Lieferantenrisiken: Cyberangriffe und NIS2 zwingen zum Umdenken

Deutsche Unternehmen sehen sich mit einer doppelten Bedrohung konfrontiert: explodierende Cyberangriffe über Partner und verschärfte EU-Regulierung. Eine neue globale KPMG-Studie zeigt, dass Compliance und Cybersicherheit die Treiber für eine Neuausrichtung des Risikomanagements sind. Die eigene Firewall reicht längst nicht mehr aus – das schwächste Glied ist oft ein externer Anbieter.

Die Dringlichkeit wird durch aktuelle Zahlen untermauert. Allein im Januar 2026 stiegen die wöchentlichen Cyberangriffe auf Unternehmen in Deutschland um 16 Prozent. Weltweit nahmen Ransomware-Aktivitäten um zehn Prozent zu. Angreifer zielen gezielt auf Branchen, in denen Ausfälle zu massiven Schäden führen. Die Logik der Hacker ist simpel: Warum eine gut gesicherte Konzernzentrale angreifen, wenn die Tür beim IT-Dienstleister sperrangelweit offensteht?

KPMG-Studie 2026: Große Lücke zwischen Anspruch und Wirklichkeit

Die „Global Third-Party Risk Management Survey 2026“ von KPMG liefert ernüchternde Einblicke. Befragt wurden 851 Organisationen weltweit. Das zentrale Ergebnis: Eine wirklich integrierte und effektive Strategie zum Management von Drittanbieterrisiken (TPRM) ist für die meisten noch in weiter Ferne.

Besonders kritisch ist die mangelnde Einbindung in das übergreifende Enterprise Risk Management (ERM). Nur 18 Prozent der Befragten gaben an, ihre Programme seien vollständig integriert. Ein ganzheitlicher Risikoblick bleibt so unmöglich. Auch bei der Technologie klafft eine Lücke. Zwar prüft mehr als die Hälfte der Unternehmen den Einsatz von Künstlicher Intelligenz (KI) für TPRM-Prozesse. Doch nur ein Viertel bewertet diese Tools als „sehr effektiv“. Die Datenqualität ist ein weiterer Schwachpunkt: Nur etwa jeder fünfte Befragte berichtet von höchster Qualität – dabei ist sie die Grundlage für verlässliche Entscheidungen.

Angriffe auf die Software-Lieferkette: Die unsichtbare Gefahr

Die Bedrohung hat eine neue Dimension erreicht: Angriffe auf die Software-Lieferkette. Hier wird nicht das Zielunternehmen direkt attackiert, sondern die Werkzeuge und Open-Source-Bibliotheken seiner Entwickler. Ein Vorfall im September 2025, bei dem ein populäres npm-Paket mit Malware infiziert wurde, legte die Verwundbarkeit moderner Entwicklungsprozesse schonungslos offen. Experten fordern daher einen „Zero Trust for Code“-Ansatz – kein Code, egal woher, gilt mehr als automatisch vertrauenswürdig.

Diese Gefahr betrifft alle Branchen. Jüngste Berichte zeigen einen Anstieg von Ransomware-Kampagnen im Lebensmittel- und Agrarsektor um 82 Prozent. Gleichzeitig geraten Verteidigungs- und Fertigungsunternehmen ins Visier staatlicher Hacker. Eine Studie von 2024 ergab, dass 54 Prozent der Unternehmen in den vorangegangenen zwölf Monaten eine Datenpanne erlitten, die von einem Drittanbieter verursacht wurde. Kontinuierliche Überwachung ist kein Nice-to-have mehr, sondern überlebenswichtig.

EU-Richtlinie NIS2: Der regulatorische Turbo

Neben der akuten Bedrohungslage wirkt ein weiterer Beschleuniger: die EU-Richtlinie NIS2. Sie verpflichtet Geschäftsführer, sich aktiv mit Cybersicherheit auseinanderzusetzen, und weitet die Haftung auf die gesamte Lieferkette aus. Unternehmen müssen nun die Sicherheit ihrer direkten Anbieter und Dienstleister gewährleisten, Verträge anpassen und Partner kontinuierlich überwachen.

Bei erheblichen Sicherheitsvorfällen gelten extrem strenge Meldefristen. Eine Erstmeldung ist oft innerhalb von 24 Stunden fällig, ein detaillierter Bericht muss innerhalb von 72 Stunden folgen. Dieser regulatorische Druck macht standardisierte Cybersecurity Ratings und Vendor Risk Scores zu unverzichtbaren Werkzeugen. Sie bieten eine datengestützte Methode, um die Sicherheitslage von Lieferanten objektiv zu bewerten und Compliance-Anforderungen nachzuweisen.

Die KPMG-Ergebnisse zeigen, wie schnell Lieferkettenrisiken eskalieren. Ein kostenloser Praxis‑Leitfaden erklärt, welche Sofortmaßnahmen IT‑Verantwortliche und Geschäftsführer jetzt ergreifen können, um Drittanbieter‑Risiken und Meldepflichten gemäß NIS2 zu beherrschen – ohne große Zusatzinvestitionen. Jetzt kostenlosen Cyber-Security-Guide herunterladen

Die Zukunft ist datengesteuert und automatisiert

Die Zukunft des TPRM liegt in der Automatisierung und Vorhersage. Prädiktive Risiko-Modelle und KI-gestützte Systeme werden es ermöglichen, Bedrohungen vorauszusehen, anstatt nur auf sie zu reagieren. Diese Systeme können die Sicherheitskontrollen von Partnern permanent mit Branchenstandards abgleichen und Anomalien in Echtzeit erkennen.

Für Unternehmen bedeutet dies den Abschied von stichprobenartigen, manuellen Bewertungen. Der Wettbewerbsvorteil der Zukunft heißt: die Sicherheitsperformance der gesamten Lieferkette im Blick zu haben – inklusive der Lieferanten der Lieferanten. Der Weg dorthin ist für viele, wie die KPMG-Studie zeigt, noch weit. Doch die Notwendigkeit, diese Lücke zu schließen, war nie dringlicher.

@ boerse-global.de

Hol dir den Wissensvorsprung der Profis. Seit 2005 liefert der Börsenbrief trading-notes verlässliche Trading-Empfehlungen – dreimal die Woche, direkt in dein Postfach. 100% kostenlos. 100% Expertenwissen. Trage einfach deine E-Mail Adresse ein und verpasse ab heute keine Top-Chance mehr.
Jetzt anmelden.