IT Blog | michael wessel

Lieferketten-Security: Der blinde Fleck im deutschen Mittelstand

Geschrieben von Christian Blaue | 03.2026

 "Unser IT-Dienstleister hatte einen Ransomware-Angriff. Plötzlich standen auch unsere Systeme still."

Dieses Szenario ist keine Zukunftsmusik – es passiert täglich. Der Angriff auf Kaseya 2021 legte über 1.500 Unternehmen weltweit lahm. Der Solar Winds Hack 2020 betraf 18.000 Organisationen. Die Gemeinsamkeit: Der Angriff kam nicht direkt, sondern über einen Dienstleister.

Die unbequeme Wahrheit: Ihre IT-Sicherheit ist nur so stark wie die Ihres schwächsten Dienstleisters. Und NIS2 macht Sie persönlich dafür verantwortlich.

Das Problem: Die meisten Mittelständler haben ihre interne IT im Griff. Aber ihre Lieferkette? Ein blinder Fleck. Dieser Artikel zeigt Ihnen, wie Sie dieses Risiko erkennen, bewerten und absichern – bevor es zu spät ist.

 

Warum Lieferketten-Security der größte Risikofaktor 2025+ ist

Die Zahlen sprechen für sich: 

  • 98% aller Unternehmen hatten 2023 einen Cybervorfall in ihrer Lieferkette (Ponemon)
  • 45% der Datenschutzverletzungen betreffen Drittanbieter (IBM Cost of Data Breach)
  • Durchschnittlicher Schaden: 4,5 Mio. € pro Vorfall

Warum sind Dienstleister so attraktiv für Angreifer? 

  • 1. Privilegierter Zugang: IT-Dienstleister haben oft Admin-Rechte
  • 2. Domino-Effekt: Ein erfolgreicher Angriff betrifft Dutzende Kunden
  • 3. Schwächstes Glied: Kleinere Dienstleister haben oft schlechtere Security
  • 4. Vertrauens-Missbrauch: Malware kommt von 'vertrauenswürdiger' Quelle

 

Was NIS2 konkret von Ihnen fordert 

§ 30 Abs. 1 Nr. 8 NIS2-Umsetzungsgesetz: 

"Die Sicherheit der Lieferkette einschließlich sicherheitsbezogener Aspekte der Beziehungen zwischen den einzelnen Einrichtungen und ihren unmittelbaren Anbietern oder Diensteanbietern.

Was das in der Praxis bedeutet: 

  • Sie müssen ALLE Dienstleister identifizieren, die Zugang zu IT-Systemen haben

  • Sie müssen deren Sicherheitsniveau bewerten

  • Sie müssen Risiken dokumentieren und Maßnahmen ergreifen

  • Sie müssen vertraglich absichern (Audit-Rechte, Meldepflichten)

  • Sie haften, wenn ein Dienstleister einen Vorfall verursacht 


Lieferketten-Security in 4 Schritten absichern 

Schritt 1: Transparenz schaffen – Wer hat Zugang zu was? 

Erstellen Sie eine vollständige Liste ALLER Dienstleister mit IT-Zugang: 

  • IT-Dienstleister (Managed Services, Support) 

  • Cloud-Provider (Office 365, AWS, etc.) 

  • Software-Anbieter mit Fernwartungszugang

  • Spezialisten (ERP-Berater, Netzwerk-Spezialisten)

Dokumentieren Sie für jeden:

  • Welche Systeme/Daten er zugreifen kann
  • Art des Zugangs (VPN, Remote Desktop, Admin-Rechte)
  • Kritikalität (High/Medium/Low)

 

Schritt 2: Risikobewertung – Wer ist Ihr größtes Risiko?  

Bewerten Sie jeden Dienstleister nach:

  • Zugangsrechte (je höher, desto riskanter)
  • Datensensibilität (verarbeitet er kritische Daten?)
  • Security-Niveau (hat er Zertifikate? ISO 27001?)
  • Abhängigkeit (können Sie kurzfristig wechseln?)

Priorisierung: Top 10 kritische Dienstleister identifizieren

 

Schritt 3: Maßnahmen umsetzen – Security-Nachweise einfordern   

Für Hochrisiko-Dienstleister:

  • Security-Fragebogen versenden
  • ISO 27001 oder vergleichbare Zertifizierung fordern
  • Audit-Rechte vertraglich vereinbaren
  • Incident-Meldepflichten festlegen (24h)

Für Hochrisiko-Dienstleister:

  • Selbstauskunft zu Security-Maßnahmen
  • NIS2-konforme Vertragsklauseln

 

Schritt 4: Monitoring & Kontrolle – Nicht einmal, sondern kontinuierlich    

  • Jährliche Re-Bewertung aller Dienstleister
  • Bei Vertragsänderung: Security-Check wiederholen
  • Vorfälle tracken: Hat Dienstleister Incidents gehabt?

 

Praxisfall: Wie ein Mittelständler durch seinen MSP gehackt wurde 

Ausgangssituation:

Erstellen Sie eine vollständige Liste ALLER Dienstleister mit IT-Zugang: 

  • Mittelständisches Produktionsunternehmen, 200 Mitarbeiter
  • Gute interne IT-Security (Firewall, MFA, Backups)
  • Externer MSP für Server-Wartung
  • 5 Tage Produktionsstillstand
  • 420.000 € Umsatzausfall
  • 80.000 € Wiederherstellungskosten
  • Reputationsschaden bei Kunden
  • Audit des MSP (hätte schwaches Phishing-Training aufgedeckt)
  • Vertragliche Pflicht zur MFA für MSP-Mitarbeiter
  • Netzwerk-Segmentierung (MSP nur Zugang zu nicht-kritischen Systemen)

Was passierte:

Der MSP wurde Opfer eines Phishing-Angriffs. Angreifer erbeuteten Admin-Credentials für Remote-Zugänge zu allen Kundensystemen.

Innerhalb von 48h waren 12 Kunden des MSP mit Ransomware infiziert – darunter das Produktionsunternehmen.

Der Schaden:

  • 5 Tage Produktionsstillstand
  • 420.000 € Umsatzausfall
  • 80.000 € Wiederherstellungskosten
  • Reputationsschaden bei Kunden

Was hätte den Vorfall verhindert:

  •  Audit des MSP (hätte schwaches Phishing-Training aufgedeckt)

  • Vertragliche Pflicht zur MFA für MSP-Mitarbeiter

  • Netzwerk-Segmentierung (MSP nur Zugang zu nicht-kritischen Systemen)

 

NIS2-konforme Vertragsklauseln für Dienstleister 

Pflicht-Klauseln: 

  • 1. Sicherheitsstandards: 'Der Dienstleister verpflichtet sich, angemessene technische und organisatorische Maßnahmen zur Gewährleistung der Informationssicherheit zu treffen.'
  • 2. Meldepflicht: 'Der Dienstleister meldet Sicherheitsvorfälle innerhalb von 24 Stunden.'
  • 3. Audit-Rechte: 'Der Auftraggeber hat das Recht, die Sicherheitsmaßnahmen des Dienstleisters jährlich zu auditieren.'
  • 4. Haftung: 'Der Dienstleister haftet für Schäden durch Sicherheitsvorfälle in seinem Verantwortungsbereich.'
  • 5. Subunternehmer: 'Der Dienstleister darf nur Subunternehmer einsetzen, die gleichwertige Sicherheitsstandards erfüllen.'


Häufige Fragen zur Lieferketten-Security 

Was ist, wenn mein Dienstleister keine Zertifizierung hat?

Zertifizierung ist nicht zwingend. Aber Sie müssen sicherstellen, dass das Sicherheitsniveau angemessen ist. Alternative: Selbstauskunft + gelegentliche Audits.

Muss ich ALLE Dienstleister prüfen?

Nein. Fokus auf kritische Dienstleister mit IT-Zugang oder Datenzugriff. Der Paketbote braucht kein Security-Audit.

Was, wenn ein Dienstleister die Anforderungen ablehnt?

Dann haben Sie zwei Optionen: (1) Akzeptieren Sie das Risiko und dokumentieren Sie es. (2) Wechseln Sie den Dienstleister. Bei kritischen Dienstleistern empfehlen wir Option 2.

Fazit: Ihre Lieferkette ist Ihr größtes Sicherheitsrisiko

Die Kernbotschaften:

  • 98% der Unternehmen hatten 2023 einen Lieferkettenvorfall
  • NIS2 macht SIE verantwortlich für Ihre Dienstleister
  • Transparenz ist der erste Schritt (Wer hat Zugang?)
  • Priorisieren Sie: Top 10 kritische Dienstleister zuerst
  • Vertraglich absichern: Audit-Rechte, Meldepflichten, Haftung
Vollständigen Beitrag anzeigen