CISOs verbringen unzählige Stunden mit der Suche nach Verteidigungsstrategien: Netzwerke stärken, Endpunkte schützen, Anwendungen absichern und die Cloud vor einer unablässigen Angriffswelle schützen. In unserer Branche werden Milliarden investiert, um mit der Entwicklung von Bedrohungen Schritt zu halten – von herkömmlicher Malware bis hin zu ausgeklügelten Angriffen mithilfe generativer AI (GenAI).
Doch selbst die besten Strategien haben einen blinden Fleck – einen, der zunehmend gefährlich werden kann, weil er außerhalb Ihrer Kontrolle liegt: Partnerlandschaften aus Drittanbietern und deren weit verzweigte Netzwerke aus Lieferanten, Vertriebspartnern, Händlern, Serviceanbietern und sogar Kunden. Zusammen bilden sie das Kreislaufsystem des weltweiten Handels. Jeder Kontaktpunkt stellt ein potenzielles Einfallstor für Angreifer dar, die eine unumstößliche, unangenehme Wahrheit verstanden haben: Egal, wie stark die interne Abwehr auch sein mag, Organisationen sind nur so stark wie das schwächste Glied in ihrer Lieferkette.
Wer jetzt denkt: „Kein Problem, das kriegen wir hin“, hat weit gefehlt. Natürlich stehen in vielen Unternehmen und Organisationen auch Risiken durch Dritte auf der Checkliste. Und ja, sie nutzen Complianceberichte, um die Seriosität der Anbieter zu überprüfen. Aber sehen wir der Tatsache ins Auge: Das ist keine wirkliche Sicherheit, sondern es sind eher Formalitäten, die regelmäßig abgearbeitet werden.
Vor knapp zehn Jahren wurden wir bereits in einem anderen Kontext vor dieser Bequemlichkeit gewarnt: das falsche Sicherheitsgefühl in virtualisierten Umgebungen. Damals war das gesamte System grundsätzlich angreifbar, sofern nicht jede einzelne Komponente der Architektur gleichermaßen auf dem neuesten technischen Stand war. Dasselbe Prinzip gilt auch hier: Statische, veraltete Ansätze für die Verwaltung von Risiken durch Dritte sind unzureichend und gefährlich. Wer die Sicherheit der Lieferkette nicht als Dringlichkeit begreift, gefährdet womöglich das gesamte Unternehmen.
Unbedingt nötig: Wachsamkeit und Daten – in Echtzeit
Cyber-Sicherheit in der Lieferkette darf keine Routinetätigkeit sein, die hin und wieder „abgearbeitet“ wird. Die Überwachung, Verwaltung und Wartung der Sicherheitsmaßnahmen ist eine kontinuierliche Disziplin, die keine Pausen erlaubt. Statische Audits und jährliche Complianceprüfungen mögen vielleicht Behörden zufriedenstellen, aber sie helfen nicht dabei, Zero-Day-Exploits oder sich rasant ausbreitende Angriffe auf die Lieferkette aufzuhalten. Wenn nicht jedes Element eines Systems auf dem neuesten Stand ist, dann ist keine umfassende Sicherheit gegeben und im Ernstfall kommt das System zum Erliegen. Die kritische Bedeutung dieses kontinuierlichen Ansatzes wird im Incident-Response-Bericht 2025 der Unit 42 deutlich. Er ergab, dass sich bei 75 % der Vorfälle kritische Hinweise auf die Infiltration der Angreifer in den Protokolldateien fanden. Doch in den komplexen, fragmentierten Systemen ließen sich diese Informationen nicht so einfach abrufen oder effektiv nutzen, sodass Angreifer die Lücken unbemerkt ausnutzen konnten. Hier zeigt sich eine entscheidende Schwachstelle: Die Hinweise sind zwar oft vorhanden, aber herkömmliche, turnusmäßige Ansätze bringen sie nicht rechtzeitig ans Tageslicht.
Das haben wir bereits erlebt und werden es auch weiterhin erleben. Doch trotz der Lektionen, die solche Angriffe eigentlich lehren, betrachten viele Organisationen Risiken durch Dritte weiterhin nur als einen Punkt auf ihrer Checkliste, der in bestimmten Abständen abgehakt werden muss – wie eine einfache, alljährliche Lieferantenbefragung. Sie übersehen, dass es sich um eine dynamische, sich wandelnde Angriffsfläche handelt.
Doch das ist eine gefährliche Fehleinschätzung. Risiken in der Lieferkette warten nicht bis zum nächsten Audit. Sie entwickeln sich in Echtzeit weiter; deshalb muss sich auch die Verteidigung weiterentwickeln.
Wie man mit Lieferkettenrisiken umgehen kann (und sollte)
CISOs müssen sich für eine Umstellung von zyklischen Anbieterprüfungen auf die kontinuierliche Echtzeitrisikoüberwachung jeder einzelnen Drittanbieterbeziehung einsetzen. Alles andere birgt das Risiko von Betriebsstörungen – und späterer Erklärungsnot gegenüber der Geschäftsleitung sowie kritischen Fragen von Behörden, warum Sicherheitslücken nicht geschlossen wurden.
Die Wahrheit ist: Organisationen haben sich zu lange auf statische Prüfungen und Compliancechecklisten verlassen. Diese waren für frühere Risiken ausreichend, aber die heutige Bedrohungslandschaft entwickelt sich in rasantem Tempo. Deshalb braucht es extrem genaue Echtzeiteinblicke in Schwachstellen in der Lieferkette, die aktualisiert werden, sobald sich etwas ändert.
Das ist eine enorme Aufgabe. Sie erfordert Investitionen in Tools, Personal und Zeit. Zum Glück haben CISOs dafür überzeugende Argumente: AI und Automatisierung. Generative AI, prädiktive Modelle und modernes maschinelles Lernen sind wie geschaffen für diese Herausforderungen. AI kann Unmengen an Daten scannen – darunter vergangene Sicherheitsvorfälle, öffentlich zugängliche Informationen, Zertifizierungen und Verhaltenssignale –, um dynamische Sicherheitsprofile für jeden Anbieter der Partnerlandschaft zu erstellen. Sie kann Veränderungen am Sicherheitsniveau verfolgen, aufkeimende Risiken aufdecken und aussagekräftige, messbare Risikowerte ermitteln.
Erweitert wird das Ganze durch Automatisierung. Angesichts des anhaltenden Mangels an qualifizierten Cyber-Sicherheitsexperten fungiert die Automatisierung als Multiplikator: Sie evaluiert kontinuierlich die Risiken durch Dritte und beschleunigt die Reaktionszeit bei Anomalien. Ausgefeilte Analysen mit Kontextbezug sorgen dafür, dass Angriffe erkannt und abgewehrt werden, bevor sie sich lateral in der Umgebung ausbreiten können.
Dies ist eine Notwendigkeit und sorgt für Effizienz. Angriffe erfolgen innerhalb von Minuten, nicht Monaten. Eine automatisierte Einschätzung der Dringlichkeit von Alarmen kann über erfolgreiche Abwehr oder Katastrophe entscheiden. Wenn jede Sekunde zählt, dürfen wir nicht warten, bis Mitarbeiter seitenweise Tabellenblätter durchforstet haben. Was Organisationen brauchen, sind AI-gestützte Systeme, die Bedrohungen in Echtzeit erkennen, Entscheidungen fällen und Verteidigungsmechanismen in Gang setzen.
Fazit: Handeln Sie, bevor es zum Ernstfall kommt
CISOs können es sich nicht länger leisten, ihren Anbietern blind zu vertrauen. In Zukunft sind schärfere Maßnahmen nötig: bisher nie dagewesene Transparenz, Echtzeiteinschätzungen und klare Verantwortlichkeiten auf Seiten jedes Lieferanten, Partners und bei jedem Glied der Lieferkette.
Risiken durch Dritte müssen Teil einer ganzheitlichen Cyber-Sicherheitsstrategie sein, die von der Geschäftsleitung mitgetragen wird. Sie darf weder die alleinige Aufgabe der Beschaffungsabteilung sein noch an das Complianceteam delegiert werden. Die Geschäftsleitung muss verstehen, wie die Sicherheit in der Lieferkette zur allgemeinen Widerstandsfähigkeit des gesamten Unternehmens beiträgt, – und dafür sorgen, dass sie bei der umfassenden Risikoplanung, bei Business-Continuity-Initiativen und der Einhaltung gesetzlicher Vorgaben berücksichtigt wird. Sorgen Sie heute schon für Resilienz, denn wer in der aktuellen Bedrohungslandschaft zögert, ist auf dem besten Weg zu scheitern.
Möchten Sie wissen, wie es um die Risiken in Ihrer Lieferkette steht? Finden Sie es heraus, mit unserer Risikobewertung für Lieferketten.
