Lieferketten als Schwachstelle: Wie lassen sich KRITIS-Lieferanten absichern?

Lieferketten als Schwachstelle: Wie lassen sich KRITIS-Lieferanten absichern?

Kritische Infrastrukturen sind auf ein fein verzweigtes Netz von Zulieferern und Dienstleistern angewiesen. Ob Ersatzteile für eine Schaltanlage, Software-Updates für Steuerungssysteme oder spezialisierte Wartungsunternehmen – ohne verlässliche Partner ist kein KRITIS-Betrieb möglich. Doch gerade diese Abhängigkeiten können zur Achillesferse werden, wenn Angriffe über die Lieferkette erfolgen. In den vergangenen Jahren hat sich gezeigt, dass Cyberkriminelle zunehmend Zulieferer ins Visier nehmen, um auf diesem Weg kritische Infrastrukturen anzugreifen. Daher gehört die Absicherung der Lieferketten inzwischen zu den wichtigsten Aufgaben der Betreiber.

Warum sind Lieferketten so verwundbar?

Lieferketten sind häufig sehr komplex, international verzweigt und in vielen Fällen kaum vollständig transparent. Betreiber kritischer Infrastrukturen müssen sich darauf verlassen können, dass ihre Partner angemessene Sicherheitsstandards einhalten. Doch genau hier liegt ein Problem: Nicht jeder Zulieferer ist technisch oder organisatorisch in der Lage, dieselben hohen Anforderungen umzusetzen wie ein KRITIS-Betreiber.

Hinzu kommt, dass Angriffe auf einen Lieferanten häufig nicht sofort erkannt werden. Wenn etwa ein externer IT-Dienstleister kompromittiert wird, kann Schadsoftware unbemerkt in das Netzwerk eines KRITIS-Betreibers gelangen. Besonders perfide ist dabei, dass solche Angriffe den „Vertrauensvorschuss“ innerhalb der Lieferkette gezielt ausnutzen.

Aktuelle Beispiele für Supply-Chain-Angriffe

In den letzten Jahren gab es zahlreiche Fälle, in denen Angriffe über Lieferketten erfolgreich waren. Ein bekanntes Beispiel ist der SolarWinds-Hack, bei dem Angreifer eine beliebte IT-Management-Software kompromittierten und so zahlreiche Unternehmen weltweit infiltrieren konnten. Auch im KRITIS-Bereich werden immer wieder Schwachstellen bei Wartungsfirmen oder Softwareanbietern ausgenutzt, um in hochsensible Systeme einzudringen.

Solche Vorfälle zeigen, dass Angreifer nicht mehr nur die Betreiber selbst, sondern gezielt deren Partner angreifen. Daher muss der Blick auf die gesamte Lieferkette gerichtet werden.

Anforderungen an ein sicheres Lieferkettenmanagement

Um die Lieferkette abzusichern, sollten Betreiber kritischer Infrastrukturen ein strukturiertes Lieferantenmanagement etablieren. Dazu gehört zunächst eine gründliche Auswahl von Partnern, bei der Sicherheitsaspekte ebenso berücksichtigt werden wie Preis und Leistung. Vor Vertragsabschluss sollten Unternehmen prüfen, ob der Dienstleister geeignete Schutzmaßnahmen nachweisen kann und über Notfall- und Wiederanlaufpläne für den Ernstfall verfügt.

Darüber hinaus empfiehlt es sich, regelmäßige Audits oder Sicherheitsüberprüfungen bei wichtigen Zulieferern zu vereinbaren. So kann nachvollzogen werden, ob die vereinbarten Sicherheitsstandards tatsächlich eingehalten werden. Gerade bei IT-Dienstleistern und Softwareanbietern sollten Betreiber darauf bestehen, dass aktuelle Zertifizierungen wie ISO 27001 oder branchenspezifische Standards vorhanden sind.

Wichtig ist außerdem, vertraglich klar zu regeln, wie Sicherheitsvorfälle gemeldet werden müssen und welche Mitwirkungspflichten der Lieferant im Krisenfall hat. Nur so lässt sich sicherstellen, dass im Ernstfall eine schnelle und koordinierte Reaktion möglich ist.

Zusammenarbeit und Kommunikation stärken

Sichere Lieferketten entstehen nicht durch einseitige Vorgaben, sondern durch partnerschaftliche Zusammenarbeit. Betreiber sollten mit ihren Lieferanten einen offenen Dialog über Risiken und Schwachstellen führen. Schulungsangebote, gemeinsame Übungen oder Notfalltests können dabei helfen, ein gemeinsames Sicherheitsverständnis zu entwickeln und Vertrauen aufzubauen.

Gerade kleinere Zulieferer sind möglicherweise mit den komplexen KRITIS-Anforderungen überfordert. Hier kann es sinnvoll sein, sie gezielt zu unterstützen und Know-how zu teilen. Denn die Sicherheit der gesamten Lieferkette ist immer nur so stark wie ihr schwächstes Glied.

Herausforderungen bei der praktischen Umsetzung

In der Realität stoßen Betreiber beim Absichern der Lieferkette jedoch auf erhebliche Herausforderungen. Die Vielzahl der beteiligten Unternehmen, häufig wechselnde Subunternehmer und internationale Verflechtungen machen eine lückenlose Kontrolle schwer. Auch kulturelle Unterschiede in den Sicherheitsstandards können dazu führen, dass Partner nicht dieselben Prioritäten setzen.

Daher sollten Betreiber ein pragmatisches Konzept entwickeln, das sowohl zentrale Vorgaben enthält als auch flexibel auf individuelle Gegebenheiten eingeht. Technische Standards, vertragliche Regelungen und persönliche Kontakte zu Ansprechpartnern sind hierbei die entscheidenden Erfolgsfaktoren.

Fazit: Lieferketten gezielt stärken

Der Schutz kritischer Infrastrukturen kann nur gelingen, wenn auch die Lieferkette abgesichert wird. Angriffe über externe Dienstleister oder Zulieferer werden weiter zunehmen, da sie für Cyberkriminelle eine attraktive Schwachstelle darstellen.

Betreiber sollten daher nicht nur ihre eigene IT und ihre physischen Anlagen absichern, sondern gemeinsam mit Partnern für mehr Transparenz, klare Sicherheitsstandards und eine offene Kommunikation sorgen. Wer die Resilienz der Lieferkette aktiv gestaltet, schützt letztlich auch die eigene Funktionsfähigkeit und die Versorgungssicherheit unserer Gesellschaft.

Warum kritis-info.de?

Kritis-Info.de steht für unabhängige, fundierte und praxisnahe Informationen zum Schutz kritischer Infrastrukturen. Wir unterstützen Betreiber und Verantwortliche mit verlässlichem Wissen und aktuellen Informationen dabei, ihre Sicherheitsanforderungen optimal umzusetzen.