Lieferkettenangriff (Supply Chain Attack)

Bei einem Lieferkettenangriff kompromittieren Angreifer nicht das Zielunternehmen direkt, sondern einen vorgelagerten Dienstleister oder Softwareanbieter, dessen Produkte oder Updates dann als Angriffsvektor dienen. Der SolarWinds-Vorfall 2020 hat diesen Angriffspfad in das Bewusstsein öffentlicher Auftraggeber gebracht. NIS2 und BSI-Leitlinien verpflichten KRITIS-Betreiber, Lieferkettensicherheit in ihre Risikoanalyse einzubeziehen und Anforderungen per Vertragsklausel an Auftragnehmer weiterzugeben.