Thought Leadership
Lieferketten sind heute hochkomplex und zunehmend digital vernetzt. Damit sind sie ein beliebtes Angriffsziel für Cyberkriminelle, die sich über Drittanbieter Zugang zur IT-Infrastruktur ihres Opfers verschaffen können.
Unternehmen messen den Datenschutzmaßnahmen und Sicherheitsstrategien ihrer Zulieferer, Dienstleister und Partner deshalb mehr Bedeutung bei als je zuvor. Tatsächlich beinhalten moderne Beschaffungsprozesse die Sicherheitsvalidierung häufig als obligatorischen Schritt.
Das Ausmaß von Supply-Chain-Angriffen ist inzwischen beträchtlich. Laut dem jährlich erscheinendem Data Breach Investigations Report von Verizon waren bei 30 Prozent der im Jahr 2025 analysierten Sicherheitsvorfälle Dritte beteiligt. Das sind doppelt so viele wie im Vorjahr. Der Bericht zeigt auch, dass diese Vorfälle „teilweise auf die Ausnutzung von Sicherheitslücken und Betriebsunterbrechungen zurückzuführen waren“.
Für Unternehmen heißt das: Wenn sie neue Lieferanten oder Dienstleister in ihre Lieferkette mit einbinden, dann spielen bei der Auswahl nicht nur Aspekte wie Produktfunktionalität oder Preisgestaltung eine Rolle, sondern zunehmend auch ein nachweisbar hoher Sicherheitsstatus und ein angemessener Governance-Reifegrad. Die individuellen Anforderungen variieren und können unterschiedliche Aspekte umfassen, von Sicherheitsgarantien und Zertifizierungen bis hin zu Prüfberichten und dokumentierten Kontrollmaßnahmen. Anbieter, die hinter diesen Erwartungen zurückbleiben und nicht belegen können, dass sie keine neuen Risiken für die Lieferkette mit sich bringen, laufen Gefahr, von der Auswahlliste gestrichen oder sogar gänzlich vom Beschaffungsprozess ausgeschlossen zu werden.
Angesichts der enormen Risiken, mit denen Unternehmen heute konfrontiert sind, ist dies eine logische und längst überfällige Reaktion auf die aktuellen Herausforderungen im Enterprise Risk Management. Tatsächlich sollten die Verantwortlichen Risiken durch Dritte als Aspekt der internen Sicherheit und als Teil der Gesamtangriffsfläche betrachten. Es fragt sich nur, ob dieser Wandel schnell genug erfolgt.
Die Herausforderung durch unstrukturierte Daten
Die Risikosituation ist für Unternehmen, die große Mengen unstrukturierter Daten verwalten, besonders gravierend, wenn sensible Informationen in Dateien eingebettet und nicht eindeutig als solche klassifiziert oder gekennzeichnet sind. Denn die Nachverfolgung von unstrukturierten Daten wie E-Mails, Dokumenten und Multimediadateien gestaltet sich grundsätzlich komplexer. Weil diese Formate nicht in klassische Datenbanken passen, haben viele Unternehmen nur mangelnde Einblicke dazu, wo Informationen gespeichert sind und wer auf sie zugreifen kann. Prozesse wie Migration und Archivierung können die Wahrscheinlichkeit einer Datenschutzverletzung noch erhöhen.
Die 2023 entdeckte MOVEit-Sicherheitslücke veranschaulicht, wie solche Risiken entstehen können: Sensible Daten wurden dabei nicht aufgrund eines Ausfalls des Primärspeichers oder wegen Lücken im Perimeterschutz kompromittiert, sondern durch eine Schwachstelle im weit verbreiteten Dateiübertragungssystem des Anbieters.
Regulatorische Anforderungen erhöhen die Komplexität beim Datenschutz noch zusätzlich, da Unternehmen unterschiedliche und sich ändernde gesetzliche Vorgaben für verschiedene Gerichtsbarkeiten und Datentypen erfüllen müssen. Dazu gehören unter anderem Vorschriften zur Datenspeicherung und -aufbewahrung oder die Verarbeitung von Zugriffs- oder Löschungsanträgen nach der DSGVO. Denn viele Firmen haben auf Unternehmensebene immer noch Schwierigkeiten, den Zugriff auf ihre Daten angemessen zu kontrollieren – selbst dann, wenn sie wissen, über welche Datensätze sie verfügen. Sogar Unternehmen, die verstärkt in Compliance-Programme investieren, tun sich oft schwer, mit den verschiedenen rechtlichen Anforderungen in ihrer Branche Schritt zu halten, weil diese sich ständig weiterentwickeln.
Datenmanagement über den gesamten Lebenszyklus hinweg
Von Unternehmen wie auch ihren Drittanbietern wird zunehmend erwartet, dass sie nicht nur ihre Sicherheitskompetenz unter Beweis stellen, sondern auch die Verantwortung für den Datenschutz während des gesamten Datenlebenszyklus übernehmen, also vom Entstehen der Daten bis zu ihrer Archivierung und endgültigen Löschung. Dazu gehört zum Beispiel, wie auf die Daten zugegriffen wird und wie sie verschoben, gespeichert und schließlich entfernt werden. Aufgrund dieser Verlagerung der Verantwortung hat ein effektives Datenmanagement nicht nur eine unterstützende Funktion, sondern muss von Grund auf in die gesamte Lieferkette verankert werden.
So sind beispielsweise viele Kunden nicht mehr gewillt, sich auf bloße Zusicherungen zu verlassen. Sie erwarten stattdessen klare und nachvollziehbare Belege dafür, wie Daten in der Praxis behandelt und abgesichert werden, einschließlich transparenter Einblicke in die Kontrollmaßnahmen und Governance-Frameworks. Lieferanten müssen durchgängig nachweisen können, wie die sensiblen Daten im täglichen Umgang geschützt sind. Und Sicherheitskompetenzen, die Lieferanten zuvor vielleicht als Alleinstellungsmerkmal ausgezeichnet haben, werden plötzlich zur Mindestvoraussetzung, um noch Teil der Lieferkette zu bleiben. Ein effektives Datenmanagement ist deshalb unerlässlich.
Auftraggeber sollten nicht nur fragen, ob ein Lieferant oder Dienstleister über eine Zertifizierung verfügt. Sie sollten auch berücksichtigen, wie Daten in der Praxis verwaltet werden, was beim Auftreten von Problemen geschieht und ob der betreffende Anbieter die Governance-Maßnahmen nicht bloß in der Dokumentation vorsieht, sondern auch deren proaktive Umsetzung nachweisen kann. Ohne diese Prozesse und Belege werden Lieferketten weiterhin extrem anfällig bleiben.
