- Bedeutung
- Lieferkette aus Lieferanten, Dienstleistern und Partnern
- Risiko
- Angriffe und Ausfälle bei Partnern wirken auf das eigene Unternehmen
- Bezug zu NIS2
- Lieferkettensicherheit ist Pflicht
- Verwandt
- Third Party Risk, AVV
- Stand
- Juni 2026
- Redaktion
- Compliance Compass
Was ist die Supply Chain?
Die Supply Chain (Lieferkette) bezeichnet das gesamte Netz aus Lieferanten, Dienstleistern und Partnern, von denen ein Unternehmen abhängt – von Cloud- und SaaS-Anbietern über IT-Dienstleister und Managed-Service-Provider bis zu Software-Bibliotheken und klassischen Zulieferern. Dieser Begriff beschreibt also die Struktur der Abhängigkeiten. In modernen Organisationen sind diese Glieder eng digital miteinander vernetzt: Fernzugriffe, Schnittstellen (APIs) und automatische Software-Updates verbinden externe Partner direkt mit den eigenen Systemen. Genau diese Vernetzung macht die Lieferkette zu einer eigenständigen Angriffsfläche.
Warum die Supply Chain ein Risiko ist
Angreifer suchen sich gezielt das schwächste Glied der Kette und nutzen es als Sprungbrett zum eigentlichen Ziel (Supply-Chain-Angriff). Ein einziger kompromittierter Dienstleister kann dabei hunderte Kunden gleichzeitig treffen, weil dessen Software oder Zugänge bei vielen Unternehmen im Einsatz sind. Hinzu kommen reine Verfügbarkeitsrisiken: Fällt ein zentraler Cloud-Anbieter aus, steht unter Umständen auch der eigene Betrieb still – ohne dass überhaupt ein Angriff stattgefunden hat.
Ein typischer Fall: Ein Stadtwerk bezieht seine Abrechnungssoftware von einem externen IT-Haus, das per Wartungszugang dauerhaft auf die Server zugreift. Wird dieses IT-Haus über eine gestohlene Admin-Anmeldung kompromittiert, gelangen die Angreifer über den vertrauten Wartungszugang direkt ins Netz des Stadtwerks – ein klassischer Supply-Chain-Angriff, bei dem nicht das Ziel selbst, sondern sein Dienstleister die Lücke war.
Supply Chain absichern
Die organisatorische Antwort auf dieses Strukturrisiko heißt Lieferkettensicherheit: kritische Partner identifizieren und bewerten, Sicherheitsanforderungen vertraglich verankern (bei Datenverarbeitung über einen AVV) und das Third Party Risk einzelner Dienstleister laufend überwachen statt nur einmalig zu prüfen.
Supply Chain und NIS2
NIS2 (in Kraft seit dem 06.12.2025) macht das Management von Lieferketten-Risiken zur ausdrücklichen Pflicht. Betroffene Unternehmen müssen die Sicherheit ihrer direkten Lieferanten und Dienstleister in ihr Risikomanagement einbeziehen. Versäumnisse können teuer werden: Bei wesentlichen Einrichtungen drohen Bußgelder bis zu 10 Mio. EUR oder 2 % des weltweiten Jahresumsatzes, bei wichtigen Einrichtungen bis zu 7 Mio. EUR oder 1,4 %.
Weiterführende Quelle: NIS2-Richtlinie (EU) 2022/2555 im Volltext (EUR-Lex)
Häufige Fragen
Was ist die Supply Chain?
Die Supply Chain (Lieferkette) ist das gesamte Netz aus Lieferanten, Dienstleistern und Partnern, von denen ein Unternehmen abhängt – von Cloud- und SaaS-Anbietern über IT-Dienstleister und Managed-Service-Provider bis zu Software-Bibliotheken und klassischen Zulieferern. Sie beschreibt die Struktur der digitalen und betrieblichen Abhängigkeiten. Weil diese Glieder über Fernzugriffe, Schnittstellen und automatische Updates eng mit den eigenen Systemen vernetzt sind, wird die Lieferkette zu einer eigenständigen Angriffsfläche.
Was ist ein Supply-Chain-Angriff?
Ein Supply-Chain-Angriff kompromittiert gezielt ein schwächeres Glied der Lieferkette, etwa einen Software- oder IT-Dienstleister, um über dessen vertraute Zugänge oder Software-Updates das eigentliche Ziel zu erreichen. Weil dieselbe Software oder derselbe Zugang bei vielen Unternehmen im Einsatz ist, lassen sich mit einem einzigen kompromittierten Dienstleister hunderte Kunden gleichzeitig treffen. Der eigentliche Angriffsweg ist dabei nicht das Ziel selbst, sondern sein vertrauter Partner.
Warum ist die Supply Chain für NIS2 relevant?
NIS2 ist seit dem 06.12.2025 in Kraft und verpflichtet betroffene Unternehmen ausdrücklich, Risiken durch ihre direkten Lieferanten und Dienstleister zu bewerten, zu steuern und in das eigene Risikomanagement einzubeziehen. Versäumnisse können teuer werden: Bei wesentlichen Einrichtungen drohen Bußgelder bis 10 Mio. EUR oder 2 Prozent des weltweiten Jahresumsatzes, bei wichtigen Einrichtungen bis 7 Mio. EUR oder 1,4 Prozent.