security-Provider sieht deine Firewall-Logs. Dein CRM-Partner hat Kundendaten. Wenn dieser Lieferant kompromittiert wird, hat der Angreifer sofort Zugriff auf deine kritischen Systeme, ohne dass du es merkst.

2. Software-Abhängigkeiten

Dein Hersteller nutzt Open-Source-Libraries. Diese haben wieder eigene Dependencies. Ein Bug irgendwo in dieser Kette, und du bist betroffen, ohne es zu wissen. Log4j war genau das: eine Bibliothek tief im Stack, von der niemand wusste, dass sie überhaupt vorhanden war.

3. Daten-Sharing

Dein Marketing-Tool hat Kundendaten. Dein Analytics-Anbieter hat Nutzungsdaten. Was passiert mit diesen Daten, wenn dein Lieferant gehackt wird? Und wer informiert wen innerhalb welcher Frist? Diese Fragen klären die meisten Unternehmen erst, wenn es zu spät ist.

4. Service-Abhängigkeit

Was passiert, wenn dein Cloud-Anbieter ausfällt? Wenn dein DNS-Provider gehackt wird? Plötzlich führt deine Domain nicht mehr zu dir, sondern zum Angreifer. Business Continuity und Vendor Risk sind deshalb keine getrennten Fragen.

5. Fourth-Party-Risiken

Dein Lieferant hat Lieferanten. Und die haben Lieferanten. Diese Tiefe ist kaum vollständig zu kontrollieren, aber du kannst von deinen direkten Lieferanten verlangen, dass sie ihre eigene Lieferkette überblicken und dir auf Anfrage Auskunft geben.

6. Compliance-Vererbung

Du musst GDPR-konform sein. Wenn dein Lieferant Daten ohne angemessene Schutzklauseln ausserhalb der EU speichert, bist du automatisch nicht mehr konform. Das gilt auch für Branchenstandards wie ISO 27001 oder für sektorspezifische Regulierungen.

Einen vertieften Blick bietet unser Artikel Die echten Kosten mangelnder Ransomware-Vorbereitung.

Was du tun kannst

Das Ziel ist kein perfektes Vendor-Risk-Programm. Das Ziel ist, die wichtigsten Lücken zu schliessen, bevor jemand anderes sie ausnutzt. Fang mit deinen kritischen Lieferanten an, nicht mit allen auf einmal.

Infografik: Die 5 Schritte zur Lieferanten-Sicherheit - Inventar erstellen, Vendor Risk Assessment, vertragliche Absicherung, Monitoring aufbauen und Incident Response planen

Vor der Beauftragung:

  • Frag nach Zertifizierungen (ISO 27001, SOC 2). Das ist kein Garant, aber ein Zeichen ernst genommener Sicherheit.

  • Frag nach Datenhaltung: Wo sind die Daten? Wer hat Zugriff? Gibt es Sub-Verarbeiter?

  • Frag nach Incident Response: Was passiert, wenn sie gehackt werden? Wie schnell informieren sie dich?

Im Vertrag:

  • Klare Security-Anforderungen festhalten, kein Vertrag ohne sie bei kritischen Lieferanten.

  • Audit-Rechte sichern, damit du bei Bedarf selbst überprüfen kannst.

  • Incident-Benachrichtigungspflichten definieren: Innerhalb welcher Frist musst du informiert werden?

  • Exit-Klauseln für den Notfall, damit du nicht abhängig bleibst, wenn ein Lieferant zum Sicherheitsrisiko wird.

Laufend:

  • Die kritischen Lieferanten jährlich überprüfen oder bei grossen Änderungen auf deren Seite.

  • Google Alerts für "[Lieferantenname] security breach" einrichten. Einfach, kostenlos, wirksam.

  • Lieferanten nach Risiko priorisieren: Wer hat Datenzugriff, wer hat Systemzugriff, wie kritisch ist der Service?

Wenn es passiert:

  • Sofort Kontakt mit dem Lieferanten aufnehmen und alles schriftlich dokumentieren.

  • Scope verstehen: Welche deiner Daten und Systeme sind betroffen?

  • Intern eskalieren und dein eigenes Incident-Response-Protokoll aktivieren.

  • Kunden und Behörden informieren, wenn personenbezogene Daten betroffen sind. Die DSGVO gibt dir 72 Stunden.

Der häufigste Fehler

Der grösste Fehler: Nur einmal prüfen und dann vergessen.

Ein Lieferant, der heute sicher ist, kann morgen gehackt sein. Security ist keine Checkbox, es ist ein laufender Prozess.

Ein Unternehmen, mit dem wir arbeiteten, hatte seinen Cloud-Provider vor zwei Jahren geprüft. Alles in Ordnung. Dann wurde der Provider gehackt. Das Assessment von vor zwei Jahren war wertlos, weil sich Infrastruktur und Team des Providers zwischenzeitlich grundlegend verändert hatten.

Der zweite häufige Fehler: Alle Lieferanten gleich behandeln. Dein Kaffee-Lieferant ist nicht dasselbe Risiko wie dein Hosting-Anbieter. Eine einfache Risikomatrix reicht aus: Wer hat Datenzugriff? Wer hat Systemzugriff? Wie kritisch ist der Service für deinen Betrieb? Die Antworten setzen die Prioritäten.

Für KMUs muss das kein komplexes Programm sein. Eine einfache Tabelle mit deinen Top-10-Lieferanten, einer Risikobewertung und einem Datum der letzten Überprüfung reicht als Ausgangspunkt. Der Schlüssel ist nicht Perfektion, sondern Konsistenz.

Das Fazit

Deine Sicherheit ist nur so stark wie die schwächste Stelle in deiner Lieferkette.

Du kannst die beste Firewall haben, das beste Team, die besten Prozesse. Wenn dein Lieferant gehackt wird und du nicht vorbereitet bist, bist du trotzdem kompromittiert.

Die Unternehmen, die das ernst nehmen, prüfen ihre kritischen Lieferanten regelmässig, haben klare Vertragsbedingungen und wissen, was zu tun ist, wenn es passiert. Das ist kein aufwendiges Programm. Es ist Grundlage.

Du willst wissen, wo du bei der Lieferanten-Sicherheit stehst? Wir machen Third-Party-Risk-Assessments für Schweizer Unternehmen, pragmatisch und ohne Panik-Mache. Sprich mit uns.

Begib dich mit uns auf die Reise

Unkompliziert ein Gespräch vereinbaren und erfahren, wie wir den Erfolg in der digitalen Welt in dein Unternehmen bringen.

Erste Einschätzung im Gespräch erhalten

Sende uns eine Nachricht

Two men sit together in a cozy setting, smiling and sharing a conversation over drinks.

Begib dich mit uns auf die Reise

Unkompliziert ein Gespräch vereinbaren und erfahren, wie wir den Erfolg in der digitalen Welt in dein Unternehmen bringen.

Erste Einschätzung im Gespräch erhalten

Sende uns eine Nachricht

Two men sit together in a cozy setting, smiling and sharing a conversation over drinks.
Abstract design featuring vibrant purple and blue gradients with geometric shapes and lines.
Text reads: "Let’s begin our digital journey."
Kontaktiere uns!

Grabenstrasse 15a

6340 Baar

Switzerland

info@odcus.com

+41 43 217 86 70

Navigation

Startseite

Dienstleistungen

Blogs

Whitepapers

Medien

Über Uns

Kontakt

Copyright © 2026 ODCUS | Alle Rechte vorbehalten.

Impressum

Datenschutz

Abstract design featuring vibrant purple and blue gradients with geometric shapes and lines.
Text reads: "Let’s begin our digital journey."
Kontaktiere uns!

Grabenstrasse 15a

6340 Baar

Switzerland

info@odcus.com

+41 43 217 86 70

Navigation

Startseite

Dienstleistungen

Blogs

Whitepapers

Medien

Über Uns

Kontakt

Copyright © 2026 ODCUS | Alle Rechte vorbehalten.

Impressum

Datenschutz