Ein Software-Update, das einen Trojaner mitbringt. Ein IT-Dienstleister, der unbemerkt kompromittiert wurde und damit Zugang zu all seinen Kunden gibt. Supply-Chain-Angriffe – Angriffe über die Lieferkette – haben sich zu einer der gefährlichsten Angriffsmethoden entwickelt. Die US-Cybersicherheitsbehörde CISA warnte erst kürzlich vor kompromittierten Entwickler-Tools wie TanStack und Nx Console, die weltweit in Tausenden von Unternehmen eingesetzt werden.

Was viele KMU nicht wissen: Diese Bedrohung trifft nicht nur Großkonzerne. Wer einen beliebten Dienstleister oder eine weit verbreitete Software kompromittiert, erreicht automatisch alle dessen Kunden – unabhängig von deren Größe.

Was sind Supply-Chain-Angriffe?

Ein Supply-Chain-Angriff zielt nicht direkt auf das eigentliche Opfer, sondern auf dessen Zulieferer, Dienstleister oder Software-Abhängigkeiten. Das Prinzip: Wer den Lieferanten kompromittiert, bekommt automatisch Zugang zu allen Kunden. Angreifer nutzen das Vertrauen aus, das Unternehmen in ihre Softwareanbieter und IT-Partner setzen.

Bekannte Beispiele aus der Praxis:

SolarWinds (2020): Angreifer schleusten Schadcode in ein legitimes Software-Update der Netzwerkverwaltungssoftware Orion ein. Über 18.000 Organisationen weltweit luden das infizierte Update herunter – darunter US-Bundesbehörden und Fortune-500-Unternehmen.
XZ Utils (2024): Ein Angreifer infiltrierte über Monate das Entwicklerteam einer weit verbreiteten Linux-Bibliothek und schleuste eine Backdoor ein. Der Angriff wurde kurz vor dem flächendeckenden Einsatz in Produktivsystemen entdeckt.
Codecov (2021): Ein kompromittiertes Shell-Skript in einem CI/CD-Tool leitete Zugangsdaten von Tausenden Entwicklungsumgebungen an Angreifer weiter.

Angriffsvektor Software und Updates

Jedes Software-Update, jede Bibliothek, jedes Entwicklertool ist theoretisch ein Einfallstor. Für KMU besonders relevant: Viele setzen auf Standard-Software wie Buchhaltungstools, ERP-Systeme oder Remote-Management-Software. Wenn der Hersteller kompromittiert wird, kommen die schadhaften Updates automatisch auf Ihre Systeme – als legitim signiertes Paket, das kein Virenscanner blockiert.

Angriffsvektor IT-Dienstleister

Auch der eigene IT-Dienstleister kann ein Einfallstor sein. Managed Service Provider (MSPs) sind ein bevorzugtes Angriffsziel, weil ein kompromittierter MSP potenziell Hunderte seiner KMU-Kunden gleichzeitig exponiert. Der Angriff auf Kaseya VSA im Jahr 2021 traf über diesen Weg rund 1.500 Unternehmen.

Warum KMU in Sachsen besonders betroffen sind

Weniger Ressourcen, mehr Vertrauen

KMU prüfen selten, welche Sicherheitsstandards ihre Software-Lieferanten oder IT-Dienstleister einhalten. Das Vertrauen in bekannte Marken ist hoch – und Angreifer nutzen genau dieses Vertrauen aus. Während ein Großkonzern möglicherweise Software vor dem Einsatz in einer isolierten Umgebung testet, wird in KMU ein neues Update oft direkt installiert.

In Sachsen und anderen ostdeutschen Bundesländern zeigt sich ein weiteres Muster: Viele mittelständische Unternehmen haben in den letzten Jahren stark digitalisiert, ohne gleichzeitig ihre Sicherheitsarchitektur anzupassen. Das schafft Angriffsfläche – nicht durch Fahrlässigkeit, sondern durch fehlende Zeit und Ressourcen.

Die Komplexität moderner Software-Lieferketten

Ein typisches Unternehmensnetzwerk enthält heute Dutzende von Tools: Cloud-Dienste, On-Premises-Software, SaaS-Lösungen, Open-Source-Bibliotheken. Jede Komponente hat wiederum eigene Abhängigkeiten. Diese Komplexität macht es fast unmöglich, jeden Baustein manuell zu prüfen – und genau das wissen Angreifer.

Supply-Chain-Sicherheit für KMU – konkrete Maßnahmen

Das Ziel ist kein 100-prozentiger Schutz – der ist nicht erreichbar. Es geht um strukturierten Umgang mit dem Risiko und um Schadensbegrenzung, wenn ein Angriff gelingt.

1. Software-Inventar führen

Wissen Sie, welche Software auf jedem Rechner und Server in Ihrem Unternehmen läuft? Ein aktuelles Software-Inventar ist die Grundlage jeder Sicherheitsstrategie – und die Voraussetzung dafür, bei einem bekannt gewordenen Vorfall schnell zu handeln. Tools wie Checkmk oder OCS Inventory helfen auch ohne großes IT-Budget dabei, den Überblick zu behalten.

Automatische Updates sind bequem – aber bei einem kompromittierten Anbieter landen sie sofort auf allen Systemen. Eine sinnvolle Balance: Kritische Server erhalten Updates erst nach einem kurzen Testlauf auf einem dedizierten Testsystem. Sicherheitsupdates für aktiv ausgenutzte Schwachstellen werden dagegen priorisiert und schnell eingespielt.

3. Prinzip der minimalen Rechte konsequent umsetzen

Ein kompromittiertes Tool kann nur so viel Schaden anrichten, wie es Rechte hat. Wenn Ihre Buchhaltungssoftware keine administrativen Rechte auf dem Server benötigt – geben Sie ihr keine. Das gilt auch für IT-Dienstleister: Jeder externe Zugriff sollte nur die tatsächlich notwendigen Berechtigungen haben und nach Abschluss eines Projekts oder Wartungsfensters deaktiviert werden.

4. Dienstleister nach Sicherheitsstandards auswählen

Stellen Sie potenziellen IT-Dienstleistern konkrete Fragen: Haben Sie ein Information-Security-Management-System (ISMS)? Wie werden privilegierte Zugänge zu Kundensystemen verwaltet? Werden Zugangsdaten nach Projekten gelöscht? Ein seriöser Dienstleister kann diese Fragen beantworten. Wer ausweicht, ist möglicherweise kein geeigneter Partner für sicherheitskritische Infrastruktur.

5. Netzwerksegmentierung als Schadensbegrenzung

Auch wenn ein Supply-Chain-Angriff gelingt: Eine sauber segmentierte Netzwerkarchitektur verhindert, dass sich Angreifer lateral im Netzwerk ausbreiten. Ein kompromittiertes Endgerät sollte nicht automatisch den Zugang zu Produktivservern oder Finanzdaten öffnen. VLANs und Firewallregeln – etwa mit OPNsense – setzen hier eine wirksame Schranke.

6. Monitoring und Anomalieerkennung

Was Sie nicht sehen, können Sie nicht stoppen. Ein Monitoring-System, das ungewöhnliche Netzwerkverbindungen, neue Prozesse oder veränderte Konfigurationsdateien meldet, ist für die Erkennung von Supply-Chain-Angriffen essenziell. Lösungen wie Grafana mit Prometheus oder Wazuh (SIEM) lassen sich auch in kleinen Umgebungen sinnvoll einsetzen.

7. Notfallplan für kompromittierte Drittanbieter

Was tun, wenn ein Software-Anbieter bekannt gibt, kompromittiert worden zu sein? Wer dann erst einen Plan entwickelt, verliert wertvolle Zeit. Legen Sie vorab fest: Wer wird intern informiert? Welche Systeme werden isoliert? Welche Updates werden zurückgerollt oder blockiert? Dieser Plan muss kein 50-seitiges Dokument sein – eine klare Verantwortlichkeitsliste reicht für den Anfang.

Rechtliche Anforderungen: NIS2 und die Lieferkette

Mit der NIS2-Richtlinie, die seit Oktober 2024 in nationales Recht umgesetzt wird, wurden die Anforderungen an die Lieferkettensicherheit deutlich verschärft. Unternehmen, die unter NIS2 fallen, müssen nachweisen, dass sie Risiken aus der Lieferkette systematisch identifizieren und managen. Das betrifft direkt auch die Auswahl und Überwachung von IT-Dienstleistern. Für ostdeutsche KMU, die als wesentliche oder wichtige Einrichtungen eingestuft werden, ist das keine theoretische Anforderung mehr.

Sie suchen Unterstützung in Dresden?

Rexoma IT hilft KMU in Dresden und Sachsen dabei, ihre IT-Lieferkette zu analysieren und abzusichern. Wir führen strukturierte Sicherheitsaudits durch – inklusive Bewertung Ihrer Software-Abhängigkeiten, Dienstleisterzugänge und Netzwerkarchitektur. Sprechen Sie uns an, bevor ein Lieferkettenangriff zum Problem wird.

FAQ: Supply-Chain-Angriffe für KMU

Was ist ein Supply-Chain-Angriff einfach erklärt?

Ein Angreifer kompromittiert nicht direkt das Zielunternehmen, sondern einen seiner Lieferanten oder Software-Anbieter. Über legitime Updates oder bestehende Zugänge gelangt der Schadcode dann ins eigentliche Ziel – ohne dass der Angriff von klassischen Sicherheitslösungen erkannt wird.

Bin ich als kleines Unternehmen wirklich ein Ziel?

Indirekt ja. Angreifer zielen auf Dienstleister oder Software-Anbieter, die viele KMU gleichzeitig bedienen. Das macht jeden Kunden dieses Anbieters zu einem potenziellen Opfer – unabhängig davon, ob das einzelne Unternehmen für sich allein attraktiv wäre.

Wie erkenne ich einen Supply-Chain-Angriff?

Oft gar nicht ohne aktives Monitoring. Ungewöhnliche Netzwerkverbindungen, neue Prozesse nach Updates oder Sicherheitswarnungen von Behörden wie BSI oder CISA sind Hinweise. Ein Monitoring-System mit Anomalieerkennung ist die wichtigste technische Maßnahme zur frühzeitigen Erkennung.

Was hat NIS2 mit Supply-Chain-Angriffen zu tun?

NIS2 verpflichtet betroffene Unternehmen ausdrücklich dazu, Risiken aus der Lieferkette zu managen – also auch die Sicherheit von Drittanbietern und IT-Dienstleistern zu bewerten und zu überwachen. Für KMU, die unter NIS2 fallen, ist das eine direkte Compliance-Anforderung.

Welche ersten Schritte empfehlen Sie für ein KMU ohne eigene IT-Abteilung?

Starten Sie mit einem Software-Inventar und einer Übersicht aller externen Zugänge zu Ihren Systemen. Schränken Sie dann die Rechte externer Tools und Dienstleister konsequent ein. Diese zwei Maßnahmen reduzieren das Risiko ohne großen Aufwand erheblich. Eine externe IT-Sicherheitsberatung hilft, den nächsten sinnvollen Schritt zu bestimmen.

Supply-Chain-Angriffe: Wie KMU ihre Lieferkette schützen