Thought Leadership
Hyperkonnektivität hat Cyberresilienz von einer internen IT-Fähigkeit zu einer Eigenschaft des Gesamtökosystems verändert.
Die meisten Unternehmen arbeiten heute mit einem dichten Geflecht aus SaaS-Plattformen, Managed Service Providern (MSPs), Logistikpartnern und spezialisierten Anbietern. Gleichzeitig weitet sich die Bedrohungslandschaft über klassische Perimeter-Kontrolle hinaus aus: Lieferketten-Kompromittierungen, KI-gestützte Angriffswerkzeuge und geopolitisch motivierte Kampagnen erhöhen den Druck auf Verfügbarkeit und Wiederherstellbarkeit. Da die Verhinderung von Sicherheitsvorfällen an ihre praktischen Grenzen stößt, wandelt sich Resilienz von einem technischen Anspruch zu einer operativen Notwendigkeit.
In vielen Wertschöpfungsketten entsteht eine strukturelle Lücke. Die Verantwortung für Sicherheit und Kontinuität liegt oft am unteren Ende, während Ressourcen und Spezialkompetenzen sich an der Spitze konzentrieren. Kleine und mittlere Unternehmen (KMU) bilden die überwiegende Mehrheit der Weltwirtschaft und stellen auch das wirtschaftliche Rückgrat in Deutschland dar: In den vom Statistischen Bundesamt untersuchten Wirtschaftssektoren stellten KMU 99,3 Prozent der Unternehmen und rund 53 Prozent der Beschäftigten. Die Risiken reichen jedoch weit über die KMU selbst hinaus. Wenn kleinere Zulieferer sich nach einem Vorfall nicht erholen können, erben größere Unternehmen den Ausfall, die Lieferunterbrechung und den Reputationsschaden.
Lieferketten sind nur so resilient wie ihr schwächstes Glied
Moderne Produktion und Dienstleistungen hängen von mehrstufigen Lieferanten-Ökosystemen ab. Ein einzelner Anbieter kann verantwortlich sein für Kundenportale, Steuerungssysteme in der Fertigung, Authentifizierungs-Workflows oder Versandabläufe. Doch trotz dieser Abhängigkeit enden Resilienz-Prüfungen oft bei vertraglichen SLAs und einfachen Sicherheitsfragebögen. Viele Unternehmen setzen Verfügbarkeit, Sicherheitskontrollen und die Fähigkeit zur raschen Wiederherstellung voraus, ohne diese Annahmen in realistischen Ausfallszenarien zu testen.
Dies schafft eine systemische Verwundbarkeit: Der Ausfall eines einzigen Zulieferers kann eine Fertigungslinie zum Stillstand bringen, den Kundenzugang unterbrechen oder die Datenintegrität über mehrere Organisationen hinweg gefährden. Das praktische Risiko steigt mit zunehmender Automatisierung der Lieferketten. Angreifer nutzen diese Abhängigkeiten aus, indem sie MSPs, Remote-Management-Tools, Software-Update-Pfade und gemeinsam genutzte Cloud-Dienste kompromittieren. Kleinere Unternehmen stehen vor einem besonderen Dilemma: Sie setzen häufig Verbraucher-Tools oder kostenlose Lösungen ein, die nicht die Telemetrie, Incident-Response-Tiefe oder Automatisierung der Wiederherstellung liefern können, die in größeren Umgebungen üblich sind. Das Ergebnis ist vorhersehbar: Angreifer attackieren das schwächste Ziel, um größtmöglichen Schaden zu erzeugen.
Cybersicherheit ist ein geteiltes Risiko, aber keine geteilte Verantwortung
Große Unternehmen setzen typischerweise auf dedizierte Sicherheitsteams, mehrschichtige Kontrollen, Security-Monitoring und Wiederherstellungs-Tools, unterstützt durch Budgets, die kontinuierliche Tests und Verbesserungen erlauben. Kleineren Zulieferern und dem Mittelstand fehlen oft das Know-how, die Zeit und die Personalressourcen, um sich gegen Angriffe zu verteidigen oder sich davon zu erholen. Sie verfügen zudem über begrenzte Verhandlungsmacht gegenüber Konzernen. Die Sicherheitsanforderungen steigen, doch Vorgaben zu Kostenaufteilung, Tool-Zugang oder realistischen Zeitplänen bleiben schwierig.
Dieses Ungleichgewicht verlagert die Last der Resilienz nach unten zu den Unternehmen, die am wenigsten dafür ausgerüstet sind. Compliance-Druck verstärkt das Problem. Neue und sich überschneidende Regulierungen erhöhen den Dokumentationsaufwand, doch Compliance allein garantiert keinen Schutz. Selbst gut geführte Programme können die operative Frage übersehen, die während eines Ausfalls zählt: Wie schnell können kritische Services wiederhergestellt werden und mit welchen Integritätsgarantien?
Die Cyber-Resilienz-Kluft wächst und ist gefährlich
Katastrophale Cyberrisiken beginnen selten mit einem aufsehenerregenden Vorfall bei einem globalen Konzern. Das gefährlichere Szenario ist unauffälliger: Eine Kaskade kleinerer Ausfälle über Lieferantenökosysteme hinweg, die einen „digitalen Domino-Effekt“ auslöst. Viele KMU operieren noch immer mit der Annahme, zu klein oder uninteressant für Angreifer zu sein, was das Sicherheitsbewusstsein senkt und Investitionen in Wiederherstellungsplanung verzögert. In der Praxis sind diese Organisationen oft die Einfallstore. Sie sind mit größeren Kunden verbunden, haben privilegierten Fernzugriff, tauschen sensible Daten aus und sind von gemeinsamen Anbietern abhängig.
Das Risiko für KMU, dass Cyberangriffe für ihr Geschäft fatal sind, ist groß. Vielen kleineren Organisationen fehlen verifizierte Pläne zur Wiederherstellung und sie haben nur begrenzte Einsicht in potenzielle Bedrohungen. Eine vom TÜV Thüringen durchgeführte Umfrage bestätigt: Bei Unternehmen mit weniger als 49 Mitarbeitenden spielt Cybersicherheit nur bei der Hälfte eine wichtige Rolle, und 28 Prozent von ihnen sind sich des Themas nicht einmal bewusst oder halten es für irrelevant. Im Gegensatz dazu spielt Cybersicherheit für 80 Prozent der Großunternehmen eine wichtige Rolle. Doch auch größere Partner stellen nicht immer die Fragen, die eine Geschäftskontinuität definieren: Kann sich dieser Partner oder Zulieferer erholen? Wie schnell? Welche Abhängigkeiten blockieren die Wiederherstellung? Was passiert mit dem Betrieb, wenn dieser Anbieter tagelang statt stundenweise ausfällt?
Der Cyber Security Breaches UK Survey bestätigt ein wachsendes Bewusstsein mit Zahlen, die dieselbe Kaskade in der Risikobewertung widerspiegeln: Nur zehn Prozent der kleineren Unternehmen geben an, die Risiken zu prüfen, die von ihren unmittelbaren Zulieferern ausgehen, während mehr mittlere Unternehmen (28 Prozent) und große Unternehmen (48 Prozent) die Risiken unmittelbarer Zulieferer überprüfen.
Vorstände müssen den Fokus von Compliance auf Kontinuität verschieben
Vorstände und Führungskräfte fordern häufig interne Cyber-Dashboards mit Zählungen zu Schwachstellen, Erkennungsmetriken und SOC-Alarmvolumen an. Diese Indikatoren helfen beim Management der Exposition, beantworten jedoch nicht die Frage nach der Lieferkette als Teil einer vernetzten Welt. Pläne zur Wiederherstellungszeit Dritter, Failover-Bereitschaft und Sollbruchstellen durch Abhängigkeiten erhalten selten dieselbe Aufmerksamkeit. Dies schafft einen blinden Fleck in der Governance genau dort, wo sich das operative Risiko konzentriert. Eine rein perimetergetriebene Sichtweise versagt, wenn Bedrohungen Partner, Cloud- und Drittanbieter-Abhängigkeiten ausnutzen. Cybersicherheit wird daher zu einer End-to-End-Lifecycle-Disziplin. Technische Kontrollen, kommerzielle Entscheidungen, Beschaffungsstrategie und Notfallplanung müssen aufeinander abgestimmt sein. Da nationalstaatliche Konflikte und geopolitische Spannungen zunehmend Lieferketten und Cloud-Angriffsmuster prägen, erfordert die heutige Aufgabe von CISOs und CSOs einen erweiterten Blickwinkel.
Das Risiko für Lieferketten sollte als Frage der Geschäftskontinuität behandelt werden. Dies erfordert Klarheit auf Managementebene: Welche Zulieferer sind geschäftskritisch, welche alternativen Wege existieren und welche Ausfallkombinationen werden den Betrieb stoppen. Verantwortung kann nicht ausgelagert werden. Wenn ein Anbieter ausfällt, fallen die Geschäftsabläufe mit aus.
Auf dem Weg zu einem neuen Modell: geteilte Resilienz, verifizierte Wiederherstellung
Ein resilientes Ökosystem braucht mehr als einen „Vertrauen, aber nicht überprüfen“-Ansatz. Security-Scorecards und externe Ratings können Perspektive bieten, beweisen jedoch keine Recovery-Fähigkeit. Resilienz hängt von messbarer Wiederherstellungsfähigkeit ab: Backup-Integrität, Recovery-Zeitvorgaben, Clean-Room-Verfahren, Identitätswiederherstellung und getestete Failover-Pfade. Unternehmen sollten daher verifizierbare Metriken zur Wiederherstellung von Zulieferern verlangen, nicht nur Kontroll-Attestierungen. Dies verschiebt das Drittanbieter-Risikomanagement von Checkbox-Compliance zu operativer Evidenz.
Systemische Unterstützung ist ebenso wichtig wie vertraglicher Druck. NIS2 verlangt als Teil von Cybersicherheits-Risikomanagement explizit Geschäftskontinuität und Lieferkettensicherheit. Die EU-Vorgabe hebt KMU als Ziele von Angriffen auf Lieferketten hervor, während es durch nationale Strategien Leitlinien und Unterstützung fordert. Im Finanzwesen gibt DORA strengere Anforderungen an Drittanbieter-Aufsicht und Resilienz-Tests vor, einschließlich eines EU-weiten Rahmens für kritische Drittanbieter.
Außerhalb regulierter Sektoren fehlt vielen KMU jedoch noch immer der Zugang zu praktischen Playbooks, Tools und Expertenunterstützung. Regierungen und Branchenorganisationen können diese Lücke durch gemeinsame Plattformen, Referenzarchitekturen und Richtwerte für Fähigkeit zur Wiederherstellung schließen, insbesondere für Sektoren mit hohen Abhängigkeiten.
