#63: Lieferkettenangriffe ein unterschätztes Risiko? 97 Prozent sind betroffen cover art

#63: Lieferkettenangriffe ein unterschätztes Risiko? 97 Prozent sind betroffen

#63: Lieferkettenangriffe ein unterschätztes Risiko? 97 Prozent sind betroffen

Listen for free

View show details
Laut einer Umfrage aus dem Jahr 2025 meldeten 97 Prozent der international agierenden Unternehmen gravierende Störungen durch Lieferkettenangriffe. Fast alle. Und trotzdem schützen die meisten Unternehmen vor allem sich selbst und übersehen dabei, dass Angreifer längst den Umweg über den IT-Dienstleister, den Softwareanbieter oder den Zulieferer drei Ebenen tiefer in der Kette kennen. In dieser Folge von „Follow the White Rabbit” spricht Lisa Fröhlich mit Dr. Fino Scholl, dem Geschäftsführer der deutschen Tochtergesellschaft eines Schweizer GRC-Softwareanbieters, über Lieferkettenangriffe, Third-Party-Risiken und was Unternehmen heute konkret tun können, bevor das Kind in den Brunnen gefallen ist.Fino kennt das Thema von beiden Seiten. Als Ingenieur in der Automobilbranche erlebte er hautnah, was passiert, wenn ein Unternehmen in einen Skandal verwickelt wird und plötzlich Governance-Strukturen aufbauen muss, die vorher niemand für nötig hielt. Heute vertreibt er GRC-Tools, die genau das systematisch umsetzen. Sie schaffen Transparenz, identifizieren kritische Dienstleister und bewerten Risiken, bevor ein Angriff über eine vertrauensvolle Geschäftsbeziehung möglich wird. Sein Befund zur aktuellen Lage ist ernüchternd: Viele Unternehmen wissen noch nicht einmal, ob NIS 2 auf sie zutrifft. Und diejenigen, die es wissen, haben oft keinen vollständigen Überblick darüber, von welchen Dritten sie abhängig sind.Die gute Nachricht ist: Man muss nicht alle 100 Lieferanten gleichzeitig durchleuchten. Ein risikobasiertes Vorgehen ist der Schlüssel. Wer seine Kronjuwelen kennt, also die kritischsten Assets und Geschäftsprozesse, kann ableiten, welche Dienstleister prioritär zu prüfen sind. Vertragsklauseln, regelmäßige Audits, Multi-Faktor-Authentifizierung für externe Zugänge, automatisiertes Monitoring und Notfallpläne für den Ausfall eines kritischen Partners sind zwar viel, aber machbar. Und KI kann dabei helfen, den Aufwand zu reduzieren – von der automatisierten Suche nach negativen Medien bis zur Erkennung von Anomalien im Netzwerk. Wer heute anfängt, hat morgen einen Vorsprung.Takeaways:97 Prozent der Unternehmen sind betroffen, aber kaum jemand schaut hin. Lieferkettenangriffe sind kein Randphänomen. Die Liste prominenter Fälle wird immer länger: SolarWinds, Südwestfalen-IT, der CrowdStrike-Vorfall. Der Angriff auf dein Unternehmen beginnt möglicherweise beim Buchhaltungsdienstleister.Viele Unternehmen wissen nicht, wem sie eigentlich vertrauen. Wer seine kritischen Dienstleister nicht kennt, kann sie nicht schützen. Der erste Schritt ist immer derselbe: Transparenz schaffen – wie beim Asset-Management, nur für externe Partner.NIS 2 bezieht sich auch auf die Lieferkette. Wer als reguliertes Unternehmen einen Dienstleister einsetzt, ist dafür verantwortlich, dass auch dieser die Anforderungen erfüllt. Dies muss vertraglich festgehalten und regelmäßig überprüft werden.Vertrauen ist kein Sicherheitskonzept. Altbewährte Dienstleister, mit denen seit Jahren zusammengearbeitet wird, müssen genauso geprüft werden wie neue. Genau diese Vertrauensbasis wird von Angreifern gezielt ausgenutzt.KI kann auf beiden Seiten helfen, doch die Verteidiger nutzen sie noch zu wenig. Mögliche Anwendungen sind automatisierte Schwachstellenscans, Adverse-Media-Monitoring und KI-gestützte Fragebögen für Lieferantenaudits. Die Tools sind vorhanden. Der Wille, sie einzusetzen, muss jedoch noch wachsen.Jetzt abonnieren – und keine Folge mehr verpassenWenn diese Folge dich dazu gebracht hat, mal nachzudenken, wer eigentlich alles Zugang zu deinen Systemen hat – gut. Abonniere Follow the White Rabbit auf deiner Lieblingsplattform, hinterlasse eine Bewertung und schick diese Folge an alle, die im Einkauf, in der IT oder im Risikomanagement arbeiten. Die brauchen sie.Links:Dr. Fino Scholl – Geschäftsführer, Swiss GRC (Deutschland & Österreich) Lisa Fröhlich – Host, Unternehmenssprecherin Link11 BlueVoyant: State of Supply Chain Defense 2025BSI zu NIS 2 – Anforderungen und GeltungsbereichENISA: Supply Chain Attacks ReportDORA – Digital Operational Resilience ActLesetipp: This Is Not a Drill – Kris Lovejoy & Dave Mahon
adbl_web_anon_alc_button_suppression_t1
No reviews yet