Montagmorgen, 9.11 Uhr deutscher Zeit: Amazon Web Services (AWS), der Cloudanbieter des Logistikriesen Amazon, meldet Probleme. Der Service sei „disrupted“, 40 interne Amazon- und AWS-Dienste seien betroffen. Es dauerte Stunden, bis das Problem behoben war.
Zahlreiche Unternehmen und Organisationen waren von dem Ausfall betroffen. In vielen Fällen kam der Geschäftsbetrieb zeitweise vollständig zum Erliegen – ein Szenario, das eindrucksvoll zeigt, wie abhängig Wirtschaft und Verwaltung heute von wenigen zentralen Cloud-Anbietern sind.
Wir haben das Ganze mal zum Anlass genommen, um namhafte Cyberversicherer zu fragen: Was bedeutet ein solcher Ausfall eigentlich konkret für die Cyberversicherung, für den Risikomanagement-Ansatz von Unternehmen – und für Vermittler?
Auf dieser und der folgenden Seite finden Sie die Antworten von Markel, Stoïk und Hiscox.
Pfefferminzia: Greift die Cyber- oder Betriebsunterbrechungsversicherung bei einem Ausfall eines Cloud-Dienstleisters wie AWS?
Daniel Blazquez: Die klassische Cyberversicherung deckt meist Betriebsunterbrechungen nach einen eigenen Cybervorfall ab, also etwa durch einen Hackerangriff oder Schadsoftware, der das eigene System betrifft.
Wenn jedoch ein externer Cloud-Dienstleister ohne eigenes Verschulden ausfällt – etwa durch technische Störungen oder einen großflächigen Netzwerkausfall – ist das nicht automatisch versichert.
Einige moderne Policen enthalten mittlerweile Deckungserweiterungen für Abhängigkeiten von Drittanbietern, die sogenannte „Dependent Business Interruption“. Diese greifen, wenn der Ausfall des Cloud-Providers nachweislich durch ein versichertes Ereignis wie einen Cyberangriff verursacht wurde. Bei rein technischen Störungen oder Wartungsfehlern besteht meist kein oder nur sehr eingeschränkter Versicherungsschutz.
Wo verläuft die Grenze zwischen eigenem Schaden und Haftungsbereich des Cloud-Anbieters?
Blazquez: Die Grenze liegt dort, wo die vertragliche Verantwortung des Cloud-Anbieters endet. Die meisten Cloud-Anbieter begrenzen ihre Haftung vertraglich stark. Selbst bei massiven Ausfällen erhalten Kunden häufig nur Gutschriften oder minimale Kompensationen.
Versicherungsseitig gilt: Der Eigenschaden des Unternehmens ist durch die eigene Police abgesichert – nicht über den Anbieter. Nur wenn der Provider nachweislich schuldhaft gehandelt hat, kann Haftung geltend gemacht werden.
Wie gehen Sie mit der Tatsache um, dass Kunden keinen Einfluss auf Sicherheitsstandards oder Wiederherstellungszeiten der Anbieter haben?
Blazquez: Das ist ein wesentlicher Risikofaktor. Unternehmen haben kaum Kontrolle über die technischen und organisatorischen Maßnahmen ihrer Cloud-Partner. Wir achten daher auf klare Service Level Agreements, Zertifizierungen – zum Beispiel ISO 27001 – und funktionierende Notfall- und Wiederanlaufkonzepte. Wer seine Abhängigkeit nicht aktiv steuert, trägt ein erhöhtes Risiko – und das spiegelt sich in der Risikobewertung und Prämie wider.
Wie groß ist das Kumulrisiko bei einem europaweiten Cloud-Ausfall?
Blazquez: Ein Ausfall großer Anbieter würde tausende Kunden gleichzeitig treffen – das ist ein systemisches Szenario, das den gesamten Markt betrifft.
Cyberversicherer sehen darin eines der schwierigsten Risiken überhaupt, weil es kaum diversifizierbar ist. Die Modellierung von Katastrophenszenarien gehört zu den Kernaufgaben eines Versicherers – sie wird kontinuierlich berücksichtigt, um potenzielle Großschäden realistisch einzuschätzen und die Risikotragfähigkeit des Unternehmens sicherzustellen. Die Modellierung von Kumulrisiken wird kontinuierlich verfeinert, und Rückversicherer fördern aktiv, diese Risiken noch präziser zu quantifizieren und das Risikomanagement weiter zu stärken.
Welche Risikobegrenzungen sind üblich – und ist der Markt vorbereitet?
Blazquez: In der Praxis setzen Versicherer auf bewährte Mechanismen wie Sublimits für abhängige Betriebsunterbrechungen, Wartezeiten zwischen 6 und 24 Stunden sowie klar definierte Regelungen für großflächige Ereignisse.
Welche Maßnahmen empfehlen Sie Unternehmen, um sich besser gegen Cloud-Ausfälle abzusichern?
Blazquez: Unternehmen können einiges tun, um sich besser gegen Cloud-Ausfälle abzusichern. Eine Multi-Cloud-Strategie ist beispielsweise sehr wirkungsvoll, weil sie Abhängigkeiten von einzelnen Anbietern reduziert. Ebenso wichtig sind hybride Systeme, bei denen besonders kritische Daten oder Prozesse teilweise im eigenen Rechenzentrum verbleiben. Darüber hinaus empfehlen wir klare Notfall- und Wiederanlaufpläne, also ein funktionierendes Business-Continuity-Management, um den Geschäftsbetrieb im Ernstfall aufrechtzuerhalten.
Auch die vertragliche Absicherung spielt eine große Rolle – etwa durch Service Level Agreements, SLAs, mit garantierten Verfügbarkeiten, Entschädigungsregelungen und Transparenzpflichten. Ergänzend sollten Unternehmen auf kontinuierliches Monitoring und Reporting setzen, um Leistungs- und Sicherheitsprobleme frühzeitig zu erkennen.
Solche Maßnahmen senken nicht nur das Schadenpotenzial, sondern wirken sich auch positiv auf die Versicherbarkeit und die Prämiengestaltung aus.
Wie kann eine Cyberversicherung solche Prävention fördern?
Blazquez: Indem sie Prämienvorteile für nachweislich resiliente Strukturen bietet, Risikobewertungen oder Security-Audits integriert und im Schadenfall Incident-Response-Teams bereitstellt. Moderne Policen sind längst nicht mehr nur Schadendecker, sondern aktive Risikomanager.
Ist das aktuelle Ereignis ein Anlass für Vermittler, das Thema aktiv mit Gewerbekunden zu besprechen?
Blazquez: Absolut. Ein realer Ausfall schafft Aufmerksamkeit – das ist der beste Zeitpunkt für Beratung. Vermittler sollten mit ihren Kunden prüfen, wie abhängig der Betrieb von Cloud-Strukturen ist, welche Deckungslücken bestehen, und wie man Prävention und Versicherungsschutz kombinieren kann. Der Vorfall ist ein Weckruf, das Thema Cloud-Resilienz endlich strategisch anzugehen.
Pfefferminzia: Greift die Cyber- oder Betriebsunterbrechungsversicherung bei einem Ausfall eines Cloud-Dienstleisters wie AWS?
Franziska Geier: Im Markt zeigt sich derzeit, dass einige Versicherer bei Cloud-bezogenen Ausfällen sehr vorsichtig agieren. Häufig finden sich Einschränkungen oder Ausschlüsse, etwa bei externen Störungen oder bei Vorfällen ohne eindeutigen Cyberangriff. Auch wird eine Cloud-Umgebung nicht immer als Teil des IT-Systems definiert. Damit bleibt der Versicherungsschutz in solchen Szenarien oft lückenhaft.
Stoïk geht hier bewusst weiter: Unsere Policen bieten eine besonders umfassende Deckung, die auch Cloud- und Dienstleisterausfälle abbildet, solange es sich um einen Teil der IT-Infrastruktur des Kunden und ein mitversichertes Ereignis handelt. Damit schließen wir eine wichtige Schutzlücke und sorgen dafür, dass Unternehmen in der Praxis besser abgesichert sind. Auch eine präventive, freiwillige Unterbrechung ist in einem solchen Fall mitversichert, wenn sie nach Entdeckung eines Cybervorfalls zur Begrenzung der Schäden erforderlich ist oder behördlich angeordnet wird.
Wo verläuft die Grenze zwischen eigenem Schaden und Haftungsbereich des Cloud-Anbieters?
Geier: Die Cyberpolice trägt den eigenen Betriebsunterbrechungsschaden des Kunden bis zur vereinbarten Versicherungssumme und den gewählten Sublimits, unter Anrechnung des vereinbarten Selbstbehalts. Vertragliche Servicegutschriften des Providers sowie Regress-Erlöse werden auf den Ertragsausfall angerechnet. Das Subrogationsrecht liegt beim Versicherer.
Wie gehen Sie mit der Tatsache um, dass Kunden keinen Einfluss auf Sicherheitsstandards oder Wiederherstellungszeiten der Anbieter haben?
Geier: Wir sind uns bewusst, dass viele unserer Versicherungsnehmer heute geschäftskritische Prozesse auf IT-Dienstleister, Cloud-Provider oder Managed Service Provider ausgelagert haben. Diese Abhängigkeiten sind zentraler Bestandteil unserer Risikobewertung. Uns ist auch klar, dass Kunden dort oft keinen direkten Einfluss auf Sicherheitsstandards oder Wiederherstellungszeiten – RTO: Recovery Time Objective und RPO: Recovery Point Objective – haben, daher empfehlen wir bei der Auswahl des Anbieters auf Einhaltung unserer definierten Mindeststandards sowie vertragliche Transparenz zu achten.
Wie groß ist das Kumulrisiko bei einem europaweiten Cloud-Ausfall?
Stoïk: Durch die hohe Korrelation solcher Schäden, ist die Beherrschung des Kumulrisikos äußerst komplex und nur schwer zu kalkulieren. Für uns stellt das Kumulrisiko eine spannende Herausforderung dar, der wir mit geeigneten Mitteln entgegenwirken. Grundsätzlich ist das Risiko versicherbar, aber es gilt, klar definierte Grenzen zu ziehen, präventive Maßnahmen zu nutzen und ein aktives Portfoliomanagement zu betreiben.
Wir sehen zwei Ansätze, um diesem Risiko zu begegnen: Zum einen braucht es ein präzises Exposure-Management, das Abhängigkeiten von zentralen Cloud-Providern wie AWS, Microsoft, Google & Co. transparent macht und in die Risikomodelle einfließt.
Zum anderen sind präventive Maßnahmen entscheidend, also technische und organisatorische Vorkehrungen, die die Resilienz der Unternehmen erhöhen. Dazu zählen Multi-Cloud-Strategien, regelmäßige Backups außerhalb der primären Infrastruktur und Notfallpläne, die den Geschäftsbetrieb bei einem Ausfall aufrechterhalten.
Langfristig wird die Branche lernen müssen, solche systemischen Risiken ähnlich wie in der Naturkatastrophenversicherung zu modellieren, also mit Szenarioanalysen, klaren Kapazitätsgrenzen und eventuell sogar Rückversicherungs- oder Poollösungen. Entscheidend ist, dass Versicherer und Kunden gemeinsam an einer höheren digitalen Resilienz arbeiten.
Welche Risikobegrenzungen sind üblich – und ist der Markt vorbereitet?
Geier: Im Hinblick auf Risikobegrenzungsmechanismen sind Sublimits und Franchisen fester Bestandteil der AVB-Systematik, wobei die konkreten Details je nach Vertrag variieren. Bei den Ausschlüssen, die für Cloud-Großschäden besondere Relevanz haben, sind vor allem externe Störungen und Ausfälle zu nennen, etwa im Bereich Telekommunikation, Internet oder Energieversorgung.
Ebenso ausgeschlossen sind in der Regel Gewalthandlungen und staatliche Cyber-Operationen, die einen Kriegs- oder Staatenbezug aufweisen, sowie behördliche Eingriffe. Ein weiterer wichtiger Aspekt ist, dass sogenannte Non-malicious Outages, also reine Pannen ohne zugrundeliegenden Angriff, regelmäßig nicht gedeckt sind.
Ist der Markt ausreichend vorbereitet? Es gibt klare Fortschritte, das Bild bleibt aber heterogen. Grundsätzlich ist die Branche in der Lage, solche Ereignisse zu managen – vorausgesetzt, Portfoliosteuerung, AVB‑Klarheit und Szenario-Arbeit greifen konsequent ineinander. Stoïk setzt hier bewusst auf datengetriebene Analyse und diszipliniertes Underwriting; unser Team verfolgt die Entwicklung eng und passt Annahmerichtlinien kontinuierlich an. Das stärkt die Resilienz gegenüber gleichzeitigen Schadenereignissen spürbar. Ein langer, flächiger Cloud-Blackout bleibt für die Kapazitätsseite herausfordernd
Welche Maßnahmen empfehlen Sie Unternehmen, um sich besser gegen Cloud-Ausfälle abzusichern?
Geier: Technische Widerstandsfähigkeit beginnt mit der richtigen Systemarchitektur. Bevor Unternehmen auf mehrere Cloud-Anbieter setzen, sollten sie zunächst innerhalb ihres bestehenden Anbieters für Ausfallsicherheit sorgen – zum Beispiel durch mehrere Rechenzonen oder, bei besonders wichtigen Anwendungen, durch zusätzliche Regionen.
Ebenso wichtig sind ein Ersatzsystem für die Benutzeranmeldung, ein zweiter Weg für die Namensauflösung (DNS) und eine klare Trennung der einzelnen Systeme. Diese Maßnahmen erhöhen die Stabilität und verringern die Ausfallrisiken deutlich.
Im Bereich Wiederherstellung sollten realistische Ziele für Dauer und Umfang eines IT-Ausfalls festgelegt, regelmäßig überprüft und in die Notfallplanung eingebunden werden. Ein guter Notfallplan enthält eine Übersicht der kritischen Systeme, klare Zuständigkeiten, Kommunikationswege sowie getestete Wiederanlauf- und Sicherungsprozesse. Nur durch regelmäßige Übungen lässt sich sicherstellen, dass diese im Ernstfall funktionieren.
Besonders wichtig sind dabei Sicherungskopien, die unveränderbar und auch ohne Internetzugang verfügbar sind. Zusätzlich sollten für zentrale Geschäftsabläufe – etwa Rechnungsstellung oder Kundendienst – einfache manuelle Ersatzprozesse vorbereitet sein, falls die IT-Systeme einmal ausfallen.
Bei der vertraglichen Absicherung empfehlen sich Incident-SLAs mit klar definierten Eskalationswegen, Transparenz über die vom Cloud-Provider genutzten Upstream-Dienste, Regelungen zur Daten-Portabilität sowie Exit-Klauseln für den Fall eines Anbieterwechsels.
Unser Anspruch bei Stoïk ist es, diese Bausteine gezielt miteinander zu verzahnen und unsere Kunden bei der Umsetzung zu unterstützen.
Wie kann eine Cyberversicherung solche Prävention fördern?
Geier: Eine moderne Cyberversicherung unterstützt Unternehmen nicht nur im Schadenfall, sondern stärkt aktiv deren IT-Sicherheit – durch klare Mindestanforderungen, gezielte Anreize und konkrete Präventionsservices.
Ein Beispiel ist Stoïk Protect: Die Plattform kombiniert wöchentliche externe Sicherheitsscans mit internen Prüfungen von Active-Directory- und Cloud-Konfigurationen sowie Phishing-Simulationen für Mitarbeitende. Wer diese Maßnahmen konsequent umsetzt, senkt nicht nur den Selbstbehalt, sondern reduziert auch spürbar das Risiko eines Cybervorfalls.
Im Ernstfall profitieren Versicherte zudem von der schnellen Unterstützung durch das CERT-Team: Innerhalb weniger Stunden werden erfahrene Incident-Manager eingebunden, die technische Forensik, rechtliche Einschätzung und Kommunikationsmanagement koordinieren. So lassen sich Schäden begrenzen und der Geschäftsbetrieb schneller wiederherstellen.
Ziel ist es, ein ganzheitliches Verständnis von Risiken zu schaffen – damit Cybersicherheit nicht nur Pflicht, sondern ein echter Wettbewerbsvorteil wird.
Ist das aktuelle Ereignis ein Anlass für Vermittler, das Thema aktiv mit Gewerbekunden zu besprechen?
Geier: Ja, absolut. Der aktuelle Cloud-Ausfall ist ein guter Anlass für Vermittler, das Thema Cyberversicherung aktiv mit ihren Gewerbekunden zu besprechen. Dabei helfen drei einfache Schritte:
Erstens: Einen kurzen Blick in die bestehenden Verträge werfen – also prüfen, wann der Versicherungsschutz greift, welche Ausschlüsse gelten und ob es Begrenzungen oder Wartezeiten gibt.
Zweitens: Gemeinsam mit dem Kunden überlegen, welche zentralen IT-Dienste für den Betrieb wirklich kritisch sind – zum Beispiel Cloud-Anbieter, Identity Provider oder DNS-Dienste. So lässt sich schnell erkennen, wo ein Ausfall besonders weh tun würde. Drittens: Überprüfen, ob es funktionierende Notfall- und Wiederanlaufpläne gibt. Entscheidend ist, dass im Ernstfall klar ist, wer was zu tun hat.
Pfefferminzia: Greift die Cyber- oder Betriebsunterbrechungsversicherung bei einem Ausfall eines Cloud-Dienstleisters wie AWS?
Klemens Lemke: Unsere Kunden können diesen Schutz gezielt über einen modularen Produktbaustein absichern – das ist ideal für Unternehmen mit ausgelagerten IT-Strukturen oder Cloud-Nutzung. Der Baustein greift, sofern ein versichertes Ereignis vorliegt und die betroffenen Systeme oder Daten unter der Kontrolle eines externen Dienstleisters stehen wie Cloud-Anbieter oder Rechenzentrum.
Wo verläuft die Grenze zwischen eigenem Schaden und Haftungsbereich des Cloud-Anbieters?
Lemke: Die Cyberversicherung von Hiscox deckt Eigenschäden wie Ertragsausfall, Wiederherstellungskosten und Mehrkosten ab, die dem versicherten Unternehmen selbst entstehen – unabhängig davon, ob der Cloud-Dienstleister für den Schaden haftet.
Die Haftung des Cloud-Anbieters ist vertraglich geregelt und nicht Voraussetzung für eine Leistung aus der Cyberversicherung. Allerdings prüft Hiscox im Schadenfall, ob ein Regressanspruch gegenüber dem Cloud-Dienstleister besteht, und wird diesen – sofern rechtlich und wirtschaftlich sinnvoll – im Interesse des Kunden geltend machen.
Wie gehen Sie mit der Tatsache um, dass Kunden keinen Einfluss auf Sicherheitsstandards oder Wiederherstellungszeiten der Anbieter haben?
Lemke: Hiscox trägt dem fehlenden Einfluss auf externe Dienstleister Rechnung, indem die Deckung nicht zum Beispiel an deren Reaktionszeiten gekoppelt ist, sondern an die objektive Unterbrechung durch ein versichertes Ereignis. Der Versicherungsnehmer muss lediglich sicherstellen, dass der Dienstleister die geforderten Zertifizierungsanforderungen erfüllt.
Wie groß ist das Kumulrisiko bei einem europaweiten Cloud-Ausfall?
Lemke: Wir erkennen das Kumulrisiko als zentrale Herausforderung im Cyberbereich. Gerade aus diesem Grund haben wir im letzten Produktupdate die Tagespauschale für kleinere Unternehmen als Alternative zur klassischen Betriebsunterbrechung mit ins Produkt genommen. Dies ermöglicht eine schnelle, einfache und klare Abwicklung von Kumulschäden bei Bedarf.
Welche Risikobegrenzungen sind üblich – und ist der Markt vorbereitet?
Lemke: Für Kunden bis 2,5 Millionen Euro Umsatz bieten wir eine pauschalierte Tagessatzentschädigung statt komplexer Schadenermittlung. Dies erlaubt eine sehr schnelle und transparente Schadenregulierung – auch bei Großereignissen. Für diese Innovation wurden wir auch mit einem „Goldenen Bullen“ ausgezeichnet. Typische Mechanismen sind außerdem Selbstbehalte, Entschädigungsgrenzen und modulare Deckungen mit optionalen Bausteinen.
Welche Maßnahmen empfehlen Sie Unternehmen, um sich besser gegen Cloud-Ausfälle abzusichern?
Lemke: Wir empfehlen unseren Kunden insbesondere Folgendes:
Wie kann eine Cyberversicherung solche Prävention fördern?
Lemke: Hiscox bietet den Zugang zu Cyberexperten bereits im Verdachtsfall, Awareness-Trainings, Checklisten und weiteren Informationen, Unterstützung bei der Erstellung von Krisenplänen sowie Prämienanreize bei guter IT-Governance. Unsere Versicherung ist damit ein aktiver Bestandteil des Risikomanagements.
Ist das aktuelle Ereignis ein Anlass für Vermittler, das Thema aktiv mit Gewerbekunden zu besprechen?
Lemke: Absolut. Ein realer Cloud-Ausfall ist ein konkreter Gesprächsanlass, um die Verwundbarkeit digitaler Geschäftsmodelle zu thematisieren. Vermittler können gezielt zum Beispiel auf die Cyber-Betriebsunterbrechung bei Cloud-Ausfall hinweisen.
