Lieferkettenangriffe: Wenn Cyberangriffe im Jahr 2026 über Geschäftspartner erfolgen

Wenn der Angriff über einen Dritten kommt

Die meisten Unternehmen arbeiten mit vielen Partnern und auch IT-Systemen. Software wird von externen Herstellern bereitgestellt oder für lokal betriebene Systeme kommen Updates automatisch über das Internet.

IT-Dienstleister oder auch andere Geschäftspartner können auf Systeme zugreifen oder tauschen über Onlinespeicher und Schnittstellen Daten aus.

Bei Lieferkettenangriffen versuchen Angreifer häufig, genau diese Zusammenarbeit und das Vertrauen zwischen den Partnern auszunutzen. Dabei lassen sich zwei typische Vorgehensweisen beobachten:

Weg 1: Angriff über Software oder digitale Dienste

Eine Variante besteht darin, Softwareanbieter oder digitale Dienste anzugreifen, die von vielen Unternehmen – oder den gewünschten Zielunternehmen – genutzt werden.

Gelingt es Angreifern, etwa Schadcode in ein Programm oder ein Softwareupdate einzuschleusen, kann sich dieser Angriff schnell auf viele Organisationen auswirken.

Ein bekanntes Beispiel ist der Angriff auf den Softwareanbieter SolarWinds, bei dem manipulierte Updates verteilt wurden.

Auch Sicherheitslücken in weit verbreiteten Programmen – etwa der Dateiübertragungssoftware MOVEit – haben in der Vergangenheit zahlreiche Unternehmen gleichzeitig betroffen.

Selbst scheinbar einfache Programme können dabei eine Rolle spielen. Viele Administratoren oder Entwickler nutzen etwa Programme wie Notepad++, um Konfigurationsdateien oder Skripte zu bearbeiten.

Anfang 2026 wurde bekannt, dass Angreifer über den Update-Mechanismus rund um Notepad++ Schadsoftware verbreiten konnten.

Welche Unternehmen, Behörden oder Personen durch den Angriff im Anschluss betroffen sind, hängt vom jeweiligen Softwareanbieter bzw. -dienstleister ab.

Während einige Anwendungen – wie Notepad++ – vom Selbstständigen bis hin zu Mitarbeitern in einer IT-Abteilung im Konzern genutzt werden, sind andere Angebote auf bestimmte Branchen oder Unternehmensgrößen ausgerichtet.

Weg 2: Angriff über kleinere Partner oder Zulieferer

Eine zweite Variante besteht darin, gezielt Unternehmen innerhalb der Lieferkette anzugreifen, um über diese Zugang zu einem eigentlichen Ziel zu erhalten.

Dabei konzentrieren sich Angreifer häufig auf kleinere Dienstleister oder Zulieferer des gewünschten Zielunternehmens.

Der Grund ist einfach: Das oftmals größere Zielunternehmen verfügt meistens über umfangreiche Sicherheitsmaßnahmen, während die kleineren Partner oftmals weniger Ressourcen für IT-Sicherheit haben.

Wenn Angreifer es schaffen, einen solchen Partner erfolgreich anzugreifen, können sie
• Zugangsdaten stehlen,
• Wartungszugänge missbrauchen oder
• über gemeinsame Systeme in das Netzwerk des eigentlichen Zielunternehmens gelangen.

Solche Angriffe richten sich also nicht gegen das erste Opfer selbst, sondern gegen dessen Kunden oder Geschäftspartner.

Warum Lieferkettenangriffe so gefährlich sind

Lieferkettenangriffe gelten als besonders riskant, weil sie Vertrauen ausnutzen. Softwareupdates, Wartungszugriffe oder Datenübertragungen zwischen Partnern gehören zum normalen Geschäftsalltag und wirken zunächst unauffällig. Die möglichen Folgen können jedoch erheblich sein:

• Zugriff auf interne Systeme
• Diebstahl vertraulicher Daten
• Einschleusen von Schadsoftware
• Verschlüsselung von Daten (Ransomware)
• Unterbrechung von Geschäftsprozessen

Sind dabei personenbezogene Daten betroffen, können zusätzlich Meldepflichten nach der Datenschutz- Grundverordnung entstehen.

Lieferkettensicherheit betrifft auch Geschäftspartner

Das Thema Lieferkettensicherheit betrifft nahezu alle Unternehmen. Deshalb sehen die Gesetzgeber in den unterschiedlichsten Ländern vor, dass etwa Unternehmen bei der IT-Sicherheit auch die Lieferkette betrachten müssen.

In der EU findet sich diese Vorgabe etwa in der NIS2- Richtlinie, die in Deutschland ca. rund 30.000 Unternehmen direkt einhalten müssen.

Die Erfüllung der Vorgabe – die Sicherheit in der Lieferkette zu beachten – kann in der Praxis dazu führen, dass kleinere Geschäftspartner etwa durch vertragliche Vereinbarungen verpflichtet werden, gewisse Sicherheitsanforderungen einzuhalten.

Die Auswirkungen auf Unternehmen

• Auswirkung 1: Für die Unternehmen haben Lieferkettenangriffe drei wesentliche Auswirkungen: Auswirkung 1: Einerseits können alle Unternehmen, die Software oder Onlinedienste nutzen, Opfer von Angriffen werden, wenn die Anbieter der Software oder des Onlinedienstes erfolgreich „gehackt“ werden.
  
  Auch wenn keine weiteren Geschäftspartner infolge des Angriffs betroffen sind, kann ein solcher Angriff dazu führen, dass Kriminelle etwa Daten stehlen und verschlüsseln oder die Systeme für weiterführende Angriffe nutzen.

• Auswirkung 2: Ist ein Unternehmen Lieferant oder Dienstleister für ein größeres und „besser“ abgesichertes Unternehmen, besteht das Risiko, dass Kriminelle das Unternehmen angreifen, um an die Daten oder Systeme des größeren Unternehmens zu gelangen.

Zudem ist es möglich, dass Kunden des Unternehmens die Sicherheit der Lieferkette gewährleisten müssen und dazu entsprechende Anforderungen stellen oder entsprechende Überprüfungen durchführen.

• Auswirkung 3: Nutzt man selbst die Leistungen von kleineren und eventuell schlechter abgesicherten Unternehmen, besteht das Risiko, dass Kriminelle diese Geschäftspartner angreifen, um an die Daten oder Systeme des Unternehmens zu gelangen.

Bitte nicht übersehen: Unternehmen können mehrere Rollen einnehmen – als potenzielles Ziel, als Teil der Lieferkette und als möglicher Angriffsweg für andere.

Was Unternehmen dagegen tun können

Unternehmen versuchen, das Risiko von Lieferkettenangriffen durch verschiedene Maßnahmen zu reduzieren. Dazu gehören unter anderem:

• sorgfältige Auswahl und Prüfung von Dienstleistern
• Sicherheitsanforderungen in Verträgen
• regelmäßige Updates und Sicherheitsprüfungen
• eingeschränkte Zugriffsrechte für externe Partner
• Segmentierung des Netzwerks bzw. der Systeme
• Überwachung von Systemen und Netzwerken
• Festlegung von Ansprechpartnern zur Klärung von
• Auffälligkeiten

Doch Technik allein reicht nicht aus – auch das Verhalten der Beschäftigten spielt eine wichtige Rolle.

Was Beschäftigte beachten sollten

Kriminelle haben nicht nur das Ziel, technische Schwachstellen, sondern auch Menschen auszunutzen.
Die Angreifer versuchen dann via „Social Engineering“,
Beschäftigte zu überzeugen, etwa

• sensible Daten oder Zugangsdaten zu übermitteln,
• Dateien zu öffnen und auszuführen, oder
• einen Fernwartungszugang zu öffnen.

Je nach Situation geben sich die Angreifer dann etwa als Mitarbeiter des Kunden oder auch als Support-Mitarbeiter bzw.

Techniker eines involvierten Unternehmens aus. Wie auch bei direkten Angriffen wird Druck aufgebaut und teilweise mit dramatischen Konsequenzen gedroht, wenn man der Aufforderung nicht nachkommt.

Um solche Angriffe abzuwehren, sollten Sie

• sich an die internen Vorgaben zur IT-Sicherheit halten,
• im Bedarfsfall über einen anderen, bekannten Kanal Rücksprache mit vertrauten Ansprechpartnern, etwa des Kunden oder IT-Anbieters, halten,
• die zuständigen Stellen im Unternehmen informieren, wenn Ihnen ungewöhnliche Aktivitäten, wie entsprechende Kontaktaufnahmen oder auch Dateien beim Datenaustausch, auffallen.

Sicherheit endet nicht am eigenen Netzwerk

Die Digitalisierung hat Unternehmen enger miteinander vernetzt als je zuvor. Daten, Software und Systeme werden heute über viele organisatorische Grenzen hinweg genutzt.

Wer aufmerksam bleibt und ungewöhnliche Situationen frühzeitig meldet, kann dazu beitragen, Schäden zu vermeiden.

Denn manchmal kommt der Angriff nicht direkt von außen – sondern über die „Hintertür“ der Lieferkette.