Ein Supply-Chain-Angriff zielt auf die Lieferkette einer Organisation: Der Angreifer kompromittiert einen Lieferanten, eine Open-Source-Bibliothek oder einen Update-Mechanismus und erreicht darüber die eigentlichen Zielsysteme. Prominente Beispiele sind SolarWinds und die log4j-Schwachstelle. Du begegnest Supply-Chain-Angriffen durch SBOM-Analysen, SCA-Tools, Code-Signing, Lieferantenbewertungen und Netzwerksegmentierung. Im ISMS gehört die Lieferkettensicherheit zu den Kontrollen gemäß ISO 27001 Annex A 5.19-5.22 und gewinnt mit zunehmender Abhängigkeit von Drittanbieter-Software an Bedeutung.