Ein Artikel von Jannik Stuckstätte, Leiter CERT bei Stoïk GmbH
IT-Sicherheit wurde lange als „Schutzzaun rund ums eigene Haus“ verstanden: Firewall, regelmäßige Updates, Mitarbeiterschulungen, Backups. Diese Grundlagen bleiben zwingend. Die aktuelle Schadenpraxis zeigt aber eine Verschiebung: Der Einstieg passiert zunehmend dort, wo Unternehmen voneinander abhängig sind. Das sind banal gesprochen „Bausteine und Helfer“, die viele Firmen gleichzeitig nutzen. Zum Beispiel weitverbreitete Software, zentrale IT-Dienste (etwa E-Mail oder Anmeldedienste), Cloud-Zugänge sowie IT-Dienstleister, die für mehrere Kunden arbeiten und dafür oft sehr weitreichende Rechte benötigen. Genau diese Abhängigkeiten erhöhen die Gleichläufigkeit.
Vier Muster, die Underwriting und Schaden verändern
Software-Lieferkette: Reichweite schlägt Raffinesse
Wenn ein verbreiteter Software-Baustein manipuliert ist, wirkt das wie ein „verseuchtes Ersatzteil“: Er kann über reguläre Updates in sehr viele Systeme gelangen. Dann lautet die operative Kernfrage nicht mehr: „Welches Update war es?“, sondern: „Wo steckt dieser Baustein überall drin?“ – in welchen Anwendungen, in welchen Versionen, in welchen Systemen? Das macht die Wiederherstellung anspruchsvoll, weil man den Betrieb erst dann stabil wieder hochfahren kann, wenn klar ist, wo überall aufgeräumt und abgesichert werden muss – sonst verteilt man den Fehler im Zweifel erneut.
Dienstleister-Domino: Ein Zugang, viele Kunden
Managed Service Provider, Cloud- und Operations-Partner arbeiten oft mit identischen Tools, Rollen und Fernzugängen in mehreren Mandanten. Wird ein Dienstleister kompromittiert, kann daraus eine Schadenkaskade über mehrere Kunden werden. In der Bewertung zählt daher weniger die reine Lieferantenliste, sondern die Frage nach privilegierten Zugriffen, Logging-Pflichten oder Wartungsfenstern.
Cloud als Kostenangriff: Monetarisierung in Echtzeit
Ein Trend aus Incident-Response-Fällen 2025: Wenn Angreifer Cloud-Zugänge kompromittieren, müssen sie nicht mehr zwingend verschlüsseln oder erpressen, um Geld zu verdienen. Sie nutzen stattdessen die Cloud-Infrastruktur des Opfers. Ein häufiger Fall: Die Cloud-Infrastruktur wird für Krypto-Mining genutzt. Auf Kosten des Unternehmens schürfen die Angreifer Bitcoin und Co. Der Schaden ist dabei oft sofort sichtbar, weil die Cloud-Abrechnung nach Verbrauch funktioniert und die Kosten binnen Stunden stark ansteigen können.
Wichtig ist: Der Kostenschaden entsteht nicht nur, weil „mehr Rechenleistung“ läuft. In der Cloud greifen häufig Automatismen: Wenn plötzlich ungewöhnlich viel Last entsteht, stellt die Plattform selbstständig mehr Kapazität bereit und jede zusätzliche Nutzung wird abgerechnet. Entscheidend ist deshalb, ob der Kunde Kostenbremsen und Frühwarnung eingerichtet hat wie zum Beispiel Warnmeldungen oder Limits. Existiert ein klarer Notfallablauf, der auch unter Stress funktioniert? Wer darf im Ernstfall was stoppen, wie schnell und in welcher Reihenfolge? So lässt sich verhindern, dass aus einem Vorfall binnen Stunden eine Kostenlawine wird.
Großstörung wirkt wie Angriff: Erst klassifizieren, dann eskalieren
Ausfälle bei zentralen Plattformen sind operativ kaum von einem Cyberangriff zu unterscheiden: Zugriff auf Systeme geht verloren, Services degradieren, nachgelagerte Prozesse kippen. In der Akutphase entscheidet die saubere Einordnung – Angriff, Kollateralschaden über Dritte oder technische Störung – über Gegenmaßnahmen, Meldewege, Krisenkommunikation und die versicherungsseitige Zuordnung.
Ein konkretes Szenario: Ein Unternehmen kann plötzlich nicht auf seinen Cloud-Provider zugreifen. Sind die Systeme gehackt? Ist es ein Angriff auf den Provider? Oder nur eine technische Störung? Die ersten 30 Minuten entscheiden: Wird ein echter Angriff zu spät erkannt, weil man von einem technischen Ausfall ausging, können die Schäden erheblich sein.
Was all diese Muster verbindet? Sie nutzen zentrale Abhängigkeiten und „legitime“ Zugänge. Einmal mehr wird also klar, dass Cyberrisiken systemisch sind. Für Makler wird damit auch die Schnittstelle zwischen Cyberdeckung und Cybersicherheit wichtiger.
Was Makler und Versicherer 2026 konkreter prüfen sollten
Der größte Hebel ist ein einfacher Perspektivwechsel: Cyberrisiken entstehen heute oft nicht „im eigenen Haus“, sondern dort, wo Unternehmen von anderen abhängig sind – von Cloud-Plattformen, Identitätsdiensten, Standard-Software und IT-Dienstleistern. Genau deshalb sollte die Prüfung nicht nur technisch geführt werden, sondern immer auch über Prozesse und die Policen-Logik: Passt das, was im Betrieb tatsächlich passiert, zu dem, was versichert ist? Und zu dem, was im Ernstfall schnell entschieden werden muss?
Ein pragmatischer Einstieg in die Beratung ist der 72-Stunden-Realitätscheck: Welche Kernprozesse laufen weiter, wenn ein zentraler Anbieter drei Tage nicht verfügbar ist, etwa der Login/Identitätsdienst, die E-Mail-Plattform oder der Cloud-Provider? Diese Frage zwingt zu Klarheit, ohne sich in Technikdetails zu verlieren. Sie zeigt schnell, wo ein echter „Single Point of Failure“ sitzt, ob es Ausweichwege gibt und ob Notfall- und Wiederanlaufpläne wirklich belastbar sind, also nicht nur auf dem Papier existieren.
Im zweiten Schritt lohnt es sich, das Thema Zugänge in den Mittelpunkt zu stellen, weil viele Vorfälle über missbrauchte, aber formal „legitime“ Zugänge laufen. Beispiele sind gestohlene Passwörter, gekaperte Sessions, zu weitreichende Dienstleisterrechte. Für Makler und Vermittler heißt das zur soliden Kundenberatung: konsequente Zwei-Faktor-Anmeldung, Vier-Augen-Prinzip bei wichtigen Finanzvorgängen, getrennte Admin-Konten, Rechte nach dem Prinzip „so wenig wie möglich“ und bei externen Dienstleistern Zugänge nur zeitlich begrenzt.
Lesen Sie auch: Cybersicherheit ist auch im Maklerhaus Pflicht
Interessieren Sie sich für weitere Hintergrundartikel aus der Branche? Dann abonnieren Sie das monatliche Fachmagazin AssCompact – kostenfrei für Versicherungs- und Finanzmakler.
Jannik Stuckstätte 
- Anmelden, um Kommentare verfassen zu können
