Supply Chain Security: Vom Compliance-Zwang zum Wettbewerbsvorteil

9 Min. Lesezeit

Im März 2024 entdeckte ein Microsoft-Ingenieur per Zufall eine Backdoor in XZ Utils – einer Bibliothek, die in praktisch jeder Linux-Distribution steckt. Der Angreifer hatte zweieinhalb Jahre lang Vertrauen aufgebaut, wurde Co-Maintainer und schleuste dann eine Hintertür ein, die Remote Code Execution über SSH ermöglicht hätte. Die Entdeckung war Glück, nicht Können. Seit Dezember 2025 ist NIS2 in Deutschland in Kraft – und macht Supply Chain Security zur dokumentierten Vorstandspflicht. Was vorher freiwillig war, ist jetzt Gesetz.

Das Wichtigste in Kürze

• NIS2 sofort: Das deutsche Umsetzungsgesetz (NIS2UmsuCG) ist seit Dezember 2025 in Kraft, rund 29.000 Unternehmen sind betroffen – sechsmal mehr als unter NIS1
• Schadensbilanz: 266,6 Milliarden Euro Gesamtschaden durch Angriffe auf deutsche Unternehmen 2024, davon 178,6 Milliarden durch Cybercrime (Bitkom)
• Lieferketten-Risiko: 75 Prozent der Organisationen haben im Vorjahr einen Software Supply Chain Angriff erlebt (BlackBerry 2024)
• SBOM-Pflicht: Der Cyber Resilience Act macht Software Bills of Materials ab Dezember 2027 verbindlich, BSI TR-03183 definiert bereits den Standard
• Markt: Deutscher IT-Sicherheitsmarkt erstmals über 10 Milliarden Euro, Prognose 2025: 11,1 Milliarden (plus 10 Prozent)

Was NIS2 für die Lieferkette konkret bedeutet

Artikel 21 der NIS2-Richtlinie benennt die „Sicherheit der Lieferkette“ als eines der Pflichtelemente des Risikomanagements. Das deutsche Umsetzungsgesetz (NIS2UmsuCG, in Kraft seit 6. Dezember 2025) übersetzt das in drei konkrete Pflichten im Paragraf 30 des BSIG.

Erstens: Sicherheitsanforderungen bei der IT-Beschaffung. Jeder Beschaffungsvorgang muss dokumentierte Standards und sichere Entwicklungspraktiken der Lieferanten nachweisen. Zweitens: Vertragliche Sicherheitsanforderungen an externe Dienstleister, inklusive eines vertraglich verankerten Auditrechts. Drittens: Supply Chain Resilienz – Unternehmen müssen Single Points of Failure in ihrer Lieferkette analysieren und Alternativen bereithalten.

Die ENISA Technical Implementation Guidance vom Juni 2025 konkretisiert: Ein Lieferantenregister ist Pflicht, das regelmäßig aktualisiert wird. Für jeden Lieferanten und jeden Dienstleister muss eine dokumentierte Risikoabschätzung vorliegen. Und die Verträge müssen nicht nur Sicherheitsklauseln enthalten, sondern auch die praktische Durchsetzbarkeit dieser Klauseln gewährleisten. Das Auditrecht ist keine Dekoration – es muss aktiv wahrnehmbar sein.

Die Reichweite ist erheblich: Rund 29.000 Unternehmen fallen in Deutschland unter NIS2 – sechsmal mehr als die circa 4.500 unter dem Vorgänger NIS1. Und für all diese Unternehmen gelten die Anforderungen ohne Übergangsfrist. Seit Dezember 2025 wird Compliance erwartet.

Quellen: Bitkom Wirtschaftsschutz 2024, OpenKRITIS, BlackBerry 2024

XZ Utils: Die Anatomie eines perfekten Angriffs

Die XZ-Utils-Backdoor (CVE-2024-3094, CVSS Score 10.0 – der Höchstwert) ist das Lehrbuchbeispiel für Supply Chain Angriffe im Open-Source-Bereich. Ein Akteur unter dem Pseudonym „Jia Tan“ begann 2021, Beiträge zum XZ-Utils-Projekt zu leisten. Über zwei Jahre baute er systematisch Vertrauen auf, wurde Co-Maintainer und implantierte dann im Februar 2024 eine Backdoor in die Versionen 5.6.0 und 5.6.1.

Die Backdoor hätte Remote Code Execution über SSH ermöglicht – auf jedem Linux-System, das die betroffenen Versionen installiert hatte. Betroffen waren Fedora, Debian, openSUSE und Kali Linux. Entdeckt wurde die Backdoor durch Andres Freund, einen Microsoft-Ingenieur, der einen ungewöhnlich hohen CPU-Verbrauch bei SSH-Verbindungen bemerkte. Per Zufall. Kein Security-Scanner, kein Audit, kein SBOM hat die Backdoor entdeckt.

Das ist der Kern des Supply-Chain-Problems: Vertrauen lässt sich nicht automatisieren. Ein Angreifer, der genug Geduld hat, kann sich in jede Open-Source-Lieferkette einschleusen. Die einzige Verteidigung sind systematische Reviews, mehrfache Maintainer-Checks und SBOM-basierte Transparenz – genau das, was NIS2 und der Cyber Resilience Act jetzt einfordern.

Und XZ Utils war kein Einzelfall. Cyble dokumentierte allein zwischen Februar und August 2024 neunzig bestätigte Angriffe auf Software-Lieferketten – im Schnitt mindestens ein Angriff jeden zweiten Tag. Die durchschnittlichen Kosten eines Supply-Chain-Breaches liegen global bei 4,91 Millionen Dollar. Das MOVEit-Debakel vom Sommer 2023 traf zwar primär US-Unternehmen (78,9 Prozent der bekannten Opfer), aber auch deutsche Organisationen waren betroffen. Die Lehre: Geografische Distanz schützt nicht vor Supply-Chain-Angriffen, weil die Lieferketten global sind.

Das regulatorische Dreigestirn: NIS2, CRA und BSI TR-03183

Drei regulatorische Rahmenwerke greifen ineinander und machen Supply Chain Security in Deutschland zum Hygiene-Standard.

NIS2 (sofort, seit Dezember 2025) reguliert die organisatorische Seite: Lieferantenregister, Risikoanalysen, vertragliche Absicherung und Auditrechte. Wer unter NIS2 fällt, muss seine Lieferkette dokumentiert absichern.

Der Cyber Resilience Act (CRA) reguliert die Produktseite. Seit dem 10. Dezember 2024 in Kraft, greift er in Stufen: Ab September 2026 müssen Schwachstellen und Vorfälle gemeldet werden. Ab Dezember 2027 gelten alle Anforderungen vollständig – inklusive Security by Design und verpflichtende SBOMs für alle „Produkte mit digitalen Elementen“. Das betrifft nicht nur IoT-Geräte, sondern auch Industriesoftware und deren Bausteine.

BSI TR-03183 definiert den technischen Standard für SBOMs in Deutschland. Die Version 2.1.0 legt fest: CycloneDX (ab v1.6) oder SPDX (ab v3.0.1) sind die verpflichtenden Formate. Pro Komponente müssen Creator, Name, Version, Dateiname und alle Abhängigkeiten rekursiv dokumentiert werden. Unternehmen, die TR-03183 bereits umsetzen, sind auf die CRA-Pflicht ab 2027 vorbereitet.

Die Konsequenz: Wer bis Ende 2027 kein funktionierendes SBOM-Management hat, kann seine Produkte nicht mehr legal auf dem EU-Markt verkaufen. Für deutsche Industrieunternehmen und Softwarehersteller ist das nicht irgendein Compliance-Thema, sondern eine existenzielle Marktzugangsvoraussetzung.

TISAX und die Automobilindustrie: Supply Chain Security als Marktzugang

Die Automobilindustrie zeigt, wie Supply Chain Security vom Compliance-Zwang zum Wettbewerbsinstrument wird. TISAX (Trusted Information Security Assessment Exchange) ist der branchenspezifische Standard, der auf dem VDA Information Security Assessment (ISA) basiert. Seit 2024 ist die Version ISA 6.0 für alle neuen Assessments verpflichtend, ab 2025 gilt sie ausschließlich.

Was ISA 6.0 bringt: eine explizite Unterscheidung zwischen IT und OT-Sicherheit, neue Vertraulichkeitslabels („Confidential“ und „Strictly Confidential“ statt der alten Stufen „Info High“ und „Info Very High“) und drei Assessment-Level – von der Selbstbewertung bis zu Penetrationstests und Site Visits.

Für KMU in der Automobilzulieferkette ist TISAX zum Zugangskriterium geworden. Unternehmen mit TISAX-Label erhalten bevorzugten Lieferantenstatus bei OEMs. Das ist kein theoretischer Vorteil: In der Praxis berichten Zulieferer, dass sie dank vorhandener Zertifizierung auf separate Sicherheitsaudits durch den OEM verzichten konnten – der Auftraggeber akzeptierte die standardisierte Nachweisdokumentation. Weniger Audit-Aufwand, schnellere Auftragsvergabe, höheres Vertrauen.

Das Muster lässt sich auf andere Branchen übertragen: Wer seine NIS2-Compliance proaktiv aufbaut und dokumentiert, spart seinen Kunden den Aufwand eigener Audits. Compliance wird zum Service-Element im Vertrieb. Siemens macht es vor: Als Gründungsmitglied der Charter of Trust und mit eigenem Cyber Emergency Response Team bietet der Konzern NIS2-Unterstützung als Dienstleistung für Kunden an. Compliance ist dort kein Kostenfaktor, sondern ein Upselling-Kanal.

Der Effekt verstärkt sich bei internationalen Geschäftsbeziehungen. Europäische Kunden, die sensible Daten im europäischen Rechtsraum halten müssen, bevorzugen zunehmend Lieferanten mit nachweisbarer europäischer Compliance. In Tenderverfahren und bei Vertragsverlängerungen kann die Fähigkeit, eine NIS2-konforme Sicherheits-Roadmap vorzuweisen, den Unterschied zwischen Zuschlag und Absage machen. Das ist kein Soft Skill, das ist ein messbarer Vertriebsvorteil.

Die Schadensbilanz: Warum Abwarten keine Option ist

Die Zahlen sind eindeutig. 81 Prozent aller deutschen Unternehmen waren laut Bitkom Wirtschaftsschutz 2024 von Datendiebstahl, Gerätediebstahl oder Sabotage betroffen. Weitere 10 Prozent hatten den Verdacht. Der Gesamtschaden: 266,6 Milliarden Euro, ein Rekord und 29 Prozent mehr als im Vorjahr. Zwei Drittel davon (178,6 Milliarden Euro) entfielen auf Cybercrime.

Supply-Chain-spezifisch: 13 Prozent der deutschen Unternehmen meldeten, dass Zulieferer im Vorjahr Opfer von Datendiebstahl, Spionage oder Sabotage wurden. Weitere 13 Prozent hatten entsprechenden Verdacht. Von den Betroffenen litten 44 Prozent unter Lieferengpässen, Produktionsausfällen oder Reputationsschäden. Das sind keine hypothetischen Risiken, das sind laufende Verluste.

Global betrachtet sind die Zahlen noch drastischer: 75 Prozent der Organisationen haben laut BlackBerry im Vorjahr einen Software Supply Chain Angriff erlebt – dreimal mehr als Gartner für 2025 prognostiziert hatte. Cybersecurity Ventures schätzt die globalen Schäden durch Software Supply Chain Angriffe auf 60 Milliarden Dollar für 2025, mit einem Anstieg auf 138 Milliarden Dollar bis 2031.

Die Reife der Abwehr hält mit der Bedrohung nicht Schritt. Laut der Prevalent Third-Party Risk Management Study 2024 bezeichnen zwar 83 Prozent der Unternehmen ihr TPRM-Programm als „established“ – aber nur 39 Prozent bewerten ihre Risikominimierung als „hocheffektiv“. Weniger als ein Drittel betreibt sein TPRM-Programm länger als fünf Jahre. Und nur 43 Prozent sagen, ihr Third-Party-Risk-Management sei ausreichend personell besetzt. Die Lücke zwischen „wir haben ein Programm“ und „das Programm schützt uns wirklich“ ist erheblich.

IT-Grundschutz und ISO 27001: Das Fundament für Supply Chain Compliance

Unternehmen, die bereits nach BSI IT-Grundschutz zertifiziert sind, haben einen erheblichen Startvorteil bei der NIS2-Umsetzung. IT-Grundschutz gilt als anerkannter Rahmen zur Demonstration von NIS2-Compliance in Deutschland. Das Kompendium umfasst über 200 Bausteine in zehn Schichten, darunter spezifische Module für Outsourcing (OPS.2.3 für Kunden, OPS.3.2 für Anbieter), die direkt auf die Supply-Chain-Pflichten des NIS2 abzielen.

Die ISO 27001 auf Basis von IT-Grundschutz (BSI-Zertifizierung) ist der stärkste einzelne Compliance-Nachweis, den ein deutsches Unternehmen für seine Lieferkettensicherheit erbringen kann. Im Gegensatz zur reinen ISO-27001-Zertifizierung verlangt die BSI-Variante die vollständige Umsetzung des Grundschutz-Kompendiums – ein deutlich höherer Anspruch, aber auch ein deutlich stärkeres Signal an Kunden und Regulierer.

Parallel dazu definiert das NIST Secure Software Development Framework (SSDF, SP 800-218) vier Praktikenbereiche – Prepare, Protect, Produce, Respond -, die sich nahtlos mit den CRA-Anforderungen verzahnen. Unternehmen, die SSDF implementieren, erleichtern sich die CRA-Compliance erheblich, weil der CRA „Security by Design“ fordert und SSDF genau das operative Framework dafür liefert. Die Version 1.2 befindet sich seit Dezember 2025 im öffentlichen Kommentarverfahren.

Für den typischen deutschen Mittelständler mit 500 bis 5.000 Mitarbeitern bedeutet das: IT-Grundschutz als Basis, darauf aufbauend SBOM-Management nach BSI TR-03183, und perspektivisch SSDF-Praktiken für die eigene Softwareentwicklung. Das klingt nach viel, aber die Alternative – bei jedem Kunden und jedem Audit einzeln nachweisen, dass die Lieferkette sicher ist – ist um ein Vielfaches teurer.

Vom Compliance-Zwang zum Wettbewerbsvorteil: Wie es funktioniert

Der Übergang vom Pflichtprogramm zum strategischen Vorteil vollzieht sich in drei Phasen.

Phase 1: Baseline schaffen. Lieferantenregister aufbauen, Risikoanalysen durchführen, Verträge anpassen. Das ist der Compliance-Teil, den NIS2 seit Dezember 2025 verlangt. Die meisten Unternehmen stecken hier noch fest.

Phase 2: Transparenz als Service anbieten. Unternehmen, die ihre eigene Supply Chain Posture dokumentieren und proaktiv an Kunden kommunizieren, sparen diesen den Aufwand eigener Audits. Das funktioniert besonders gut mit BSI-IT-Grundschutz-Zertifizierung (als anerkannter NIS2-Nachweis) oder ISO 27001 auf Basis von IT-Grundschutz.

Phase 3: Compliance monetarisieren. Der Cyber-Versicherungsmarkt zeigt den Weg: Unternehmen mit nachgewiesener Supply Chain Security zahlen niedrigere Prämien. Kunden vergeben Aufträge schneller, weil der Audit-Overhead entfällt. Und im Export wird die BSI-Zertifizierung zum Türöffner – international anerkannt über SOGIS-MRA und CCRA.

Der deutsche IT-Sicherheitsmarkt hat 2024 erstmals die 10-Milliarden-Euro-Marke überschritten (10,1 Milliarden Euro). Bitkom prognostiziert für 2025 einen Anstieg auf 11,1 Milliarden Euro – plus 10 Prozent. Ein erheblicher Teil dieses Wachstums fließt in Supply Chain Security. Unternehmen, die jetzt investieren, positionieren sich nicht nur compliant, sondern profitabel.

Der europäische SBOM-Markt allein wird von 392 Millionen Dollar 2024 auf 1,37 Milliarden Dollar bis 2031 wachsen – ein jährliches Wachstum von 16,7 Prozent. Wer heute SBOM-Kompetenz aufbaut, hat in drei Jahren einen Vorsprung, der sich in Beratungsmandaten, Produktdifferenzierung und Vertriebsgeschwindigkeit auszahlt. Supply Chain Security ist keine Kostenstelle. Es ist ein Markt, der schneller wächst als fast jedes andere Segment der IT-Sicherheit.

Die beste Nachricht für deutsche Unternehmen: Der regulatorische Rahmen ist strenger als anderswo, aber genau das schafft den Wettbewerbsvorteil. Wer die deutsche Regulierungsdichte – NIS2, CRA, BSI TR-03183, TISAX – überlebt und meistert, hat ein Governance-Niveau, das internationale Kunden und Partner schätzen. Die Compliance-Last wird zum Qualitätssiegel. Vorausgesetzt, man nimmt sie ernst und setzt sie um, statt sie als bürokratischen Overhead zu beklagen.

Häufige Fragen

Was verlangt NIS2 konkret für die Lieferkette?

Ein Lieferantenregister mit dokumentierter Risikoabschätzung, vertragliche Sicherheitsklauseln mit Auditrecht und kontinuierliches Monitoring der Lieferanten-Risiken. In Deutschland gelten diese Pflichten seit Dezember 2025 ohne Übergangsfrist.

Was ist eine SBOM und warum wird sie Pflicht?

Eine Software Bill of Materials listet alle Komponenten einer Software inklusive Versionen und Abhängigkeiten. Der Cyber Resilience Act macht SBOMs ab Dezember 2027 verpflichtend. BSI TR-03183 definiert bereits den Standard in den Formaten CycloneDX oder SPDX.

Wie viele Unternehmen sind in Deutschland von NIS2 betroffen?

Rund 29.000 Unternehmen, sechsmal mehr als unter dem Vorgänger NIS1 (circa 4.500). Die erweiterte Reichweite umfasst wesentliche und wichtige Einrichtungen in 18 Sektoren.

Wie wird Supply Chain Security zum Wettbewerbsvorteil?

Unternehmen mit dokumentierter NIS2-Compliance sparen ihren Kunden den Aufwand eigener Sicherheitsaudits. BSI-Zertifizierungen sind international anerkannt. Und Cyber-Versicherer gewähren niedrigere Prämien bei nachgewiesener Supply Chain Security.

Was ist der Zusammenhang zwischen NIS2, CRA und BSI TR-03183?

NIS2 reguliert die organisatorische Lieferkettensicherheit (seit Dezember 2025), der CRA reguliert die Produktsicherheit (vollständig ab Dezember 2027) und BSI TR-03183 definiert den SBOM-Standard. Zusammen bilden sie ein regulatorisches Dreigestirn, das Supply Chain Security zum Hygiene-Standard macht.

Weiterlesen

• NIS2 als Standortvorteil: Warum Cybersecurity-Regulierung den Wirtschaftsstandort stärkt
• Cyber-Versicherungen 2026: Warum der Markt der ehrlichste Security-Indikator ist
• KI-Governance im Vorstand: Zwischen Innovation und Regulierung

Quelle Titelbild: Pexels / Tiger Lily (px:4483610)

Hier schreibt Benedikt Langer für Sie

Mehr Artikel vom Autor Benedikt Langer