Der Report zum Stand der Cybersicherheit 2025 von Ivanti zeigt, dass sich nur jedes dritte Unternehmen ausreichend darauf vorbereitet fühlt, Bedrohungen in der Software-Lieferkette abzuwehren. Da Angreifer verstärkt Schwachstellen in Abhängigkeiten von Drittanbietern ins Visier nehmen, drohen Angriffe auf die Software-Lieferkette zu einem ernsten Schwachpunkt der Cybersicherheit zu werden – insbesondere, wenn Unternehmen dieses Risiko weiterhin unterschätzen.

Das steigende Risiko von Angriffen auf die Software-Lieferkette

Die Angriffsfläche vergrößert sich stetig, und ein wichtiger Vektor dieser Expansion sind die Software-Lieferketten der Unternehmen. Fortschrittliche Unternehmen verlassen sich auf zahlreiche Softwareanwendungen, Tools und Abhängigkeiten innerhalb ihrer eigenen technischen Infrastruktur. Laut einem Report von BetterCloud nutzt ein Unternehmen im Durchschnitt 112 SaaS-Anwendungen – Tendenz steigend. Dieses digitale Ökosystem wird zunehmend komplexer: Jede einzelne Anwendung weist im Schnitt rund 150 Abhängigkeiten auf – 90 % sind indirekter Natur. Genau hier liegt ein enormes Risiko, denn gerade diese indirekten Abhängigkeiten sind für die überwiegende Mehrheit der bekannten Schwachstellen verantwortlich.

Die Zahl der Angreifer, die es auf Abhängigkeiten von Drittanbietern abgesehen haben, hat in den letzten Jahren rapide zugenommen. 75 % der allen Software-Lieferketten werden im Jahr 2024 Angriffe melden. Auch die Bedrohungen innerhalb der Software-Lieferkette sind deutlich raffinierter geworden. Angreifer nutzen gezielt jede noch so kleine Schwachstelle im Code von Drittanbietern aus. Gleichzeitig stehen Sicherheitsteams vor der Herausforderung, die Vielzahl an eingesetzten Softwarekomponenten vollständig und zuverlässig zu überprüfen – was angesichts der wachsenden Komplexität zunehmend schwerfällt.

Die Cybersecurity-Studie von Ivanti ergab, dass 84 % der Führungskräfte in Unternehmen die Überwachung der Software-Lieferkette zwar für „sehr wichtig“ halten. Dennoch hat nahezu die Hälfte (48 %) bislang keine klare Sicht auf die anfälligsten Komponenten in der eigenen Lieferkette. Diese Nachlässigkeit kann teuer werden – sowohl finanziell als auch in Bezug auf die Reputation des Unternehmens.

Häufige Arten von Angriffen auf die Software-Lieferkette

Nach Angaben von Gartner erleben 45 % der Unternehmen bis 2025 einen Angriff auf die Software-Lieferkette. Im Folgenden finden Sie einen kurzen Überblick über die häufigsten Schwachstellen in der Software-Lieferkette, auf die Angreifer abzielen:

  • Zu den häufigsten Angriffsszenarien in der Lieferkette zählen Upstream-Server-Angriffe. Dabei manipulieren Cyberkriminelle eine vorgelagerte Quelle – etwa ein öffentliches Code-Repository – und platzieren dort Schadcode. Über nachgelagerte Prozesse wie automatische Updates gelangt dieser dann unbemerkt in die Systeme der Endnutzer. Die Gefahr: Der Angriff erfolgt verdeckt und wirkt sich erst viel später in der Lieferkette aus.
  • Midstream-Angriffe beziehen sich auf Vorfälle, bei denen Angreifer nicht die ursprüngliche Codebasis, sondern Zwischensysteme wie Software-Entwicklungswerkzeuge kompromittieren.
  • Angriffe zur Verwechslung von Abhängigkeiten versuchen, einen Entwickler oder ein System dazu zu verleiten, eine kompromittierte Software-Abhängigkeit von einer externen Quelle herunterzuladen. Zu den gängigen Angriffsmethoden gehört die Verwendung eines Namens für den Upload einer bösartigen Software, der einer vertrauenswürdigen internen Bibliothek ähnelt. Die bösartige Version wird oft anstelle der legitimen Abhängigkeit in den Software-Build integriert.
  • Angriffe auf Code-Signing-Zertifikate treten auf, wenn Hacker bösartige Software in digitale Code-Signing-Zertifikate einschleusen, die die Sicherheit und Authentizität der Software überprüfen sollen. Diese Angriffe erfolgen, wenn Angreifer die Entwicklungsumgebung durch Social Engineering oder eine andere Taktik kompromittieren.
  • Angriffe auf CI/CD-Infrastruktur zielen auf automatisierte Entwicklungspipelines ab, indem sie Malware einschleusen, z.B. indem sie authentische GitHub-Repositorys für bösartige Zwecke klonen.

Jüngste Beispiele für Angriffe auf die Lieferkette

Die reale Bedrohungslage zeigt sich deutlich in den Schlagzeilen der letzten Jahre. Nachfolgend sind einige prominente Angriffe auf die Software-Lieferkette aufgeführt, die international Aufmerksamkeit erregt haben.

  1. Okta Social-Engineering-Angriff

    • Im Oktober 2023 kam es bei Okta, einem Anbieter von Identitäts- und Zugriffsmanagementdiensten, zu einer schwerwiegenden Datenverletzung in seinem Kundensupportsystem, nachdem vier verschiedene Okta-Kunden Opfer von Social-Engineering-Angriffen auf ihren IT-Service-Desk wurden. Die Angreifer lancierten mit diesen administrativen Zugangsdaten mehrere Downstream-Angriffe, die zu einem unbefugten Zugriff auf die Daten von Tausenden Okta-Kunden führten, darunter 1Password, BeyondTrust und Cloudflare.

  2. Kaseya Ransomware-Angriff

    • In diesem Fall vom Juli 2021 nutzten Hacker sechs Zero-Day-Schwachstellen im Kaseya Remote-Management-Tool aus und verwendeten diese Schwachstellen, um über ein Software-Update eine bösartige Ransomware-Nutzlast zu verteilen, die Hunderte von Managed Service Providern (MSPs) und deren Kunden infizierte. Der Angriff legte den Betrieb von fast 2.000 Unternehmen weltweit lahm und sorgte für Schlagzeilen, als die Angreifer ein Lösegeld in Höhe von 70 Millionen Dollar forderten (das letztendlich nicht gezahlt wurde).

  3. Codecov CI/CD-Angriff

    • Im Januar 2021 infiltrierten bösartige Akteure das beliebte Code-Testing-Tool Codecov, das zu diesem Zeitpunkt von über 29.000 Kunden genutzt wurde. Die Angreifer verschafften sich unbefugten Zugriff auf das Bash-Uploader-Skript von Codecov und schleusten bösartigen Code ein, der dann von Codecov-Kunden in ihren CI/CD-Pipelines verwendet wurde. Codecov entdeckte und meldete den Angriff erst im April 2021 – was bedeutet, dass diese bösen Akteure möglicherweise monatelang Zugriff auf sensible Daten in Tausenden von Kundensystemen hatten.
    • Jeder dieser Angriffe auf die Lieferkette hatte kaskadenartige, weitreichende Folgen – sowohl für den kompromittierten Anbieter als auch für dessen tausende Kunden und darüber hinaus.

Schwerwiegende Auswirkungen von Angriffen auf die Lieferkette

Das Ausmaß des Schadens, der durch Angriffe auf die Software-Lieferkette entsteht, kann nicht unterschätzt werden. Jeder der oben genannten Angriffe führte zu erheblichen finanziellen und rufschädigenden Schäden und veranlasste viele Unternehmen, ihren Ansatz zur Sicherheit von Anbietern zu überdenken.

Finanzielle Auswirkungen

Cybersecurity Ventures prognostiziert, dass die jährlichen Kosten von Angriffen auf die Software-Lieferkette für Unternehmen bis 2031 auf 138 Milliarden Dollar ansteigen werden, gegenüber 60 Milliarden Dollar im Jahr 2025. Diese Verluste reichen von entgangenen Einnahmen über Kosten für die Behebung von Mängeln bis hin zu Anwalts- und Gerichtskosten und möglichen Strafen für die Nichteinhaltung von Vorschriften. Nach der Datenpanne von 2023 fielen die Okta-Aktien um 11 %. Nach einer weiteren großen Datenschutzverletzung im Jahr 2022 wurde Okta von den betroffenen Aktionären verklagt und zur Zahlung von 60 Millionen Dollar verpflichtet.

Operative Auswirkungen

Angriffe auf die Lieferkette können bei Tausenden von Kunden zu Unterbrechungen und Systemabschaltungen führen, die kritische Abläufe zum Stillstand bringen und Verzögerungen verursachen, die sich wiederum auf andere Anbieter auswirken. Sehen wir uns nur einige der Institutionen an, die von der Kaseya Sicherheitsverletzung betroffen sind. In Schweden war ein großer Lebensmitteleinzelhändler gezwungen, 800 Geschäfte über das Wochenende zu schließen, und auch bei der staatlichen Eisenbahn kam es zu Unterbrechungen. Elf Schulen und mehr als 100 Kindergärten in Neuseeland mussten ebenfalls alle Online-Aktivitäten einstellen und auf Stift und Papier zurückgreifen, bis der Vorfall behoben werden konnte.

Reputationsschaden

Eine öffentlich beschädigte Reputation kann ein Unternehmen in Bezug auf das Vertrauen seiner Kunden und Aktionäre zurückwerfen. Unternehmen riskieren infolge solcher Vorfälle den Verlust von Lieferanten und Kunden, mit denen sie über Jahre hinweg vertrauensvolle Beziehungen aufgebaut haben. Ein prominentes Beispiel dafür ist der Angriff auf die weit verbreitete Unternehmenskommunikationssoftware 3CX im März 2023: Hacker schleusten bösartigen Code direkt in die Anwendung ein. In der Folge könnten sensible Daten von über 600.000 Kunden kompromittiert worden sein. Der Vorfall sorgte monatelang für negative Schlagzeilen und löste öffentlich spürbare Reaktionen aus – ein erheblicher Reputationsschaden für das Unternehmen.

Wer übernimmt die Verantwortung? Technische Verbindlichkeiten und gemeinsame Verantwortung

Da erwartet wird, dass die Bedrohungen in der Software-Lieferkette immer häufiger und schwerwiegender werden, ist es für Unternehmen unerlässlich, klare Verantwortlichkeiten festzulegen und strenge Best Practices für die Sicherheit von Drittanbietern und die Cybersicherheit der Software-Lieferkette zu befolgen.

Wer ist für die Software-Sicherheit verantwortlich?

Derzeit fehlt es vielen Unternehmen an strengen und standardisierten Prozessen zur Bewertung der Sicherheit von Drittanbietern. Ferner sind sich viele Kunden und Anbieter nicht einmal darüber einig, wer für die Verwaltung der Sicherheit von Drittanbietersoftware verantwortlich ist.

Der Trend-Report zum Stand der Cybersicherheit hat Unternehmen mit verschiedenen Niveaus von Cybersicherheitsfähigkeiten untersucht, um unsere Cybersecurity Maturity Scale zu entwickeln. Diese Skala reichte von weniger ausgereiften Unternehmen (Stufe 1 und STufe 2) bis hin zu Unternehmen mit fortgeschrittenen Cybersicherheitsfähigkeiten (Stufe 4).

Unsere Analyse zeigte: Vor allem weniger ausgereifte Unternehmen gingen davon aus, dass die Verantwortung für Cybersicherheit ausschließlich beim Softwareanbieter liegt. Im Gegensatz dazu vertraten besonders gut vorbereitete Unternehmen ein differenzierteres Verständnis – sie sahen die Verantwortung als gemeinsame Aufgabe von Anbieter und Kunden.

Wie Sie sich vor Bedrohungen der Software-Lieferkette schützen können

Die Sicherheit der Software-Lieferkette ist ein wichtiger Bestandteil einer umfassenden und proaktiven Cybersicherheitsstrategie.

Um Ihre Software-Lieferkette zu stärken und sich gegen potenzielle Angriffe zu verteidigen, müssen Unternehmen alle Drittanbieter und Komponenten als einen erweiterten Teil ihrer gesamten Angriffsfläche betrachten. Damit Sie potenzielle Bedrohungen in Ihrer Software-Lieferkette frühzeitig erkennen und wirksam darauf reagieren können, haben wir im Folgenden die wichtigsten Handlungsempfehlungen für Ihr Unternehmen zusammengefasst.

1. Strenges Lieferantenmanagement und Risikobewertung

Führen Sie eine Due-Diligence-Prüfung durch, bevor Sie sich mit Softwareanbietern zusammenschließen. Suchen Sie nach Anbietern, die die Branchenstandards einhalten und eine Richtlinie zur Offenlegung von Schwachstellen veröffentlichen. Regelmäßige Audits, Code-Reviews und eine proaktive Bewertung sowohl durch den Anbieter als auch durch den Kunden sind der Schlüssel zur Risikominderung.

Unsere Untersuchung zeigt: Unternehmen mit dem höchsten Reifegrad im Bereich Cybersicherheit kommen ihrer Sorgfaltspflicht bei der Bewertung der Sicherheitsstandards von Drittanbietern am konsequentesten nach.

  • Einbeziehung von Fragebögen zur Sicherheitsbewertung (SAQs) in ihre Bewertung.
  • Berücksichtigung der Sicherheitszertifizierungen von Anbietern wie ISO 27001 und SOC 2.
  • Überprüfung der branchenspezifischen Compliance-Standards.
  • Sicherstellung, dass die Anbieter über Reaktionspläne und Prozesse verfügen, um mit potenziellen Sicherheitsverletzungen umzugehen.
  • Anforderung einer Software Bill of Materials (SBOM), um die in ihrer Software verwendeten Open-Source- und Drittanbieterkomponenten zu verstehen.

2. Kontinuierliche Überwachung und proaktive Abhilfemaßnahmen für alle Abhängigkeiten

Der Einsatz automatisierter Tools und Prozesse zur Bedrohungserkennung ist entscheidend, um sämtliche Softwarekomponenten kontinuierlich zu überwachen und zu bewerten., insbesondere bei Open-Source-Softwarekomponenten, werden oft übersehen und stellen ein großes Risiko für Schwachstellen dar, wenn sie nicht regelmäßig überwacht und aktualisiert werden.

KI- und Automatisierungstools können in Echtzeit Einblicke in die Leistung von Geräten, Anwendungen und Netzwerken liefern – und so potenzielle Probleme frühzeitig erkennen. Selbstreparierende Systeme und automatisierte Lösungen zur Fehlerbehebung ermöglichen es, Störungen effektiv zu beheben – mit minimalem oder ganz ohne menschliches Eingreifen.

3. Regelmäßige Kommunikation mit Drittanbietern

Ein Eckpfeiler der gegenseitigen Verantwortung für die Sicherheit der Software-Lieferkette ist eine häufige, offene Kommunikation zwischen Kunden und Drittanbietern. Sicherheits- und IT-Teams müssen über alle Software-Updates, Patches zur Behebung bekannter Schwachstellen und neu auftretende Sicherheitsbedrohungen informiert sein.

Erfahren Sie mehr über die Sicherheit der Software-Lieferkette

Sie wollen mehr erfahren? Lesen Sie den vollständigen Trend-Report zum Stand der Cybersicherheit und erhalten Sie fundierte Einblicke in die dringendsten Cyberbedrohungen unserer Zeit – sowie in wirksame Strategien für ein proaktives und nachhaltiges Risikomanagement.