Ein Angriff, der keiner sein sollte
Der Anruf kam um kurz nach neun Uhr morgens. Der IT-Leiter eines deutschen Mittelstandsunternehmens, Spezialist für Präzisionsoptik, wurde von seinem Systemüberwachungs-Tool alarmiert: Ungewöhnliche Datenströme aus dem ERP-System. Die Ursache? Ein kompromittiertes Software-Update eines Drittanbieters – eines Lieferanten, dem das Unternehmen seit Jahren blind vertraute. Drei Wochen dauerte die vollständige Wiederherstellung. Der Schaden: siebenstellig.
Das ist kein Einzelfall. Es ist die neue Normalität – und der Cyber Security Report 2026, am 5. März auf der Cyber Security Conference in Heilbronn von Schwarz Digits präsentiert, liefert dazu erstmals repräsentative Zahlen für Deutschland.
202 Milliarden Euro – und niemand prüft die Zulieferer
Die Studie, für die 1.001 deutsche Unternehmen befragt wurden, zeichnet ein beunruhigendes Bild: Trotz geschätzter wirtschaftlicher Gesamtschäden von über 202 Milliarden Euro jährlich durch Cyberangriffe bestehen bei den meisten Unternehmen erhebliche Lücken in der Supply-Chain-Sicherheit.
Das alarmierendste Ergebnis: Zwar registriert bereits jedes zweite befragte Unternehmen Angriffe auf seine Zulieferer – doch 75 % verzichten weiterhin auf regelmäßige Sicherheitsaudits ihrer Partner. Lediglich ein Drittel der Organisationen hat vollständigen Überblick über die tatsächlichen IT-Abhängigkeiten innerhalb der eigenen Lieferkette.
Das Muster ist bekannt – und gefährlich: Angreifer suchen nicht den direkten Weg. Sie wählen den einfacheren: den schwächsten Punkt in der Zuliefererkette. Managed Service Provider, Softwarehersteller, IT-Dienstleister – wer Zugang zu den Systemen eines Unternehmens hat, kann zur Brücke für Angreifer werden. Im Ernstfall dauert es laut Bericht im Schnitt bis zu 30 Tage, bis der Betrieb vollständig wiederhergestellt ist.
Supply Chain Attacks: Die unterschätzte Bedrohung des Jahres 2026
Auch auf globaler Ebene bestätigt sich dieser Trend. Der Group-IB High-Tech Crime Trends Report 2026 stuft Supply-Chain-Angriffe als die Top-Cyberbedrohung des Jahres ein. Kompromittierte Software-Bibliotheken, manipulierte Update-Mechanismen und gekaperte MSP-Zugänge sind dabei die bevorzugten Angriffsvektoren.
Was früher einer staatlich gesteuerten APT-Gruppe vorbehalten war, ist heute durch den Einsatz von Künstlicher Intelligenz auch für kriminelle Gruppierungen mit deutlich geringerem technischen Know-how möglich. KI automatisiert die Netzwerkaufklärung, identifiziert Schwachstellen in Software-Abhängigkeiten und beschleunigt das Schreiben von Exploit-Code. Die Angriffsseite wird professioneller – während sich die Verteidiger in einem gefährlichen Trugschluss wiegen.
Der Cyber Security Report 2026 spricht in diesem Zusammenhang von einer „Sicherheits-Illusion": 54 % der befragten Unternehmen schätzen das Cyberrisiko durch KI-Nutzung als nicht vorhanden oder vernachlässigbar ein – ein fataler Denkfehler, der Angreifern systematisch in die Hände spielt.
NIS2 verschärft den Druck: Lieferketten sind Chefsache
Wer die Supply-Chain-Sicherheit bislang als IT-Thema abgetan hat, muss umdenken. Mit dem deutschen NIS2-Umsetzungsgesetz (NIS2UmsuCG), das am 6. Dezember 2025 in Kraft trat, sind Lieferketten explizit Teil der Risikomanagement-Pflichten betroffener Einrichtungen. Artikel 21 der NIS2-Richtlinie fordert von Unternehmen ausdrücklich die Bewertung und das Management von Sicherheitsrisiken in der Lieferkette.
Bußgelder von bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes drohen – und die persönliche Haftung der Geschäftsführung ist ausdrücklich vorgesehen. Der Cyber Security Report zeigt, dass 48 % der Unternehmen ihre NIS2-Pflichten noch immer unterschätzen – und 62 % sich von den Behörden bei der Umsetzung allein gelassen fühlen.
Mehr zu den NIS2-Anforderungen und was Unternehmen konkret umsetzen müssen, erläutert pleXtec auf der Seite Compliance-Software und regulatorische Anforderungen.
Was Unternehmen jetzt tun müssen: Fünf konkrete Schritte
Die gute Nachricht: Wer jetzt handelt, kann die Angriffsfläche erheblich reduzieren. Folgende Maßnahmen sind dringend empfohlen:
1. Lieferketten-Inventur durchführen
Der erste Schritt ist Transparenz: Welche IT-Dienstleister, Softwareanbieter und Systemintegratoren haben Zugang zu den eigenen Systemen? Ein vollständiges Inventar aller Drittanbieter-Zugänge ist die Grundlage jeder wirksamen Supply-Chain-Sicherheit. Nur wer weiß, wer Zugang hat, kann diesen kontrollieren und im Incident-Fall schnell isolieren. Ziel sollte ein kontinuierlich gepflegtes Drittanbieter-Register sein – kein Excel-Sheet, das einmal im Jahr aktualisiert wird.
2. Third-Party-Risikomanagement etablieren
Regelmäßige Sicherheitsaudits und standardisierte Fragebögen für Lieferanten sind kein Luxus – sie sind Pflicht. Zertifizierungen wie ISO 27001 oder SOC 2 Type II geben einen Anhaltspunkt, ersetzen aber keine eigene Risikobewertung. Kritische Zulieferer sollten mindestens jährlich einer strukturierten Bewertung unterzogen werden, neue Lieferanten vor Onboarding.
3. Zero-Trust-Prinzipien auf Drittanbieter ausweiten
Jeder externe Zugang sollte nach dem Least-Privilege-Prinzip konfiguriert werden. Multi-Faktor-Authentifizierung, zeitlich begrenzte Zugriffsrechte und vollständiges Logging sind Mindeststandards – auch und gerade für Partner, denen man seit Jahren vertraut. Vertrauen ist gut. Kontrolle ist besser. Zero Trust macht keinen Unterschied zwischen intern und extern.
4. Software-Update-Prozesse härten
SolarWinds, XZ Utils, 3CX – die Liste der Angriffe über kompromittierte Software-Updates wird länger. Unternehmen sollten Updates nicht blind einspielen, sondern in Staging-Umgebungen testen und, wo möglich, kryptographische Signaturen verifizieren. Software Bill of Materials (SBOM) wird zum Standard – auch auf explizite Anforderung von NIS2 und dem Cyber Resilience Act. Wer heute SBOMs von seinen Softwarelieferanten einfordert, ist gut aufgestellt.
5. Incident-Response-Plan für Supply-Chain-Szenarien vorbereiten
Wer noch keinen spezifischen Incident-Response-Plan für Supply-Chain-Kompromittierungen hat, sollte dies nachholen. Zentrale Fragen: Wer ist der erste Ansprechpartner beim Dienstleister? Wie schnell kann ein kompromittierter Zugang gesperrt werden? Ist das SOC-Team auf solche Szenarien trainiert? Tabletop-Übungen helfen dabei, Schwachstellen im Plan zu finden, bevor es ernst wird.
pleXtec unterstützt Unternehmen bei der Entwicklung ganzheitlicher Informationssicherheitsstrategien – von der Risikoanalyse über technische Maßnahmen bis zur Vorbereitung auf Audits und regulatorische Anforderungen.
Fazit: Vertrauen ist gut, Kontrolle ist besser
Der Cyber Security Report 2026 ist ein Weckruf, der nicht ungehört bleiben sollte. Supply-Chain-Angriffe werden häufiger, ausgefeilter und durch KI weiter beschleunigt. Die Antwort der deutschen Wirtschaft – bislang weitgehend Untätigkeit bei 75 % der Unternehmen – ist keine Option mehr.
Unternehmen, die ihre Zulieferer nicht kennen, ihre Zugänge nicht kontrollieren und keine Notfallpläne haben, sind keine zufälligen Opfer. Sie sind planbare Angriffsziele. Es ist Zeit, das zu ändern – bevor der Anruf um kurz nach neun bei Ihnen eingeht.
Kontaktieren Sie das pleXtec-Team für eine kostenfreie Erstberatung zur Supply-Chain-Sicherheit: Zum Kontaktformular.
