Die Software-Lieferkette gerät immer öfters ins Fadenkreuz von Cyberangriffen. Wie man seine Anwendungen schützt, verrät im Interview Dr. Yvonne Bernard, CTO bei Hornetsecurity.
Sicherheit von Software-Lieferketten: Cyber- und physische Risiken verschmelzen. Jedes Glied, auch Software-Drittanbieter, wird zum Einfallstor.
Angriffsablauf: Vier Phasen. Zulieferer kompromittieren, Schadcode in Updates/Dienste einschleusen, über reguläre Prozesse ausrollen, im Ziel aktivieren für Datenabfluss, Systemübernahme und Persistenz.
Strategien für den Schutz: Flächendeckende Multifaktor-Authentifizierung (MFA), Schulungen, E-Mail-Security mit Threat Intelligence, Monitoring/MDR, Signaturprüfung von Updates. Dazu vertragliche Mindeststandards.
Software-Lieferketten werden immer anfälliger für Cyberattacken, weil moderne Anwendungen aus vielen Drittanbieter- und Open-Source-Komponenten bestehen und über komplexe CI/CD-Pipelines ausgeliefert werden. Die Sicherheit von Software-Lieferketten beginnt daher mit dem Verständnis, dass jedes Glied – vom Entwickler über den Dienstleister bis zum Update-Kanal – Vertrauen und Verantwortung teilt. Angreifer nutzen genau diese Vertrauenskette aus, weshalb Transparenz darüber, welche Komponenten im Einsatz sind und woher sie stammen, zentral ist.
Unternehmen sollten ihre Partner sorgfältig auswählen, klare Anforderungen und Meldewege vereinbaren und Updates nicht blind durchwinken, sondern nach definierten Freigabeprozessen prüfen. Ebenso wichtig sind eine gelebte Sicherheitskultur, regelmäßige Überprüfungen und die Übung von Notfallabläufen, damit im Ernstfall schnell und koordiniert reagiert werden kann. So wird aus reiner Effizienz ein widerstandsfähiges Ökosystem, in dem Risiken früh erkannt und gemeinsam reduziert werden.
Wie sehen die aktuellen Herausforderungen in der Sicherheit von Software-Lieferketten aus? Welche konkreten Maßnahmen sollten Unternehmen ergreifen, um sich und ihre Partner vor Angriffen über die Lieferkette zu schützen? Und wie sieht die Lieferketten-Sicherheit von morgen aus? DIGITAL BUSINESS spricht darüber mit Dr. Yvonne Bernard, CTO bei Hornetsecurity.
Frau Dr. Bernard, welche aktuellen Herausforderungen sehen Sie in der Absicherung von Lieferketten?
Dr. Yvonne Bernard: Aktuelle Herausforderungen bei der Absicherung von Lieferketten entstehen durch die Verschmelzung von Cybergefahren und physischen Risiken in einem instabilen globalen Umfeld. Während sich die Bedrohungen aus dem virtuellen Raum in komplexen Supply-Chain-Attacken manifestieren, wird der physische Teil der Lieferkette zeitgleich auch massiv durch geopolitische Instabilität beeinflusst. Lange und unflexible Ketten in Verbindung mit Naturkatastrophen führen zudem dazu, dass die operative Resilienz unzureichend ist. Zudem werden die Regularien immer komplexer. Für Unternehmen wird es daher wichtiger, nicht nur auf die Kosten zu achten, sondern auch die Risiken gezielt zu reduzieren.
Unternehmen sind bei ihrer IT-Infrastruktur heute zunehmend auf externe Anbieter angewiesen. Das erhöht jedoch das Risiko von Cyberangriffen, da jedes Glied der Lieferkette ein potenzielles Einfallstor für Attacken sein kann.
Dr. Yvonne Bernard, CTO bei Hornetsecurity by Proofpoint
Wie groß ist eigentlich die Gefahr, dass Unternehmen über ihre Software-Lieferkette Opfer eines Cyberangriffs werden – und warum ist diese Schwachstelle so schwer abzusichern?
Dr. Yvonne Bernard: Unternehmen sind bei ihrer IT-Infrastruktur heute zunehmend auf externe Anbieter angewiesen. Das erhöht jedoch das Risiko von Cyberangriffen, da jedes Glied der Lieferkette ein potenzielles Einfallstor für Attacken sein kann. Software-Anbieter nutzen beispielsweise oft Komponenten und Dienste von Drittanbietern, etwa für Produkt-Updates, da dies effizienter ist als Eigenentwicklungen. Zwar kontrollieren sie ihr eigenes Produkt nach bewährten Methoden, doch die Kontrolle über externe Update-Komponenten liegt beim Anbieter und ist somit anfällig für Missbrauch.
Und das lässt sich nicht einfach absichern?
Dr. Yvonne Bernard: Die Absicherung der Schwachstellen einer Lieferkette ist schwierig, denn moderne Software-Lösungen können aus fremden Open-Source-Komponenten und kommerzieller Software von Drittanbietern bestehen. Über die Sicherheitspraktiken dieser Komponenten haben Unternehmen keine Kontrolle. Darüber hinaus mangelt es oft an Transparenz bezüglich der exakten Software-Bestandteile. Dadurch bleiben Schwachstellen mitunter tief in der Versorgungskette verborgen und Angriffe auf die Entwicklungs- und Bereitstellungsplattformen (CI/CD-Pipelines) der Zulieferer sind schwer zu erkennen.
DIE GESPRÄCHSPARTNERIN
Dr. Yvonne Bernard verantwortet seit 2021 als CTO von Hornetsecurity die strategische und technologische Ausrichtung des Produktportfolios. Sie arbeitet dabei eng mit den Experten aus unterschiedlichen Abteilungen, wie Produktmanagement, Software-Entwicklung und aus dem Security Lab zusammen. Mit annähernd zehn Jahren Erfahrung im Produktmanagement bei Hornetsecurity verfügt Dr. Bernard über ein fundiertes Verständnis der aktuellen Anforderungen im Bereich Cybersecurity. Darüber hinaus hält sie einen Doktortitel in Informatik der Leibniz Universität Hannover.
(Bild: Hornetsecurity)
Wie läuft denn ein typischer Supply-Chain-Angriff ab? Lässt sich hier ein Muster erkennen?
Dr. Yvonne Bernard: Supply-Chain-Angriffe verlaufen in der Regel in vier aufeinanderfolgenden Phasen, deren Ziel es ist, ein Netzwerk umfassend zu kompromittieren. Zunächst greifen Hacker einen Anbieter innerhalb der Lieferkette an. Dabei nutzen sie etwa Schwachstellen in dessen Systemen aus oder wenden Social-Engineering-Taktiken an. Ist der Zugang erfolgreich, schleusen die Angreifer in der zweiten Phase den schädlichen Code in Produkte, Software-Updates oder Dienstleistungen ein, die der Anbieter regulär an seine Kunden weitergibt.
In der dritten Phase verteilt sich die manipulierte Komponente im Rahmen gewöhnlicher Update-Prozesse oder Lieferungen an die Kunden – meist unbemerkt und unter dem Deckmantel eines legitimen Vorgangs. Sobald die infizierte Komponente in den Zielsystemen angekommen ist, beginnt die vierte Phase: Die Schad-Software wird aktiviert und ermöglicht eine Datenexfiltration, die Systemübernahme oder das Einrichten weiterer Zugriffsmöglichkeiten für die Angreifer.
Die kritischsten Schwachstellen in digitalen Lieferketten resultieren aus dem strukturellen Third-Party-Risk und dem blinden Vertrauen in Zulieferer.
Dr. Yvonne Bernard, CTO bei Hornetsecurity by Proofpoint
Und was sind dabei die häufigsten Schwachstellen in digitalen Lieferketten, die Sie beobachten?
Dr. Yvonne Bernard: Die kritischsten Schwachstellen in digitalen Lieferketten resultieren aus dem strukturellen Third-Party-Risk und dem blinden Vertrauen in Zulieferer. Organisatorisch manifestiert sich dies darin, dass viele Drittanbieter uneinheitliche oder schwächere Sicherheitsstandards aufweisen und dem Zielunternehmen die Transparenz über deren interne Protokolle fehlt. Eine zentrale technische Schwachstelle liegt in der Komplexität moderner Software, die auf Tausenden von Open-Source-Komponenten basiert, deren Schwachstellen die gesamte Software gefährden. Diese Gefahr wird durch das Fehlen von Kontrollmechanismen und das Integrieren von Schadcode in offizielle Updates – wie im Solarwinds-Fall – maximiert, da diese als legitim erscheinen und somit ungehindert ins Kernnetzwerk gelangen. Zusätzlich bergen auch Hardwarekomponenten Risiken, da manipulierte oder kompromittierte Bauteile auf Lieferantenebene in kritische Systeme gelangen können.
Vor allem Phishing wird wohl oft unterschätzt, ist aber ein zentrales Einfallstor in der Lieferkette. Warum sind gerade E-Mail-Kommunikation und Dienstleister so anfällig?
Dr. Yvonne Bernard: Die E-Mail-Kommunikation ist ein primäres Einfallstor für Phishing in der Lieferkette. Unser aktueller Cybersecurity Report 2026, für den wir jährlich 72 Milliarden E-Mails analysieren, zeigt eines ganz klar: E-Mails waren im Jahr 2025 ein konstanter Vektor für Cyberangriffe. Im Vergleich zum Vorjahr stieg die Zahl der mit Schad-Software versehenen E-Mails um 131 Prozent. Da die E-Mail das zentrale und am häufigsten genutzte Kommunikationsmittel zwischen Unternehmen, Partnern und Dienstleistern darstellt, ist sie für Angreifer die ideale Angriffsfläche.
Cyberkriminelle setzen gezielt Spear-Phishing und Social-Engineering ein, um E-Mails so zu fälschen, dass sie legitim erscheinen. Oft nutzen sie dazu bestehende Konversationen (Thread-Hijacking) oder kompromittieren Konten von Dienstleistern (Vendor Email Compromise, VEC). So verschaffen sich Angreifer über Drittanbieter Zugang zu ganzen IT-Systemen und manipulieren Software-Updates oder Cloud-Dienste.
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die WIN-Verlag GmbH & Co. KG, Chiemgaustraße 148, 81549 München einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von redaktionellen Newslettern nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://kontakt.vogel.de/de/win abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung, Abschnitt Redaktionelle Newsletter.
:quality(80)/p7i.vogel.de/wcms/26/7f/267fe7086a35a99a8746d5328bc34387/souver-c3-a4nit-c3-a4t-antto-ai-adobestock-935874090-mitki-1197x673v1.jpeg "(Bild: © Antto-AI/stock.adobe.com - generiert mit KI)")
:quality(80)/p7i.vogel.de/wcms/e2/fe/e2fecc72262f24cdac5e7d269cbc19af/it-trends-imageflow-adobestock-1767411415-neu-1200x675v1.jpeg "(Bild: © ImageFlow/stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/73/06/7306fe7290414df91b2a4f5a89eee7ee/easy-20software-dms-teaser-16-9-1133x637v1.jpeg "(Bild: Easy Software)")
:quality(80)/p7i.vogel.de/wcms/fc/92/fc9219fe63a11cbd77472b28798c7e73/stackit-cybus-partnerschaft-16-9-727x409v1.jpeg "Stackit und Cybus vereinbaren eine strategische Partnerschaft für europäische Smart-Factory-Lösungen. (Bild: Cybus)")
:quality(80)/p7i.vogel.de/wcms/fa/a3/faa35b3be508b1bafeae8e481dad808c/hr-ipopba-adobestock-451361135-neu-780x439v1.jpeg "(Bild: © ipopba/stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/85/10/851074900a9e0eabf32944642cc2272f/adobestock-1270513612-vectorwin-colocation-996x560v1.jpeg "(Bild: © vectorwin/stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/cc/06/cc06928e9d81a3ae02f66889f453bb00/aws-modell-20availability-20zone-16-9-1200x675v1.jpeg "Die AWS European Sovereign Cloud basiert auf dem Modell der AWS Availability Zone. (Bild: Amazon Web Services)")
:quality(80)/p7i.vogel.de/wcms/1d/ef/1def8868f8b42a11d18bd5e94167fd5e/adobestock-216443774-peterschreiber-media-hosting-plattformen-889x500v1.jpeg "(Bild: © peterschreiber.media/stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4a/c3/4ac353ac9ecdfc9c07cb9cd559a578a0/genai-krot-studio-adobestock-1335835272-neu-1200x675v1.jpeg "(Bild: © Krot_Studio/stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/af/35/af35b7a70474e8d447c57993e0146b38/kit-quantentechnologien-karlsruhe-1230x691v1.jpeg "Die optische Schnittstelle für einen Quantenspeicher wird ein wichtiger Bestandteil von künftigen Quantennetzwerken sein. Der erste Teil davon wurde Anfang 2025 am KIT gebaut. (Bild: Markus Breig/KIT)")
:quality(80)/p7i.vogel.de/wcms/aa/09/aa0954018ba5f37cfdfcfa30ad809da7/quantenc--20www-freund-foto-de-adobestock-652196310-mitki-1067x600v1.jpeg "(Bild: © www.freund-foto.de/stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/7c/97/7c9771d964d17b3b15df85b23b81f41f/bundesdruckerei-pqc-personalausweis-16-9-1200x674v1.jpeg "Demonstrator des quantensicheren Personalausweises. (Bild: Bundesdruckerei GmbH)")
:quality(80)/p7i.vogel.de/wcms/1d/6f/1d6fa6c8604a36abf5a0bf7679e44c1b/genua-genuline-bild-3390x1908v1.jpeg "Mit einer FPGA-Hardwarebeschleunigung verbindet das BSI-zugelassene VPN-Gateway genuline von genua Standorte mit quantensicherer Verschlüsselung. (Bild: genua GmbH)")
:quality(80)/p7i.vogel.de/wcms/16/77/167784e2707d79bd104241764b3c370d/cyberresilienz-delques-adobestock-783757721-neu-996x560v1.jpeg "(Bild: © Delques/stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e3/5d/e35d5bd9186efb6fc898124edcab7216/cybersecurity-looker-studio-adobestock-563886800-neu-875x492v1.jpeg "(Bild: © Looker_Studio/stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/51/34/5134975c97cebf7549b21b05454f4cec/cybersecurity-elnur-adobestock-394674637-neu-900x506v1.jpeg "(Bild: © Elnur/stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/9e/88/9e884cac1f5ea1b21159ac7c3bf73b76/flexera-it-management-2026-freepik-7360x4142v1.jpeg "(Bild: Freepik)")
:quality(80)/p7i.vogel.de/wcms/9c/3a/9c3a866def18ca8aebbe659276a18b81/consense-release-2025-2-16-9-1400x787v1.jpeg "Praktische Funktionen und die KI-Integration in der ConSense Release 2025.2 optimiert die Arbeit mit QMS- und IMS-Systemen. (Bild: insta_photos)")
:quality(80)/p7i.vogel.de/wcms/22/dd/22dd3877ab935747f146a760d14315d6/ki-agent-thapana-studio-adobestock-1281084264-neu-1200x675v1.jpeg "(© Thapana_Studio/stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b3/aa/b3aa340d5ac168ee0fee01f42035ff4d/dji-20mavic-204-20pro-bild-16-9-1680x944v1.jpeg "Die Drohne Mavic 4 Pro von DJI ermöglicht neue Perspektiven von Luftaufnahmen.
(Bild: DJI)")
:quality(80)/p7i.vogel.de/wcms/62/1a/621a89cd2d07f631880e43cda889118b/adobestock-1644426553-karina-digital-health-969x545v1.jpeg "(Bild: © KARINA/stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/30/cd/30cd86fcb5d329cc823b8a6114db8189/dmea-20berlin-202025-16-9-2000x1124v1.jpeg "Die diesjährige DMEA findet vom 21. bis 23. April 2026 in der Messe Berlin statt. (Bild: © Messe Berlin GmbH)")
:quality(80)/p7i.vogel.de/wcms/3a/d6/3ad6ea137cead57bf9d1d9517dd5f8d7/stackit-sana-20kliniken-16-9-1749x983v1.jpeg "Sana Kliniken setzt auf die souveräne Cloud-Infrastruktur von Stackit. (Bild: Sana Kliniken AG)")
:quality(80)/p7i.vogel.de/wcms/94/eb/94eb9f2fa3eda7c475bbc15ab0a37d7e/digital-20health-sdecoret-adobestock-178705480-neu-999x562v1.jpeg "(Bild: © sdecoret/stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/64/f5/64f5013e4eedfa4f98b795e30cac7adc/it-sa-expo-26congress-eingang-3-2-1400x788v1.jpeg "(Bild: NürnbergMesse GmbH)")
:quality(80)/p7i.vogel.de/wcms/e6/db/e6dbf6cd77bbb7d46954d17450354c62/ot-oulaphone-adobestock-1069683089-5798x3264v1.jpeg "(Bild: © Oulaphone/stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a2/b7/a2b78c24a10a843fe4456112371dff7d/cybersecurity-looker-studio-adobestock-563886800-neu-875x492v1.jpeg "(Bild: © Looker_Studios/stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b4/07/b407aec50a1c555341b71483c58d954a/resilienz-srite-20khatun-adobestock-821261728-neu-880x495v1.jpeg "(Bild: © Srite Khatun/stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0c/37/0c3795d561b32378f5a1728f3efcedaa/esker-scott-20mcdermott-16-9-1200x674v1.jpeg "Scott McDermott ist neuer Chief Financial Officer von Esker. (Bild: Esker)")
:quality(80)/p7i.vogel.de/wcms/46/b2/46b26d5ed883ada5b43309c2b4c76011/arbeitsplatz-exnoi-adobestock-808744861-mitki-996x560v1.jpeg "(Bild: © Exnoi/stock.adobe.com - generiert mit KI)")
:quality(80)/p7i.vogel.de/wcms/e7/c2/e7c24ae49b93587a03e144ce71866eaf/digitalisierung-wrightstudio-adobestock-235419903-neu-1500x843v1.jpeg "(Bild: © WrightStudio/stock.adobe.com)")
:fill(fff,0)/p7i.vogel.de/companies/67/e4/67e4fb08c8409/cadfem-logo-152x152-1.jpeg "cadfem-logo-152x152-1 (CADFEM Germany GmbH)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/66/27/66276a182029e/dvelop-logo-grey.jpeg "dvelop-logo-grey (d.velop AG)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/5f/ca/5fca223f78cb5/xsuite-logo-rgb.jpg "XSUITE_LOGO_RGB.jpg (xSuite)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/05/c0/05c07ef02a0a89d0139992411b9bd6be/adobestock-1421623707-thanapipat-lieferketten-1000x563v1.jpeg "adobestock-1421623707-thanapipat-lieferketten-1000x563v1 (Bild: © Thanapipat/stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/6d/4a/6d4a509a39175da4cd88013ae04ac2dd/ot-oulaphone-adobestock-1069683089-5798x3264v1.jpeg "ot-oulaphone-adobestock-1069683089-5798x3264v1 (Bild: © Oulaphone/stock.adobe.com - generiert mit KI)")
:quality(80)/p7i.vogel.de/wcms/58/63/5863e7195ce5206977a7bed7b2c629b5/cyberangriff-greenoptix-adobestock-795873778-neu-1200x675v1.jpeg "Lieferkette (Bild: GreenOptix/Adobe Stock)")