Warum digitale Resilienz an der Lieferkette beginnt

Third-Party-Risiken im Fokus

Lieferkette, Supply Chain
LinkedInRedditWhatsApp

Es ist so etwas wie der heftige Start eines digitalen Dominoeffekts: Gehackte Rechenzentren, kompromittierte Cloud-Dienstleister oder manipulierte Software-Updates: Cyberangriffe verlaufen 2026 immer häufiger über Umwege (“Third-Party-Angriffe”).

Statt Unternehmen direkt zu attackieren, kompromittieren Angreifer gezielt Drittanbieter. Das können IT-Dienstleister, Softwarehersteller, Managed-Service-Provider oder spezialisierte Zulieferer entlang der digitalen Wertschöpfungskette sein. 

Anzeige

Was lange als isoliertes IT-Sicherheitsproblem galt, hat sich zu einem strukturellen Risiko der vernetzten Wirtschaft entwickelt. Digitale Resilienz endet nicht mehr an der eigenen Firewall. Sie beginnt bei externen Partnern und kann eben genau dort scheitern. Welche Sicherheiten gibt es also heute noch? Und wie lassen sich digitale Resilienz und unternehmerisches Wachstum harmonisieren?

Angriff auf enge Vertraute  

Aktuelle Erhebungen internationaler Sicherheitsanbieter zeigen die Dimension: 2025 berichteten rund 97 Prozent der befragten global agierenden Unternehmen von spürbaren Betriebsstörungen. Die Ursache war stets dieselbe: Sehr engmaschige Angriffe auf ihre Supply Chain.

Dienstleister, Partner, Zulieferer des eigenen Unternehmens. Im Vorjahr lag dieser Wert noch bei 81 Prozent. Die Dynamik ist also eindeutig steigend. Third-Party-Angriffe nutzen bestehende Vertrauensbeziehungen gnadenlos aus. Ein kompromittierter Wartungsdienstleister, ein manipuliertes Software-Update oder ein unsicher konfigurierter Cloud-Zugang eröffnen Cyberkriminellen Zugriff auf mehrere Zielunternehmen gleichzeitig. 

Anzeige

Besonders attraktiv sind dabei kleinere und mittelständische Dienstleister mit geringeren Sicherheitsbudgets und weniger ausgereiften Kontrollmechanismen. Auch fehlt es in diesen Firmen an inhouse Expertise, um der Lage Herr zu werden. 

Hinzu kommt: Digitale Lieferketten verlaufen selten linear. Subdienstleister, ausgelagerte Entwicklungsleistungen oder externe Administratoren bleiben häufig intransparent. Angreifer nutzen genau diese Unübersichtlichkeit, bewegen sich lateral durch Netzwerke und umgehen klassische Perimeterschutzmechanismen. 

Für betroffene Organisationen materialisiert sich das Risiko oft erst, wenn es bereits zu Betriebsunterbrechungen, Datenabflüssen oder regulatorischen Meldepflichten gekommen ist. Ist der Schaden allerdings da, geht es fortfolgend nur noch um Schadensbegrenzungen. 

Wenn wirtschaftliche Verzahnung zum Geschäftsrisiko werden

Die starke Integration externer IT-Services ist betriebswirtschaftlich sinnvoll. Cloud-Infrastrukturen, spezialisierte SaaS-Lösungen oder ausgelagerte Betriebsmodelle erhöhen Effizienz, Skalierbarkeit und Innovationsgeschwindigkeit. Gleichzeitig verschieben sie jedoch Teile des Risikoprofils nach außen.

Für Unternehmen bedeutet das: Ein erheblicher Anteil der operativen Resilienz hängt von Akteuren ab, die nicht der eigenen direkten Steuerung unterliegen. Kontrolle wird abgegeben. Sicherheiten auch. 

Produktionsausfälle, Vertragsstrafen, Reputationsverluste oder regulatorische Sanktionen infolge eines Drittparteienvorfalls wirken unmittelbar auf Ergebnis, Liquidität und Unternehmenswert. Cyberrisiken sind damit längst ein Governance- und Managementthema. Sie hören auf, eine technische Fragestellung der IT-Abteilung zu werden. 2026 sind es essenzielle Punkte für die ökonomische Performance des Business. Entsprechend müssen sie systematisch in die unternehmensweite Governance-, Risk- und Compliance-Architektur integriert und auf Management-Ebene steuerbar gemacht werden.

Klassische Kontrollmechanismen greifen hier nur eingeschränkt. Während Markt-, Kredit- oder Liquiditätsrisiken regelmäßig bewertet werden, bleiben Drittparteienrisiken in vielen Organisationen fragmentiert. Lieferantenlisten sind unvollständig, Sicherheitsanforderungen historisch gewachsen, langjährige Partnerschaften werden selten neu bewertet. 

Sicherheitsstandards, die heute als Mindestmaß gelten, waren vor fünf oder zehn Jahren bei Vertragsabschluss oft kein Thema. Diese Verkettung macht digitale Einflugschneisen deutlich größer und Hackern leichtes Spiel.

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.

Regulatorik macht Third-Party-Management zur Pflicht

Der europäische Gesetzgeber reagiert auf diese Entwicklung mit verschärften Vorgaben. NIS-2 und der Digital Operational Resilience Act (DORA) adressieren ausdrücklich die Sicherheit der Lieferkette und verankern das Management von IKT-Drittparteienrisiken auf Management-Ebene.

DORA verpflichtet Finanzunternehmen wiederum, IKT-Drittparteienrisiken als integralen Bestandteil ihres IKT-Risikomanagementrahmens zu steuern. Dazu gehören unter anderem die Identifikation kritischer Dienstleister, vertragliche Mindestanforderungen, kontinuierliche Risikoanalysen sowie definierte Exit-Strategien. Auch NIS-2 fordert explizit Maßnahmen zur Absicherung der Lieferkette.

Für viele Organisationen bedeutet das einen Paradigmenwechsel: Weg von punktuellen Lieferantenbewertungen, hin zu einem kontinuierlichen, dokumentierten und prüfbaren Third-Party-Risikomanagement. Verantwortung dafür ist zunehmend auf C-Level-Ebene verortet. 

Von der Checkliste zur integrierten Resilienzstrategie

Wirksame Resilienz gegenüber Third-Party-Angriffen entsteht nicht durch einmalige Audits oder standardisierte Fragebögen. Entscheidend ist die strukturierte Verzahnung von Governance, operativen Prozessen und technischen Kontrollmechanismen innerhalb eines konsistenten GRC-Rahmens.

1. Listing aller Third Parties

Am Anfang steht die vollständige Identifikation aller relevanten Drittanbieter. Einschließlich Subdienstleistern. Nur wenn klar ist, welche Partner geschäftskritische Funktionen unterstützen, lassen sich Risiken priorisieren.

Darauf aufbauend sind risikobasierte Klassifizierungen, regelmäßige Neubewertungen und vertraglich verankerte Sicherheitsanforderungen erforderlich.

2. Digitales Maßnahmenpaket für vernetzte Unternehmen

Kontinuierliches Monitoring, definierte Meldewege und klare Verantwortlichkeiten erhöhen die Transparenz. Technisch gewinnen Zero-Trust-Modelle, segmentierte Zugriffsrechte, Multi-Faktor-Authentifizierung und ein gründliches, regelmäßiges Monitoring an Bedeutung.

Ziel ist es, im Falle einer Kompromittierung die Ausbreitung zu begrenzen und Anomalien frühzeitig zu erkennen.

3. Den Exit managen

Ein häufig unterschätzter Aspekt ist das Exit-Management. Was passiert, wenn ein kritischer Dienstleister kurzfristig ausfällt oder ersetzt werden muss? Ohne vorbereitete Übergangsszenarien entstehen schnell hohe Zusatzkosten und lange Betriebsunterbrechungen.

Exit-Strategien sind daher nicht nur regulatorische Pflicht, sondern Bestandteil vorausschauender Unternehmenssteuerung.

AI & Third Party Angriffe: Beschleuniger für Angriff und Verteidigung

Künstliche Intelligenz verstärkt die Dynamik auf beiden Seiten. Angreifer nutzen KI, um Schwachstellen in deutlich schnellerem Tempo zu identifizieren, Phishing-Kampagnen zu personalisieren oder Schadsoftware flexibel anzupassen.

Gleichzeitig entstehen neue Drittparteienrisiken durch externe KI-Modelle, Trainingsdaten oder SaaS-basierte KI-Services.

Auf der Verteidigungsseite ermöglichen KI-gestützte Analysen eine schnellere Auswertung großer Datenmengen. Die frühzeitige Identifikation von Auffälligkeiten in Lieferkettenbeziehungen fällt leichter. Voraussetzung ist jedoch eine klare Governance: KI-Systeme müssen nachvollziehbar, prüfbar und in bestehende Kontrollmechanismen eingebettet sein. Als Blackbox erhöhen sie das Risiko. Als integriertes Instrument können sie Resilienz gezielt stärken.

Digitale Resilienz beginnt extern

Bedeutet im Klartext: Third-Party-Risiken sind kein vorübergehender Trend, sondern Ausdruck einer hochgradig vernetzten Ökonomie. Unternehmen, die Resilienz ausschließlich als internes IT-Projekt begreifen, greifen zu kurz. Entscheidend ist die systematische Einbettung von Drittparteienrisiken in bestehende Governance-, Risk- und Compliance-Strukturen. 

Nur wenn Abhängigkeiten, Risikokonzentrationen und regulatorische Anforderungen ganzheitlich abgebildet werden, entsteht echte Steuerungsfähigkeit.

Wer Abhängigkeiten transparent macht, Risiken kontinuierlich bewertet und organisatorisch verankert, stärkt nicht nur die operative Stabilität, sondern auch die eigene Wettbewerbsfähigkeit. In einer Zeit, in der digitale Wertschöpfungsketten immer komplexer werden, entscheidet nicht allein die eigene Sicherheitsarchitektur über den Unternehmenserfolg, sondern ebenso die Resilienz der angebundenen Partner.


Fino Scholl ist Managing Director der Swiss GRC Germany GmbH

Fino

Scholl

Managing Director

Swiss GRC Germany GmbH

Er verantwortet den Ausbau des Deutschlandgeschäfts sowie die Weiterentwicklung der Marktaktivitäten des Unternehmens. Zuvor war er in leitenden Funktionen bei der IAV im Risiko- und Kontrollumfeld sowie in der industriellen Forschung tätig. Scholl promovierte im Maschinenbau an der Universidad de Valladolid und hält einen Masterabschluss der Karlsruhe University of Applied Sciences. 
Anzeige

Artikel zu diesem Thema

Q1
2. März 2026
Q1 ist das gefährlichste Quartal für Cyberangriffe

Weitere Artikel

Supply-Chain-Angriffe: Unterschätzte Gefahr für deutsche Unternehmen
Cybercrime kennt kein Geschlecht, aber oft ein Ziel
Silver Dragon: Chinesische Spionagekampagne zielt auf europäische Behörden
Vibeware: Wie gut ist Vibe-Code-Malware?
Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.