Die jüngsten Angriffe auf die JavaScript-Bibliotheksplattform npm zeigen auf dramatische Weise, wie verwundbar moderne Software-Lieferketten sind. Ein selbstvermehrender Wurm namens Shai-Hulud hat Hunderte von Code-Paketen infiziert, Zugangsdaten gestohlen und diese öffentlich zugänglich gemacht. Für Unternehmen und ihre Führungskräfte wirft dies nicht nur technische, sondern auch erhebliche rechtliche und haftungsrelevante Fragen auf. Was ist passiert, welche Risiken bestehen für Unternehmen, und wie können sich Verantwortliche absichern?
Angriff auf npm mit Folgen
In den vergangenen Tagen wurde bekannt, dass ein Schadprogramm namens Shai-Hulud – benannt nach den gigantischen Sandwürmern aus Frank Herberts Science-Fiction-Epos Dune – über 400 Pakete im npm-Registry (Node Package Manager) kompromittiert hat. npm ist eine der wichtigsten Plattformen für JavaScript-Entwickler, über die Millionen von Code-Bibliotheken verteilt werden. Der Wurm stahl Zugangsdaten, veröffentlichte diese in öffentlich einsehbaren GitHub-Repositories und verbreitete sich selbstständig weiter, indem er weitere Pakete infizierte.
Besonders brisant: Betroffen waren nicht nur kleine Projekte, sondern auch Pakete von Sicherheitsanbietern wie CrowdStrike sowie weit verbreitete Bibliotheken mit Millionen von Downloads pro Woche. Die Angreifer nutzten Tools wie TruffleHog, um nach API-Schlüsseln, GitHub-Tokens und Cloud-Zugangsdaten zu suchen. Sobald ein Entwickler ein infiziertes Paket installierte, durchsuchte die Malware dessen System nach sensiblen Daten und veröffentlichte diese über einen Webhook im Internet. Dadurch konnten sich die Angreifer Zugang zu weiteren Projekten verschaffen und die Attacke exponentiell ausweiten.
Dieser Vorfall ist kein Einzelfall. Erst vor wenigen Wochen waren ähnliche Angriffe auf npm bekannt geworden, bei denen Angreifer durch Phishing an Entwicklerzugänge gelangten und schädlichen Code in legitime Pakete einschleusten. Die aktuelle Welle zeigt jedoch eine neue Qualität: Die Malware verbreitet sich wie ein Wurm automatisch weiter, ohne dass die Angreifer manuell eingreifen müssen.
Warum Software-Lieferketten ein zentrales Risiko für Unternehmen sind
Moderne Softwareentwicklung basiert auf einer komplexen Kette von Abhängigkeiten. Fast kein Unternehmen entwickelt heute noch alle Komponenten seiner Anwendungen selbst. Stattdessen greifen Entwickler auf Open-Source-Bibliotheken und Drittanbieter-Tools zurück, die über Plattformen wie npm, PyPI (Python) oder Maven (Java) bezogen werden. Diese Abhängigkeiten sind effizient, bergen aber ein erhebliches Risiko: Wenn eine einzige Komponente kompromittiert wird, kann dies die gesamte IT-Infrastruktur eines Unternehmens gefährden.
Die Europäische Union hat dieses Problem erkannt und mit der NIS-2-Richtlinie und dem Cyber Resilience Act (CRA) strengere Vorgaben für die Cybersicherheit in Lieferketten eingeführt. Beide Regelwerke verlangen von Unternehmen, dass sie nicht nur ihre eigenen Systeme absichern, sondern auch die Sicherheit ihrer Zulieferer und Dienstleister überwachen. In Deutschland wird dies durch das IT-Sicherheitsgesetz 2.0 und die geplante Novelle des BSI-Gesetzes (BSIG) umgesetzt. Künftig müssen Unternehmen – insbesondere Betreiber kritischer Infrastrukturen – nachweisen, dass sie ihre Lieferketten auf Schwachstellen prüfen und geeignete Schutzmaßnahmen ergreifen.
Doch selbst wenn ein Unternehmen nicht direkt unter diese Regularien fällt, besteht ein erhebliches haftungsrechtliches Risiko. Wer als Geschäftsführer oder Vorstand die Sorgfaltspflichten im Umgang mit IT-Sicherheit verletzt, kann persönlich in die Haftung genommen werden. Dies ergibt sich aus allgemeinen gesellschaftsrechtlichen Pflichten (§ 93 AktG, § 43 GmbHG), aber auch aus spezialgesetzlichen Vorgaben wie der DSGVO oder dem KritIS-Gesetz.
Haftungsrisiken für Führungskräfte: Von Compliance bis zum Schadensersatz
Die rechtlichen Konsequenzen eines erfolgreichen Angriffs auf die Software-Lieferkette können verheerend sein. Drei zentrale Risikobereiche sind zu beachten:
1. Organhaftung bei Pflichtverletzungen: Geschäftsführer und Vorstände sind verpflichtet, ein angemessenes Risikomanagement zu implementieren. Dazu gehört auch die Absicherung der Software-Lieferkette. Wer hier versagt, riskiert Schadensersatzforderungen der eigenen Gesellschaft oder sogar von Drittparteien. Besonders relevant ist dabei die Business Judgement Rule: Entscheidungen müssen auf einer soliden Informationsgrundlage getroffen werden. Bei IT-Sicherheitsfragen bedeutet das, dass Führungskräfte sich aktiv über Risiken informieren und Schutzmaßnahmen ergreifen müssen – etwa durch regelmäßige Audits oder die Nutzung zertifizierter Open-Source-Komponenten.
Ein Beispiel: Wenn ein Unternehmen infizierte npm-Pakete einsetzt und dadurch Datenlecks entstehen, könnte dies als Verstoß gegen § 91 Abs. 2 AktG (Risikofrüherkennung) gewertet werden. Im schlimmsten Fall drohen nicht nur interne Regressansprüche, sondern auch persönliche Bußgelder – etwa nach dem geplanten NIS-2-Umsetzungsgesetz, das bei Verstößen gegen Cybersicherheitspflichten Geldstrafen von bis zu 2 % des weltweiten Umsatzes vorsieht.
2. Datenschutzrechtliche Folgen nach der DSGVO: Sobald personenbezogene Daten betroffen sind, kommt die DSGVO ins Spiel. Artikel 32 verlangt, dass Unternehmen technische und organisatorische Maßnahmen ergreifen, um Daten zu schützen. Wer dies versäumt, riskiert Bußgelder von bis zu 4 % des Jahresumsatzes (Art. 83 DSGVO). Zudem können Betroffene Schadensersatz fordern (Art. 82 DSGVO), selbst wenn kein konkreter finanzieller Schaden nachweisbar ist. Die Rechtsprechung des EuGH hat hier kürzlich klargestellt, dass bereits der Kontrollverlust über Daten ausreichen kann, um Ansprüche geltend zu machen.
3. Vertragliche und deliktische Haftung gegenüber Kunden: Wenn durch unsichere Software-Lieferketten Kunden oder Partner geschädigt werden, können Vertragsstrafen oder Schadensersatzklagen drohen. Besonders kritisch wird es, wenn Unternehmen ihre Sorgfaltspflichten in Verträgen zugesichert haben – etwa in Service-Level-Agreements (SLAs) oder Compliance-Vereinbarungen. Hier können selbst kleine Sicherheitslücken zu hohen finanziellen Forderungen führen.
Cybersicherheit in der Lieferkette ist Chefsache
Die Angriffe auf npm machen deutlich, dass Software-Lieferketten ein bislang unterschätztes, jedoch existenzbedrohendes Risiko bergen. Unternehmen, die jetzt nicht handeln, gefährden somit nicht nur ihre IT-Infrastruktur, sondern auch ihre rechtliche und finanzielle Stabilität. Die gute Nachricht: Mit den richtigen Maßnahmen lässt sich dieses Risiko deutlich reduzieren.
Die Verantwortung dafür liegt jedoch nicht allein bei den IT-Abteilungen. Vorstände und Geschäftsführer müssen Cybersicherheit als strategische Aufgabe begreifen – und zwar aus technischer ebenso wie aus haftungsrechtlicher Perspektive. Wer heute in sichere Lieferketten investiert, vermeidet morgen kostspielige Schäden, Bußgelder und Reputationsverluste.
Die Frage ist nicht mehr, ob ein Angriff erfolgt, sondern wann. Unternehmen, die vorbereitet sind, werden nicht nur regulatorische Anforderungen erfüllen, sondern auch das Vertrauen ihrer Kunden und Partner stärken.
Was Unternehmen jetzt tun sollten: Praktische Handlungsempfehlungen
Angesichts der zunehmenden Bedrohung durch Angriffe auf Software-Lieferketten sollten Unternehmen folgende Schritte prüfen:
Kurzfristige Maßnahmen
- Bestandsaufnahme der verwendeten Bibliotheken: Tools wie Socket oder StepSecurity helfen dabei, infizierte Pakete zu identifizieren. Betroffene Versionen müssen umgehend entfernt und durch sichere Alternativen ersetzt werden.
- Rotation von Zugangsdaten: Alle API-Schlüssel, GitHub-Tokens und Cloud-Credentials sollten nach einem Vorfall sofort ausgetauscht werden.
- Isolation kritischer Systeme: Entwicklungs- und Produktionsumgebungen sollten strikt getrennt werden, um die Ausbreitung von Malware zu verhindern.
Mittelfristige Strategien
- Implementierung von Software Composition Analysis (SCA): Tools wie Dependabot oder Snyk scannen automatisch nach bekannten Schwachstellen in Abhängigkeiten.
- Vertragliche Absicherung mit Zulieferern: In Verträgen mit Dienstleistern und Software-Anbietern sollten Cybersicherheitsklauseln verankert werden, die regelmäßige Audits und Meldepflichten bei Vorfällen vorsehen.
- Schulungen für Entwickler: Phishing und Social Engineering sind häufige Einfallstore. Schulungen zu sicheren Codierungspraktiken und dem Umgang mit Open-Source-Komponenten sind essenziell.
Langfristige Compliance-Strategie
- Zertifizierungen nach ISO/IEC 27001 oder ISO/IEC 5230: Diese Standards helfen dabei, ein strukturiertes IT-Sicherheitsmanagement aufzubauen und Haftungsrisiken zu minimieren.
- Einführung einer Software Bill of Materials (SBoM): Eine vollständige Dokumentation aller verwendeten Komponenten erleichtert die Risikobewertung und ist künftig möglicherweise sogar gesetzlich vorgeschrieben.
- Regelmäßige Penetrationstests: Durch simulierte Angriffe lassen sich Schwachstellen in der Lieferkette aufdecken, bevor sie ausgenutzt werden.
- Veränderungssperren bei Software-Besichtigungen - Oktober 6, 2025
- Cybersecurity in der Software-Lieferkette - September 24, 2025
- Software Bill of Materials (SBOM) - September 14, 2025
