Frau Geier, viele Unternehmen nutzen heute die gleichen IT-Dienstleister oder Cloud-Anbieter. Wie entstehen aus dieser gemeinsamen Nutzung systemische Ausfälle – und ab wann wird aus einer lokalen Störung ein branchenweites Risiko?

Anzeige

Franziska Geier: Systemisch wird es, sobald Konzentrationsrisiken also wenige dominante Anbieter, intransparente Abhängigkeiten in Form von geteilter Upstream‑Provider oder gezielte Angriffe auf High‑Value‑Provider zusammenkommen. Fällt eine gemeinsam genutzte Plattform – etwa Authentifizierung oder Cloud‑Infrastruktur – aus, trifft das viele Mandanten gleichzeitig. Prominente Beispiele sind Kaseya 2021 und NotPetya 2017. Ab diesem Punkt wird aus einer lokalen Störung ein branchenweites Risiko.

Was raten Sie Vermittlern, wenn sie Kunden auf das Risiko eines „Single Point of Failure“ ansprechen wollen – gibt es greifbare Beispiele aus der Praxis?

Ich rate, das Risiko über Resilienz zu adressieren. Man muss heute die kritische Abhängigkeiten kennen, DRP/BCP etablieren, Transparenz zu Drittanbietern schaffen und Wiederanlauf regelmäßig testen. Die Leitfrage sollte lauten: „Wie robust sind wir, wenn Provider X 72 Stunden ausfällt?“ Greifbare Beispiele liefern Microsoft‑365‑Störungen, Okta‑Incidents (IdP) oder regionale AWS‑Ausfälle. Sie zeigen: Überreliance ohne Resilienzplan erzeugt systemische Exponierung.

Können Sie für unseren Lesern einmal schildern, wie ein typischer Ransomware-Angriff in der Realität abläuft – von der Infektion bis zur Lösegeldforderung?

Typisch sind fünf Phasen: Es beginnt mit dem Initialzugang (Phishing/gestohlene Credentials oder Exploits), laterale Bewegung mit Rechteausweitung und Datenexfiltration sind die nächsten Schritte. Danach folgt regelmäßig die Verschlüsselung inklusive erreichbarer Backups und schließlich die Lösegeldforderung samt Leak‑Drohung. In Extremfällen vergehen nur rund 24 Stunden, im Schnitt liegt die Dauer bei etwa einer Woche.

Welche Angriffsmethoden beobachten Sie aktuell besonders häufig und wie haben sich diese in den letzten Jahren verändert?

Die teuersten Schäden entstehen zunehmend ohne Malware – sie beginnen im Postfach. E-Mail Kompromittierung und E‑Mail‑Betrug sind dabei, Ransomware als teuerste Kategorie zu überholen. Das ist ein neuer, besonders gefährlicher Trend. KI macht Social‑Engineering realistischer, schneller und skalierbarer. Häufig sehen wir E-Mail Kompromittierung, ungepatchte internet‑exponierte Systeme und Ransomware mit Doppel‑/Dreifach‑Erpressung. Auffällig ist die Zielausweitung: Besonders der Mittelstand steht aktuell im Fokus.

Angenommen, ein Unternehmen wird Opfer einer Cyberattacke: Welche Sofortmaßnahmen sollten Verantwortliche unverzüglich ergreifen, um Schäden einzugrenzen?

Man braucht einen Notfahrplan und muss sofort handeln: Netzverbindung temporär trennen, Backups bewahren und Backup‑Server isolieren, ungesicherte Fileserver‑Daten sichern, infizierte Systeme segmentiert isolieren. Parallel IdP und Domain‑Controller priorisieren, Ausbreitung der Verschlüsselung stoppen, die Cyber‑Versicherer‑Hotline aktivieren und die interne wie externe Kommunikation zentralisieren. Danach richtet sich das weitere Vorgehen nach der Angriffsart.

Welche Fehler sehen Sie in der Praxis am häufigsten, wenn Unternehmen in den ersten Stunden nach einem Angriff reagieren?

Vorschnelles Abschalten oder Wipen, was zur Beweisvernichtung und erschwerter Recovery führt. Aber auch die verspätete Meldungen an Versicherer, Behörden oder Kunden ist meist folgenreich – ebenso wie das Unterschätzen des Umfangs und Verharmlosung. Ein wichtiger Merksatz ist: Gute Kommunikation garantiert keine gute Krisenbewältigung, schlechte Kommunikation verschärft sie fast immer.

Dienstleister in kritischen Infrastrukturen stehen besonders im Fokus von Angreifern. Welche Präventionsmaßnahmen sind hier unverzichtbar – sowohl für die Dienstleister selbst als auch für deren Kunden?

Für Provider sind Pflicht: strikte Netz‑/Account‑Segmentierung, hartes Patch‑ und Vulnerability‑Management, 24/7‑SOC/EDR, gelebte Incident‑Playbooks und Übungen sowie Transparenz über Abhängigkeiten. Kunden brauchen regelmäßige Vendor‑Risk‑Assessments, klare Incident‑SLAs und belastbare Kontingenzpläne für Provider‑Ausfälle.

Wo sehen Sie aus Ihrer Erfahrung die größten Umsetzungsprobleme in der Praxis?

Die Hürden sind überwiegend organisatorisch. Man sollte Pläne üben statt nur schreiben. Tabletop‑ und Wiederanlauftests oder RPO/RTO real verifizieren sind zwei Beispiele. Das häufigste Problem ist aber der Fachkräftemangel. Experten in dem Bereich Cybersecurity sind rar und eine wesentliche Aufgabe ist es, diese Lücke, zu überbrücken durch klare Rollen (RACI), Standardisierung/Automatisierung und starke SOC/IR‑Partner. Ganz wichtig ist es auch die Abhängigkeiten wirklich zu verstehen – IdP, Cloud, DNS, MSP, SLAs, Fallbacks, Exit‑Szenarien.

Wenn Schäden durch einen Drittanbieter entstehen, zum Beispiel durch den Ausfall eines Cloud-Providers: Welche Versicherungsdeckungen greifen in solchen Fällen üblicherweise?

Die Cyberversicherung greift, wenn für die Betriebsunterbrechung der Auslöser Cloud Ausfall durch einen Drittanbieter mitversichert ist, d.h. explizit eingeschlossen oder als Teil des Computersystems definiert.

Und wo liegen die typischen Lücken, auf die Vermittler ihre Kunden aufmerksam machen sollten?

Betriebsunterbrechnung durch Cloud-Provider sind häufig ausgeschlossen oder stark eingeschränkt. Als Makler lohnt es sich zu prüfen, ob, falls kein genereller Ausschluss vorliegt, die Cloud einfach nicht von der Definition umfasst ist und dadurch ebenfalls nicht versichert ist. Ein Blick auf die Kumulklausel lohnt sich ebenfalls.

Gibt es Ansätze am Markt, diese Lücken künftig zu schließen – oder bleiben bestimmte Risiken schlicht nicht versicherbar?

Es gibt bereits Anbieter, die diese Risiken decken. In einem weichen Markt, gibt es darüber hinaus mehr Tendenz den Betriebsausfall durch Dienstleister, z.B. Cloud Provider mit einzubeziehen.