• 62 Prozent der Unternehmen sehen Anpassungsbedarf bei ihren Schutzmaßnahmen, nur 6 Prozent halten diese für ausreichend • 35 Prozent spüren den Fachkräftemangel, ebenso viele fehlende vertragliche Sicherheitsvorgaben
Die Realität in Unternehmen in Deutschland entspricht oft nicht dem hohen Anspruch an Lieferkettensicherheit. So sehen 62 Prozent der Unternehmen bei ihren Sicherheitsmaßnahmen Anpassungsbedarf, nur 6 Prozent halten ihren Schutz für ausreichend. Als größte Hürden gelten untereinander konkurrierende IT-Sicherheitsprioritäten (38 Prozent), der Fachkräftemangel und fehlende vertragliche Vorgaben (jeweils 35 Prozent). Gleichzeitig zeigt sich ein strukturelles Defizit: Nur 31 Prozent der Unternehmen überprüfen regelmäßig die Cybersicherheit ihrer Partner – und riskieren damit blinde Flecken in ihren Lieferketten. Diese Ergebnisse gehen aus einer aktuellen Kaspersky-Umfrage hervor [1].
Zum Befragungszeitraum zwischen September und November 2025 gaben 29 Prozent der Unternehmen in Deutschland an, in den vergangenen 12 Monaten von einem Supply-Chain-Angriff betroffen gewesen zu sein, 26 Prozent von sogenannten Trusted-Relationship-Angriffen. Dementsprechend geben auch 62 Prozent der befragten Unternehmen geben an, dass ihre Schutzmaßnahmen gegen solche Risiken zumindest leicht angepasst werden müssen. Lediglich 6 Prozent halten ihre bestehenden Maßnahmen für ausreichend wirksam.
Fachkräftemangel und Priorisierung als zentrale Hürden
Die Gründe für nicht ausreichende Schutzmaßnahmen sind vielfältig, lassen sich jedoch häufig auf menschliche und organisatorische Faktoren zurückführen. Als größtes Hindernis nennen 38 Prozent der Unternehmen konkurrierende Prioritäten durch andere IT-Sicherheitsaufgaben und -probleme. Jeweils 35 Prozent sehen sowohl den Mangel an qualifiziertem IT-Sicherheitspersonal als auch fehlende vertraglich verankerte Sicherheitsanforderungen für Auftragnehmer als zentrale Herausforderungen. Weitere 34 Prozent führen unzureichende Investitionen als Grund an.
Bei den tatsächlich eingesetzten Schutzmaßnahmen zeigt sich ein gemischtes Bild: 40 Prozent der Unternehmen integrieren IT-Sicherheitsanforderungen in Verträge mit Auftragnehmern, etwa durch regelmäßige Audits oder die Verpflichtung zur Einhaltung interner Sicherheitsrichtlinien. 39 Prozent setzen auf Zwei-Faktor-Authentifizierung. Zudem überprüfen 31 Prozent regelmäßig das Cybersicherheitsniveau ihrer bestehenden Partner. Jeweils 29 Prozent aktualisieren ihre Software-Asset-Inventare oder nutzen sichere Kommunikationskanäle für den Austausch sensibler Informationen. Rund ein Viertel der Unternehmen bindet Auftragnehmer in die eigenen IT-Sicherheitssysteme ein oder prüft deren Zuverlässigkeit vor Beginn der Zusammenarbeit. Ebenso viele setzen auf das Prinzip der geringsten Privilegien oder verpflichtende Cybersicherheitsschulungen für Mitarbeitende mit Kontakt zu externen Partnern.
Trotz dieser Maßnahmen bestehen weiterhin in vielen Unternehmen deutliche Lücken: Nur 31 Prozent der Unternehmen überprüfen regelmäßig die Cybersicherheit ihrer Auftragnehmer. Damit fehlt fast zwei Dritteln der Organisationen eine kontinuierliche Transparenz über die Sicherheitslage ihrer Partner, wodurch sie anfällig für sich stetig verändernde Schwachstellen bleiben.
„Wenn Sicherheitsteams überlastet und unterbesetzt sind und kurzfristige, dringende Aufgaben gegenüber langfristigen Resilienzmaßnahmen priorisiert werden, entstehen blinde Flecken. Dadurch können sich Bedrohungen unbemerkt ausbreiten – auch im Lieferantennetzwerk“, so Sergey Soldatov, Head of Security Operations Center bei Kaspersky. „Um diesen Kreislauf zu durchbrechen, braucht es einheitlichere und konsistentere Strategien zur Risikominderung – von standardisierten Bewertungen von Auftragnehmern bis hin zu einem stärkeren bereichsübergreifenden Sicherheitsbewusstsein. Lieferkettensicherheit muss zu einer gemeinsamen und verbindlichen Verantwortung im gesamten Unternehmensnetzwerk werden. Nur durch die konsequente Umsetzung präventiver Maßnahmen im gesamten Unternehmen sowie einen strategischen Umgang mit Lieferanten- und Auftragnehmerbeziehungen lassen sich Lieferkettenrisiken wirksam reduzieren und die Widerstandsfähigkeit eines Unternehmens nachhaltig stärken.“
Kaspersky-Empfehlungen zur Reduzierung von Cyberrisiken in der Lieferkette
- Unternehmen ohne eigene Cybersicherheitsressourcen sollten auf Managed Security Services wie Kaspersky Managed Detection and Response [2] setzen, die Schutz vor bekannten und unbekannten Bedrohungen bieten.
- Investitionen in Cybersicherheitsschulungen wie Kaspersky Cybersecurity Training [3] helfen Sicherheitsexperten, ihre Fachkenntnisse durch praxisorientierte, selbstgesteuerte oder Live-Formate auszubauen und Unternehmen wirksam vor komplexen Angriffen zu schützen.
- Lieferanten sollten sorgfältig überprüft werden – sowohl vor der Vertragsunterzeichnung als auch regelmäßig während der laufenden Zusammenarbeit. Dabei sind insbesondere Cybersicherheitsrichtlinien, Informationen zu vergangenen Vorfällen sowie die Einhaltung branchenüblicher Sicherheitsstandards zu berücksichtigen. Bei Software und Cloud-Services empfiehlt es sich zudem, Schwachstellendaten und Ergebnisse von Penetrationstests zu prüfen.
- Verträge mit Lieferanten sollten klare Informationssicherheitsanforderungen enthalten, etwa regelmäßige Sicherheitsaudits, die Einhaltung relevanter Sicherheitsrichtlinien sowie definierte Prozesse zur Meldung von Sicherheitsvorfällen.
- Zudem sollten Lieferanten in die eigene Sicherheitsstrategie einbezogen werden. Dazu gehören abgestimmte Sicherheitsanforderungen und Verbesserungsmaßnahmen, gemeinsam definierte Prioritäten sowie klare Prozesse für die operative Zusammenarbeit, wie etwa Meldewege, Übungen und Lessons Learned.
Weitere Ergebnisse der Kaspersky-Umfrage „Supply chain reaction: securing the global digital ecosystem in an age of interdependencesind“ sind verfügbar unter https://lp.kaspersky.com/global/report-supply-chain-reaction/.
[1] Die Umfrage wurde von Kasperskys Marktforschungsabteilung beauftragt. Befragt wurden 1.714 technische Experten aus Unternehmen mit mehr als 500 Mitarbeitern in 16 Ländern (Deutschland, Spanien, Italien, Brasilien, Mexiko, Kolumbien, Singapur, Vietnam, China, Indien, Indonesien, Saudi-Arabien, Türkei, Ägypten, die Vereinigten Arabischen Emirate und Russland) / https://lp.kaspersky.com/global/report-supply-chain-reaction/.
[2] https://www.kaspersky.de/enterprise-security/managed-detection-and-response
[3] https://www.kaspersky.de/enterprise-security/cyber-security-training
Nützliche Links:
- Kaspersky-Umfrage „Supply chain reaction: securing the global digital ecosystem in an age of interdependence”: https://lp.kaspersky.com/global/report-supply-chain-reaction/
- Kaspersky Managed Detection and Response: https://www.kaspersky.de/enterprise-security/managed-detection-and-response
- Kaspersky Cybersecurity Training: https://www.kaspersky.de/enterprise-security/cyber-security-training
