Die Securam Consulting GmbH warnt anlässlich eines aktuellen Datenlecks beim Sportartikelhersteller Adidas vor der zunehmenden Gefahr von Cyberangriffen über Schwachstellen in IT-Lieferketten.
Besonders kleine und mittelständische Unternehmen (KMU), IT-Fachleute, Partnerunternehmen und Entscheidungsträger sollten den Vorfall als Weckruf verstehen: Sicherheitslücken bei Drittanbietern können gravierende Folgen haben und erfordern proaktives Risikomanagement, robuste Notfallpläne sowie die Einhaltung hoher Sicherheitsstandards.
Eine aktuelle Bitkom Studie ergab, dass fast zwei Drittel aller Cyberangriffe auf deutsche Unternehmen auf Schwachstellen bei Zulieferern zurückzuführen sind.
Cyberkriminelle hatten sich über einen externen Kundenservice-Dienstleister Zugang zu Adidas-Kundendaten verschafft. Über diesen kompromittierten Drittanbieter gelangten Unbekannte an persönliche Verbraucherdaten des deutschen Sportartikelherstellers. Wie Adidas mitteilte, wurden vorwiegend Kontaktinformationen von Personen erbeutet, die sich in der Vergangenheit mit Anfragen an den Kundensupport gewandt hatten. Sensiblere Daten wie Passwörter oder Zahlungsinformationen blieben unangetastet; diese waren laut Unternehmensangaben nicht Teil des Vorfalls.
Adidas hat unmittelbar nach Entdeckung des Lecks reagiert: „Wir haben sofort Maßnahmen ergriffen, um den Vorfall einzudämmen, und eine umfassende Untersuchung eingeleitet, bei der wir mit führenden Experten für Informationssicherheit zusammengearbeitet haben“, erklärte das Unternehmen. Die betroffenen Kunden würden umgehend kontaktiert, und Adidas kooperiere eng mit Datenschutzbehörden und Ermittlungsbehörden, wie es die gesetzlichen Vorgaben erfordern.
Dieses entschlossene Krisenmanagement entspricht den Anforderungen der Datenschutz-Grundverordnung (DSGVO) und dient dem Schutz der Kunden sowie der Aufklärung des Vorfalls. Dennoch führt der Vorfall eindrücklich vor Augen, dass Cyberrisiken längst über die eigene IT-Infrastruktur hinausgehen. Er ist ein Weckruf für alle Unternehmen, die Sicherheit der gesamten Lieferkette stärker in den Blick zu nehmen.
Sicherheitsrisiko: Schwachstellen in der Lieferkette
Der Fall Adidas verdeutlicht ein grundsätzliches Problem der IT-Sicherheit: Unternehmen können ihre eigenen Systeme noch so gut schützen – wenn Partner oder Dienstleister nicht gleichermaßen hohe Sicherheitsstandards einhalten, entsteht ein gefährliches Einfallstor für Angreifer. Gerade Schwachstellen bei Drittanbietern werden zunehmend gezielt ausgenutzt. Consulting GmbH.
Berichte des Bundesamts für Sicherheit in der Informationstechnik (BSI) bestätigen diesen Trend: Im Lagebericht 2024 ist von verstärkten Angriffen auf Lieferketten die Rede; insbesondere rücken zunehmend KMU und IT-Dienstleister als Ziele ins Visier von Hackern. Keine Organisation gilt als zu klein oder unbedeutend – die Frage ist oft nur noch, wann ein Angriff erfolgt, nicht ob.
Cyberkriminelle nutzen häufig den Weg über verbundene Unternehmen, Zulieferer oder externe Dienstleister, um an vertrauliche Daten zu gelangen oder in Netzwerke einzudringen. Diese sogenannten Supply-Chain-Angriffe haben in den letzten Jahren zugenommen. Prominent zeigte dies etwa der SolarWinds-Hack im Jahr 2022, bei dem Angreifer über ein Software-Update zehntausende Unternehmen und Behörden weltweit kompromittierten. Auch kleine und mittelständische Unternehmen, die oft Teil von Lieferketten sind oder auf externe IT-Dienstleistungen setzen, stehen verstärkt im Visier der Angreifer.
Dank der schnellen Reaktion und begrenzten Datenmenge verlief das Adidas-Datenleck vergleichsweise glimpflich. Es wurden keine hochsensiblen Finanzdaten entwendet, und durch das zügige Eindämmen des Vorfalls sowie die Zusammenarbeit mit Experten konnte Schlimmeres verhindert werden. Die transparente Kommunikation mit den Betroffenen und den Behörden zeigt vorbildliches Krisenmanagement.
Die DSGVO schreibt Unternehmen vor, bei erheblichen Datenpannen unverzüglich die zuständige Datenschutzaufsichtsbehörde zu informieren (in der Regel binnen 72 Stunden) und betroffene Personen zu benachrichtigen. Adidas kommt diesen Pflichten nach und signalisiert damit Verantwortungsbewusstsein und Compliance. Für andere Unternehmen ist dies ein deutliches Signal: Neben dem Schaden für Reputation und Vertrauen drohen ohne regelkonforme Meldung auch rechtliche Konsequenzen. Verstöße können von den Aufsichtsbehörden mit empfindlichen Bußgeldern geahndet werden – bis zu 4 % des weltweiten Jahresumsatzes sind nach DSGVO möglich. Auch der Reputationsschaden kann erheblich sein. Zudem fordern Branchennormen wie ISO/IEC 27001 oder der BSI IT-Grundschutz ein strukturiertes Vorgehen bei Sicherheitsvorfällen und einen sorgfältigen Umgang mit Lieferantenrisiken.
Zertifizierungen nach ISO 27001 oder branchenspezifische Standards wie TISAX werden in vielen Fällen sogar als Voraussetzung betrachtet, um Geschäftsbeziehungen mit größeren Unternehmen eingehen zu dürfen. Lieferanten, die grundlegende Sicherheitsstandards nicht vorweisen können, riskieren, von Geschäftspartnern als Risiko eingestuft und im Zweifel von Aufträgen ausgeschlossen zu werden. Allerdings ersetzen solche Zertifikate nicht die kontinuierliche praktische Umsetzung – ohne einen gelebten Sicherheitsprozess und regelmäßige Risikoüberprüfungen bleibt ein Unternehmen anfällig. Zugleich nehmen Gesetzgeber und Aufsichtsbehörden das Thema stärker in den Blick.
Die neue EU-Richtlinie NIS2 und geplante nationale Regelungen (z.B. das KRITIS-Dachgesetz) verschärfen die Anforderungen an die Sicherheit der Lieferkette und weiten die Pflichten auf weitere Unternehmen und Branchen aus.
Prävention durch Risikomanagement und technische Schutzmaßnahmen
Um Vorfälle wie das Adidas-Datenleck zu verhindern, rückt präventives Risikomanagement in den Mittelpunkt. Unternehmen sollten ihre Risiken genau kennen und proaktiv managen, statt nur auf Zwischenfälle zu reagieren.
Dazu gehört, systematisch Schwachstellen zu identifizieren – auch bei Drittanbietern – und passende Gegenmaßnahmen zu ergreifen. Moderne Informationssicherheits-Managementsysteme (ISMS) wie sie in ISO 27001 oder im BSI IT-Grundschutz beschrieben sind, bieten einen Rahmen, um Risiken zu bewerten und mit angemessenen technischen und organisatorischen Maßnahmen zu behandeln.
Technische Schutzmaßnahmen sollten dabei Hand in Hand mit organisatorischen Prozessen gehen. Dazu zählen unter anderem:
1. Strenge Zugriffskontrollen (z.B. Multi-Faktor-Authentifizierung) und starke Verschlüsselung: Beschränkung des Zugangs zu sensiblen Daten auf das notwendige Minimum und Einsatz starker Verschlüsselung, um Daten selbst im Falle eines Einbruchs zu schützen.
2. Netzwerksegmentierung und Überwachung: Segmentierung von Netzwerken, sodass ein Eindringen bei einem Partner nicht ungehindert auf Kernsysteme übergreifen kann, sowie kontinuierliche Überwachung des Datenverkehrs auf verdächtige Aktivitäten.
3. Regelmäßige Sicherheitsprüfungen: Durchführung von Penetrationstests und Sicherheitsaudits – idealerweise auch bei wichtigen Dienstleistern, um Schwachstellen frühzeitig aufzudecken und zu beseitigen.
4. Notfallpläne und Backup-Strategien: Vorhaltung aktueller Backups und ausgearbeiteter Incident-Response-Pläne, damit im Ernstfall der Betrieb schnell wiederhergestellt und Schäden begrenzt werden können.
Ein ganzheitlicher Sicherheitsansatz ist unerlässlich – denn technologische Maßnahmen allein reichen nicht aus. Effektive Informationssicherheit erfordert die konsequente Einbindung organisatorischer Prozesse und den Faktor Mensch. Dies beinhaltet die Etablierung verbindlicher Sicherheitsrichtlinien, die regelmäßige Sensibilisierung und Schulung der Mitarbeitenden sowie die Förderung einer unternehmensweiten Sicherheitskultur, die Aufmerksamkeit und Verantwortungsbewusstsein im Umgang mit Daten und Systemen stärkt.
Nur durch das koordinierte Zusammenspiel von Technik, Prozessen und Menschen lässt sich eine robuste Sicherheitsarchitektur etablieren, die auch unerwartete Risiken – insbesondere solche entlang der Lieferkette – wirksam adressiert.
Selbst bei allen Vorsichtsmaßnahmen lässt sich das Restrisiko eines Sicherheitsvorfalls nie vollständig eliminieren. Hier kommt Business Continuity Management (BCM) ins Spiel – die systematische Vorsorge dafür, dass der Geschäftsbetrieb auch bei gravierenden Störungen aufrechterhalten oder schnellstmöglich wieder aufgenommen werden kann.
Ein wirksames Business Continuity Management (BCM) umfasst Notfallpläne, Ausweichprozesse und regelmäßige Tests. Unternehmen sollten definieren, welche Geschäftsprozesse absolut kritisch sind, und dafür Redundanzen schaffen – sei es durch alternative Lieferanten, Backup-Systeme oder Notfall-Betriebsstandorte. Branchenstandards wie ISO 22301 (Managementsysteme für Geschäftskontinuität) bieten Leitlinien, um solche Pläne zu entwickeln und zu verifizieren. Im Adidas-Beispiel bedeutete die Auslagerung des Kundenservice an einen Drittanbieter zwar ein zusätzliches Risiko, doch zugleich könnten klare vertragliche Regelungen in Service-Level-Agreements (SLAs) festlegen, wie dieser Dienstleister im Krisenfall zu reagieren hat, um den Betrieb nicht zu gefährden. Für KMU ist insbesondere wichtig, dass auch ihre eigenen Lieferanten und Partner über Notfallkonzepte verfügen.
Angesichts der aktuellen Lage sollten Unternehmen – insbesondere KMU und ihre IT-Verantwortlichen – konkrete Maßnahmen ergreifen, um Risiken durch Drittanbieter und Lieferketten-Schwachstellen zu minimieren.
Sicherheitsexperten raten zu folgenden Schritten:
1. Gründliche Drittanbieter-Prüfung: Führen Sie vor der Zusammenarbeit eine umfassende Sicherheitsüberprüfung potenzieller Dienstleister oder Lieferanten durch (Due Diligence). Überprüfen Sie Zertifizierungen, Sicherheitskonzepte und Referenzen. Nutzen Sie z.B. standardisierte Sicherheitsfragebögen oder Audit-Checklisten, und achten Sie auf vorhandene Zertifizierungen (z.B. ISO 27001), um das Sicherheitsniveau potenzieller Partner einzuschätzen.
2. Vertragliche Sicherheitsanforderungen: Vereinbaren Sie klare Sicherheitsstandards in Verträgen mit Partnern (z.B. Verschlüsselung, Patch-Management, Zugriffsbeschränkungen) sowie Meldewege und Reaktionszeiten für den Ernstfall. Legen Sie etwa fest, dass Lieferanten Sicherheitsstandards wie ISO 27001 erfüllen müssen, regelmäßige Updates einspielen und Sicherheitsvorfälle umgehend melden. Diese vertraglichen Pflichten schaffen klare Verantwortlichkeiten.
3. Kontinuierliches Monitoring: Behalten Sie auch während der Geschäftsbeziehung die Sicherheit Ihrer Dienstleister im Blick. Etablieren Sie regelmäßige Audits, Sicherheitsgespräche und ein Meldesystem für sicherheitsrelevante Vorfälle oder Änderungen bei den Partnern. Ziehen Sie hierfür auch automatisierte Monitoring-Lösungen in Betracht und fordern Sie von Ihren Dienstleistern regelmäßige Berichte über deren Sicherheitslage an.
4. Beschränkung von Zugriffsrechten: Gewähren Sie externen Partnern nur so viel Zugriff oder Daten, wie für deren Aufgabe nötig ist (Principle of Least Privilege). So reduzieren Sie die potenzielle Angriffsfläche erheblich. Im Falle einer Kompromittierung bleiben so die Auswirkungen auf ein Minimum beschränkt, da der Angreifer nur auf einen kleinen Teil der Systeme oder Daten zugreifen könnte.
5. Notfallvorsorge mit Partnern: Binden Sie Ihre wichtigsten Lieferanten in Notfallübungen ein und stellen Sie sicher, dass diese ebenfalls über Business-Continuity-Pläne verfügen. Im Krisenfall muss die Zusammenarbeit reibungslos funktionieren, um Ausfälle zu überbrücken. Führen Sie regelmäßig gemeinsame Notfallübungen mit kritischen Partnern durch, um sicherzustellen, dass im Ernstfall jeder weiß, was zu tun ist und Ausfallzeiten minimiert werden.
6. Cyber-Versicherung in Betracht ziehen: Prüfen Sie den Abschluss einer Cyber-Versicherung, die im Ernstfall finanzielle Schäden abfedern kann. Zwar ersetzt sie keine technischen oder organisatorischen Schutzmaßnahmen, doch kann sie Teil einer ganzheitlichen Risikostrategie sein – zumal Versicherer zunehmend hohe Sicherheitsstandards auch von ihren Kunden einfordern. Eine aktuelle Studie zeigt, dass bereits rund zwei Drittel der Unternehmen eine Cyberversicherung abgeschlossen haben – ein Hinweis auf die wachsende Bedeutung solcher Policen. Allerdings achten Versicherer bei der Vertragsvergabe ebenfalls auf robuste Sicherheitsvorkehrungen, sodass Prävention weiterhin oberste Priorität haben sollte.
Durch die Umsetzung dieser Maßnahmen lässt sich die Gefahr von Vorfällen wie dem Adidas-Datenleck deutlich reduzieren. Kein Schutz ist absolut, doch wer seine Hausaufgaben in Sachen Lieferketten-Sicherheit macht, erschwert Angreifern das Spiel und kann im Ernstfall schneller reagieren.
Die Securam Consulting GmbH mit Sitz in Hamburg unterstützt Unternehmen und Organisationen dabei, genau diese Hausaufgaben effizient und nachhaltig zu erledigen. Als Spezialistin für Informationssicherheit, Risikomanagement, Datenschutz und Compliance bietet das Hamburger IT-Beratungsunternehmen ein umfassendes Leistungsportfolio, um Kunden ganzheitlich abzusichern.
Insbesondere kleine und mittlere Unternehmen (KMU) sehen sich zunehmend komplexen Anforderungen im Bereich der Informationssicherheit gegenüber, verfügen jedoch oft nicht über eigene spezialisierte Sicherheitsstrukturen. Der Aufbau eines angemessenen Sicherheitsniveaus beginnt mit einer systematischen Risiko- und Bedarfsanalyse als Grundlage für die Entwicklung individuell abgestimmter Schutzmaßnahmen.
Ein effektives Informationssicherheitsmanagementsystem (ISMS) umfasst nicht nur die Konzeption geeigneter Sicherheitsarchitekturen, sondern auch deren praktische Umsetzung und den kontinuierlichen Betrieb. Darüber hinaus erweist sich eine strukturierte Vorbereitung auf Zertifizierungen – wie etwa nach ISO/IEC 27001 oder gemäß den Anforderungen des BSI-Grundschutzes – als wesentlicher Baustein zur Etablierung nachweisbarer Sicherheitsstandards.
Ergänzend leisten gezielte Schulungsmaßnahmen zur Förderung der Security Awareness in der Belegschaft einen entscheidenden Beitrag zur nachhaltigen Etablierung einer unternehmensweiten Sicherheitskultur. Auf diese Weise lässt sich die organisatorische Resilienz gegenüber aktuellen und künftigen Cyberbedrohungen wirksam erhöhen.
Fazit: Weckruf ernst nehmen
Der aktuelle Fall des Adidas-Datenlecks führt eindrücklich vor Augen, dass Informationssicherheit entlang der gesamten Wertschöpfungs- und Lieferkette gedacht werden muss. Unternehmen jeder Größe – vom internationalen Konzern bis zum Familienbetrieb – sollten aus diesem Vorfall lernen und ihre Sicherheitsvorkehrungen entsprechend prüfen und verbessern. Effektives Risikomanagement, solide Business-Continuity-Planung und die Einhaltung bewährter Standards sind kein „nice-to-have“ mehr, sondern geschäftskritisch.
Wie ernst die Lage eingeschätzt wird, belegt eine aktuelle Bitkom-Studie: 65 % der deutschen Unternehmen sehen ihre geschäftliche Existenz inzwischen durch Cyberattacken bedroht.
Jeder erfolgreiche Angriff auf einen Zulieferer oder Dienstleister kann wie ein Bumerang auf das eigene Unternehmen zurückschlagen.
Die gute Nachricht ist: Mit den richtigen Maßnahmen und den richtigen Partnern an der Seite, lassen sich diese Risiken beherrschen. Informationssicherheit und Business Continuity sind Investitionen in die Zukunftsfähigkeit eines Unternehmens.
Quellennachweis: it-daily.net, dataguard.de, digitalnow.de, bitkom.de
Die Expertise der SECURAM Consulting GmbH umfasst ein breites Spektrum an Dienstleistungen, die speziell auf die Bedürfnisse der Kunden zugeschnitten sind. Das Angebot reicht von der Einführung und Optimierung von Informationssicherheitsmanagementsystemen (ISMS) nach ISO27001 und anderen Standards bis hin zur umfassenden Beratung im Bereich Business Continuity Management (BCM), der Business Impact Analyse (BIA) bis hin zum Notfallmanagement. Darüber hinaus unterstützt das Hamburger Beratungshaus bei der Vorbereitung und Umsetzung von Zertifizierungen wie TISAX, NIS2 und DORA.
Firmenkontakt
Securam Consulting GmbH
Nadine Eibel
Neue ABC Straße 8
20354 Hamburg
+49 40-298 4553-0
https://securam-consulting.com/
Pressekontakt
Securam Consulting GmbH
Anette Hollenbach
Neue ABC Straße 8
20354 Hamburg
+49 40-298 4553-21
https://securam-consulting.com/
Die Bildrechte liegen bei dem Verfasser der Mitteilung.