Ein Artikel von Jannik Stuckstätte, Leiter CERT bei Stoïk GmbH
IT-Sicherheit wurde lange als „Schutzzaun rund ums eigene Haus“ verstanden: Firewall, regelmäßige Updates, Mitarbeiterschulungen, Backups. Diese Grundlagen bleiben zwingend. Die aktuelle Schadenpraxis zeigt aber eine Verschiebung: Der Einstieg passiert zunehmend dort, wo Unternehmen voneinander abhängig sind. Das sind banal gesprochen „Bausteine und Helfer“, die viele Firmen gleichzeitig nutzen. Zum Beispiel weitverbreitete Software, zentrale IT-Dienste (etwa E-Mail oder Anmeldedienste), Cloud-Zugänge sowie IT-Dienstleister, die für mehrere Kunden arbeiten und dafür oft sehr weitreichende Rechte benötigen. Genau diese Abhängigkeiten erhöhen die Gleichläufigkeit.
Vier Muster, die Underwriting und Schaden verändern
Software-Lieferkette: Reichweite schlägt Raffinesse
Wenn ein verbreiteter Software-Baustein manipuliert ist, wirkt das wie ein „verseuchtes Ersatzteil“: Er kann über reguläre Updates in sehr viele Systeme gelangen. Dann lautet die operative Kernfrage nicht mehr: „Welches Update war es?“, sondern: „Wo steckt dieser Baustein überall drin?“ – in welchen Anwendungen, in welchen Versionen, in welchen Systemen? Das macht die Wiederherstellung anspruchsvoll, weil man den Betrieb erst dann stabil wieder hochfahren kann, wenn klar ist, wo überall aufgeräumt und abgesichert werden muss – sonst verteilt man den Fehler im Zweifel erneut.
Dienstleister-Domino: Ein Zugang, viele Kunden
Managed Service Provider, Cloud- und Operations-Partner arbeiten oft mit identischen Tools, Rollen und Fernzugängen in mehreren Mandanten. Wird ein Dienstleister kompromittiert, kann daraus eine Schadenkaskade über mehrere Kunden werden. In der Bewertung zählt daher weniger die reine Lieferantenliste, sondern die Frage nach privilegierten Zugriffen, Logging-Pflichten oder Wartungsfenstern.
Cloud als Kostenangriff: Monetarisierung in Echtzeit
Ein Trend aus Incident-Response-Fällen 2025: Wenn Angreifer Cloud-Zugänge kompromittieren, müssen sie nicht mehr zwingend verschlüsseln oder erpressen, um Geld zu verdienen. Sie nutzen stattdessen die Cloud-Infrastruktur des Opfers. Ein häufiger Fall: Die Cloud-Infrastruktur wird für Krypto-Mining genutzt. Auf Kosten des Unternehmens schürfen die Angreifer Bitcoin und Co. Der Schaden ist dabei oft sofort sichtbar, weil die Cloud-Abrechnung nach Verbrauch funktioniert und die Kosten binnen Stunden stark ansteigen können.
Wichtig ist: Der Kostenschaden entsteht nicht nur, weil „mehr Rechenleistung“ läuft. In der Cloud greifen häufig Automatismen: Wenn plötzlich ungewöhnlich viel Last entsteht, stellt die Plattform selbstständig mehr Kapazität bereit und jede zusätzliche Nutzung wird abgerechnet. Entscheidend ist deshalb, ob der Kunde Kostenbremsen und Frühwarnung eingerichtet hat wie zum Beispiel Warnmeldungen oder Limits. Existiert ein klarer Notfallablauf, der auch unter Stress funktioniert? Wer darf im Ernstfall was stoppen, wie schnell und in welcher Reihenfolge? So lässt sich verhindern, dass aus einem Vorfall binnen Stunden eine Kostenlawine wird.
Seite 1 Cyber 2026: Das größte Risiko liegt in Abhängigkeiten
Seite 2 Großstörung wirkt wie Angriff: Erst klassifizieren, dann eskalieren
Jannik Stuckstätte 
- Anmelden, um Kommentare verfassen zu können
