Supply-Chain-Angriffe: Wenn Dienstleister zum Einfallstor werden

Mit NIS2 rückt ein Bereich stärker in den Fokus vieler Unternehmen, der lange Zeit deutlich weniger Aufmerksamkeit erhielt: die Sicherheit der Lieferkette.

Denn selbst wenn Systeme, Prozesse und Sicherheitsmaßnahmen im eigenen Unternehmen auf einem hohen Niveau sind, können Schwachstellen bei externen Partnern zum Einfallstor werden.

IT-Verantwortliche müssen neben den eigenen Sicherheitsmaßnahmen nun auch Risiken berücksichtigen, die außerhalb der eigenen Unternehmensgrenzen entstehen.

Vom Frontalangriff zum 1-zu-N-Prinzip

Cyberkriminelle und staatlich unterstützte Gruppen handeln zunehmend nach wirtschaftlichen Prinzipien. Ein direkter Angriff auf eine gut geschützte Unternehmensumgebung ist häufig zeit- und ressourcenintensiv. Dienstleister und andere Akteure innerhalb der Lieferkette bieten dagegen einen entscheienden Vorteil: Wird die Infrastruktur eines solchen Partners kompromittiert, können Angreifer unter Umständen gleichzeitig auf zahlreiche Kundennetzwerke zugreifen.

ENISA zählt Supply-Chain-Angriffe seit Jahren zu den bedeutendsten Cyberbedrohungen für Unternehmen und öffentliche Einrichtungen. Besonders kritisch ist dabei, dass Angriffe über vertrauenswürdige Partner traditionelle Sicherheitsmechanismen oftmals umgehen können.

Das KMU-Dilemma

Kleine und mittlere Unternehmen (KMU) stehen bei Supply-Chain-Angriffen vor einem doppelten Risiko. Einerseits sind sie häufig auf externe Dienstleister angewiesen, und andererseits dienen sie Angreifern oftmals als Sprungbrett zu größeren Partnern, kritischen Infrastrukturen oder Behörden.

Bereits ein kompromittiertes E-Mail-Konto oder ein kompromittierter Dienstleisterzugang kann ausreichen, um glaubwürdige Phishing- oder Business-E-Mail-Compromise-Kampagnen gegen größere Organisationen durchzuführen.

Aktuelle Angriffsszenarien auf Dienstleister

Dienstleister werden nicht wahllos angegriffen. Die Methoden sind gezielt auf die eingesetzten Technologien und Prozesse abgestimmt.

• Kompromittierung von Remote Monitoring & Management (RMM)
  IT-Dienstleister nutzen RMM-Lösungen zur Fernwartung und Verwaltung von Kundensystemen. Gelingt es Angreifern, Zugangsdaten zu stehlen oder Schwachstellen in diesen Plattformen auszunutzen, können sie Schadsoftware oder Ransomware direkt auf den Endgeräten der Kunden ausrollen. Da RMM-Werkzeuge von den Kundensystemen als legitime Administrationssoftware eingestuft werden, bleiben solche Aktivitäten häufig lange unentdeckt. Das Vorgehen ähnelt den sogenannten „Living-off-the-Land“-Angriffen, bei denen bereits vorhandene, vertrauenswürdige Werkzeuge missbraucht werden.
• Manipulierte Updates und kompromittierte Entwicklungs-Pipelines
  Bei dieser Angriffsmethode kompromittieren Angreifer die Entwicklungsumgebung eines Software-Herstellers und platzieren Schadcode in legitimen Updates. Da die Software weiterhin mit gültigen Zertifikaten signiert wird, erweckt sie in der Regel keinen Verdacht. Der SolarWinds-Vorfall aus dem Jahr 2020 gilt bis heute als eines der bekanntesten Beispiele für diese Form des Supply-Chain-Angriffs.
• Abfluss über externe Support-Schnittstellen
  In vielen Unternehmen existieren dauerhaft eingerichtete Wartungszugänge, VPN-Verbindungen oder API-Schnittstellen für externe Dienstleister. Werden diese Zugänge unzureichend überwacht oder abgesichert, können sie als initialer Angriffsvektor und Kanal für Datenabflüsse missbraucht werden.
• Angriff auf Identitäten und Cloud-Konten
  Kompromittierte Cloud-Konten von Dienstleistern ermöglichen Angreifern oftmals direkten oder indirekten Zugriff auf Kundenumgebungen, ohne klassische Sicherheitsmaßnahmen überwinden zu müssen. Gestohlene Zugangsdaten, kompromittierte Single-Sign-On-Lösungen oder erfolgreich umgangene Mehrfaktor-Authentifizierung zählen dabei zu den häufigsten Angriffsmethoden.

NIS2: Die Lieferkette wird zur Managementaufgabe

Die regulatorische Antwort auf diese Entwicklung ist eindeutig. Mit der EU-Richtlinie NIS2 rückt die Sicherheit der Lieferkette stärker in den Fokus des Risikomanagements.

Betroffene Organisationen müssen Risiken aus ihren Lieferanten- und Dienstleisterbeziehungen systematisch bewerten und geeignete Schutzmaßnahmen nachweisen.

Konkret bedeutet das:

• Sicherheitsanforderungen in Verträgen: Sicherheitsanforderungen sollten vertraglich mit Dienstleistern und Zulieferern festgelegt werden.
• Risikobewertung der Lieferkette: Unternehmen müssen bewerten, welche Risiken von den Produkten, Dienstleistungen und Zugängen ihrer Partner ausgehen.
• Kaskadeneffekt: Auch Unternehmen außerhalb des direkten NIS2-Anwendungsbereichs werden zunehmend mit Sicherheitsanforderungen ihrer Auftraggeber konfrontiert.
• Verantwortung der Unternehmensleitung: NIS2 stärkt die Verantwortlichkeit von Geschäftsführungen und Leitungsorganen. Die Umsetzung angemessener Sicherheitsmaßnahmen muss aktiv überwacht und nachvollziehbar dokumentiert werden.

Praktische Maßnahmen für Administratoren

Supply-Chain-Sicherheit beginnt bei Transparenz und Kontrolle. Folgende Maßnahmen sollten Teil jeder Sicherheitsstrategie sein:

1. Dienstleister-Zugänge inventarisieren und regelmäßig überprüfen
   • Welche externen Partner besitzen Zugriff?
   • Welche Systeme können sie erreichen?
   • Existieren veraltete oder nicht mehr benötigte Zugänge?
2. Mehrfaktor-Authentifizierung verpflichtend einsetzen
   • Für VPN-Zugänge
   • Für Cloud-Dienste
   • Für Fernwartungslösungen
3. Least-Privilege-Prinzip konsequent umsetzen
   • Keine dauerhaften Administratorrechte
   • Keine gemeinsam genutzten Konten
   • Zeitlich begrenzte Berechtigungen
4. Drittanbieter-Aktivitäten überwachen
   • Protokollierung aller administrativen Aktivitäten
   • SIEM-Integration
   • Session Monitoring und Alarmierung
5. Lieferanten regelmäßig bewerten
   • Vorhandene Zertifizierungen (z. B. ISO 27001)
   • Incident-Response-Prozesse
   • Sicherheitsrichtlinien und Compliance-Nachweise
6. Notfallprozesse definieren
   • Wie können Dienstleister-Zugänge im Ernstfall sofort deaktiviert werden?
   • Wer sind die Ansprechpartner auf beiden Seiten?
   • Welche Systeme wären betroffen?

Lieferkettenrisiken beschränken sich nicht ausschließlich auf Cyberangriffe. Auch technische Fehler oder Fehlkonfigurationen bei zentralen Dienstleistern können erhebliche Auswirkungen haben. Der weltweite CrowdStrike-Ausfall im Juli 2024 zeigte eindrucksvoll, dass bereits ein fehlerhaftes Update eines einzelnen Anbieters tausende Unternehmen gleichzeitig beeinträchtigen kann  – auch ohne einen eigentlichen Cyberangriff.

Fazit: Vertrauen ist gut, Kontrolle ist unverzichtbar

Die Absicherung der eigenen Systeme bleibt die Grundlage jeder wirksamen Cybersecurity-Strategie. Gleichzeitig müssen Unternehmen heute auch Risiken berücksichtigen, die außerhalb der eigenen Infrastruktur entstehen. Externe Zugänge dürfen daher nicht automatisch als vertrauenswürdig behandelt werden. Zero-Trust-Prinzipien, Least Privilege, kontinuierliches Monitoring und eine systematische Bewertung der Lieferkette werden zunehmend zum Standard moderner Cybersecurity-Strategien.

Quellen:

https://www.bsi.bund.de/DE/Themen/Regulierte-Wirtschaft/NIS-2-regulierte-Unternehmen/NIS-2-Infopakete/NIS-2-Lieferkette/NIS-2-Lieferkette_node.html
https://www.enisa.europa.eu/publications/enisa-threat-landscape-2025>
https://www.nis.gv.at/nis-2-richtlinie.html