Mit Hauptinhalt fortfahren
Was möchten Sie finden?
main content, press tab to continue
Artikel | Risk Perspectives

Risikofaktor digitale Lieferketten: Wie schütze ich mein Unternehmen?

Von Theodoros Bitis | 23. Juni 2025

Die digitale Lieferkette wird immer mehr zur Achillesferse von Unternehmen. Ein Cyber-Vorfall bei Dritten kann potenziell auch den eigenen Geschäftsbetrieb unterbrechen.
Abonnieren
Cyber-Risk-Management-and-Insurance
N/A

Die digitale Lieferkette wird immer mehr zur Achillesferse von Unternehmen. Ein Cyber-Vorfall bei Dritten kann potenziell auch den eigenen Geschäftsbetrieb unterbrechen. Um sich gegen die Vielzahl von Risiken abzusichern, gilt es, die Cyber-Resilienz zu erhöhen und Gefahrenquellen durch geeignete Präventionsmaßnahmen zu minimieren.

Unternehmen sind umfassend mit IT-Dienstleistern, Lieferanten, Kunden und anderen Partnern digital vernetzt. Fällt ein Glied dieser Kette durch einen Cyber-Angriff aus, kann das massive Störungen im eigenen Betrieb nach sich ziehen. Die Komplexität der Lieferketten erschwert es außerdem, den Angreifer zurückzuverfolgen. Bei diesen sogenannten „Digital Supply Chain Attacks” suchen Hacker-Gruppen nach ungeschützten Server-Infrastrukturen, unsicheren Netzwerkprotokollen und Programmierpraktiken, um in die Systeme einzudringen und dort Schaden anzurichten. Beispielsweise nutzen sie häufig die Unternehmenssoftware aus und verschaffen sich über Updates Zugang. So können sie schädliche Codes in ein vertrauenswürdiges System übertragen und dadurch Malware über die gesamte Lieferkette verbreiten.

Derartige Angriffe auf digitale Lieferketten, insbesondere auf Cloud-Infrastruktur- und Software-Anbieter, nehmen weiter zu und haben in den letzten Jahren neue Dimensionen erreicht. Allein durch Hacker-Angriffe auf Auftragsdatenverarbeiter und deren Software-Lösungen waren mehrere Millionen User betroffen. Die Schäden, die durch einen Datenverlust entstehen, reichen von DSGVO-Verfahren über die Benachrichtigung betroffener Dritter (Kunden, Geschäftspartner, Mitarbeiter etc.) bis hin zu Haftungsverpflichtungen gegenüber den Geschädigten. Für Cyber-Kriminelle ist das effizient und liegt im Trend: lieber einen externen Dienstleister angreifen als ein einzelnes Unternehmen – größerer Erfolg bei gleichbleibendem Aufwand. Für Unternehmen verursachen derartige Datendiebstähle jedes Jahr Kosten in Millionenhöhe.

Versicherer fordern hohe IT-Security-Standards

Risikomanager und Versicherungsverantwortliche sind dadurch besonders gefordert. Laut Datenschutzgrundverordnung sind Unternehmen für die Daten ihrer Kunden, Mitarbeiter und Geschäftspartner verantwortlich und haften bei Verlust – und zwar auch dann, wenn sie diese an einen externen Dienstleister auslagern. Eine Cyber-Versicherung bietet hier umfassenden Schutz, denn sie deckt alle relevanten Kosten, die aus Schadenfeststellung, Wiederherstellungskosten der Systeme, Betriebsunterbrechungen und Datenschutzverletzungen entstehen – auch bei einem Angriff auf Dritte.

Das Problem: Viele Organisationen wissen gar nicht, welchen Risiken sie ausgesetzt sind und wie sie diese versicherbar machen können. Hinzu kommt, dass hohe Schadenquoten den Cyber-Versicherungsmarkt in den vergangenen Jahren stark belastet haben. Mittlerweile hat sich die Lage zwar stabilisiert und die Schadenquoten der Versicherer sind rückläufig. Allerdings setzen die Anbieter weiterhin ein hohes Niveau in der IT-Sicherheit für den Abschluss einer Versicherung voraus. Ohne die entsprechenden Vorkehrungen bleibt es für Unternehmen schwierig, den gewünschten Schutz zu bekommen oder aufrechtzuerhalten. Bestimmte von den Anbietern als kritisch eingestufte Branchen wie der Energie-, Gesundheits- oder Transportsektor haben neben den hohen Mindestanforderungen zusätzlich mit einem eingeschränkten Anbieterkreis zu kämpfen.

Am Anfang steht die Risikoprävention

Ein gutes und effektives Lieferantenmanagement ist daher unabdingbar, um die Risiken zu minimieren und das verbleibende Restrisiko auf einen Versicherer übertragen zu können. Insbesondere lassen sich die Beziehungen zwischen Abnehmer und Lieferanten mittels einer professionellen Vertragsgestaltung besser lenken. Aber auch technische Aspekte und organisatorische Abläufe im Notfall sind nicht außer Acht zu lassen.

Folgende Punkte müssen unter anderem Teil des Risikomanagements sein, um die digitalen Lieferketten zu sichern und die Geschäftskontinuität zu gewährleisten:

  1. Lieferanten- und Risikobewertung: Unternehmen sollten die digitalen Sicherheitspraktiken und Compliance-Standards potenzieller und bestehender Lieferanten überprüfen und sie nach Kritikalität und den möglichen Risiken, die sie für die Lieferkette darstellen, einstufen.
  2. Vertragsgestaltung: Um sich rechtlich abzusichern, braucht es bestimmte Vertragsklauseln: Die Lieferverträge müssen klare Sicherheitsanforderungen, Service Level Agreements (SLAs) und Haftungsregelungen enthalten. Ferner können Organisationen durch Vertraulichkeitsvereinbarungen (NDAs) sicherstellen, dass sensible Daten geschützt bleiben.
  3. IT-Sicherheitsmaßnahmen: Die Risikoprävention ist essenziell, um potenzielle Schäden durch einen Cyber-Angriff gering zu halten. Dazu sollten Unternehmen bewährte Security-Maßnahmen wie eine Multi-Faktor-Authentifizierung oder Zero-Trust-Modelle implementieren. Letztere minimieren den Zugriff auf kritische Systeme und Informationen. Darüber hinaus gilt es, die Sicherheit der Systeme regelmäßig durch sogenannte Penetrationstests zu prüfen – und auch die Lieferanten zu solchen Tests zu verpflichten. Das größte potenzielle Einfallstor für Hacker stellt aber nach wie vor der Mensch dar: Mitarbeiter und Zulieferer müssen geschult und für Cyber-Risiken sensibilisiert werden.
  4. Incident Response: Trotz aller Sicherheitsvorkehrungen lassen sich nicht alle Angriffe abwehren. Sollte das Worst-Case-Szenario also eintreten, müssen Unternehmen in der Lage sein, schnell zu reagieren. Dazu sind im Vorfeld Notfallpläne und Kommunikationsprotokolle zu entwickeln, die Aufgaben und Verantwortlichkeiten festlegen, um den Betrieb wiederherzustellen.
  5. Technologische Lösungen: Spezialisierte Software wie Supply Chain Risk Management (SCRM) oder Threat Intelligence hilft dabei, Risiken entlang der Lieferkette zu überwachen, Bedrohungen frühzeitig zu erkennen und entsprechende Gegenmaßnahmen einzuleiten.
  6. Regulatorische Compliance: Unternehmen sollten sicherstellen, dass alle Lieferanten GDPR, CCPA oder andere geltende Datenschutzgesetze einhalten. Sicherheitsmaßnahmen sind außerdem an branchenspezifische Anforderungen (z. B. NIST, TISAX) auszurichten.
  7. Fortlaufende Optimierung: Eine Aufarbeitung von Sicherheitsvorfällen ist essenziell, um Lücken aufzudecken und Maßnahmen anzupassen. Auch Rückmeldungen von Stakeholdern sind wertvoll, um Schwachstellen zu identifizieren.

Cyber-Risiken werden zur Chefsache

Die wachsende Cyber-Bedrohung beschäftigt nicht nur Risikomanagement- und Versicherungsverantwortliche, sondern auch Führungskräfte. Laut einer globalen Willis-Studie zur Managerhaftpflicht aus dem Jahr 2024 stellen Cyber-Risiken das größte Haftungsrisiko für Unternehmenslenker dar. In der Tat ist Vorsicht geboten: Vernachlässigen Manager ihre Pflicht, eine IT-Sicherheitsorganisation zu schaffen, die ihr Unternehmen umfassend gegen virtuelle Eindringlinge schützt, macht sie dies für eventuelle Schäden haftbar. Dies kann schwerwiegende finanzielle Folgen nach sich ziehen, denn Manager haften unbeschränkt mit ihrem gesamten Privatvermögen.

Aufgrund dieses hohen Risikos wurde der Handlungsbedarf erkannt. Laut der Ergebnisse unserer Befragung ist die Vorstands- und CEO-Ebene stärker bei der Aufsicht von Cyber-Risiko-Themen involviert. Führungskräfte erstatten zudem häufiger Bericht zur Cyber-Sicherheit und zur aktuellen Bedrohungslandschaft. Bereits jetzt vermelden die Unternehmen ein wachsendes Vertrauen in ihre Fähigkeit, Sicherheitsvorfälle effektiv zu bewältigen. Dieses verstärkte Risikobewusstsein spiegelt sich auch in den Investitionen wider: Die Unternehmen planen, 2025 mehr finanzielle Mittel für die Cyber-Sicherheit bereitzustellen. Das schließt auch den Einkauf von Versicherungslösungen ein. Denn die Zahl der Befragten, die eine Cyber-Versicherung in Betracht ziehen, steigt.

Strategisches Risikomanagement bleibt unabdingbar

Nichtsdestotrotz dürfen Unternehmen nicht ausschließlich auf eine Versicherung setzen – sie bleibt erst der letzte Schritt in einer Reihe von Maßnahmen zur Risikominderung. Cyber-Risiken müssen proaktiv aufgedeckt und eingedämmt werden, um die digitale Resilienz zu stärken und im Ernstfall handlungsfähig zu bleiben. Die oberste Führungsebene muss sich aktiv daran beteiligen, Bedrohungen zu überwachen und ausreichend Ressourcen zur Verfügung zu stellen. Ebenso wichtig ist es, geografische Besonderheiten zu berücksichtigen: Erkenntnisse aus verschiedenen Regionen helfen dabei, ein umfassenderes Verständnis der Risikofaktoren zu erlangen und die Risikomanagement-Strategie entsprechend anzupassen. Diese Maßnahmen reduzieren das Restrisiko, das der Versicherer tragen muss, erheblich und erhöhen somit die Chance auf einen optimalen Versicherungsschutz.

Fußnote

  1. Der Original-Beitrag ist erschienen am 11. Juni 2025 im E-Book: GmbH-Geschäftsführung 2025.

Ihr Cyber-Kontakt

Theodoros Bitis
Head of Cyber DACH
email E-Mail-Adresse
Related content tags, list of links Artikel Risk Perspectives Cyberrisiken

Insights

Alles anzeigen
Artikel
Ihr Weg zu einem wirtschaftlichen Cyber-Schutz
Artikel
Cyber-Sicherheit für den Mittelstand
Artikel
Cyber-Krisen mit einem externen Profi bewältigen
Artikel
Cyber-Angriff: „Der Krisenmanager hat uns sehr geholfen“
Contact us