Stell dir vor: Dein Security-Team hat gerade ein aufwändiges Zero-Trust-Projekt abgeschlossen. Neue Endpoint Protection, MFA überall, Netzwerk-Segmentierung. Alles nach Best Practice.

Und dann kommt ein reguläres Software-Update von einem Anbieter, dem du seit Jahren vertraust. Signiert, geprüft, automatisch installiert.

Nur dass dieses Update eine Hintertür enthält.

Genau so ist es bei SolarWinds passiert. Rund 18.000 Organisationen haben ein kompromittiertes Update installiert, darunter US-Regierungsbehörden, Microsoft, Intel und Cisco. Nicht weil ihre eigene Security schlecht war. Sondern weil der Angriff über einen vertrauenswürdigen Kanal kam.

Supply Chain Security: Was das eigentlich bedeutet

Wenn wir von Supply Chain Security reden, meinen wir nicht Containerschiffe oder Lagerhallen. Wir meinen alles, was von aussen in deine IT-Umgebung kommt:

• Software-Updates von Anbietern

• SaaS-Plattformen, denen du Daten anvertraust

• IT-Dienstleister mit Zugang zu deinen Systemen

• Open-Source-Bibliotheken in deinen Anwendungen

• Managed Service Provider, die deine Infrastruktur betreuen

Jeder dieser Punkte ist ein potenzielles Einfallstor. Und die Angreifer wissen das.

Der Grund ist simpel: Warum sollte jemand versuchen, deine Firewall zu durchbrechen, wenn er stattdessen deinen Software-Lieferanten kompromittieren kann, und dadurch gleichzeitig Zugang zu tausenden Unternehmen bekommt?

Für Schweizer KMU ist das besonders relevant. Die durchschnittliche IT-Landschaft eines mittelständischen Unternehmens umfasst Dutzende von SaaS-Tools, mehrere IT-Dienstleister, Cloud-Provider und branchenspezifische Softwareanbieter. Jede dieser Beziehungen ist eine potenzielle Angriffsfläche, und trotzdem wird sie in den meisten Security-Strategien ignoriert.

Kleiner Reality-Check: Zähl mal kurz im Kopf, wie viele externe Anbieter Zugang zu deinen Systemen haben. Die meisten IT-Leiter, die wir fragen, kommen auf 10-15. Die tatsächliche Zahl liegt oft bei 40+.

Die Angriffe, die alles verändert haben

Die letzten Jahre haben eine Serie von Supply Chain Angriffen hervorgebracht, die das Ausmass des Problems deutlich machen. Hier die wichtigsten:

SolarWinds (Dezember 2020). Russische staatliche Akteure infiltrierten den Build-Prozess von SolarWinds Orion. Über ein signiertes Software-Update wurde die SUNBURST-Malware an 18.000 Kunden verteilt. Rund 100 Organisationen waren tiefgreifend kompromittiert. Der wirtschaftliche Schaden: mehrere Milliarden Dollar. Der Aktienkurs von SolarWinds fiel um 40%.

Kaseya VSA (Juli 2021). Die REvil-Ransomware-Gruppe nutzte eine Schwachstelle im Remote-Management-Tool Kaseya VSA. Über Managed Service Provider wurden gleichzeitig 1.500 Unternehmen mit Ransomware infiziert. Die schwedische Supermarktkette Coop musste 800 Filialen schliessen. Lösegeld-Forderung: 70 Millionen Dollar.

3CX Desktop App (März 2023). Nordkoreanische Hacker kompromittierten erst einen Trading-Software-Anbieter, nutzten diesen Zugang dann, um die VoIP-Software von 3CX zu manipulieren. 600.000 Kunden betroffen. Das Besondere: Es war der erste dokumentierte kaskadierende Supply Chain Angriff, ein Angriff führte zum nächsten.

MOVEit Transfer (Mai 2023). Die Cl0p-Ransomware-Gruppe nutzte eine Zero-Day-Schwachstelle in der File-Transfer-Software MOVEit. Über 2.500 Organisationen betroffen, darunter BBC, British Airways, Shell und diverse Regierungsbehörden. Viele Opfer wussten nicht einmal, dass ihre Dienstleister MOVEit nutzten.

Warum deine aktuelle Security dich nicht schützt

Hier ist das Problem, das die meisten Sicherheitsverantwortlichen nicht wahrhaben wollen: Klassische Security-Massnahmen sind auf Angriffe von aussen ausgelegt. Firewalls, IDS, Endpoint Protection, alles darauf optimiert, unbekannte Bedrohungen zu erkennen.

Aber ein kompromittiertes Software-Update? Das kommt von einem vertrauenswürdigen Absender. Es ist signiert. Es läuft über einen legitimen Kanal. Deine Security-Tools winken es durch.

Wir sehen das bei praktisch jedem Kunden. Die Perimeter-Security ist oft solide. Aber frag mal, welche Drittanbieter Zugang zu kritischen Systemen haben... und dann wird es still.

Drei Muster fallen auf:

Kein Überblick über Drittanbieter-Zugriffe. Wer hat eigentlich alles Zugang zu deinen Systemen? Welche SaaS-Tools verarbeiten deine Daten? Welche Dienstleister haben VPN-Zugang oder Admin-Rechte? Bei den meisten Unternehmen, die wir beraten, gibt es keine vollständige Liste.

Kein Prozess für Vendor Risk Assessment. Neue Tools und Anbieter werden nach Funktionalität und Preis ausgewählt. Die Frage "Wie sicher ist dieser Anbieter?" kommt bestenfalls als Checkbox am Ende.

Keine Sichtbarkeit in die Software-Lieferkette. Welche Open-Source-Bibliotheken stecken in den Tools, die du nutzt? Als Log4Shell im Dezember 2021 bekannt wurde, wussten die meisten Unternehmen tagelang nicht, ob sie betroffen waren. Ohne Software Bill of Materials (SBOM) bist du blind.

Das Tückische daran: Diese Lücken entstehen nicht aus Nachlässigkeit. Sie entstehen, weil Supply Chain Security in den klassischen Security-Frameworks ein Randthema war. Erst die Angriffswelle der letzten Jahre hat gezeigt, dass hier ein systematischer blinder Fleck liegt.

NIS2 macht Supply Chain Security zur Pflicht

Falls du bisher dachtest, Supply Chain Security sei optional: NIS2 ändert das.

Die EU-Richtlinie NIS2 (2022/2555) verlangt in Artikel 21, Absatz 2d explizit "Sicherheit der Lieferkette einschliesslich sicherheitsbezogener Aspekte der Beziehungen zwischen den einzelnen Einrichtungen und ihren unmittelbaren Anbietern oder Diensteanbietern."

Für Schweizer Unternehmen heisst das: Wenn du EU-Kunden belieferst oder Tochtergesellschaften in der EU hast, bist du direkt oder indirekt betroffen. Und selbst ohne EU-Bezug, deine EU-Partner werden Supply Chain Anforderungen an dich stellen.

Dazu kommt der EU Cyber Resilience Act (CRA), der Herstellern von Software und vernetzten Produkten eine SBOM-Pflicht und Security-by-Design-Anforderungen auferlegt.

Die regulatorische Richtung ist klar: Supply Chain Security wird zur Grundvoraussetzung, nicht zum Nice-to-have.

Warum KMU besonders betroffen sind

Grosskonzerne haben eigene Third-Party-Risk-Teams, automatisierte Vendor-Assessment-Plattformen und die Verhandlungsmacht, um Audit-Rechte durchzusetzen. KMU haben das nicht.

Und genau das macht sie zum Ziel. Nicht direkt, sondern indirekt. Über den Managed Service Provider, der 50 kleine Unternehmen gleichzeitig betreut. Über die Branchensoftware, die von hundert Firmen in der gleichen Nische genutzt wird. Über den Cloud-Anbieter, bei dem sich alle auf die grossen Zertifizierungen verlassen.

Der Kaseya-Angriff 2021 hat das perfekt illustriert: REvil hat nicht 1.500 Unternehmen einzeln angegriffen. Sie haben einen MSP kompromittiert, und damit alle seine Kunden auf einmal.

Für Schweizer Unternehmen kommt ein weiterer Faktor dazu: Die Abhängigkeit von internationalen Software-Anbietern und Cloud-Providern. Wenn ein globaler SaaS-Anbieter kompromittiert wird, sitzen Schweizer Firmen mit am Tisch, ob sie wollen oder nicht.

Fünf Schritte, die du jetzt angehen kannst

Das Gute: Du musst nicht alles auf einmal lösen. Aber du musst anfangen. Hier sind fünf pragmatische Schritte, sortiert nach Impact:

1. Inventar deiner Drittanbieter erstellen. Klingt banal, ist es aber nicht. Erstelle eine vollständige Liste aller Anbieter mit Zugang zu deinen Systemen, Daten oder Netzwerken. Kategorisiere nach Kritikalität: Wer hat Zugang zu kritischen Systemen? Wer verarbeitet sensible Daten?

2. Vendor Risk Assessment einführen. Nicht als einmaliges Projekt, sondern als wiederkehrender Prozess. Bewerte Anbieter nach Security-Reife (Zertifizierungen, Incident History), vertraglichen Absicherungen (Audit-Rechte, SLA für Incident Response) und Abhängigkeitsgrad.

3. Vertragliche Absicherung prüfen. Hast du Audit-Rechte bei deinen kritischen Lieferanten? Gibt es SLAs für Security-Incidents? Was passiert, wenn ein Anbieter gehackt wird, wer haftet? Diese Fragen gehören in jeden Vertrag, nicht nur in die Security Policy.

4. Monitoring deiner Lieferkette aufbauen. Überwache Security-Ratings deiner kritischen Anbieter. Verfolge CVE-Meldungen für Software, die du nutzt. Automatisiere Alerts für neue Schwachstellen in deinem Software-Stack.

5. Incident Response für Supply Chain Szenarien planen. Dein Incident Response Plan sollte ein Szenario enthalten: "Was tun wir, wenn ein kritischer Lieferant kompromittiert wurde?" Wer entscheidet über Isolation? Wie schnell können wir Zugriffe sperren?

Der nächste Schritt

Supply Chain Security ist kein Projekt mit Enddatum. Es ist ein fortlaufender Prozess, der sich mit jeder neuen Vendor-Beziehung und jedem Software-Update weiterentwickelt.

Aber der erste Schritt ist immer derselbe: Wissen, wo du stehst.

Wenn du morgen früh eines tust, dann das: Erstelle eine Liste aller Drittanbieter mit Zugang zu deinen Systemen. Nur die Liste. Du wirst überrascht sein, wie lang sie ist.

Wir helfen Schweizer Unternehmen dabei, Supply Chain Risiken systematisch zu identifizieren und zu managen, vendor-neutral und mit Fokus auf Business Impact statt Compliance-Checkbox. Cybersecurity-Beratung