Sicherheitslücken in digitalen Lieferketten sind häufig ein Einfallstor für kriminelle und politisch motivierte Gruppen. Reto Amstad, Leiter Produktmanagement, und Layla Husselman, Junior Produktmanagerin, von der CyOne Security sprechen über gefährliche Denkfehler, skalierende Bedrohungen und die Illusion von Kontrolle in hochvernetzten Systemen. Das Interview ist im August 2025 in der Technischen Rundschau erschienen.
Software- und Hardware-Lieferketten rücken in der Cyber Security zunehmend in den Fokus. Immer häufiger nutzen Angreifer Schwachstellen bei Zulieferern oder Partnern aus, um Spionage, Datendiebstahl oder gar Sabotage zu betreiben. Solche Supply Chain-Attacken setzen häufig an kritischen Stellen wie Cyber Security-Produkten, Entwicklertools oder Netzwerkverwaltungsprodukten an.Im Interview mit der Technischen Rundschau wird deutlich, warum keine Organisation dieses Thema unterschätzen darf.
Layla Husselman: Ich habe schon früh gelernt, was bei einem physischen Einbruch passieren kann. Aber dass digitale Angriffe genauso real und oft sogar einfacher sind, war mir lange Zeit nicht bewusst. Erst während meines Informatikstudiums wurde mir klar, wie viele Schwachstellen
unentdeckt bleiben und wie leicht sich Menschen manipulieren lassen, etwa durch Phishing. Das hat mich gepackt.
Reto Amstad: Bei mir war es eher ein gesellschaftlicher Impuls. Ich habe gesehen, wie abhängig wir in Europa inzwischen von stabilen IT- und OT-Systemen sind. In Ländern wie Portugal oder Spanien konnte man erst kürzlich wieder beobachten, was passiert, wenn industrielle
Steuerungssysteme aufgrund eines Zusammenbruchs der Stromversorgung ausfallen. Dann steht alles still – die Wasser- und Energieversorgung, das Verkehrswesen und vieles
mehr. Solche Ereignisse führen einem vor Augen, wie verwundbar wir als Gesellschaft geworden sind.
Amstad: Angriffe auf Lieferketten lassen sich sehr einfach skalieren, weshalb sie inzwischen ein sehr effektives Mittel sind, um maximale Wirkung zu erzielen. Wer einen einzigen Punkt in der Kette kompromittiert, kann über diesen tausende weitere Systeme erreichen.
Amstad: Der Fall SolarWinds ist ein Klassiker. Ein IT-Dienstleister wurde gehackt und Schadcode in ein Update eingeschleust. Betroffen waren rund 18 000 Organisationen, von Ministerien über Tech-Konzerne bis hin zu Infrastrukturanbietern.
Husselman: Das Perfide bei solchen Angriffen ist, dass viele Unternehmen nicht einmal merken, dass sie betroffen sind. Die Malware ist tief im System installiert – getarnt, integriert und kaum auffindbar. Wie das Beispiel SolarWinds zeigt, sind Unternehmen mit grosser Hebelwirkung besonders lohnenswerte Ziele solcher Angriffe. Allgemein denke ich dabei an die Lieferketten von Cyber Security-Produkten, Entwicklertools für Software und Hardware oder Netz-
werkverwaltungsprodukten, welche an sensitiven Stellen zum Einsatz kommen.
Husselman: Sie hat sich stark verschärft. Früher waren es punktuelle Angriffe, heute geht es um die strategische Ausbreitung von Angriffen. Dazu werden vor allem Schwachstellen bei Partnern oder Lieferanten ausgenutzt. Da sich viele Unternehmen auf den Schutz ihrer eigenen Infrastruktur konzentrieren, vergessen sie, dass ihre Zulieferer auch ein Einfallstor für Cyber-Angriffe sein können.
Amstad: Gleichzeitig lagern immer mehr Unternehmen kritische IT-Funktionen an Dritte aus. Was bequem klingt, birgt allerdings enorme Risiken. Wer etwa kritische IT-Dienste komplett auslagert, gibt damit zugleich einen Teil der Sicherheitskontrolle aus der Hand. Das ist kritisch, insbesondere dann, wenn keine Transparenz herrscht. Je mehr Partner und Systeme an einer Lieferkette beteiligt sind, desto zahlreicher werden die Schnittstellen und damit auch die
Angriffsmöglichkeiten. Dies wiederum erschwert es, die Übersicht über potenzielle Schwachstellen zu behalten.
Amstad: Der Ablauf ist meist strategisch geplant. Zuerst wählt der Angreifer einen Dienstleister oder Zulieferer, der ihm als Sprungbrett dient. Bei diesem sucht er gezielt nach Schwachstellen. Dann wird beispielsweise Malware in ein Software-Update eingebettet, das regulär an die Kunden verteilt wird. Die Malware verbreitet sich auf diese Weise sehr schnell, bevor sie überhaupt entdeckt wird. Genau das macht diese Angriffsform so gefährlich. Besonders relevant sind derzeit manipulierte Softwarepakete. Auch Angriffe über gezielt eingebaute schadhafte Hardwarekomponenten gewinnen an Bedeutung.
Husselman: Oft ist es ein übermässiger Zugriff durch Drittparteien. Wenn ein externer IT-Dienstleister weitreichende Admin-Rechte besitzt, reicht bereits ein kompromittiertes
Passwort, um die Kontrolle über das System zu verlieren. Alternativ klickt ein Mitarbeitender auf eine präparierte E-Mail, die aussieht, als stamme sie vom Lieferanten, schon ist der Schadcode im System platziert. Das passiert nicht selten.
Amstad: Hinzu kommen technische Schlupflöcher. Manche Angreifer nutzen gerne Schwächen in der Software-Supply-Chain, etwa Open-Source-Bibliotheken, die nicht sauber geprüft wurden. Das kann sich wie ein unbemerkter Brand ausbreiten und ist deshalb besonders gefährlich.
Husselman: Der erste Schritt ist eine Sensibilisierung aller Mitarbeitenden. Viele Firmen schulen ihre Mitarbeitenden mit simulierten Phishing-Angriffen und beziehen dabei auch Angehörige mit ein, damit auch im Homeoffice keine Lücken entstehen. Das ist eine gute Basis, aber sie reicht nicht aus.
Amstad: Richtig, es braucht ausserdem strukturelle Massnahmen. Ein Unternehmen muss wissen, welche seiner Assets kritisch sind und diese gezielt schützen. Dabei helfen Zonenmodelle: Systeme werden in voneinander getrennte Sicherheitsbereiche unterteilt. Was in Zone A passiert, darf keinen Einfluss auf Zone B haben. Das ist aufwendig, aber unverzichtbar.
Amstad: Leider nein! Technik kann viel, aber menschliches Fehlverhalten bleibt ein grosser Risikofaktor. Deshalb setzen wir auf die Kombination: Technologie plus klare Prozesse plus der Faktor Mensch, also zum Beispiel die Integrität der Mitarbeitenden. Nur so entsteht ein robuster Schutz.
Amstad: Enorm. Technologie und Geopolitik lassen sich heute nicht mehr trennen. Staaten nutzen digitale Produkte strategisch, teils zur Kontrolle, teils zur Spionage. Besonders bei Hardware oder Software ist die Gefahr real, dass Hintertüren eingebaut sind. Diese sind oft schwer erkennbar, vor allem dann, wenn der Quellcode nicht einsehbar ist. Wir erleben
eine zunehmende Instrumentalisierung von Technologie.
Amstad: Die Schweiz ist durch ihre Forschungs- und Industriekompetenz ein attraktives Ziel. Laut Nachrichtendienst des Bundes gehören Hochschulen und Technologiefirmen zu
den besonders gefährdeten Einrichtungen. Forschung findet oft hier statt, produziert wird dann im Ausland. Das macht Schweizer Unternehmen anfällig für gezielte Ausspähung.
Husselman: KI verändert die Spielregeln auf beiden Seiten. Angreifer nutzen sie, um Schwachstellen schneller zu identifizieren, grosse Datenmengen zu analysieren oder Schadcode zu verschleiern, sodass sie von klassischen Sicherheitssystemen nicht erkannt werden. Ausserdem nimmt das Tempo, in dem neue Malware entsteht, rasant zu.
Amstad: Und auch Verteidiger setzen KI ein, etwa bei der Malware- und Anomalie-Erkennung. Die Herausforderung ist, dass beide Seiten aufrüsten. Es ist ein digitales Wettrüsten
und wir befinden uns mittendrin.
Husselman: Viele glauben, dass ihre Sicherheitsvorkehrungen genügen. Aber Sicherheit ist dynamisch. Neue Schwachstellen entstehen täglich. Wer nicht kontinuierlich in Technologie,
Wissen und Prozesse investiert, bleibt besonders verwundbar.
Amstad: Ein weiterer Trugschluss ist die Annahme, dass sämtliche Massnahmen an einen Dienstleister ausgelagert werden können. Gerade bei kritischen Komponenten reicht das nicht. Outsourcing ersetzt keine Verantwortung. Unternehmen müssen verstehen, was ihre Dienstleister tun.
Amstad: Zunächst muss man seine kritischen Assets kennen und priorisieren. Welche Systeme sind kritisch? Welche Abhängigkeiten bestehen? Danach gilt es, sichere Prozesse zu etablieren, Zuständigkeiten zu klären und Standards zu definieren, etwa nach ISO, IEC oder NIST.
Husselman: Darüber hinaus braucht es einen transparenten Austausch mit den Lieferanten, der unbedingt eingefordert werden sollte. Vertrauen ist gut, Validierung ist besser.
Husselman: Ich sehe ein Wettrüsten. Angreifer werden durch KI besser, schneller und kreativer. Aber auch wir lernen dazu. Moderne Verteidigungssysteme analysieren riesige Datenmengen in Echtzeit. Trotzdem: Das Grundproblem bleibt. Wer Sicherheit nicht priorisiert, verliert den
Anschluss.
Amstad: Ich teile die Einschätzung. Wenn beispielsweise der Taiwan-Konflikt eskaliert, sind fast alle westlichen Volkswirtschaften betroffen, da dort ein Grossteil der heute verwendeten Chips produziert wird. Viele merken erst in der Krise, wie abhängig sie sind. Cyber-Sicherheit ist keine technische Spielerei, sondern ein gesellschaftliches Überlebensprinzip.
Amstad: Mehr Realitätssinn. Es wird immer Schwachstellen geben; entscheidend ist, wie man damit umgeht. Vertrauenswürdige Lieferanten kommunizieren offen, wenn etwas passiert, und handeln schnell. Wenn ich vom Partner nie etwas höre, sollte ich misstrauisch werden. Kein Feedback ist kein Beweis für Sicherheit.
Amstad: Wir liefern validierbare Technologien, deren Komponenten nachvollziehbar, modular und transparent sind. Zudem bieten wir mit unseren Zonenarchitekturen eine Möglichkeit, kritische Systeme konsequent von weniger sensiblen Bereichen zu trennen. So lassen sich Risiken begrenzen und kontrollieren, und gleichzeitig moderne, vernetzte und mobile Arbeitsweisen ermöglichen.
Husselman: Gerade in hybriden Arbeitsumgebungen ist das essenziell. Wer glaubt, sein System sei sicher, nur weil er eine starke Firewall hat, täuscht sich. Sicherheit entsteht erst durch das Zusammenspiel von Sicherheitsarchitektur, Kultur und Kontrolle.
Interview: Markus Back, Technische Rundschau
Sie möchten das Thema Supply Chain Security vertiefen und mehr zu den zentralen Massnahmen für eine sichere Supply Chain erfahren? Unser neues Whitepaper «Supply Chain Security: Damit Lieferanten und Partner nicht zur Bedrohung werden» liefert wertvolle Insights und alles Wissenswerte rund um die Supply Chain Security.