Broadcast Defense: Cyber-Attacken – die unsichtbare Gefahr

Angriffstyp des Monats

Supply‑Chain‑Angriff

Stell dir vor, du schließt abends dein Haus ab. Die Türen sind zu, die Fenster verriegelt, die Alarmanlage ist aktiviert, eigentlich alles sicher. Am nächsten Morgen stellst du fest: Jemand war trotzdem drin. Nicht, weil er die Tür aufgebrochen hat, sondern weil er einen legitimen Schlüssel von jemandem hatte, dem du vertraut hast, etwa von einem Handwerker oder Dienstleister. Genau so funktionieren Supply-Chain-Angriffe.

Unternehmen schützen ihre eigenen Systeme oft sehr gut. Doch sie arbeiten täglich mit externen Dienstleistern: Software‑Anbieter, Cloud‑Services, Buchungssysteme, IT‑Tools, Updates. Und genau dort setzen Angreifer an. Sie greifen nicht das eigentliche Ziel an, sondern einen Drittanbieter, dem viele vertrauen. Über diesen Umweg gelangen sie schließlich in die Systeme ihrer eigentlichen Opfer.

Was ist also ein Supply‑Chain‑Angriff?

Ein Supply‑Chain‑Angriff ist ein Cyberangriff über die Lieferkette. Angreifer nutzen Software, Dienste oder Updates von Drittanbietern, um indirekt in Unternehmen einzudringen. Statt das Unternehmen selbst anzugreifen, wird der Weg über einen externen Anbieter gewählt.

Warum sind diese Angriffe so gefährlich?

Supply‑Chain‑Angriffe sind vor allem deshalb so gefährlich, weil sie auf Vertrauen basieren. Angreifer nutzen gezielt externe Anbieter, Dienste oder Software, auf die Unternehmen angewiesen sind. Selbst wenn viele Sicherheitsmaßnahmen vorhanden sind, können Schwachstellen bei Drittanbietern oder in gemeinsamen Abhängigkeiten ausgenutzt werden. Besonders kritisch ist dabei, dass ein einzelner erfolgreicher Angriff potenziell zahlreiche Organisationen gleichzeitig treffen kann. Wird ein Anbieter kompromittiert, geraten automatisch auch dessen Kunden in den Fokus.

Die Gefahr für Cyber-Angriffe lauert überall.

Typische Beispiele aus der Praxis

In der Praxis kann sich das auf unterschiedliche Weise zeigen. So kann ein Software‑Update unbemerkt manipuliert werden oder ein externes Buchungs‑ oder Bezahlsystem Ziel eines Angriffs werden. Auch weit verbreitete Software‑Komponenten können kompromittiert werden und sich dadurch auf viele Systeme gleichzeitig auswirken. In manchen Fällen leitet ein bislang vertrauenswürdiger Dienst Nutzer plötzlich auf fremde oder schädliche Seiten weiter. Für die Betroffenen wirkt dabei zunächst alles normal und genau das macht diese Art von Angriffen besonders tückisch.

Warum sieht man Supply‑Chain‑Angriffe immer häufiger?

Dass Supply‑Chain‑Angriffe immer häufiger auftreten, hängt eng mit der heutigen Arbeitsweise von Unternehmen zusammen. Organisationen sind stark vernetzt, und kaum jemand betreibt noch alle Systeme selbst. Die Software stammt häufig von externen Anbietern, Updates laufen automatisch im Hintergrund, und Cloud‑Dienste sind längst Standard. Mit jeder zusätzlichen Abhängigkeit entstehen jedoch auch neue Angriffsflächen, die nicht vollständig in der eigenen Kontrolle liegen.

Wie kann man sich gegen Supply‑Chain‑Angriffe schützen?

Es ist für Unternehmen schwierig – wenn nicht sogar unmöglich –, sich vollständig gegen Supply‑Chain‑Angriffe abzuschirmen. Der Grund dafür ist einfach: Kaum ein Unternehmen arbeitet heute ohne Drittanbieter, externe Software, Cloud‑Dienste oder IT‑Dienstleister. Genau diese Abhängigkeiten machen Supply‑Chain‑Angriffe so wirksam. Ziel kann daher nicht sein, jedes Risiko vollständig auszuschließen. Entscheidend ist vielmehr, sich Abhängigkeiten bewusst zu machen, Risiken realistisch zu bewerten und Angriffe frühzeitig zu erkennen, um ihre Auswirkungen gezielt zu begrenzen.

Es ist für Unternehmen schwierig – wenn nicht sogar unmöglich –, sich vollständig gegen Supply‑Chain‑Angriffe abzuschirmen.

Ein zentrales Grundprinzip dabei lautet: Vertrauen ist kein Sicherheitskonzept. Viele Angriffe funktionieren, weil Updates von Herstellern, externe Dienste oder integrierte Software‑Bausteine automatisch als vertrauenswürdig gelten. Unternehmen profitieren deshalb davon, sich bewusst zu machen, von welchen Anbietern sie abhängig sind, wo diese eingesetzt werden und welche Zugriffsrechte oder Daten damit verbunden sind. Ohne diesen Überblick lassen sich Risiken kaum bewerten.

Hilfreich ist es außerdem, technische Abhängigkeiten transparenter zu machen. In diesem Zusammenhang fällt häufig der Begriff SBOM (Software Bill of Materials) – gemeint ist eine Art Zutatenliste, die zeigt, aus welchen Software‑Bausteinen eine Anwendung besteht. Sie hilft dabei, kritische Abhängigkeiten schneller zu erkennen, etwa bei Open‑Source‑Komponenten oder externen Bibliotheken.

Auf technischer Ebene geht es vor allem darum, automatisierte Prozesse kontrollierbar und nachvollziehbar zu gestalten, statt ihnen ungeprüft zu vertrauen. Kritische Updates sollten nicht ungeprüft ausgerollt werden. Sie sollten kontrolliert und möglichst getestet werden. Ebenso wichtig ist eine klare Trennung von Systemen und Zugriffsrechten. Drittanbieter sollten nur die minimal notwendigen Berechtigungen erhalten (auch bekannt als Least Privilege), damit sich ein Angriff nicht ungehindert im Unternehmen ausbreiten kann.

Ein weiterer wichtiger Ansatz ist das sogenannte Zero‑Trust‑Prinzip. Vereinfacht gesagt bedeutet es: Jeder Zugriff wird kontextabhängig überprüft – unabhängig davon, ob er aus dem internen Netzwerk oder von extern erfolgt. Identität, Gerät, Zeitpunkt und Zweck spielen dabei eine zentrale Rolle. Auch Partner und Dienstleister werden nicht pauschal vertraut, sondern nur zeitlich begrenzt und nachvollziehbar zugelassen. Das reduziert Risiken besonders bei Fernwartung oder administrativen Zugängen.

Da Supply‑Chain‑Angriffe oft unauffällig verlaufen, spielt außerdem Überwachung eine große Rolle. Auffällige Änderungen, ungewöhnliche Zugriffe, unerwartete Verbindungen oder sonstiges abweichendes Verhalten lassen sich besser erkennen, wenn Systeme zentral überwacht werden – etwa durch ein SOC (Security Operations Center) mit integriertem SIEM, das Logdaten und Abläufe analysiert, um ungewöhnliche Aktivitäten oder Abweichungen vom Normalbetrieb frühzeitig zu erkennen. Ziel ist nicht permanente Alarmierung, sondern ein schnelleres Erkennen, wenn etwas aus dem normalen Rahmen fällt. Neben Technik sind auch organisatorische Maßnahmen entscheidend.

Sicherheitsanforderungen an Drittanbieter, klare Meldepflichten bei Vorfällen und vorbereitete Notfallpläne helfen, im Ernstfall handlungsfähig zu bleiben. Dazu gehört auch, Backups von den produktiven Systemen getrennt zu speichern, Zugriffsbeschränkungen und Schutzmechanismen einzurichten und sie regelmäßig zu überprüfen, um im Ernstfall die Wiederherstellung sicherzustellen.

Kurz zusammengefasst:

• Abhängigkeiten zu Drittanbietern kennen und dokumentieren
• Vertrauen bewusst gestalten: durch Transparenz, Kontrolle und sinnvoll eingesetzte Automatisierung
• Zugriffe und Updates bewusst steuern
• Auffälligkeiten frühzeitig erkennen
• Auf den Ernstfall vorbereitet sein

Die wichtigste Erkenntnis bleibt dabei: Cybersecurity endet nicht an der eigenen Systemgrenze. Wer seine Lieferkette versteht und aktiv in die Sicherheitsstrategie einbezieht, ist deutlich besser gegen Supply‑Chain‑Angriffe gewappnet, auch wenn sich Risiken nie ganz ausschließen lassen.

Seite 1: Warum ist IT Security im Medienbereich so wichtig?
Seite 2: Grundlagen der IT-Security
Seite 3: Supply-Chain-Angriff
Seite 4: Konkretes Beispiel