Lieferkettenangriffe 2026: Wenn Ihr IT-Dienstleister zum Sicherheitsrisiko wird

Cyberangriffe über die Lieferkette haben sich seit 2020 fast vervierfacht, wie der IBM X-Force Threat Intelligence Index 2026 zeigt. Laut dem Verizon Data Breach Investigations Report 2025 sind mittlerweile 30 Prozent aller Datenschutzverletzungen auf Drittanbieter zurückzuführen – doppelt so viele wie im Vorjahr. Für Schweizer KMU, die stark auf IT-Dienstleister, Cloud-Plattformen und Softwareanbieter setzen, ist das ein unterschätztes Risiko mit potenziell existenziellen Folgen.

Was sind Lieferkettenangriffe?

Bei einem Supply-Chain-Angriff kompromittieren Angreifer nicht das eigentliche Ziel direkt, sondern einen Zulieferer, Dienstleister oder Softwareanbieter – und nutzen dessen Vertrauensbeziehung, um ins Zielnetzwerk vorzudringen. Der Ansatz ist effizient: Statt hundert Unternehmen einzeln anzugreifen, genügt ein erfolgreicher Angriff auf einen gemeinsamen IT-Dienstleister.

Die bekanntesten Beispiele zeigen die Tragweite: Der SolarWinds-Angriff 2020 kompromittierte über 18’000 Organisationen weltweit über ein manipuliertes Software-Update. Der Kaseya-Angriff 2021 traf über 1’500 Unternehmen gleichzeitig. Und im März 2026 wurde bekannt, dass beim TELUS-Digital-Vorfall rund ein Petabyte an Kundendaten über einen kompromittierten BPO-Dienstleister abgeflossen sind.

Warum Schweizer KMU besonders gefährdet sind

Die Studie «Cybersicherheit und Cyberbedrohungen in Schweizer KMU» von digitalswitzerland und gfs-zürich zeigt: Jedes dritte Schweizer KMU war bereits von einem Cyberangriff betroffen, doch weniger als die Hälfte verfügt über ein Notfallkonzept. Diese Ausgangslage macht KMU besonders anfällig für Angriffe über die Lieferkette:

  • Kein Vendor Assessment – Die wenigsten KMU prüfen die Sicherheitspraktiken ihrer IT-Dienstleister systematisch
  • Übermässiges Vertrauen – Langjährige Geschäftsbeziehungen werden mit Sicherheit verwechselt
  • Geteilte Zugänge – IT-Dienstleister haben oft weitreichende Zugriffsrechte auf Kundensysteme
  • Fehlende Übersicht – Viele Unternehmen kennen nicht alle ihre digitalen Zulieferer und Abhängigkeiten
  • Software-Abhängigkeiten – Open-Source-Komponenten und Drittanbieter-Bibliotheken werden selten auf Schwachstellen geprüft

Typische Angriffsvektoren 2026

Die Threat-Intelligence-Firma Group-IB hat in ihrem High-Tech Crime Trends Report 2026 sechs aktive Angriffsgruppen identifiziert, die sich auf Lieferkettenangriffe spezialisiert haben. Ihre Methoden sind vielfältig:

Kompromittierte Software-Updates

Angreifer infiltrieren den Entwicklungsprozess eines Softwareanbieters und schleusen Schadcode in reguläre Updates ein. Kunden installieren das Update im Vertrauen auf den Anbieter – und öffnen damit ihr Netzwerk. Dieser Vektor wird zunehmend auch bei kleineren Softwareanbietern beobachtet, nicht nur bei Grosskonzernen.

Missbrauch von Managed-Service-Zugängen

IT-Dienstleister mit Remote-Management-Tools haben direkten Zugriff auf Kundensysteme. Wird der Dienstleister kompromittiert, erhalten Angreifer sofort Zugang zu allen verwalteten Kundenumgebungen – oft mit Administratorrechten. Der Kaseya-Angriff nutzte exakt diesen Weg.

CI/CD-Pipeline-Angriffe

Entwicklungs- und Deployment-Pipelines sind ein wachsendes Ziel. Angreifer kompromittieren Build-Systeme, Code-Repositories oder Container-Registries und manipulieren Software, bevor sie überhaupt beim Kunden ankommt. Besonders gefährdet sind Unternehmen, die Open-Source-Abhängigkeiten nicht systematisch überwachen.

Credential Stuffing über Zulieferer

Gestohlene Zugangsdaten eines Zulieferers werden genutzt, um sich bei dessen Kunden anzumelden. Wenn Mitarbeitende eines Dienstleisters Passwörter wiederverwenden oder kein MFA nutzen, wird die schwächste Stelle der Kette zum Einfallstor.

Regulatorischer Druck wächst

Sowohl das Schweizer Informationssicherheitsgesetz (ISG) als auch die EU-Richtlinie NIS2 betonen explizit die Sicherheit der Lieferkette. Unternehmen müssen nachweisen, dass sie die Cybersicherheitsrisiken ihrer Zulieferer kennen und managen. Der EU Cyber Resilience Act, der ab September 2026 greift, verschärft die Anforderungen zusätzlich: Hersteller von Produkten mit digitalen Elementen müssen eine Software Bill of Materials (SBOM) bereitstellen und aktiv ausgenutzte Schwachstellen innerhalb von 24 Stunden melden.

Für Schweizer Unternehmen mit EU-Geschäft bedeutet das: Lieferkettensicherheit ist keine optionale Best Practice mehr, sondern eine regulatorische Anforderung.

Praktische Schutzmassnahmen

Lieferanten-Inventar erstellen

Erfassen Sie alle IT-Dienstleister, Softwareanbieter und Cloud-Services, die in Ihrem Unternehmen genutzt werden. Dokumentieren Sie deren Zugriffsrechte auf Ihre Systeme und Daten. Oft zeigt sich erst bei dieser Übung, wie viele digitale Abhängigkeiten tatsächlich bestehen.

Sicherheitsanforderungen vertraglich verankern

Nehmen Sie Cybersicherheitsanforderungen in Ihre Verträge mit IT-Dienstleistern auf: Meldepflicht bei Sicherheitsvorfällen, Nachweis von Sicherheitsmassnahmen (z.B. ISO 27001), Recht auf Audits, klare SLAs für Incident Response. Ein Vertrag ohne Sicherheitsklauseln ist heute ein Risiko.

Zugriffsrechte minimieren

Gewähren Sie IT-Dienstleistern nur die minimal notwendigen Zugriffsrechte (Least Privilege). Nutzen Sie dedizierte Accounts mit Multi-Faktor-Authentifizierung. Überprüfen Sie regelmässig, ob die gewährten Rechte noch angemessen sind – besonders nach Personalwechseln beim Dienstleister.

Software-Abhängigkeiten überwachen

Führen Sie ein Inventar Ihrer eingesetzten Software und deren Abhängigkeiten (SBOM). Überwachen Sie bekannte Schwachstellen in genutzten Bibliotheken und Frameworks. Automatisierte Tools können hier unterstützen, aber die Verantwortung für die Aktualisierung liegt bei Ihnen.

Notfallpläne für Lieferantenausfälle

Was passiert, wenn Ihr IT-Dienstleister kompromittiert wird? Definieren Sie Notfallprozesse: sofortige Trennung der Zugänge, alternative Betriebsszenarien, Kommunikationswege. Testen Sie diese Szenarien regelmässig in Tabletop-Übungen.

Wie Zerberos unterstützt

Lieferkettensicherheit erfordert einen ganzheitlichen Blick auf Ihre IT-Landschaft und die Schnittstellen zu Drittanbietern. Unsere Dienstleistungen setzen hier gezielt an:

  • Risk Assessment – Analyse Ihrer Lieferkettenrisiken mit Fokus auf IT-Dienstleister und kritische Abhängigkeiten
  • Penetrationstests – Simulation von Lieferkettenangriffen, um reale Schwachstellen aufzudecken
  • Social Engineering Tests – Prüfung, ob Angreifer über Zulieferer-Identitäten Zugang erhalten könnten
  • Security Roadmap – Aufbau eines systematischen Lieferantenrisiko-Managements

Ihre Sicherheit ist nur so stark wie das schwächste Glied Ihrer Lieferkette. Kontaktieren Sie uns für eine Einschätzung Ihrer Lieferkettenrisiken – bevor ein Vorfall bei Ihrem Dienstleister zu Ihrem Problem wird.

Quellen und weiterführende Links

Autor: