IT-Dienstleister als Sicherheitsrisiko: Supply Chain Security für KMU

Written by ExposIQ | März 19, 2026

Schweizer KMU lagern ihre IT zunehmend an externe Dienstleister aus. Managed Service Provider (MSP), IT-Systemhäuser und Cloud-Berater übernehmen die Verwaltung von Netzwerken, Servern und Endgeräten. Das ist oft sinnvoll – aber es schafft ein Risiko, über das zu wenig gesprochen wird: Ihr IT-Dienstleister hat weitreichenden Zugang zu Ihren Systemen. Und wenn er kompromittiert wird, sind Sie es auch.

Das Problem: Vertrauen ohne Kontrolle

Ein typisches KMU-Szenario: Der IT-Dienstleister hat Administratorrechte auf dem Domänencontroller, VPN-Zugang zum internen Netzwerk, Zugriff auf die Firewall-Konfiguration und Root-Passwörter für alle Server. Er verwaltet die Backups, pflegt die Software-Updates und kümmert sich um neue Mitarbeitende.

Das ist ein enormes Vertrauensverhältnis. Und in den meisten Fällen gibt es keinerlei unabhängige Kontrolle darüber, ob der Dienstleister selbst sichere Praktiken einhält. Ist sein eigenes Netzwerk geschützt? Verwendet er Multi-Faktor-Authentifizierung? Sind seine Remote-Access-Tools aktuell? Werden die Zugangsdaten seiner Kunden sicher aufbewahrt?

Die ehrliche Antwort: Die meisten KMU wissen es nicht. Und die meisten fragen nicht nach.

Supply-Chain-Angriffe nehmen zu

Supply-Chain-Angriffe – also Angriffe über Lieferanten und Dienstleister – gehören zu den am schnellsten wachsenden Bedrohungskategorien. Die Logik dahinter ist bestechend einfach: Warum sollte ein Angreifer 100 KMU einzeln angreifen, wenn er über einen einzigen IT-Dienstleister Zugang zu allen 100 Unternehmen erhalten kann?

Die Vergangenheit liefert eindrückliche Beispiele:

  • Kaseya VSA (2021): Die Ransomware-Gruppe REvil kompromittierte die Remote-Management-Software Kaseya VSA. Über den Update-Mechanismus wurde Ransomware an über 1’500 Unternehmen weltweit verteilt – alles Kunden von MSPs, die Kaseya nutzten. Die betroffenen KMU hatten selbst nichts falsch gemacht.
  • SolarWinds (2020): Angreifer infiltrierten den Build-Prozess der SolarWinds-Orion-Software. Das manipulierte Update wurde an über 18’000 Organisationen verteilt, darunter Regierungsbehörden und Grossunternehmen.
  • MOVEit Transfer (2023): Eine Schwachstelle in der Dateiübertragungssoftware MOVEit wurde von der Clop-Gruppe ausgenutzt. Über 2’600 Organisationen und 77 Millionen Personen waren betroffen – viele davon indirekt, weil ihr Dienstleister MOVEit einsetzte.
  • ConnectWise ScreenConnect (2024): Kritische Schwachstellen in der Remote-Support-Software ermöglichten Angreifern die Übernahme von Kundensystemen über kompromittierte MSP-Instanzen.

Diese Vorfälle sind keine Einzelfälle, sondern ein Muster. Die Europäische Agentur für Cybersicherheit (ENISA) stuft Supply-Chain-Angriffe als eine der Top-Bedrohungen ein. Und das Bundesamt für Cybersicherheit (BACS) warnt regelmässig vor diesem Risiko.

Wie IT-Dienstleister zum Einfallstor werden

Die Angriffsvektoren über IT-Dienstleister sind vielfältig:

Kompromittierte Remote-Management-Tools

MSPs verwenden Tools wie ConnectWise, Kaseya, Datto oder TeamViewer, um die Systeme ihrer Kunden zu verwalten. Diese Tools haben per Design weitreichenden Zugriff auf die verwalteten Endgeräte und Server. Eine Schwachstelle im Remote-Management-Tool oder gestohlene Zugangsdaten des MSP-Technikers öffnen die Tür zu allen Kundennetzwerken gleichzeitig.

Unsichere Praktiken beim Dienstleister

Nicht jeder Angriff basiert auf einer Software-Schwachstelle. Häufige Probleme bei IT-Dienstleistern:

  • Passwort-Wiederverwendung: Das gleiche Admin-Passwort wird bei mehreren Kunden eingesetzt
  • Fehlende MFA: Remote-Zugänge zu Kundensystemen sind nur mit Passwort geschützt
  • Unverschlüsselte Passwort-Datenbanken: Kundenzugangsdaten liegen in Excel-Tabellen oder ungesicherten Passwortmanagern
  • Veraltete eigene Systeme: Der Dienstleister patcht die Systeme seiner Kunden, aber nicht seine eigenen
  • Kein Least-Privilege-Prinzip: Jeder Techniker hat Zugriff auf alle Kundensysteme

Geteilte Infrastruktur

Manche Dienstleister betreiben gemeinsam genutzte Monitoring- oder Backup-Systeme. Wenn diese zentrale Infrastruktur kompromittiert wird, sind alle angeschlossenen Kunden betroffen.

Wie Sie Ihren IT-Dienstleister einschätzen können

Vertrauen ist gut, aber es sollte auf einer informierten Grundlage stehen. Hier sind konkrete Fragen, die Sie Ihrem IT-Dienstleister stellen sollten:

  1. Zugangskontrolle: Wer hat konkret Zugriff auf unsere Systeme? Gibt es ein rollenbasiertes Berechtigungskonzept, oder hat jeder Techniker vollen Zugang?
  2. Multi-Faktor-Authentifizierung: Ist der Zugang zu unseren Systemen durch MFA geschützt? Gilt das auch für alle Techniker des Dienstleisters?
  3. Passwort-Management: Wie werden unsere Zugangsdaten gespeichert? Wird ein professioneller Passwortmanager mit Verschlüsselung eingesetzt?
  4. Eigene Sicherheit: Führt der Dienstleister selbst regelmässige Sicherheitsüberprüfungen durch? Hat er eine ISO-27001-Zertifizierung oder eine vergleichbare Attestierung?
  5. Incident Response: Was passiert, wenn der Dienstleister selbst kompromittiert wird? Gibt es einen Plan, um betroffene Kunden zu informieren und den Zugang zu sperren?
  6. Software-Aktualität: Welche Remote-Management-Tools werden eingesetzt, und sind diese auf dem neuesten Stand?
  7. Protokollierung: Werden Zugriffe auf unsere Systeme protokolliert? Können wir diese Protokolle einsehen?

Wenn Ihr Dienstleister diese Fragen nicht beantworten kann oder will, ist das ein Warnsignal.

Warum KMU eigenes Schwachstellenscanning brauchen

Unabhängig davon, wie kompetent und vertrauenswürdig Ihr IT-Dienstleister ist, gibt es gute Gründe, ein eigenes Schwachstellenscanning zu betreiben:

Unabhängige Sichtbarkeit: Ihr IT-Dienstleister hat ein inhärentes Interesse daran, seine eigene Arbeit in einem guten Licht darzustellen. Ein unabhängiger Schwachstellenscan zeigt Ihnen die objektive Realität: Sind die Systeme tatsächlich aktuell? Sind die Firewall-Regeln sauber? Gibt es exponierte Dienste, die es nicht geben sollte?

Kontrolle über das eigene Risiko: Die Verantwortung für Ihre Daten lässt sich nicht auslagern. Auch wenn der IT-Dienstleister die Systeme verwaltet, tragen Sie als Unternehmen die Haftung bei einem Datenverlust. Das nDSG (neues Datenschutzgesetz) macht das unmissverständlich klar.

Früherkennung von Problemen: Regelmässige Scans erkennen, wenn ein Patch nicht installiert wurde, ein Dienst falsch konfiguriert ist oder eine neue Schwachstelle Ihre Systeme betrifft. Sie können proaktiv reagieren, statt auf den nächsten Sicherheitsvorfall zu warten.

Verhandlungsgrundlage: Mit konkreten Scan-Ergebnissen können Sie fundierte Gespräche mit Ihrem Dienstleister führen. «Unser Scan zeigt, dass der Exchange-Server zwei kritische Patches nicht installiert hat» ist eine andere Ausgangslage als «Ist bei uns alles sicher?»

Lieferketten-Transparenz: Ein externer Scan Ihrer eigenen Infrastruktur zeigt auch, ob die vom Dienstleister verwalteten Systeme Schwachstellen aufweisen, die der Dienstleister hätte beheben sollen.

Trust, but verify

Das Prinzip «Trust, but verify» stammt ursprünglich aus der Diplomatie, ist aber im IT-Sicherheitsbereich höchst relevant. Es bedeutet nicht, Ihrem IT-Dienstleister zu misstrauen. Es bedeutet, dass Sie als Unternehmen die Verantwortung für Ihre eigene Sicherheit nicht vollständig delegieren können.

Konkrete Massnahmen, die jedes KMU umsetzen kann:

  • Eigenes Schwachstellenscanning: Betreiben Sie regelmässige, automatisierte Scans unabhängig von Ihrem IT-Dienstleister
  • Zugangs-Inventar: Führen Sie eine aktuelle Liste aller externen Zugänge zu Ihren Systemen (VPN, Remote-Desktop, Cloud-Portale)
  • Vertragliche Regelungen: Definieren Sie SLAs für Patch-Management, MFA-Pflicht und Incident-Response-Zeiten
  • Regelmässige Reviews: Besprechen Sie Scan-Ergebnisse vierteljährlich mit Ihrem Dienstleister und lassen Sie offene Punkte nachverfolgen
  • Eskalationsprozess: Definieren Sie, was passiert, wenn kritische Schwachstellen nicht innerhalb eines festgelegten Zeitraums behoben werden

ExposIQ als unabhängige Kontrolle

ExposIQ ermöglicht Schweizer KMU ein einfaches, unabhängiges Schwachstellenscanning, das parallel zum bestehenden IT-Dienstleister läuft. Die Plattform erfordert keine technische Expertise: Sie geben Ihre Domains und IP-Bereiche ein und erhalten regelmässig einen aktuellen Überblick über Ihre Sicherheitslage.

Mit über 35 Scan-Engines, 64’000 CVEs und dem EPSS-basierten Risiko-Scoring sehen Sie auf einen Blick, welche Schwachstellen bestehen und wie dringend sie behoben werden müssen. Die Ergebnisse liefern eine objektive Grundlage für das Gespräch mit Ihrem IT-Dienstleister – oder zeigen Ihnen, dass er gute Arbeit leistet.

Gehostet in der Schweiz, nDSG-konform und bereits ab CHF 99 pro Monat verfügbar. Denn unabhängige Kontrolle ist kein Misstrauensvotum, sondern professionelles Risikomanagement: exposiq.ch

ExposIQ ist die Schweizer Plattform für automatisiertes Vulnerability Management. Wir helfen KMU und IT-Dienstleistern, Schwachstellen zu erkennen und zu beheben – sicher, verständlich und nDSG-konform.

Zürich, Schweiz

info@exposiq.ch
+41 43 200 02 52

Firma

Über uns Kontakt Blog
 Datenschutzerklärung Nutzungsbedingungen

Newsletter

Copyright © ExposIQ Schweiz 2026. Alle Rechte vorbehalten.