Mit der zunehmenden Digitalisierung und Vernetzung in Unternehmen steigt die Abhängigkeit von externen Dienstleistern an – und damit auch die potenzielle Angriffsfläche in der Lieferkette. Und diese Bedrohung ist real, wie aktuelle Studien zeigen: So geht inzwischen fast die Hälfte aller bestätigten Datenschutzverletzungen auf Drittparteien zurück – mit steigender Tendenz. Das BSI warnt: Wer seine Lieferkette nicht aktiv absichert, riskiert unter anderem Pflichtverstöße gemäß NIS-2. Im Folgenden erhalten Sie einen Überblick über die aktuelle Bedrohungslage, regulatorische Anforderungen und konkrete Gegenmaßnahmen.
5. Juni 2026
|
Lesedauer: ca. 3 Min.
Bild: © CHUTTERSNAP/unsplash.com
Lieferketten werden immer komplexer – und sind damit zunehmend gefährdet durch Cyberangriffe. Laut dem Verizon Data Breach Investigations Report (DBIR) 2026 gehen bereits 48 Prozent aller bestätigten Datenschutzverletzungen auf Drittparteien zurück – ein Anstieg von 60 Prozent gegenüber dem Vorjahr. Das BSI warnt: Wer seine Lieferkette nicht aktiv absichert, riskiert, dass IT-Systeme lahmgelegt oder Datenlecks verursacht werden. Von Pflichtverstößen nach NIS2 ganz zu schweigen.
Um die Lieferkette effektiv zu schützen, empfiehlt das BSI unter anderem ein systematisches Cyber-Supply-Chain-Risikomanagement sowie ein ISMS nach ISO 27001 oder IT-Grundschutz. Bei der Umsetzung können externe IT-Dienstleister wie CANCOM unterstützen. Mehr zu den Leistungen von CANCOM im Cybersecurity-Bereich erfahren Sie auf der Themenseite.
Dieser Text wurde mithilfe von AI erstellt und redaktionell überprüft.
Die Komplexität des Datenschutzes in Lieferketten nimmt zu: Externe Dienstleister und Subunternehmer schaffen zusätzliche Zugriffswege auf personenbezogene Daten. Das erhöht nicht nur das Risiko von Cyberangriffen, sondern auch die regulatorischen Anforderungen nach DSGVO und NIS‑2. Unternehmen geraten damit zunehmend in die Pflicht, ihre Partner nicht nur technisch, sondern auch organisatorisch und vertraglich stärker zu kontrollieren.
Wie ernst Unternehmen dieses Thema nehmen müssen, betont das Bundesamt für Sicherheit in der Informationstechnik (BSI): Demnach kann bereits ein einziger kompromittierter Zulieferer ausreichen, um IT-Systeme lahmzulegen, Datenlecks zu verursachen und den Geschäftsbetrieb zu stören. Zudem steige das Risiko von Datendiebstahl, Industriespionage oder Systemmanipulation. Und die Gefahr sei umso größer, je komplexer die Lieferkette ausfalle.
Der aktuelle Verizon Data Breach Investigations Report (DBIR) 2026 zeigt den Ernst der Lage mit konkreten Zahlen auf. So seien Datenschutzverletzungen mit Beteiligung von Drittparteien im Vergleich zum Vorjahr um 60 Prozent gestiegen. Diese würden inzwischen 48 Prozent aller bestätigten Datenschutzvorfälle ausmachen.
Ein umfassender Schutz der Lieferkette ist jedoch komplex: Viele moderne Lieferketten bestehen aus einem Netzwerk aus Cloud-Anbietern, Plattformen, Subunternehmen und weiteren Dienstleistern. Dies führt zu einer mangelnden Transparenz über Datenflüsse. Erschwerend kommt hinzu, dass sich Qualifikationen, Zuverlässigkeit und Sicherheitsüberprüfungen des Personals bei Dienstleistern und Outsourcing-Partnern in der Regel der Kontrolle des Auftraggebers entziehen.
Entsprechend benötigen Unternehmen nicht nur bei sich, sondern auch auf der Ebene der Zulieferer ein umfassendes Risikomanagement – so das BSI. Dies sei manchmal sogar über mehrere Zulieferer hinweg nötig. Um dies umzusetzen, bräuchten Unternehmen ein tiefes Prozessverständnis ihrer Anbieter. Die Prüfung der Wirksamkeit von Maßnahmen, Auditierung und gegebenenfalls Durchführung von Krisenübungen erforderten eine enge Zusammenarbeit zwischen Unternehmen und Anbietern.
Parallel zur Bedrohungslage steigt der regulatorische Druck. Nach Einschätzung des BSI verpflichtet das BSI-Gesetz (BSIG) besonders wichtige Einrichtungen im Rahmen von NIS-2, die Sicherheit ihrer Lieferkette zu gewährleisten, einschließlich sicherheitsbezogener Aspekte der Beziehungen zu unmittelbaren Anbietern und Diensteanbietern. Unternehmen müssten etwaige Schwachstellen bei der Cybersicherheitspraxis und den Entwicklungsprozessen ihrer Lieferanten berücksichtigen. Unter Umständen bedeute das, dass sie nicht mehr mit jedem Anbieter zusammenarbeiten können, ohne Pflichtverstöße zu riskieren.
Das BSI empfiehlt hierzu einen fünfstufigen Ansatz im Rahmen des Cyber-Supply Chain Risk Management (C-SCRM):
Zulieferer sollten vertraglich zur Einhaltung von Sicherheitsmaßnahmen verpflichtet werden – und dies auch nachweisen müssen. Als organisatorische Grundlage empfiehlt das BSI die Implementierung eines Informationssicherheits-Managementsystems (ISMS) mithilfe bestehender Standards wie ISO 27001:2022 oder dem BSI IT-Grundschutz.
Die Absicherung der Lieferkette ist indes keine einmalige Maßnahme, sondern ein fortlaufender, umfangreicher Prozess – von der Risikoanalyse über die Implementierung technischer und organisatorischer Schutzmaßnahmen bis hin zur kontinuierlichen Überwachung und Evaluierung.
Unternehmen, die hier auf einen erfahrenen Partner wie CANCOM setzen, können die Komplexität dieser Aufgabe deutlich reduzieren, sich vor Cyberbedrohungen wappnen und regulatorische Anforderungen wie NIS-2 erfüllen. So setzt CANCOM auf einen ganzheitlichen Cybersecurity-Ansatz, der sich am NIST Framework orientiert und eine Reihe von Leistungen im Cybersecurity-Bereich umfasst – von Governance und Compliance über Schwachstellenanalysen bis hin zu Managed Security Services und SOC-Betrieb aus Deutschland. Erfahren Sie mehr darüber auf unserer Themenseite.
