Ein Supply-Chain-Angriff findet statt, wenn Kriminelle einen vertrauenswürdigen Drittanbieter gefährden, um das eigentliche Ziel zu erreichen. Dieser Drittanbieter kann ein Softwarehersteller, IT-Dienstleister, eine SaaS-Plattform oder ein Geschäftspartner mit Zugriff auf Systeme oder Daten sein.

Für kleine und mittlere Unternehmen ist es leicht, dieses Risiko zu unterschätzen. Du betreibst vielleicht keine komplexe Infrastruktur und hast kein großes IT-Team, aber dein Unternehmen hängt wahrscheinlich von vielen externen Diensten ab: geschäftliche E-Mails, Gehaltsabrechnung, Buchhaltung, Cloud-Speicher, Kundensupport, CRM und Zahlungssysteme. Jeder verbundene Anbieter stellt einen potenziellen Pfad in deine Umgebung dar.

Wir erklären, was ein Supply-Chain-Angriff ist, wie diese Angriffe ablaufen, warum KMU gefährdet sind und wie du das Supply-Chain-Risiko durch Drittanbieter bewerten und reduzieren kannst.

Was ist ein Supply-Chain-Angriff?

Wie Supply-Chain-Angriffe ablaufen

Warum KMU wertvoller sind

Praxisbeispiele für Supply-Chain-Angriffe

So bewertest du das Risiko durch Drittanbieter

Was dein Unternehmen tun kann, um das Risiko zu senken

Die Verbindung über Anmeldedaten bei Supply-Chain-Angriffen

Sicherheit von Drittanbietern in den Alltag integrieren

Was ist ein Supply-Chain-Angriff?

Ein Supply-Chain-Angriff ist ein Cyberangriff, der eine Organisation über eine vertrauenswürdige externe Beziehung erreicht. Anstatt dein Unternehmen direkt anzugreifen, gefährden Kriminelle einen Anbieter, ein Software-Update, einen Dienstleister, eine Integration oder ein Drittanbieter-Konto und nutzen diesen Zugriff, um deine nachgelagerten Kunden zu erreichen.

Eine Schwachstelle außerhalb deiner Organisation kann sich dennoch auf deine Systeme, Daten oder Abläufe auswirken, wenn der Lieferant mit ihnen verbunden ist. In der Praxis kann ein Supply-Chain-Cyberangriff Folgendes umfassen:

  • Ein Softwarehersteller mit einem gefährdeten Update-Mechanismus.
  • Eine SaaS-Plattform, über die Angreifer auf Kundendaten zugreifen.
  • Ein IT-Dienstleister, dessen Administrator-Anmeldedaten gestohlen werden.
  • Ein Konto eines externen Mitarbeiters, das nach Projektende immer noch Zugriff hat.
  • Eine Drittanbieter-Integration mit mehr Berechtigungen als nötig.
  • Ein Mitarbeiterkonto eines Anbieters, das für den Zugriff auf Kundensysteme verwendet wird.

Supply-Chain-Angriffe beruhen auf Vertrauen und nutzen dieses aus. Dein Unternehmen lässt die Verbindung zu, weil der Anbieter eine legitime Rolle hatte, und Angreifer missbrauchen dann dieses Vertrauen, um näher an deine Daten, Konten oder Systeme heranzukommen.

Wie Supply-Chain-Angriffe ablaufen

Supply-Chain-Angriffe beginnen in der Regel mit einer vertrauenswürdigen Verbindung. Ein Angreifer muss nicht direkt in dein Unternehmen einbrechen, wenn ein Anbieter, Softwarehersteller, externer Mitarbeiter oder eine Integration bereits Zugriff auf etwas Wertvolles hat.

Der Pfad kann variieren, aber das Muster ist oft ähnlich:

  • Den Drittanbieter gefährden
  • Diese vertrauenswürdige Beziehung nutzen, um Kunden oder verbundene Systeme zu erreichen
  • Den Zugriff auf dein Unternehmensnetzwerk ausweiten

Über gefährdete Anbieterkonten

Angreifer können Anmeldedaten von einem Anbieter, externen Mitarbeiter, einer Agentur oder einem Managed Service Provider stehlen oder erraten. Wenn dieser Drittanbieter Zugriff auf deine Systeme hat, kann der Angreifer ein legitimes Konto verwenden, um über einen vertrauenswürdigen Weg einzudringen.

Dies ist besonders riskant, wenn Anbieterkonten weitreichende Berechtigungen, schwache Passwörter, keine Multi-Faktor-Authentifizierung oder einen Zugriff haben, der nach Projektende nie entfernt wurde. Aus diesem Grund sollte der Zugriff von Drittanbietern regelmäßig überprüft und über einen kontrollierten Administrator-Prozess umgehend widerrufen werden, wenn er nicht mehr benötigt wird.

Über Software-Updates und Anwendungen

Ein Software-Supply-Chain-Angriff kann stattfinden, wenn Angreifer die Art und Weise gefährden, wie eine Anwendung erstellt, verteilt oder aktualisiert wird. Dein Unternehmen installiert oder aktualisiert dann möglicherweise Software von einem vertrauenswürdigen Anbieter, ohne zu wissen, dass das Update manipuliert wurde.

Diese Art von Angriff ist schwer zu erkennen, da die Aktivität anscheinend von einem bekannten Softwareanbieter und nicht von einer unbekannten Quelle stammt.

Über Drittanbieter-Integrationen

Viele Software-as-a-Service-Tools (SaaS) verbinden sich über Integrationen, Plugins, APIs und Berechtigungen untereinander. Diese Verbindungen helfen Teams, schneller zu arbeiten, können aber auch versteckte Zugriffspfade erstellen.

Wenn eine Integration gefährdet ist oder mehr Berechtigungen als nötig hat, können Angreifer möglicherweise auf Daten, Konten oder Workflows außerhalb des ursprünglichen Tools zugreifen.

Über geteilte Anmeldedaten und nicht verwalteten Zugriff

Das Supply-Chain-Risiko steigt auch, wenn der Zugriff von Anbietern von geteilten Logins, in Dokumenten gespeicherten Passwörtern oder über Chat und E-Mail gesendeten Anmeldedaten abhängt. Wenn eine dieser Anmeldedaten offengelegt wird, weiß dein Unternehmen möglicherweise nicht, wer sie verwendet hat, wo sie geteilt wurde oder auf wie viele Systeme sie noch zugreifen kann.

Die Zugriffskontrolle ist dein stärkster Mechanism zum Schutz der Sicherheit deiner Lieferkette. Je kontrollierter jede Anbieterverbindung ist, desto einfacher ist es, den Schaden zu begrenzen, wenn etwas schiefgeht.

Warum KMU anfälliger sind

KMU gehen oft davon aus, dass Supply-Chain-Angriffe ein Problem von Großunternehmen sind. In der Realität können kleinere Unternehmen über Drittanbieter leichter zu erreichen sein, da der Zugriff von Anbietern oft weniger formell ist, seltener überwacht und weniger häufig überprüft wird.

Jeder SaaS-Dienst führt zu einer Abhängigkeit

Die meisten kleinen Unternehmen sind im täglichen Arbeitsleben mittlerweile von SaaS-Diensten abhängig. Diese können Unternehmen helfen, agiler und flexibler zu agieren, erweitern aber auch die Anzahl der Systeme, die Unternehmensdaten enthalten oder sich mit Unternehmenskonten verbinden können.

Eine kleine Agentur, eine Beratung, eine Anwaltskanzlei oder ein Start-up nutzen möglicherweise Dutzende externer Dienste, ohne dies als Lieferkette zu bezeichnen. Aus Sicherheitsperspektive sind diese Dienste jedoch Teil der Kette.

Kleineren Teams fehlen oft Prozesse zur Überprüfung von Anbietern

Große Organisationen verfügen oft über Beschaffungsabteilungen, Fragebögen zu Anbieterrisiken, Sicherheitsüberprüfungen und rechtliche Prozesse. KMU verlassen sich stattdessen oft auf informelles Vertrauen und Schnelligkeit.

Seit Anfang 2025 hat das Data Breach Observatory von Proton 512 Datenlecks identifiziert, bei denen mehr als 902 Millionen Datensätze offengelegt wurden. Diese Art von Transparenz ist wichtig, da viele Datenlecks nicht auf ein einziges Unternehmen beschränkt bleiben, sobald Anmeldedaten, Kontaktdaten oder Geschäftsdaten offengelegt wurden.

Das bedeutet nicht, dass kleine Unternehmen eine Bürokratie wie in Großkonzernen benötigen. Es bedeutet jedoch, dass sie eine praktische Möglichkeit brauchen, grundlegende Fragen zu stellen, bevor sie Zugriff gewähren, und den Zugriff zu überprüfen, wenn sich die Zusammenarbeit ändert.

Der Zugriff von Anbietern ist oft weitreichender als nötig

Der Zugriff von Anbietern in einem Unternehmen wird aus praktischen Gründen meist ausgeweitet. Manchmal benötigt ein externer Mitarbeiter Zugriff auf ein freigegebenes Drive-Laufwerk oder eine Agentur benötigt Zugriff auf Analysen oder das Werbekonto. In diesem Moment fühlt sich die Gewährung des Zugriffs wie der schnellste Weg an, um die Arbeit am Laufen zu halten, insbesondere für ein kleines Unternehmen mit wenigen Mitarbeitern oder Ressourcen.

Das Risiko zeigt sich erst später, wenn diese Berechtigungen nicht eingeschränkt, überprüft oder entfernt werden. Ein Drittanbieter behält möglicherweise auch nach Projektende den Zugriff, eine geteilte Anmeldung bleibt im Umlauf oder eine Integration bleibt noch lange verbunden, nachdem der ursprüngliche Bedarf längst vorüber ist.

Praxisbeispiele für Angriffe auf die Lieferkette

Aktuelle Daten zu Datenlecks zeigen, dass das Risiko durch Drittanbieter nicht theoretisch ist. Bei der Recherche für unser Data Breach Observatory haben wir mehrere Vorfälle aufgedeckt, die mit Risiken durch Drittanbieter oder die Lieferkette zusammenhängen. Dies zeigt, wie Kunden-, Mitarbeiter- oder Unternehmensdaten in Datensätzen von Datenlecks auftauchen können, selbst wenn die betroffene Organisation nicht unbedingt diejenige war, die ursprünglich gefährdet wurde.

Amtrak

Im April 2026 deckte das Data Breach Observatory einen Vorfall bei einem Drittanbieter auf, der mit Amtrak in Verbindung steht und bei dem mehr als 7,4 Millionen Datensätze offengelegt wurden. Zu den gefährdeten Daten gehörten Namen, physische Adressen, Postleitzahlen, Telefonnummern, E-Mail-Adressen und Benutzernamen.

Für Unternehmen ist dies ein klares Beispiel dafür, wie ein Vorfall bei einem Drittanbieter Identitäts- und Kontaktdaten in großem Umfang offenlegen kann, was Folgerisiken für Phishing, Identitätsdiebstahl und Angriffe auf Anmeldedaten birgt.

Canada Goose

Das Bekleidungsunternehmen Canada Goose war im Februar 2026 von einem Vorfall bei einem Drittanbieter betroffen, bei dem mehr als 921.000 Datensätze offengelegt wurden. Zu den gefährdeten Daten gehörten Namen, physische Adressen, Telefonnummern und E-Mail-Adressen.

Selbst ohne Passwörter kann diese Art von Datensatz das Geschäftsrisiko erhöhen, da Angreifer die Kontaktinformationen nutzen können, um Betrug, Phishing-Versuche und Social Engineering glaubwürdiger zu gestalten.

So bewertest du dein Risiko durch Drittanbieter

Du brauchst kein großes Risikoteam oder viele Ressourcen, um mit der Bewertung deines Geschäftsrisikos zu beginnen. Fang mit einer einfachen Bestandsaufnahme an und konzentriere dich auf die Anbieter, die am wichtigsten sind.

1. Erfasse deine Anbieter und deren Zugriff

Erstelle eine Liste der Anbieter, SaaS-Dienste, Auftragnehmer und Partner, die Zugriff auf deine Systeme oder Daten haben. Notiere dir für jeden Einzelnen:

  • Auf welche Daten sie zugreifen können.
  • Welche Konten oder Integrationen sie nutzen.
  • Ob sie über Administratorrechte verfügen.
  • Ob der Zugriff individuell oder geteilt ist.
  • Ob eine Multi-Faktor-Authentifizierung erforderlich ist.
  • Wer intern für die Beziehung verantwortlich ist.
  • Wann der Zugriff zuletzt überprüft wurde.

Diese Bestandsaufnahme lässt sich viel einfacher pflegen, wenn der Zugriff für Anbieter über ein kontrolliertes System mit eindeutigen Verantwortlichkeiten, Administrator-Sichtbarkeit und entziehbaren Zugriffsrechten verwaltet wird.

2. Stufe Anbieter nach Risiko ein

Nicht jeder Anbieter erfordert eine detaillierte Überprüfung. Ein Lohnabrechnungsdienstleister, eine Cloud-Speicherplattform, ein IT-Dienstleister, ein CRM oder ein Managed-Service-Provider verdienen mehr Aufmerksamkeit als ein Dienst mit geringem Risiko, der keine sensiblen Daten verarbeitet.

Priorisiere Anbieter, die Kundendaten, Anmeldedaten, Zahlungen, Mitarbeiterinformationen, Produktionssysteme verarbeiten oder Administrator-Zugriff haben.

3. Stelle Sicherheitsfragen, bevor du Zugriff gewährst

Bevor du Zugriff gewährst, ist es hilfreich, einen Schritt zurückzutreten und zu prüfen, ob der Drittanbieter wirklich notwendig ist, auf welche Systeme oder Daten er zugreifen muss und ob dieser Zugriffsumfang gerechtfertigt ist. In dieser Phase stellen viele Organisationen fest, dass sie auf mehr Anbieter, Integrationen und externe Konten angewiesen sind, als sie dachten.

Eine vereinfachte Anbieterüberprüfung kann dennoch nützlich sein. Stelle folgende Fragen:

  • Was passiert mit unseren Daten, wenn wir kündigen?
  • Wird 2FA unterstützt?
  • Wie werden Kundendaten geschützt?
  • Werden rollenbasierte Zugriffskontrollen angeboten?
  • Sind Audit-Protokolle oder Aktivitätsberichte verfügbar?
  • Liegen relevante Sicherheitszertifizierungen vor oder werden anerkannte Sicherheitsstandards eingehalten?
  • Wie werden Kunden über Vorfälle informiert?
  • Wie wird der Mitarbeiterzugriff intern verwaltet?
  • Wird ein Zugriff nach dem Prinzip der minimalen Rechtevergabe (Least Privilege) unterstützt?

Was dein Unternehmen tun kann, um Risiken zu verringern

Die Reduzierung des Supply-Chain-Risikos beginnt mit Kontrolle. In der Praxis bedeutet das, dass dein Unternehmen klare Regeln dafür braucht, wie Anbieter überprüft werden, worauf sie zugreifen dürfen, wie ihre Aktivitäten überwacht werden und was passiert, wenn ein Drittanbieter gefährdet ist.

Überprüfe Drittanbieter auf ihre Sicherheitsmaßnahmen

Bevor du einem Anbieter Zugriff auf Geschäftssysteme oder sensible Daten gewährst, solltest du prüfen, ob dessen Sicherheitsmaßnahmen dem Risiko entsprechen. Ein Anbieter, der Kundendaten, Finanzdaten oder Administrator-Zugriffe verarbeitet, sollte höhere Anforderungen erfüllen als eine einfache Produktivitäts-App.

Achte auf 2FA-Unterstützung, rollenbasierte Berechtigungen, Audit-Protokolle, Zusagen zur Benachrichtigung bei Vorfällen, Kontrollen zur Datenaufbewahrung und klare Offboarding-Prozesse.

Wende das Prinzip der minimalen Rechtevergabe auf Zugriffe von Drittanbietern an

Das Prinzip der minimalen Rechtevergabe (Least Privilege) verringert den Schadensradius, falls das Konto eines Drittanbieters gefährdet wird. Das bedeutet, keine Administratorrechte zu vergeben, wenn ein Lesezugriff ausreicht, oder keine weitreichend geteilten Ordner freizugeben, wenn ein bestimmter Ordner genügt.

Nutze Zero-Trust-Prinzipien für Anbieter

Zero Trust bedeutet nicht, jedem Anbieter zu misstrauen. Es bedeutet vielmehr, nicht davon auszugehen, dass eine vertrauenswürdige Beziehung unbegrenzten Zugriff ermöglichen sollte.

Für den Zugriff von Anbietern bedeutet dies, die Identität zu überprüfen, Berechtigungen einzuschränken, den Zugriff regelmäßig zu überprüfen, 2FA vorzuschreiben, Aktivitäten zu überwachen und jede Verbindung als etwas zu behandeln, das einer Kontrolle bedarf.

Überwache ungewöhnliche Zugriffsmuster

Mit Anbietern verbundene Konten sollten auf Verhaltensweisen überwacht werden, die nicht der normalen Nutzung entsprechen. Achte auf ungewöhnliche Anmeldestandorte, unerwartete Downloads, neue Administrator-Benutzer, Änderungen von Berechtigungen, Aktivitäten außerhalb der Arbeitszeiten, neue Integrationen oder den Zugriff auf Daten außerhalb der Rolle des Anbieters.

Diese Signale sind nicht immer ein Beweis für eine Gefährdung, aber sie können deinem Team helfen zu reagieren, bevor aus einem kleinen Problem ein größeres Datenleck wird.

Bereite dich auf eine Gefährdung von Drittanbietern vor

Dein Reaktionsplan für Vorfälle sollte Vorfälle bei Drittanbietern einbeziehen. Wenn ein Lieferant ein Datenleck meldet, muss dein Unternehmen wissen, was als Nächstes zu tun ist. Wir haben über den Schutz vor Datenlecks für Unternehmen geschrieben, der dir dabei helfen kann, die Reaktion deines Unternehmens auf die Gefährdung von Drittanbietern zu strukturieren.

Lege fest, wer den Drittanbieter kontaktiert, wer den Zugriff überprüft, wer Protokolle prüft, wer entscheidet, ob Anmeldedaten rotiert werden sollen, und wer bei Bedarf mit Kunden oder Aufsichtsbehörden kommuniziert.

Verwende einzigartige Anmeldedaten für jeden Drittanbieter und jedes Drittanbieter-Tool

Einzigartige Anmeldedaten sind eine der einfachsten Möglichkeiten, den Schadensradius in der Lieferkette zu begrenzen. Wenn ein Anbieter-Portal von einem Datenleck betroffen ist und ein Mitarbeiter dieses Passwort an anderer Stelle wiederverwendet hat, versuchen Angreifer möglicherweise, dieselben Anmeldedaten für E-Mails, SaaS-Plattformen, Finanztools oder Administrator-Systeme zu verwenden.

Ein einzigartiges Passwort pro Anbieter verhindert diese direkte Wiederverwendung. Es macht auch die Reaktion auf Vorfälle transparenter. Wenn ein Anbieter gefährdet ist, weißt du, welche Anmeldedaten Aufmerksamkeit erfordern, anstatt dich fragen zu müssen, wo dasselbe Passwort verwendet wurde.

Proton Pass ist ein Passwort-Manager für Unternehmen, der deinem Team helfen kann, starke, einzigartige Passwörter für jeden Anbieter und Drittanbieter-Dienst zu generieren, sie in verschlüsselten Tresoren zu speichern, das automatische Ausfüllen zu nutzen und den Zugriff sicher zu teilen. Dies erleichtert die Aufrechterhaltung der Sicherheit von Anmeldedaten bei den vielen externen Diensten, auf die moderne Unternehmen angewiesen sind.

Die Verbindung der Anmeldedaten bei Angriffen auf die Lieferkette

Angriffe auf die Lieferkette beginnen oft bei Anbietern, aber die Anmeldedaten bestimmen, wie weit sich die Auswirkungen ausbreiten können.

Wenn das Konto eines externen Dienstleisters gefährdet ist, aber nur eingeschränkten Zugriff hat, kann der Schaden begrenzt werden. Wenn dasselbe Konto jedoch über weitreichende Berechtigungen, geteilte Anmeldedaten, wiederverwendete Passwörter oder Zugriff auf sensible Systeme verfügt, hat der Angreifer mehr Handlungsspielraum.

Aus diesem Grund gehören Passwort- und Zugriffsverwaltung zum Risikomanagement der Lieferkette. Für jeden Anbieter oder jedes Drittanbieter-Tool sollte dein Unternehmen Folgendes wissen:

  • Welche Anmeldedaten existieren.
  • Wer Zugriff darauf hat.
  • Ob das Passwort einzigartig ist.
  • Ob MFA aktiviert ist.
  • Ob der Zugriff noch benötigt wird.
  • Ob das Konto geteilt oder individuell ist.
  • Wer intern Inhaber des Kontos ist.

Ein Passwort-Manager für Unternehmen wie Proton Pass hilft dabei, diese Fragen einfacher zu beantworten. Anstatt dass Anmeldedaten in Tabellen, Browser-Profilen, Chat-Nachrichten oder persönlichen Notizen gespeichert sind, können Passwörter von Drittanbietern in einem kontrollierten System mit sicherem Teilen und eindeutigeren Zuständigkeiten gespeichert werden.

Das erübrigt nicht die Notwendigkeit, Anbieter zu überprüfen oder Aktivitäten zu überwachen. Es stärkt eine der wirksamsten Kontrollmaßnahmen: sicherzustellen, dass ein Datenleck bei einem Drittanbieter nicht zu einem Problem durch die Wiederverwendung von Passwörtern im eigenen Unternehmen wird.

Sicherheit von Drittanbietern in den täglichen Betrieb integrieren

Ein Angriff auf die Lieferkette macht Vertrauen zum Einfallstor. Ein Anbieter, ein Software-Update, ein SaaS-Konto, ein externer Dienstleister oder eine Integration, die normalerweise das Unternehmen unterstützen, können zum Weg werden, den Angreifer nutzen, um an Daten oder Systeme zu gelangen.

Kleine Unternehmen können Drittanbieter nicht meiden, und das müssen sie auch nicht. SaaS-Tools, IT-Dienstleister, externe Dienstleister und Anbieter gehören zur Arbeitsweise moderner Unternehmen. Das Ziel ist es, diese Beziehungen mit ausreichend Kontrolle zu verwalten, damit eine einzige Gefährdung nicht zu einem größeren Datenleck führt.

Beginne mit den Grundlagen: Erfasse deine Anbieter, bewerte den Zugriff, stelle Sicherheitsfragen, wende das Prinzip der minimalen Rechtevergabe an, nutze Zero-Trust-Prinzipien, überwache ungewöhnliche Aktivitäten und plane für die Gefährdung von Drittanbietern. Reduziere dann das Risiko für deine Anmeldedaten, indem du jedem Anbieter und jedem Drittanbieter-Dienst sein eigenes, einzigartiges Passwort gibst.

Proton Pass hilft Unternehmen, diese Kontrolle im Alltag umzusetzen. Wenn jeder Anbieter-Login über eigene, einzigartige Anmeldedaten verfügt, geteilter Zugriff in verschlüsselten Tresoren bleibt und Teams den Zugriff widerrufen können, sobald eine Beziehung endet, ist es weitaus unwahrscheinlicher, dass ein einzelnes kompromittiertes Passwort eine Kettenreaktion auf deinen Unternehmenskonten auslöst.