In einer zunehmend digitalisierten Welt ist kaum ein Unternehmen vollständig autark. Die meisten Unternehmen sind abhängig von den Leistungen und Waren anderer Unternehmen. Produktions- und Lieferketten reichen über Ländergrenzen hinweg. Geschäftsprozesse und technologische Systeme sind miteinander vernetzt. Diese globale digitale Vernetzung führt zu Effizienzsteigerungen, gleichzeitig entstehen dadurch aber neue Cybersicherheitsrisiken. Cyberangriffe auf Unternehmen treffen in vielen Fällen nicht nur das einzelne Unternehmen, sondern wirken sich über die gesamte Lieferkette aus. Viele Angreifer nutzen gezielt die Beziehungen und Abhängigkeiten von Unternehmen von Zulieferern und Dienstleistern (im Folgenden „Lieferanten“) aus. Dabei helfen ihnen Schwachstellen bei Lieferanten, Unternehmen mit deutlich besseren Schutzmechanismen anzugreifen.
Die ENISA (Agentur der Europäischen Union für Cybersicherheit) weist in ihrem Threat Landscape-Bericht aus 2025 auf die steigende Bedrohung durch die digitalen Abhängigkeiten hin.
Der Cyberangriff auf einen für verschiedene Flughäfen tätigen IT-Dienstleister im September 2025 hat gezeigt, wie Schwachstellen in der Lieferkette den Betrieb kritischer Infrastrukturen massiv beeinträchtigen können.
Eigene Cybersicherheitsmaßnahmen sind unerlässlich, aber nicht ausreichend
Es gibt naturgemäß eigene Sicherheitsmaßnahmen, die ein Unternehmen zum Schutz vor Cyberangriffen von außen umsetzen muss. Dazu gehören beispielsweise
- ein funktionierendes Identitäts- und Berechtigungsmanagement,
- die Klassifizierung von und der angemessene Umgang mit Geschäftsinformationen,
- der Einsatz von Anti-Malware-Software sowie
- Security Logging und Monitoring.
Die Wirksamkeit technischer Maßnahmen ist allerdings begrenzt. Eine ausreichende Cyberresilienz erfordert nicht nur ein eigenes hohes Cybersicherheitsniveau, sondern auch angemessene Sicherheitsmaßnahmen der Lieferanten. Es ist insofern wichtig, klare und verbindliche Cybersicherheitsanforderungen entlang der Lieferkette vorzugeben, um Risiken zu vermeiden oder zumindest zu minimieren.
Zunehmend gesetzliche Vorgaben
Der (europäische) Gesetzgeber hat dies in den jüngsten cybersicherheitsrechtlichen Regelungen aufgegriffen.
Die Cyberresilienz-Verordnung [Verordnung (EU) 2024/2847 – „CRA“] enthält künftig umfangreiche Cybersicherheitsanforderungen für die Wirtschaftsakteure, die Produkte mit digitalen Elementen auf dem EU-Markt bereitstellen. Die Behandlung von Schwachstellen ist nur ein wesentlicher Baustein neben zahlreichen produktbezogenen Anforderungen (u.a. Security-by-design, Erstellung einer Software Bill of Materials). Hersteller, Händler und Importeure werden zur Sicherstellung der Produktkonformität in die Pflicht genommen. Die gesamte Lieferkette soll damit einen Beitrag zur Erhöhung der Cybersicherheit leisten.
Es gibt aber nicht nur gesetzliche Vorgaben für die Lieferanten. Die Richtlinie zur Sicherung von Netz- und Informationssystemen (Richtlinie (EU) 2022/2555 – „NIS2“) und gleichlautend das nationale NIS2-Umsetzungsgesetz verlangen von den betroffenen Unternehmen, in ihr Risikomanagement auch die Sicherheit der Lieferkette einzubeziehen.
Die NIS2-Durchführungsverordnung der EU [Durchführungsverordnung (EU) 2024/2690 – „NIS2-DVO“] konkretisiert diese Anforderung für Unternehmen aus dem Sektor „Digitale Infrastruktur“ und für „Anbieter digitaler Dienste“. Diese Unternehmen müssen in einem Sicherheitskonzept den Umgang mit Cybersicherheitsrisiken aus der Lieferkette beschreiben. Zur Risikominimierung müssen Kriterien für die Auswahl von Lieferanten festgelegt werden. Dazu gehört zum Beispiel der Grad der technischen Abhängigkeit von einem Lieferanten. Wenn der Ausfall einer einzelnen Komponente eine gesamte Infrastruktur lahmlegen kann, muss dafür entsprechend Vorsorge getroffen werden. Die NIS2-DVO benennt zudem konkrete Themen, die in die Verträge mit den Lieferanten aufgenommen werden sollten.
Auch Unternehmen aus anderen Sektoren können sich an der NIS2-DVO orientieren, um die generelle Anforderung „Sicherheit der Lieferkette“ mit Leben zu füllen.
Der jüngste Vorschlag der EU zu der Neufassung des Cybersecurity Acts zeigt, dass mit weiteren rechtlichen Bestimmungen auf dem Gebiet zu rechnen ist.
Was Unternehmen tun können, um Risiken aus der Lieferkette zu minimieren
Am Anfang steht die Risikobewertung. Die Risiken und notwendigen Risikomanagementmaßnahmen unterscheiden sich je nach Sektor und bezogenen Leistungen. Wichtig ist daher eine vorgeschaltete Risikoanalyse, in der gefahrenübergreifend potentielle Risiken identifiziert und bewertet werden. Voraussetzung dafür ist, dass das Unternehmen Transparenz über alle von Dritten bezogenen Leistungen herstellt. Dabei ist die gesamte Lieferkette in den Blick zu nehmen.
Die Unternehmen müssen im Einzelfall die Ergebnisse offizieller Risikobewertungen berücksichtigen. Auf europäischer Ebene gibt es sogenannte koordinierte Sicherheitsrisikobewertungen, die Bedrohungen und Schwachstellen in ausgewählten kritischen Lieferketten identifizieren.
Abhängig vom Ergebnis der Risikobewertung legt das Unternehmen im Anschluss das von den Lieferanten einzuhaltende Sicherheitsniveau und die damit verbundenen vertraglichen Anforderungen fest.
Konkrete Regelungen vorzugswürdig
Idealerweise legen die Unternehmen das Sicherheitsniveau durch die Vereinbarung konkreter (Mindest-)Maßnahmen fest. Dazu gehören beispielsweise Regelungen zu folgenden Themen:
- Informationssicherheitsprozesse im relevanten Bereich, etwa nach ISO 27001 oder BSI-Grundschutz
- Informationen über potentiell erhebliche Sicherheitsvorfälle und Schwachstellen
- Prozesse zur Bewältigung von Sicherheitsvorfällen und Notfällen
- Schwachstellenbehebung
- Patch-Management
- Zugriffsberechtigungen
- Anforderungen an Softwareentwicklungsprozesse
- Einsatz kryptographischer Lösungen
- Bedingungen für die Unterauftragsvergabe
- Sanktionen bei Nichteinhaltung der Sicherheitsanforderungen
Da in der Regel sowohl die Unternehmen als auch ihre Lieferanten Cybersicherheitsmaßnahmen ergreifen müssen, ist eine klare vertragliche Abgrenzung der jeweiligen Verantwortlichkeiten essentiell.
Soweit digitale Produkte aus dem Anwendungsbereich der Cyberresilienz-Verordnung erworben werden, kann zumindest erwartet werden, dass der Lieferant die ihm ohnehin rechtlich obliegenden Sicherheitsanforderungen erfüllt.
Bloße Generalklausel nicht empfehlenswert
Der bloße vertragliche Verweis auf den Stand der Technik oder die Vereinbarung eines angemessenen Risikomanagementprozesses reichen in der Regel nicht aus. Meinungsverschiedenheiten über die konkret geschuldeten Maßnahmen sind dann keine Seltenheit. Wenn bei einzelnen Themen wie etwa den einzusetzenden kryptographischen Verfahren keine abschließende Beschreibung erfolgen kann, kommt aber ein ergänzender Verweis auf den jeweiligen Stand der Technik in Betracht.
Best Practices
Orientierungshilfen für die Auswahl und Umsetzung angemessener Sicherheitsmaßnahmen finden sich unter anderem im „Toolkit für das Management von Cyber-Risiken“ von der Allianz für Cybersicherheit, im nis2know-Infopaket des Bundesamts für die Sicherheit in der Informationstechnik und in den „Best-Practice-Empfehlungen für Anforderungen an Lieferanten zur Gewährleistung der Informationssicherheit in Kritischen Infrastrukturen“ vom UP KRITIS.
Kontrolle vor Vertrauen
Die bloße Vereinbarung von technischen und organisatorischen Risikomanagementmaßnahmen reicht aber nicht aus. Wichtig ist auch, die Umsetzung der vereinbarten Maßnahmen zu kontrollieren. Dies kann durch ein Auditrecht des Kunden oder eines unabhängigen Dritten erfolgen. Wenn der Lieferant zum Nachweis Zertifikate oder Testate vorlegt, ist auf die Einschlägigkeit und Aktualität der Dokumente zu achten.
Werden Abweichungen von den vereinbarten Anforderungen festgestellt, ist, soweit möglich, auf Verbesserungsmaßnahmen hinzuwirken. Nicht jeder Lieferant ist ohne weiteres austauschbar. Die Lieferantensteuerung ist insofern ein wichtiger Bestandteil im Risikomanagement.
Auch die Geschäftsleitung ist in der Pflicht
Das Thema Cybersicherheit in der Lieferkette betrifft aber nicht nur die IT-Sicherheitsverantwortlichen, sondern neben dem Einkauf und der Rechtsabteilung auch die Unternehmensleitung.
Mit der NIS2-Gesetzgebung sind auch die Pflichten der Geschäftsleitung in der Cybersicherheit kodifiziert und konkretisiert worden. Diese muss sich mit der Frage auseinandersetzen, welche potentiellen Cyberrisiken aus der Lieferkette drohen. Die Geschäftsleitung sollte ebenfalls wissen, wie die Cybersicherheitsmaßnahmen von Lieferanten nachgehalten werden. Es geht darum, behördliche Sanktionen, Haftungsfälle und Reputationsschäden zu vermeiden.
Fazit
Angesichts neuer gesetzlicher Anforderungen, aber auch im eigenen Interesse sind Unternehmen gut beraten, bestehende Verträge mit Lieferanten auf ausreichende Sicherheitsanforderungen zu überprüfen und bei Abschluss neuer Verträge angemessene Sicherheitsmaßnahmen zu vereinbaren. Auch wenn Prozesse ausgelagert werden, kann die eigene unternehmerische Verantwortung für eine dem Risikoumfeld angemessene Cybersicherheit nicht delegiert werden.
Die Bewertung der Cyberrisiken aus Lieferketten und die Ableitung erforderlicher Maßnahmen sind nicht nur einmalig durchzuführen. Das Risikoumfeld kann sich ändern, daher handelt es sich um einen kontinuierlichen Prozess.
