Im Dezember 2020 entdeckte das Sicherheitsunternehmen FireEye, dass seine eigenen Red-Team-Tools gestohlen worden waren. Die Spur führte zur Netzwerkmanagement-Software Orion von SolarWinds, die weltweit rund 18’000 Organisationen eingesetzt hatten. Angreifer hatten den Update-Mechanismus von SolarWinds kompromittiert und über Monate hinweg Schadcode über reguläre Software-Updates an Tausende Kunden verteilt. Unter den Betroffenen: das US-Finanzministerium, das Pentagon, Microsoft und zahllose Unternehmen. Niemand hatte den Lieferanten als Angriffsvektor auf dem Schirm.

Ein Jahr später, im Juli 2021, traf es Kaseya. Die REvil-Ransomware-Gruppe nutzte eine Schwachstelle in der Fernwartungssoftware Kaseya VSA, die von Managed Service Providern (MSPs) weltweit genutzt wird. Über die kompromittierten MSPs wurden bis zu 1’500 Endkundenunternehmen gleichzeitig mit Ransomware verschlüsselt. Die Lösegeldforderung: USD 70 Millionen.

Beide Fälle zeigen dasselbe Muster: Der Angreifer bricht nicht bei Dir ein. Er bricht bei Deinem Lieferanten ein und kommt durch eine Tür, die Du selbst geöffnet hast.

Warum Supply-Chain-Angriffe gerade KMU treffen

Die Logik hinter Supply-Chain-Angriffen ist brutal effizient: Statt 100 Unternehmen einzeln anzugreifen, kompromittiert der Angreifer einen gemeinsamen Zulieferer und erreicht alle 100 auf einen Schlag. Für KMU verschärft sich das Problem aus drei Gründen.

Erstens: Abhängigkeit von externen Dienstleistern. Die meisten Schweizer KMU lagern ihre IT ganz oder teilweise an externe Dienstleister aus. Der Managed Service Provider (MSP) hat Administratorzugang zu Deinen Systemen. Der Softwareanbieter liefert Updates, die automatisch installiert werden. Der Cloud-Provider hostet Deine Geschäftsdaten. Jede dieser Verbindungen ist ein potenzielles Einfallstor.

Zweitens: Asymmetrisches Risiko. Du kannst Deine eigene IT-Sicherheit kontrollieren. Die Sicherheit Deiner Lieferanten kannst Du nur bedingt beeinflussen. Ein KMU mit 30 Mitarbeitenden hat weder die Verhandlungsmacht noch die Ressourcen, um die Sicherheitspraktiken seines Cloud-Providers zu auditieren.

Drittens: Blindes Vertrauen. Software-Updates von vertrauenswürdigen Anbietern werden automatisch installiert. Der IT-Dienstleister hat Admin-Rechte, weil er sie für den Support braucht. Das VPN des Lieferanten ist dauerhaft verbunden. Jede dieser Konfigurationen ist im Normalbetrieb sinnvoll und im Angriffsfall eine Katastrophe.

Die Schweizer Dimension: Xplain, Concevis und die Folgen

Die Schweiz hat ihre eigenen Supply-Chain-Vorfälle erlebt, die das Risiko greifbar machen.

Xplain AG (2023): Der Berner IT-Dienstleister Xplain entwickelte Software für zahlreiche Schweizer Bundesbehörden, darunter das Bundesamt für Polizei (fedpol), das Bundesamt für Zoll und Grenzsicherheit (BAZG) und die Militärpolizei. Im Mai 2023 wurde Xplain von der Ransomware-Gruppe Play angegriffen. Die Angreifer stahlen grosse Mengen sensibler Daten und veröffentlichten sie im Darknet. Darunter befanden sich operative Daten von Bundesbehörden, die auf Xplain-Systemen gespeichert waren. Der Vorfall führte zu einer Administrativuntersuchung des Bundes durch das Anwaltsbüro Oberson Abels, die erhebliche Mängel in der Vertragsgestaltung und der Sicherheitsüberprüfung von Lieferanten aufdeckte (Bericht veröffentlicht im April 2024).

Concevis AG (2023): Nur wenige Monate nach dem Xplain-Vorfall wurde der Basler Softwareanbieter Concevis ebenfalls Opfer eines Ransomware-Angriffs. Concevis lieferte Software an die Eidgenössische Steuerverwaltung (ESTV), die Eidgenössische Zollverwaltung und mehrere Kantone. Auch hier gelangten potenziell sensible Daten in die Hände der Angreifer.

Die Lehre aus beiden Fällen: Selbst der Bund mit seinen Sicherheitsanforderungen hatte das Drittparteirisiko unzureichend im Griff. Die Administrativuntersuchung zum Xplain-Vorfall kritisierte explizit, dass Verträge mit IT-Dienstleistern keine ausreichenden Sicherheitsanforderungen enthielten und dass keine regelmässigen Sicherheitsüberprüfungen der Lieferanten stattfanden. Wenn das dem Bund passiert, wie steht es um Dein KMU?

Angriffstypen: Wie Supply-Chain-Angriffe funktionieren

Supply-Chain-Angriffe sind keine einheitliche Bedrohung. Sie lassen sich in vier Kategorien unterteilen, die unterschiedliche Abwehrstrategien erfordern:

Software-Supply-Chain-Angriffe Der Angreifer kompromittiert den Entwicklungs- oder Update-Prozess eines Softwareanbieters. Schadcode wird in legitime Software-Updates eingebettet und an alle Kunden verteilt. SolarWinds ist das prominenteste Beispiel. Für KMU relevant: Jedes Software-Update, jedes Plugin, jede Library kann kompromittiert sein. Open-Source-Bibliotheken sind ein besonders attraktives Ziel, weil ein einzelnes kompromittiertes Paket in Tausenden Anwendungen landen kann.

Managed-Service-Provider-Angriffe Der Angreifer kompromittiert einen MSP und nutzt dessen administrative Zugänge zu den Kundensystemen. Kaseya war der bekannteste Fall. In der Schweiz sind viele KMU von regionalen IT-Dienstleistern abhängig, die oft selbst nur begrenzte Sicherheitsressourcen haben.

Hardware-Supply-Chain-Angriffe Manipulierte Hardware (z. B. Netzwerkgeräte, USB-Sticks, IoT-Sensoren) wird bereits ab Werk oder in der Lieferkette kompromittiert. Diese Angriffe sind seltener, aber extrem schwer zu entdecken.

Zugangs-Supply-Chain-Angriffe Der Angreifer kompromittiert nicht den Lieferanten selbst, sondern nutzt die bestehenden Zugangswege: ein VPN-Tunnel zwischen Lieferant und Kunde, ein geteiltes Konto, eine API-Schnittstelle. Der Vorfall bei Xplain beinhaltete Elemente dieses Typs, da operative Daten auf Lieferantensystemen gespeichert waren, die weniger streng geschützt waren als die Systeme der Bundesbehörden selbst.

Fünf Massnahmen gegen Supply-Chain-Risiken

Du kannst Deine Lieferanten nicht vollständig kontrollieren. Aber Du kannst die Angriffsfläche verringern und die Auswirkungen eines kompromittierten Lieferanten begrenzen.

1. Lieferanten-Risikobewertung einführen Erstelle eine Liste aller Lieferanten mit Zugang zu Deinen Systemen oder Daten. Bewerte jeden nach Kritikalität (Was passiert, wenn dieser Lieferant kompromittiert wird?) und nach dem Umfang seines Zugangs. Für kritische Lieferanten: Frage nach Zertifizierungen (ISO 27001), Penetrationstest-Berichten und Incident-Response-Plänen. Verankere Sicherheitsanforderungen in den Verträgen.

2. Zugriffsrechte minimieren (Least Privilege) Dein MSP braucht keinen permanenten Admin-Zugang zu all Deinen Systemen. Richte Just-in-Time-Zugang ein: Der Dienstleister erhält Zugriff nur für den Zeitraum, in dem er ihn tatsächlich benötigt. Protokolliere jeden Zugriff. Trenne Lieferanten-Zugänge vom internen Netzwerk durch Netzwerksegmentierung. Nutze dedizierte Konten statt geteilter Zugangsdaten.

3. Software-Lieferkette absichern Aktiviere automatische Updates, aber mit einem Verzögerungsfenster von 24-48 Stunden bei nicht-kritischen Updates. So bleibt Zeit, auf Berichte über kompromittierte Updates zu reagieren. Führe eine Inventarliste der eingesetzten Software und deren Abhängigkeiten (Software Bill of Materials, SBOM). Überwache Sicherheitsmeldungen zu Deiner eingesetzten Software.

4. Monitoring auf Lieferanten-Aktivitäten ausrichten Überwache, was Lieferanten-Konten in Deiner Umgebung tun. Ungewöhnliche Aktivitäten (Zugriff ausserhalb der Geschäftszeiten, Zugriff auf unübliche Systeme, Datenexfiltration) sollten Alarm auslösen. Endpoint Detection and Response (EDR) hilft dabei, verdächtiges Verhalten auf Deinen Endgeräten zu erkennen, unabhängig davon, ob es von internen oder externen Konten ausgeht.

5. Notfallplan für Lieferanten-Kompromittierung erstellen Was tust Du, wenn Dein MSP morgen gehackt wird? Definiere vorab: Wie trennst Du den Zugang? Wie sicherst Du Deine Systeme ab? Wen kontaktierst Du als Alternative? Integriere dieses Szenario in Deinen Incident-Response-Plan.

Was das für Dein KMU bedeutet

Du brauchst kein aufwändiges Vendor-Risk-Management-Programm. Starte mit einer einfachen Frage an jeden kritischen Lieferanten: «Was passiert mit meinen Daten und Systemen, wenn Ihr angegriffen werdet?» Wenn die Antwort ausweichend kommt oder ausbleibt, hast Du Dein Risiko identifiziert.

FAQ: Supply-Chain-Angriffe und KMU

Mein IT-Dienstleister sagt, er sei sicher. Kann ich mich darauf verlassen? Nein. «Wir sind sicher» ist keine verifizierbare Aussage. Frage nach konkreten Nachweisen: Gibt es eine ISO-27001-Zertifizierung? Werden Penetrationstests durchgeführt? Gibt es einen dokumentierten Incident-Response-Plan? Ist der Zugang zu Kundensystemen über MFA gesichert? Wenn Dein IT-Dienstleister diese Fragen nicht beantworten kann, solltest Du das als Warnsignal verstehen.

Kann ein Red Team Assessment Supply-Chain-Risiken aufdecken? Ja. Ein professionelles Red Team Assessment kann gezielt testen, ob der Zugang über Lieferanten-Verbindungen ausgenutzt werden kann. Das Red Team simuliert Szenarien, in denen ein Lieferanten-Konto kompromittiert ist, und prüft, wie weit ein Angreifer von dort aus in Dein Netzwerk vordringen kann. Mehr zu Red Teaming vs. Penetrationstest.

Gibt es gesetzliche Anforderungen für Supply-Chain-Security in der Schweiz? Das nDSG (Art. 9) verlangt, dass bei der Bearbeitung von Personendaten durch Dritte (Auftragsbearbeitung) die Datensicherheit vertraglich gewährleistet wird. Details dazu im Artikel zur Auftragsverarbeitung unter dem nDSG. Die Administrativuntersuchung zum Xplain-Vorfall hat gezeigt, dass der Bund seine eigenen Vorgaben nicht konsequent umgesetzt hat. Für KMU gilt: Vertragliche Sicherheitsanforderungen an Lieferanten sind nicht nur Best Practice, sondern rechtliche Pflicht, wenn Personendaten im Spiel sind.

Was ist eine Software Bill of Materials (SBOM)? Eine SBOM ist eine vollständige Liste aller Softwarekomponenten, die in einer Anwendung enthalten sind, inklusive Versionen und Abhängigkeiten. Sie ermöglicht es Dir, bei einer Sicherheitslücke in einer Library schnell zu prüfen, ob Deine eingesetzte Software betroffen ist. Die US-Regierung verlangt SBOMs seit 2021 für Regierungsauftragnehmer. In der Schweiz gibt es diese Pflicht (noch) nicht, aber der Trend geht klar in diese Richtung.

Wie viele Schweizer KMU sind von Supply-Chain-Angriffen betroffen? Exakte Zahlen gibt es nicht. Das BACS berichtet, dass lieferkettenbezogene Cyberangriffe in der Schweiz zunehmen. Laut einer Studie der ZHAW zur Schweizer Cybersicherheitslandschaft (2024) geben 41 % der befragten KMU an, die Sicherheit ihrer Lieferanten nicht systematisch zu überprüfen. Die Dunkelziffer bei Vorfällen ist hoch, da viele Angriffe über Lieferanten nicht als solche erkannt oder nicht öffentlich gemeldet werden.

Supply-Chain-Angriffe lassen sich nicht mit einer einzelnen Massnahme verhindern. Sie erfordern einen Ansatz, der Vertragsgestaltung, technische Zugangskontrollen, Monitoring und regelmässiges Testen verbindet. Ein Red Team Assessment (ab CHF 11’900 bei RedTeam Partners) kann gezielt prüfen, ob Lieferanten-Zugänge zum Einfallstor werden und ob Dein KMU einen kompromittierten Lieferanten rechtzeitig erkennt. Das ist keine theoretische Übung. Nach Xplain und Concevis wissen wir: Es ist eine Frage der Zeit, nicht des Ob.

Weiterführende Ressourcen

Quellen

  • Bericht Administrativuntersuchung Xplain: Oberson Abels, April 2024 (admin.ch)
  • NCSC/BACS: Jahresrückblick 2024, Zunahme lieferkettenbezogener Angriffe (ncsc.admin.ch)
  • CISA Advisory zu SolarWinds Orion, Dezember 2020 (cisa.gov)
  • Kaseya VSA Supply-Chain Ransomware Attack, Juli 2021 (cisa.gov)
  • ZHAW Studie zur Schweizer Cybersicherheitslandschaft, 2024