Anbieter zum Thema

Hornetsecurity GmbH

CADFEM Germany GmbH

d.velop AG

xSuite Group GmbH

Software-Lieferkette: Tipps und Maßnahmen zum Schutz

Welche konkreten Maßnahmen sollten Unternehmen ergreifen, um sich und ihre Partner vor Angriffen über die Lieferkette zu schützen?

Dr. Yvonne Bernard: Die wichtigste technische Maßnahme ist die konsequente Einführung der Multi-Faktor-Authentifizierung (MFA) für alle Konten, insbesondere für E-Mail-Zugänge, Fernzugriffe und sensible Systeme. Dies reduziert die Erfolgsaussichten von Credential-Phishing drastisch. Auf organisatorischer Ebene ist eine Mitarbeiterschulung entscheidend, die das Erkennen von Social Engineering und das strikte Befolgen von Verifizierungs-Prozessen in den Fokus rückt. 

Zahlungsänderungen von Lieferanten sollten beispielsweise niemals nur per E-Mail bestätigt werden, sondern immer auch über einen zweiten, unabhängigen Kommunikationsweg (zum Beispiel ein bestätigtes Telefonat mit dem bekannten Ansprechpartner) überprüft werden. Ergänzend müssen E-Mail-Sicherheitslösungen implementiert werden, die fortschrittliche Threat Intelligence nutzen, um Spoofing und anomale Verhaltensmuster zuverlässig zu erkennen und zu blockieren. Monitoring, Logging und gegebenenfalls Managed Detection & Response sorgen dafür, dass verdächtige Aktivitäten früh erkannt werden. Die digitale Signatur-Verifikation von Software-Updates reduziert das Risiko kompromittierter Lieferungen.

Die wichtigste technische Maßnahme ist die konsequente Einführung der Multi-Faktor-Authentifizierung (MFA) für alle Konten, insbesondere für E-Mail-Zugänge, Fernzugriffe und sensible Systeme. Dies reduziert die Erfolgsaussichten von Credential-Phishing drastisch.

Dr. Yvonne Bernard, CTO bei Hornetsecurity by Proofpoint

Gibt es Best Practices, um die Sicherheit in der Lieferkette zu verbessern?

Dr. Yvonne Bernard: Die Sicherheit der Lieferkette erfordert einen strategischen, Governance-basierten Rahmen. Eine transparente Risikobewertung (Due Diligence) identifiziert kritische Lieferanten, deren Ausfall oder Kompromittierung besonders gravierend wäre. Zweitens müssen die Sicherheitsanforderungen in Verträgen verankert werden, inklusive Mindestsicherheitsstandards, Patch-Management, MFA sowie Meldepflichten bei Sicherheitsvorfällen. Drittens muss das Zero-Trust-Prinzip als technische Leitlinie implementiert werden: Zugriffe erfolgen nach dem Grundsatz Least Privilege- sowie einer konsequenten Netzwerksegmentierung, um laterale Bewegung bei einem Einbruch zu erschweren.

Wie sollten Unternehmen auf potenzielle Sicherheitsvorfälle in der Lieferkette vorbereitet sein?

Dr. Yvonne Bernard: Um sich auf Sicherheitsvorfälle in der Lieferkette vorzubereiten, müssen Unternehmen ihren internen Incident-Response-Plan (IRP) auf externe Partner ausweiten. Zentral sind vertraglich fixierte Meldepflichten und Eskalationsprozesse, sodass Lieferanten Sicherheitsvorfälle unverzüglich melden müssen. Zusätzlich braucht es einen dedizierten Reaktionsplan für die Lieferkette, der klare Maßnahmen zur Eindämmung vorsieht, falls ein kritischer Dienstleister kompromittiert wird. Falls erforderlich, kann dies die sofortige, temporäre Unterbrechung des Netzzugriffs für den kompromittierten Partner bedeuten.

Dazu gehören sicher auch regelmäßige Tests?

Dr. Yvonne Bernard: Zur Wirksamkeit gehören regelmäßige Probeläufe und Simulationen (Tabletop Exercises), bei denen realistische Szenarien wie Vendor Email Compromise (VEC) oder eine kompromittierte Software-Komponente durchgespielt werden. Ziel ist es, die Kommunikationswege (auch alternative Kanäle außerhalb des E-Mail-Systems) sowie die technischen und rechtlichen Schritte gemeinsam mit der IT-Sicherheit, der Rechtsabteilung, dem Management und den betroffenen Partnern zu trainieren. So lässt sich für den Ernstfall eine schnelle, koordinierte und schadensbegrenzende Reaktion sicherstellen.

Sie haben bereits den Solarwind-Vorfall im Herbst 2020 erwähnt. Er  gilt bis heute als Paradebeispiel für Supply-Chain-Angriffe. Zuerst wurde Solarwinds selbst gehackt – dann waren die Kunden an der Reihe. Welche Lehren lassen sich aus solchen Fällen für Unternehmen ziehen?

Dr. Yvonne Bernard: Der Solarwinds-Hack zeigte auf drastische Weise, dass das traditionelle Verständnis der „Netzwerk-Perimeter-Sicherheit" nicht mehr ausreicht: Erst wurde der Dienstleister kompromittiert, dann dessen Kunden. Die zentrale Lehre daraus ist, dass klassische Perimeter-Sicherheit nicht mehr ausreicht. Unternehmen müssen stattdessen das Zero-Trust-Prinzip „Vertraue niemandem, überprüfe alles" umsetzen. 

Auch Updates kritischer Lieferanten, die auf den ersten Blick legitim erscheinen, dürfen nicht mehr vertraut werden. Stattdessen muss der Zugriff nach dem Grundsatz Least-Privilege begrenzt und die Netzwerkkommunikation konsequent segmentiert werden. Der Fall unterstreicht zudem die Relevanz von Detection-and-Response-Mechanismen: Unternehmen müssen in der Lage sein, ungewöhnliche Aktivitäten selbst aus vermeintlich vertrauenswürdigen Quellen früh zu erkennen, um ein unbemerktes Einnisten und laterale Bewegungen der Angreifer zu verhindern, statt sich allein auf Prävention zu verlassen.

Welche Trends erwarten Sie in naher Zukunft in Bezug auf die Digitalisierung und Sicherheit von Lieferketten?

Die nahe Zukunft der Lieferketten wird von künstlicher Intelligenz, Big-Data-Analysen und das Internet der Dinge geprägt sein. KI wird nicht nur das Forecasting und die Logistik optimieren, sondern auch zum zentralen Sicherheitsfaktor werden, da sie Anomalie- und Bedrohungserkennung automatisiert. Auf der anderen Seite setzen Angreifer auf Generative KI, hyperpersonalisiertes Social-Engineering, Phishing oder Deepfake-basiertes Vishing (Voice Phishing), um ihre Angriffe zu skalieren.

Parallel dazu entwickelt sich Zero-Trust vom strategischen Konzept zur operativen Norm: Jede Zugriffsanforderung wird unabhängig von Standort oder Gerät grundsätzlich überprüft. Gleichzeitig verschärfen neue Regulierungen wie NIS-2 die Sorgfaltspflichten in der Lieferkette und erhöhen die Anforderungen an das Cyber-Risikomanagement.

Schließlich wird die Notwendigkeit von Resilienz und Transparenz die Nutzung von Digital-Twin-Technologie vorantreiben, um komplexe Lieferketten bis hin zu den Viertlieferanten (Fourth-Party Risk) zu simulieren, zu überwachen und besser absichern zu können.