Cyberangriffe auf Lieferketten: Warum vernetzte Systeme zur größten globalen Gefahr werden

Der aktuelle „High-Tech Crime Trends Report 2026“ zeigt, dass Cyberangriffe nicht mehr nur einzelne Unternehmen treffen. Stattdessen geraten digitale Lieferketten in den Mittelpunkt. Die Bedrohung verschiebt sich von isolierten Vorfällen hin zu Angriffen, die ganze Strukturen erfassen und über mehrere Ebenen wirken.

Wie ein kompromittierter Knotenpunkt ganze Netzwerke gefährdet

Cyberkriminelle nutzen heute gezielt Schnittstellen, die als vertrauenswürdig gelten. Dazu gehören Open-Source-Bibliotheken, SaaS-Dienste, Browser-Erweiterungen oder Service Provider. Wird eine dieser Komponenten manipuliert, kann sich der Angriff über zahlreiche nachgelagerte Organisationen ausbreiten. Ein lokaler Vorfall entwickelt sich so schnell zu einem internationalen Problem.

Mehrstufige Angriffsketten als Standard

Die Analyse beschreibt moderne Attacken als Prozesse, die aus mehreren Schritten bestehen. Die einzelnen Phasen greifen ineinander und verstärken sich gegenseitig. Dadurch entstehen vernetzte Angriffsszenarien, die Abhängigkeiten und Integrationen gezielt ausnutzen.

Typische Bestandteile solcher Angriffsketten:

• Phishing zur Vorbereitung des Identitätsdiebstahls
• Diebstahl oder Missbrauch von Zugangsdaten
• Datenabfluss über kompromittierte Schnittstellen
• Einschleusen von Schadsoftware
• Erpressung als abschließende Eskalation

Open-Source-Komponenten als Risikoquelle

Besonders Paket-Repositorys wie npm oder PyPI geraten in den Fokus. Gestohlene Zugangsdaten oder automatisierte Schadprogramme ermöglichen es Angreifern, manipulierte Pakete in Entwicklungspipelines einzuschleusen. Da viele Anwendungen auf denselben Bibliotheken basieren, verbreiten sich solche Pakete schnell und dienen als Transportweg für Schadcode. Die nordkoreanische Hackergruppe „Lazarus“ zum Beispiel lockt Entwickler über Fake- Stellenangebote, stellen diese ein und geben ihnen vermeintlich harmlose Aufgaben – wofür aber Open-Source Programme heruntergeladen werden müssen, die bereits verseucht sind. Oft werden diese erst in einer harmlosen Version bereitgestellt und bei einem späteren Update mit der Malware versehen.

Auch Browser-Erweiterungen werden zunehmend missbraucht. Auch hier werden anfangs harmlose Erweiterungen durch ein späteres Update mit Malware versehen. Über kompromittierte Entwicklerkonten oder manipulierte Add-ons gelangen Angreifer an Zugangsdaten, übernehmen Sitzungen oder lesen Finanzinformationen direkt im Browser aus. Gleichzeitig werden Phishing-Angriffe komplexer. KI-gestützte Methoden zielen verstärkt auf OAuth-Prozesse und Integrationen ab, um Mehrfaktor-Authentifizierung zu umgehen und dauerhaften Zugriff auf Cloud- oder CI/CD-Umgebungen zu erhalten.

Ransomware als arbeitsteiliges Ökosystem

Der Bericht zeigt, dass Ransomware-Gruppen zunehmend wie industrielle Strukturen funktionieren. Initial Access Broker, Datenhändler und Erpressungsgruppen arbeiten koordiniert zusammen. Ziel ist es, möglichst früh in digitale Liefernetzwerke einzudringen, um maximale Wirkung zu erzielen. Dabei kommen sowohl bekannte als auch neuere Akteursgruppen zum Einsatz, die ähnliche Methoden nutzen.

Warum Vertrauen zum zentralen Sicherheitsfaktor wird

Die Untersuchung macht deutlich, dass klassische Schutzmaßnahmen nicht mehr ausreichen. Entscheidend ist, Vertrauen über Identitäten, Integrationen und Abhängigkeiten hinweg abzusichern. Die Erkenntnisse basieren auf Telemetriedaten, realen Ermittlungen und Beobachtungen aus elf internationalen Digital Crime Resistance Centers. Sie zeigen, wie wichtig es ist, Angriffsketten frühzeitig zu erkennen und zu unterbrechen.

Sicherheit hängt nicht mehr nur von der eigenen Infrastruktur ab. Entscheidend ist die Stabilität der digitalen Beziehungen, auf denen Geschäftsmodelle basieren. Lieferketten, Integrationen und gemeinsame Plattformen werden damit zu zentralen Faktoren für Cyberresilienz.