Supply Chain Angriffe: Wie Ihre Lieferanten zum Sicherheitsrisiko werden

Supply Chain Angriffe gehören heute zu den gefährlichsten Bedrohungen für Schweizer KMU: Laut dem Bundesamt für Cybersicherheit (BACS) haben sich lieferkettenbezogene Cyberangriffe in der Schweiz zwischen 2022 und 2024 mehr als verdoppelt. Der Angreifer bricht dabei nicht direkt in Ihr Unternehmen ein — er kompromittiert stattdessen einen Ihrer vertrauenswürdigen Lieferanten, Softwareanbieter oder IT-Dienstleister und nutzt diesen als Einfallstor. Das Perfide daran: Die schädliche Aktivität kommt aus einer Quelle, der Ihr System bereits vertraut.

Was ist ein Supply Chain Angriff?

Ein Supply Chain Angriff (Lieferkettenangriff) bezeichnet jede Cyberattacke, bei der ein Angreifer nicht das eigentliche Zielunternehmen direkt angreift, sondern einen vorgelagerten Lieferanten, Dienstleister oder Softwareanbieter kompromittiert. Sobald dieser Mittelsmann infiziert ist, verbreitet sich die Schadsoftware oder der Angriff automatisch auf alle Kunden und Partner — oft ohne dass diese etwas bemerken.

Die Angriffsfläche ist riesig: Ein durchschnittliches Schweizer KMU arbeitet mit 15 bis 30 externen IT-Dienstleistern, Softwareanbietern und Cloud-Plattformen zusammen. Jede dieser Verbindungen ist potenziell ein Einfallstor für Angreifer.

Die drei Haupttypen von Supply Chain Angriffen

1. Software-Supply-Chain-Angriffe Angreifer kompromittieren den Quellcode, Build-Prozess oder die Verteilungsinfrastruktur eines Softwareanbieters. Updates, die Kunden herunterladen, enthalten dann versteckte Schadsoftware.

2. Hardware-Supply-Chain-Angriffe Manipulierte Hardware (Server, Router, IoT-Geräte) wird bereits mit eingebetteter Schadsoftware oder manipulierten Chips ausgeliefert. Diese Angriffe sind besonders schwer zu erkennen.

3. Dienstleister-basierte Angriffe (Managed Service Provider) Angreifer kompromittieren IT-Dienstleister oder Managed Service Provider (MSP), die Zugang zu den Systemen vieler Kunden haben. Ein einziger kompromittierter MSP kann Hunderte von KMU gleichzeitig treffen.

Die grössten Supply Chain Angriffe der jüngeren Geschichte

SolarWinds (2020): Der Weckruf für die Welt

Der SolarWinds-Angriff gilt als einer der grössten und raffiniertesten Cyberangriffe aller Zeiten. Angreifer — vermutlich russische Staatshacker — kompromittierten die Build-Umgebung des amerikanischen IT-Unternehmens SolarWinds und schleusten Schadcode in das legitime Orion-Software-Update ein. Das Update wurde von rund 18’000 Unternehmen und Behörden weltweit heruntergeladen und installiert — darunter das US-Finanzministerium, das Pentagon und zahlreiche Fortune-500-Unternehmen.

Der Schaden: Monate lang hatten die Angreifer unbemerkt Zugang zu den kompromittierten Netzwerken. Der gesamte Schaden wird auf mehrere Milliarden US-Dollar geschätzt.

Kaseya VSA (2021): KMU direkt im Visier

Der Kaseya-Angriff traf gezielt den MSP-Sektor. Angreifer nutzten eine Zero-Day-Schwachstelle in der IT-Management-Software Kaseya VSA aus, um über kompromittierte IT-Dienstleister die REvil-Ransomware auf mehr als 1’500 Unternehmen weltweit zu verteilen. Die Ransomware-Gruppe forderte 70 Millionen US-Dollar Lösegeld.

Besonders erschreckend: Viele der betroffenen Unternehmen waren kleine und mittlere Betriebe, die keine direkte Geschäftsbeziehung zu Kaseya hatten. Sie wurden getroffen, weil ihr IT-Dienstleister die Software verwendete.

Xplain (2023): Die Schweiz direkt betroffen

Der Angriff auf das Schweizer IT-Unternehmen Xplain im Jahr 2023 traf direkt ins Herz der schweizerischen Bundesverwaltung. Die Hackergruppe Play verschaffte sich Zugang zu Xplain-Systemen und veröffentlichte anschliessend 65’000 Dokumente mit sensiblen Daten — darunter Daten des Bundesamts für Polizei (fedpol), der Bundesanwaltschaft und der Armee.

Dieser Fall zeigt exemplarisch, wie ein kompromittierter IT-Dienstleister selbst staatliche Institutionen gefährden kann. Für Schweizer KMU bedeutet dies: Wenn selbst Bundesbehörden über Drittanbieter kompromittiert werden können, ist kein Unternehmen zu klein oder zu unwichtig für Supply Chain Angriffe.

“Der Xplain-Angriff war ein Weckruf für die gesamte Schweiz. Er hat gezeigt, dass die Sicherheit eines Unternehmens immer nur so stark ist wie die Sicherheit seiner schwächsten Lieferanten.”

— BACS Halbjahresbericht 2023/II

Warum sind Schweizer KMU besonders gefährdet?

Die falsche Sicherheitswahrnehmung

Viele KMU-Inhaber denken: “Wir sind zu klein und unwichtig für Cyberangreifer.” Diese Einschätzung ist gefährlich falsch. Bei Supply Chain Angriffen sind KMU oft gerade deshalb attraktive Ziele, weil sie:

• Als Lieferanten oder Zulieferer grösserer Unternehmen und Behörden fungieren
• Oft weniger gut gesichert sind als grosse Konzerne
• Vertrauenswürdige Zugänge zu den Systemen ihrer Kunden haben
• Häufig als Sprungbrett zu lukrativeren Zielen dienen

Zahlen und Fakten

• 43% aller Cyberangriffe weltweit zielen auf kleine und mittlere Unternehmen ab (Verizon Data Breach Investigations Report 2024)
• 62% der Datenpannen bei Unternehmen involvieren Drittparteien (IBM Cost of a Data Breach Report 2024)
• 245 Tage dauert es im Durchschnitt, bis ein Supply Chain Angriff entdeckt wird (IBM Security)
• Der durchschnittliche Schaden eines Supply Chain Angriffs beträgt 4,46 Millionen US-Dollar — deutlich mehr als bei direkten Angriffen

Die Schweizer Besonderheit: Starke Vernetzung als Risiko

Die Schweizer Wirtschaft zeichnet sich durch eine ausgeprägte Zuliefererkette aus. Viele KMU sind tief in Wertschöpfungsketten eingebettet — als Zulieferer für grössere Unternehmen, als Partner öffentlicher Institutionen oder als Dienstleister in regulierten Branchen wie Finanzen, Gesundheit oder Industrie.

Diese wirtschaftliche Vernetzung ist eine Stärke — aber auch eine Schwäche, wenn es um Cybersicherheit geht. Jede Verbindung, jede Schnittstelle, jeder geteilte Zugang ist ein potenzieller Angriffsvektor.

Wie funktioniert ein Supply Chain Angriff im Detail?

Phase 1: Reconnaissance (Aufklärung)

Professionelle Angreifer investieren Wochen oder Monate in die Recherche. Sie identifizieren:

• Welche Software und IT-Dienstleister das Zielunternehmen nutzt
• Welche Drittanbieter direkten Systemzugang haben
• Welche Mitarbeiter bei Lieferanten administrativen Zugang zu Kundensystemen haben
• Schwachstellen in der Lieferkette (veraltete Software, schwache Passwörter)

Phase 2: Kompromittierung des Lieferanten

Der Angreifer greift den schwächsten Link in der Kette an. Typische Methoden:

• Spear-Phishing gegen Mitarbeiter des Lieferanten (oft kombiniert mit Social Engineering)
• Ausnutzung bekannter oder unbekannter Softwareschwachstellen
• Kompromittierung der Build- oder Update-Infrastruktur
• Insider-Bedrohungen (bestochene oder erpresste Mitarbeiter)

Phase 3: Laterale Bewegung und Persistenz

Sobald der Angreifer Fuss gefasst hat, bewegt er sich seitwärts durch das Netzwerk des Lieferanten. Ziel ist es, Zugang zu den Systemen zu erlangen, die mit Kundennetzwerken verbunden sind — und dort eine dauerhafte Hintertür einzurichten.

Phase 4: Angriff auf das eigentliche Ziel

Über den kompromittierten Lieferanten greift der Angreifer nun das eigentliche Ziel an. Da die Verbindung aus einer vertrauenswürdigen Quelle kommt, umgeht der Angriff viele Sicherheitsmassnahmen: Firewalls erkennen die Verbindung als legitim, Antivirenlösungen haben die signierte Schadsoftware nicht auf der Blockliste.

Drittanbieter-Risikomanagement: So schützen sich KMU

1. Lieferanten-Inventar erstellen

Der erste Schritt ist Transparenz. Erstellen Sie eine vollständige Liste aller Drittanbieter, die:

• Zugang zu Ihren IT-Systemen haben
• Personaldaten, Kundendaten oder Finanzdaten verarbeiten
• Software oder Hardware liefern, die Sie in kritischen Prozessen einsetzen
• Wartungszugänge zu Ihrer Infrastruktur haben

2. Risikoklassifizierung der Lieferanten

Nicht jeder Lieferant ist gleich kritisch. Klassifizieren Sie Ihre Lieferanten nach Risiko:

Kritisch (höchstes Risiko): Lieferanten mit direktem Systemzugang, die sensitive Daten verarbeiten oder kritische Software liefern. Diese Lieferanten erfordern regelmässige Sicherheitsaudits und Vertragsklauseln zu Mindest-Sicherheitsstandards.

Hoch: Lieferanten mit indirektem Systemzugang oder die geschäftskritische Dienstleistungen erbringen. Regelmässige Sicherheitsfragebögen und jährliche Reviews.

Mittel/Niedrig: Standardlieferanten ohne IT-Systemzugang. Basis-Due-Diligence bei Vertragsabschluss.

3. Vertragliche Sicherheitsanforderungen

Vereinbaren Sie mit kritischen Lieferanten verbindliche Sicherheitsstandards:

• Pflicht zur Meldung von Sicherheitsvorfällen innerhalb von 24-72 Stunden
• Regelmässige Penetrationstests (mindestens jährlich)
• Einhaltung anerkannter Sicherheitsstandards (ISO 27001, NIST CSF)
• Recht auf Sicherheitsaudits durch das Auftragsunternehmen
• Klare Regelungen zu Subunternehmern und deren Sicherheitsanforderungen

4. Technische Schutzmassnahmen

Minimalprinzip (Least Privilege): Lieferanten erhalten nur die Zugriffsrechte, die sie für ihre Arbeit tatsächlich benötigen. Temporäre Zugänge werden nach Abschluss der Arbeit sofort entzogen.

Netzwerksegmentierung: Lieferantenzugänge werden in separaten Netzwerksegmenten geführt, getrennt vom Kerngeschäft. Ein kompromittierter Lieferantenzugang kann sich so nicht frei im gesamten Netzwerk bewegen.

Multi-Faktor-Authentifizierung (MFA): Jeder externe Zugang muss durch MFA abgesichert sein — keine Ausnahmen.

Software Composition Analysis (SCA): Überprüfen Sie eingesetzte Software automatisch auf bekannte Schwachstellen in Abhängigkeiten und Bibliotheken.

Code Signing: Akzeptieren Sie nur digital signierte Software-Updates von verifizierten Quellen.

5. Monitoring und Anomalie-Erkennung

Implementieren Sie kontinuierliches Monitoring aller Lieferantenzugänge:

• SIEM-Systeme (Security Information and Event Management) protokollieren alle Aktivitäten
• Ungewöhnliche Zugriffszeiten, -mengen oder -muster lösen Alarme aus
• Regelmässige manuelle Reviews der Zugriffsrechte

Weitere Schutzstrategien finden Sie in unserer Cybersecurity-Checkliste für KMU.

Der Zusammenhang mit anderen Bedrohungen

Supply Chain Angriffe werden oft kombiniert mit anderen Angriffsmethoden:

Phishing ist häufig der erste Schritt, um den Lieferanten zu kompromittieren. Lesen Sie unseren detaillierten Guide zu Phishing-Schutz für Unternehmen in der Schweiz.

Ransomware ist oft das finale Payload nach einem erfolgreichen Supply Chain Angriff. Mehr dazu in unserem Artikel über Ransomware-Schutz für KMU in der Schweiz.

Zero-Day-Exploits werden in sophistizierten Supply Chain Angriffen eingesetzt, um unbekannte Schwachstellen in Lieferantensoftware auszunutzen. Details dazu in unserem Beitrag über Zero-Day Exploits.

Regulatorische Anforderungen in der Schweiz

Das neue Schweizer Datenschutzgesetz (nDSG), das seit September 2023 in Kraft ist, enthält explizite Anforderungen an die Sicherheit bei der Auftragsverarbeitung durch Dritte. Unternehmen müssen sicherstellen, dass ihre Auftragsverarbeiter ein angemessenes Datenschutzniveau garantieren. Verstösse können zu Bussen von bis zu 250’000 Schweizer Franken führen.

Details zu den nDSG-Anforderungen finden Sie in unserer nDSG-Checkliste für KMU.

Für Unternehmen im Finanzsektor gelten zusätzlich die FINMA-Richtlinien zu Outsourcing und Drittanbieterrisiken. Mehr dazu in unserem Beitrag zur Cybersecurity im Finanzsektor Schweiz.

Red Teaming: Supply Chain Angriffe proaktiv aufdecken

“Die einzige Möglichkeit, wirklich zu wissen, ob Ihre Lieferkette sicher ist, ist, sie unter kontrollierten Bedingungen zu testen. Red Teaming simuliert genau die Methoden, die echte Angreifer bei Supply Chain Attacken verwenden.”

— Cybersecurity-Experte, ISACA Switzerland Chapter

Standardmässige Penetrationstests konzentrieren sich typischerweise auf die direkten IT-Systeme eines Unternehmens. Supply Chain Risiken bleiben dabei oft unsichtbar. Red Teaming geht weiter:

Supply Chain Attack Simulation: Red-Team-Experten simulieren realistische Angriffe über Drittanbieter-Verbindungen. Sie testen, ob ein Angreifer, der einen Ihrer Lieferanten kompromittiert hat, tatsächlich in Ihre Systeme eindringen kann.

Vendor Assessment: Das Red Team bewertet die Sicherheit Ihrer kritischsten Lieferanten — mit deren Zustimmung — und identifiziert Schwachstellen, bevor echte Angreifer sie ausnutzen.

Assumed Breach Testing: Das Red Team startet mit der Annahme, dass ein Lieferant bereits kompromittiert ist, und testet, wie weit ein Angreifer von dort in Ihre Infrastruktur eindringen kann.

Privileged Access Testing: Alle Zugänge von Drittanbietern werden auf Missbrauchspotenzial getestet — inklusive MFA-Bypass-Versuchen und Privilege-Escalation-Techniken.

Der Unterschied zwischen Red Teaming und klassischen Penetrationstests wird in unserem Vergleich Red Teaming vs. Penetrationstest detailliert erklärt.

Mehr über den Ablauf und die Vorteile von Red Teaming erfahren Sie in unserem Leitfaden Was ist Red Teaming?.

Fazit

Supply Chain Angriffe sind keine hypothetische Bedrohung — sie treffen Schweizer Unternehmen bereits heute, wie der Xplain-Angriff eindrücklich gezeigt hat. Die Raffinesse dieser Angriffe liegt darin, dass sie die vertrauensbasierten Beziehungen zwischen Unternehmen und ihren Lieferanten ausnutzen.

Für Schweizer KMU bedeutet dies: Cybersicherheit hört nicht an den eigenen Unternehmensgrenzen auf. Jeder Lieferant, jeder IT-Dienstleister, jede eingesetzte Software ist Teil Ihrer Sicherheitsarchitektur. Drittanbieter-Risikomanagement ist keine Kür, sondern Pflicht.

Die gute Nachricht: Mit den richtigen Massnahmen — Transparenz über Ihre Lieferkette, vertragliche Sicherheitsanforderungen, technische Schutzmassnahmen und regelmässige Tests — können Sie Ihr Supply Chain Risiko deutlich reduzieren.

Sind Ihre Supply-Chain-Verbindungen wirklich sicher? Ein professionelles Red Teaming deckt auf, wie weit ein Angreifer über Ihre Lieferanten in Ihre Systeme eindringen könnte — bevor es ein echter Angreifer tut. Kontaktieren Sie uns für eine unverbindliche Erstberatung.