Digitale Lieferketten im Blick: Warum Transparenz jetzt entscheidend ist
Die digitale Transformation hat Unternehmen enorme Chancen eröffnet - von flexibleren Prozessen bis hin zu globalen Wertschöpfungsketten. Doch mit der zunehmenden Vernetzung steigt auch die Angriffsfläche für Cyberkriminelle. Nicht nur das eigene Unternehmen muss geschützt werden, sondern auch alle Systeme, Partner und Dienstleister, die miteinander verbunden sind. Genau hier beginnt die Herausforderung: die digitale Lieferkette sichtbar zu machen und zu verstehen.
Viele Unternehmen kennen ihre direkten Zulieferer, Dienstleister oder Cloud-Anbieter, doch oft bleibt unklar, welche Systeme und Schnittstellen tatsächlich nach außen offen sind. Dieses fehlende Wissen kann gefährlich werden, denn Angreifer sehen mehr, als den meisten Unternehmen bewusst ist.
Die Perspektive der Angreifer: Outside-in statt Inside-out
Traditionell betrachten Unternehmen ihre IT-Sicherheit „von innen nach außen“. Sie prüfen interne Systeme, führen Penetrationstests durch oder arbeiten mit Sicherheitsdienstleistern zusammen. Doch Angreifer starten anders: Sie sammeln zunächst öffentlich verfügbare Informationen, um mögliche Einstiegspunkte zu identifizieren. Völlig legal, ohne ein System aktiv anzugreifen.
Genau hier setzt das Outside-in-Scanning an. Dabei wird das Unternehmen aus der Perspektive eines Angreifers betrachtet. Ausgehend von einer Domain lassen sich Rückschlüsse auf die gesamte Infrastruktur ziehen: Welche Server sind erreichbar? Sind Softwareversionen veraltet? Gibt es falsch konfigurierte DNS-Einträge oder offene Mailzugänge?
Solche Informationen sind frei zugänglich und können von jedem mit den richtigen Tools abgerufen werden.
Der Vorteil für Unternehmen: Sie sehen die gleichen Schwachstellen, die ein potenzieller Angreifer entdecken würde. Damit wird das Risiko greifbar und priorisierbar, ohne aufwendige interne Abfragen oder langwierige Prozesse.
Warum NIS-2 die digitale Lieferkette in den Fokus rückt
Mit der NIS-2-Richtlinie kommen neue gesetzliche Anforderungen auf Unternehmen zu. Sie verpflichtet Unternehmen aus bestimmten Branchen, ihre digitale Lieferkette regelmäßig zu prüfen und nachzuweisen, dass sie die Sicherheitslage ihrer Partner und Dienstleister im Blick haben.
Das bedeutet: Es reicht nicht mehr, nur auf die eigene IT zu schauen. Auch externe Systeme, Cloud-Plattformen und Software-as-a-Service-Dienste müssen berücksichtigt werden.
Für viele Unternehmen - besonders im Mittelstand - stellt das eine große Herausforderung dar. Klassische Risiko-Fragebögen und Audits sind zeitaufwendig, oft unvollständig und liefern nur eine Momentaufnahme. Automatisierte Ansätze wie Outside-in-Scanning bieten hier einen klaren Vorteil: Innerhalb weniger Minuten entsteht ein objektives Bild der aktuellen Sicherheitslage, regelmäßig wiederholbar und ohne monatelange Abstimmungsprozesse.
Von der Domain zur vollständigen Risikoübersicht
Der Prozess klingt fast magisch, ist aber rein technisch:
Alles beginnt mit der Domain eines Unternehmens. Von dort aus lassen sich über DNS-Einträge, Subdomains und andere öffentlich verfügbare Daten ganze Infrastrukturen abbilden. Häufig werden dabei Systeme sichtbar, die längst vergessen wurden - alte Testumgebungen, ungenutzte Schnittstellen oder externe Anwendungen, die nie sauber abgemeldet wurden.
Für Unternehmen bedeutet das: Ein klarer Blick auf blinde Flecken, die im Alltag oft übersehen werden. Besonders wertvoll ist dieser Ansatz, wenn er auf alle wichtigen Lieferanten und Partner angewendet wird. Statt hunderte Fragebögen zu verschicken, können Unternehmen ihre gesamte digitale Lieferkette innerhalb weniger Minuten scannen und priorisieren, welche Bereiche zuerst Aufmerksamkeit benötigen.
Fazit: Transparenz als Schlüssel zu mehr Sicherheit
Die digitale Lieferkette ist heute genauso kritisch wie physische Zuliefererketten. Wer nicht weiß, welche Systeme nach außen sichtbar sind, riskiert unbemerkte Sicherheitslücken und damit potenziell hohe Schäden.
Mit Ansätzen wie Outside-in-Scanning lassen sich Risiken nicht nur schneller erkennen, sondern auch nachvollziehbar dokumentieren. Gerade im Hinblick auf NIS-2 bietet das Unternehmen die Möglichkeit, Compliance-Anforderungen zu erfüllen und gleichzeitig ihre Sicherheitsstrategie effizienter zu gestalten.
Mehr Einblicke im Podcast
Wie genau Outside-in-Scanning funktioniert und warum es gerade jetzt so relevant für Unternehmen ist, bespricht Michael gemeinsam mit Jonas Schwade, Geschäftsführer der cysmo Cyber Risk GmbH, in der aktuellen Folge von Cybersecurity Basement.

Annika Gamerad
Event & Marketing Specialist
Published on 24.09.2025
