Der jüngste Cyberangriff auf einen externen Dienstleister im Raum München ist weit mehr als ein weiterer Fall von Datendiebstahl. Er verdeutlicht ein strukturelles Problem, das viele Unternehmen, Behörden und Betreiber kritischer Infrastrukturen noch immer unterschätzen: Die eigene Cybersecurity endet nicht an der Unternehmensgrenze.
Betroffen waren nach Medienberichten Kunden von NetzeBW und Stuttgart Netze – obwohl die Netzbetreiber selbst nicht Ziel des Angriffs waren. Die kompromittierten Daten gelangten über einen beauftragten Dienstleister in die Hände der Angreifer. Genau darin liegt die eigentliche Botschaft dieses Vorfalls: In hochvernetzten Wertschöpfungsketten entscheidet längst nicht mehr ausschließlich die Sicherheit des eigenen Unternehmens über das Gesamtrisiko.
Diese Entwicklung ist kein Einzelfall. Unternehmen lagern immer mehr Aufgaben an spezialisierte Partner aus – von IT-Dienstleistungen über Cloud-Services bis hin zur Montage intelligenter Messsysteme. Gleichzeitig entstehen immer längere digitale Lieferketten, in denen zahlreiche externe Akteure Zugriff auf sensible Daten oder kritische Prozesse erhalten. Jeder zusätzliche Dienstleister erweitert damit auch die potenzielle Angriffsfläche.
Der aktuelle Fall zeigt, dass selbst organisatorisch sinnvolle Entscheidungen neue Risiken schaffen können. Die verpflichtende Modernisierung von Stromzählern nach dem Messstellenbetriebsgesetz führte dazu, dass Netzbetreiber externe Unterstützung benötigten. Wirtschaftlich ist dieses Vorgehen nachvollziehbar. Aus Sicht der Cybersicherheit macht es jedoch deutlich, dass jede Auslagerung auch eine gemeinsame Verantwortung für Informationssicherheit erfordert.
Besonders kritisch ist dabei, dass Cyberangriffe heute selten beim unmittelbaren Ziel enden. Angreifer suchen gezielt nach dem einfachsten Einstiegspunkt. Häufig ist dieser nicht das eigentliche Unternehmen, sondern ein Dienstleister mit vergleichbaren Zugriffsrechten, aber geringeren Sicherheitsstandards. Das Prinzip ist seit Jahren bekannt und wird immer wieder erfolgreich ausgenutzt.
Bemerkenswert ist außerdem, dass die eigentliche Gefahr häufig nicht im unmittelbaren Datenverlust liegt. Im aktuellen Fall wurden nach Angaben der Unternehmen keine Bankdaten kompromittiert. Dennoch reichen Namen, Adressen, Telefonnummern oder technische Informationen aus, um gezielte Betrugs- oder Phishing-Kampagnen vorzubereiten. Cyberkriminelle benötigen heute oft keine vollständigen Datensätze mehr – wenige glaubwürdige Informationen genügen, um Vertrauen zu schaffen und weitere Angriffe vorzubereiten.
Für Unternehmen bedeutet das einen Perspektivwechsel. Informationssicherheit darf sich nicht allein auf Firewalls, Endgeräteschutz oder interne Richtlinien beschränken. Ebenso wichtig sind Sicherheitsanforderungen entlang der gesamten Lieferkette: die Auswahl von Dienstleistern, vertragliche Sicherheitsvorgaben, regelmäßige Audits sowie transparente Melde- und Reaktionsprozesse.
Gerade vor dem Hintergrund neuer regulatorischer Anforderungen wie NIS2 gewinnt diese Betrachtung zusätzlich an Bedeutung. Die Richtlinie verlangt nicht nur wirksame Schutzmaßnahmen innerhalb der eigenen Organisation, sondern rückt ausdrücklich auch Risiken in der Lieferkette in den Fokus. Cyberresilienz wird damit zunehmend zu einer gemeinsamen Aufgabe aller Beteiligten.
Der Vorfall in Baden-Württemberg macht deutlich, dass moderne Cybersecurity nicht isoliert gedacht werden kann. Digitale Wertschöpfungsnetzwerke funktionieren nur dann sicher, wenn alle Beteiligten vergleichbare Sicherheitsstandards erfüllen. Andernfalls genügt ein einziges schwaches Glied, um eine gesamte Sicherheitskette zu gefährden.

