Im September 2025 standen an mehreren grossen europäischen Flughäfen plötzlich die Check-in-Systeme still. Nicht wegen eines Angriffs auf die Flughäfen selbst und auch nicht wegen einer Airline, sondern aufgrund eines einzelnen Technologieanbieters, der als zentraler Dienstleister im Hintergrund agierte. Innerhalb weniger Stunden mussten Prozesse auf manuelle Abläufe umgestellt werden, mit direkten Auswirkungen auf Passagiere, Airlines und die operative Stabilität ganzer Standorte.
Ein einzelner Lieferant wurde damit zum Single Point of Failure für mehrere Länder gleichzeitig.
Dieses Muster ist kein Einzelfall. 2024 führte der Angriff auf Change Healthcare zu massiven Störungen im US-Gesundheitssystem, während kompromittierte IT-Dienstleister wiederholt als Einstiegspunkt in staatliche oder industrielle Infrastrukturen dienten. Auch frühere Ereignisse wie der SolarWinds Hack oder die Log4Shell Vulnerability haben gezeigt, dass Angriffe nicht mehr entlang klarer Systemgrenzen verlaufen, sondern entlang von Abhängigkeiten.
Die Beispiele unterscheiden sich, der Mechanismus ist jedoch derselbe. Angreifer suchen nicht den direktesten Weg, sondern den effizientesten. Und dieser führt über Vertrauen.
Supply Chain Risk Management ist mehr als Cyber – aber Cyber verändert alles
Supply Chain Risk Management umfasst deutlich mehr als Cyber Security. Finanzielle Stabilität von Lieferanten, operative Abhängigkeiten, regulatorische Anforderungen, Qualität und geopolitische Risiken sind seit Jahren etablierte Bestandteile.
Diese Risiken haben jedoch eine Gemeinsamkeit. Sie werden in der Regel sichtbar, bevor sie eskalieren.
Cyber Risiken funktionieren anders.
Sie entstehen oft unbemerkt, entwickeln sich ausserhalb der eigenen Organisation und werden erst sichtbar, wenn es zu spät ist. Genau deshalb greifen klassische Methoden hier nur eingeschränkt.
Nicht weil sie falsch sind, sondern weil sie für diese Art von Risiko nicht ausgelegt sind.
Das strukturelle Defizit: Aktivität statt Risikotransparenz
Die meisten Organisationen bewerten Lieferanten anhand von Fragebögen, Zertifizierungen und Audits. Diese Instrumente sind notwendig, liefern jedoch primär eine Momentaufnahme.
Sie beantworten die Frage: „Erfüllt der Lieferant definierte Anforderungen?“
Nicht jedoch die entscheidende Frage: „Ist dieser Lieferant aktuell ein Risiko?“
Dieser Unterschied ist zentral.
Ein Lieferant kann vollständig compliant sein und gleichzeitig kompromittiert.
Ein Lieferant kann alle Anforderungen erfüllen und dennoch als Einstiegspunkt für einen Angriff dienen.
Viele Supply Chain Risk Prozesse verfehlen genau an diesem Punkt ihr Ziel.
Sie messen Aktivität, aber nicht Risiko.
Das ist kein operatives Detail, sondern ein strategisches Problem.
Wie Supply Chain Angriffe tatsächlich verlaufen
Ein moderner Supply Chain Angriff folgt in der Regel einem klaren Muster.
Zunächst wird ein Lieferant kompromittiert. Das geschieht häufig über bekannte Wege wie Phishing, schwache Zugangsdaten oder ungepatchte Schwachstellen. In einem nächsten Schritt werden Informationen gesammelt, Systeme analysiert und Zugriffsmöglichkeiten identifiziert.
Diese Informationen bleiben nicht isoliert.
Sie werden weitergegeben, gehandelt und ausgewertet.
Und genau hier beginnt eine Phase, die in vielen Sicherheitsmodellen nicht ausreichend berücksichtigt wird.
Die Phase vor dem eigentlichen Angriff.
In dieser Phase tauchen erste Hinweise auf. Zugangsdaten erscheinen in Leak-Datenbanken, interne Systeme werden in Foren diskutiert und kompromittierte Accounts werden weitergegeben.
Ein grosser Teil dieser Aktivitäten findet nicht innerhalb der eigenen Infrastruktur statt.
Er findet im Darknet statt.
Der blinde Fleck: Das Zeitfenster vor dem Incident
Zwischen der Kompromittierung eines Lieferanten und dem eigentlichen Angriff liegt häufig ein Zeitraum, in dem das Risiko bereits real ist, aber noch nicht sichtbar.
In diesem Zeitraum entstehen konkrete Signale:
- Zugangsdaten eines Lieferanten werden gehandelt
- interne Systeme werden diskutiert
- Hinweise auf Kompromittierungen werden sichtbar
Diese Signale sind keine theoretischen Indikatoren. Sie sind Teil der operativen Realität von Angreifern.
Und trotzdem werden sie in vielen Organisationen nicht genutzt.
Nicht, weil sie irrelevant wären.
Sondern weil sie in keinem Prozess vorgesehen sind.
Was heute fehlt: Eine externe, kontinuierliche Bewertungsebene
Klassische Supply Chain Programme basieren auf internen Informationen und deklarativen Angaben von Lieferanten.
Was fehlt, ist eine systematische Aussenperspektive.
Eine Perspektive, die zeigt, was tatsächlich passiert.
- Gibt es kompromittierte Zugangsdaten
- War der Lieferant Teil eines Datenleaks
- Gibt es aktuelle Hinweise auf Angriffe
- Wie sieht die reale Angriffsfläche aus
Diese Informationen existieren.
Aber sie entstehen ausserhalb der eigenen Organisation.
Darknet Monitoring als operative Ergänzung
An dieser Stelle wird deutlich, warum Darknet Monitoring mehr ist als eine zusätzliche Security-Massnahme.
Richtig eingesetzt wird es zu einem integralen Bestandteil des Supply Chain Risk Managements.
Es erfüllt zwei zentrale Funktionen.
Erstens ermöglicht es eine realitätsnahe Bewertung von Lieferanten.
Nicht basierend auf Selbstauskünften, sondern auf beobachtbaren Fakten.
Zweitens fungiert es als Frühwarnsystem.
Wenn Zugangsdaten eines Lieferanten im Umlauf sind oder Hinweise auf eine Kompromittierung auftauchen, ist das kein theoretisches Risiko. Es ist ein konkretes Signal.
Und genau in diesem Moment besteht die Möglichkeit zu handeln.
Was Unternehmen konkret tun müssen
Ein wirksames Supply Chain Risk Management entsteht nicht durch mehr Prozesse, sondern durch eine gezielte Weiterentwicklung bestehender Ansätze.
Zunächst müssen Lieferanten entlang ihres tatsächlichen Risikobeitrags priorisiert werden. Entscheidend sind dabei Faktoren wie Systemzugriffe, Datenverarbeitung und Integrationsgrad.
Darauf aufbauend müssen statische Bewertungen durch kontinuierliche Einschätzungen ergänzt werden. Das bedeutet, dass sich die Risikobewertung eines Lieferanten dynamisch verändern kann.
Ein zentraler Baustein ist dabei die Integration externer Signale. Informationen aus Leak-Datenbanken, Darknet-Quellen und anderen externen Indikatoren müssen systematisch erfasst und in die Bewertung einbezogen werden.
Ebenso wichtig sind klare Reaktionsmechanismen. Wenn ein relevantes Signal erkannt wird, muss definiert sein, welche Massnahmen folgen. Das kann die Überprüfung von Zugängen, die Anpassung von Integrationen oder die direkte Einbindung des Lieferanten umfassen.
Erst durch diese Verbindung entsteht ein Modell, das nicht nur dokumentiert, sondern aktiv steuert.
Wie ein wirksames Supply Chain Risk Management tatsächlich aussieht
Ein reifes Supply Chain Risk Management unterscheidet sich nicht durch mehr Komplexität, sondern durch eine andere Logik.
Im Zentrum steht nicht die vollständige Erfassung aller Lieferanten, sondern die gezielte Steuerung derjenigen Beziehungen, die tatsächlich kritisch sind. Diese Priorisierung wird kontinuierlich überprüft und an die aktuelle Bedrohungslage angepasst.
Die Bewertung basiert nicht mehr ausschliesslich auf statischen Informationen, sondern kombiniert interne Erkenntnisse mit externen Signalen. Dadurch entsteht ein dynamisches Risikobild.
Entscheidend ist jedoch die operative Verankerung.
Wenn sich die Risikolage eines Lieferanten verändert, führt dies zu konkreten Entscheidungen. Zugriffe werden überprüft, Abhängigkeiten angepasst und Massnahmen eingeleitet.
Supply Chain Risk Management wird damit von einem administrativen Prozess zu einer operativen Fähigkeit.
Regulatorische Entwicklung bestätigt diesen Ansatz
Rahmenwerke wie die NIS2 Directive, die DORA Regulation, ISO/IEC 27001 oder das FINMA Rundschreiben 2023/1 verlangen zunehmend eine kontinuierliche und nachvollziehbare Steuerung von Drittparteirisiken.
Im Kern geht es dabei nicht um mehr Dokumentation, sondern um ein aktuelles Verständnis der Risikolage.
Fazit
Supply Chain Risk Management steht heute vor einem Paradigmenwechsel.
Die bestehenden Instrumente sind notwendig, aber nicht ausreichend. Sie schaffen Struktur, aber keine vollständige Transparenz.
Der entscheidende Unterschied entsteht in der Fähigkeit, Risiken zu erkennen, bevor sie sich materialisieren.
Und genau das erfordert eine Erweiterung der Perspektive.
Der Moment, in dem ein Angriff sichtbar wird, ist zu spät.
Der Moment, in dem erste Hinweise auftauchen, ist der Zeitpunkt, an dem entschieden wird, ob ein Unternehmen reaktiv bleibt oder echte Resilienz entwickelt.
Und genau in diesem Moment zeigt sich, ob Supply Chain Risk Management als Pflicht verstanden wird oder als strategisches Instrument.
Weiterführende Links
