Lesedauer: ca. 09:20 MinMontagmorgen, 9.11 Uhr deutscher Zeit: Amazon Web Services (AWS), der Cloudanbieter des Logistikriesen Amazon, meldet Probleme. Der Service sei „disrupted“, 40 interne Amazon- und AWS-Dienste seien betroffen. Es dauerte Stunden, bis das Problem behoben war.
Mehr zum Thema
Zahlreiche Unternehmen und Organisationen waren von dem Ausfall betroffen. In vielen Fällen kam der Geschäftsbetrieb zeitweise vollständig zum Erliegen – ein Szenario, das eindrucksvoll zeigt, wie abhängig Wirtschaft und Verwaltung heute von wenigen zentralen Cloud-Anbietern sind.
Wir haben das Ganze mal zum Anlass genommen, um namhafte Cyberversicherer zu fragen: Was bedeutet ein solcher Ausfall eigentlich konkret für die Cyberversicherung, für den Risikomanagement-Ansatz von Unternehmen – und für Vermittler?
Auf dieser und der folgenden Seite finden Sie die Antworten von Markel, Stoïk und Hiscox.
„Unternehmen können einiges tun, um sich besser gegen Cloud-Ausfälle abzusichern“
Pfefferminzia: Greift die Cyber- oder Betriebsunterbrechungsversicherung bei einem Ausfall eines Cloud-Dienstleisters wie AWS?
Daniel Blazquez: Die klassische Cyberversicherung deckt meist Betriebsunterbrechungen nach einen eigenen Cybervorfall ab, also etwa durch einen Hackerangriff oder Schadsoftware, der das eigene System betrifft.
Wenn jedoch ein externer Cloud-Dienstleister ohne eigenes Verschulden ausfällt – etwa durch technische Störungen oder einen großflächigen Netzwerkausfall – ist das nicht automatisch versichert.
Einige moderne Policen enthalten mittlerweile Deckungserweiterungen für Abhängigkeiten von Drittanbietern, die sogenannte „Dependent Business Interruption“. Diese greifen, wenn der Ausfall des Cloud-Providers nachweislich durch ein versichertes Ereignis wie einen Cyberangriff verursacht wurde. Bei rein technischen Störungen oder Wartungsfehlern besteht meist kein oder nur sehr eingeschränkter Versicherungsschutz.
Wo verläuft die Grenze zwischen eigenem Schaden und Haftungsbereich des Cloud-Anbieters?
Blazquez: Die Grenze liegt dort, wo die vertragliche Verantwortung des Cloud-Anbieters endet. Die meisten Cloud-Anbieter begrenzen ihre Haftung vertraglich stark. Selbst bei massiven Ausfällen erhalten Kunden häufig nur Gutschriften oder minimale Kompensationen.
Versicherungsseitig gilt: Der Eigenschaden des Unternehmens ist durch die eigene Police abgesichert – nicht über den Anbieter. Nur wenn der Provider nachweislich schuldhaft gehandelt hat, kann Haftung geltend gemacht werden.
Wie gehen Sie mit der Tatsache um, dass Kunden keinen Einfluss auf Sicherheitsstandards oder Wiederherstellungszeiten der Anbieter haben?
Blazquez: Das ist ein wesentlicher Risikofaktor. Unternehmen haben kaum Kontrolle über die technischen und organisatorischen Maßnahmen ihrer Cloud-Partner. Wir achten daher auf klare Service Level Agreements, Zertifizierungen – zum Beispiel ISO 27001 – und funktionierende Notfall- und Wiederanlaufkonzepte. Wer seine Abhängigkeit nicht aktiv steuert, trägt ein erhöhtes Risiko – und das spiegelt sich in der Risikobewertung und Prämie wider.
Wie groß ist das Kumulrisiko bei einem europaweiten Cloud-Ausfall?
Blazquez: Ein Ausfall großer Anbieter würde tausende Kunden gleichzeitig treffen – das ist ein systemisches Szenario, das den gesamten Markt betrifft.
Cyberversicherer sehen darin eines der schwierigsten Risiken überhaupt, weil es kaum diversifizierbar ist. Die Modellierung von Katastrophenszenarien gehört zu den Kernaufgaben eines Versicherers – sie wird kontinuierlich berücksichtigt, um potenzielle Großschäden realistisch einzuschätzen und die Risikotragfähigkeit des Unternehmens sicherzustellen. Die Modellierung von Kumulrisiken wird kontinuierlich verfeinert, und Rückversicherer fördern aktiv, diese Risiken noch präziser zu quantifizieren und das Risikomanagement weiter zu stärken.
Welche Risikobegrenzungen sind üblich – und ist der Markt vorbereitet?
Blazquez: In der Praxis setzen Versicherer auf bewährte Mechanismen wie Sublimits für abhängige Betriebsunterbrechungen, Wartezeiten zwischen 6 und 24 Stunden sowie klar definierte Regelungen für großflächige Ereignisse.
Welche Maßnahmen empfehlen Sie Unternehmen, um sich besser gegen Cloud-Ausfälle abzusichern?
Blazquez: Unternehmen können einiges tun, um sich besser gegen Cloud-Ausfälle abzusichern. Eine Multi-Cloud-Strategie ist beispielsweise sehr wirkungsvoll, weil sie Abhängigkeiten von einzelnen Anbietern reduziert. Ebenso wichtig sind hybride Systeme, bei denen besonders kritische Daten oder Prozesse teilweise im eigenen Rechenzentrum verbleiben. Darüber hinaus empfehlen wir klare Notfall- und Wiederanlaufpläne, also ein funktionierendes Business-Continuity-Management, um den Geschäftsbetrieb im Ernstfall aufrechtzuerhalten.
Auch die vertragliche Absicherung spielt eine große Rolle – etwa durch Service Level Agreements, SLAs, mit garantierten Verfügbarkeiten, Entschädigungsregelungen und Transparenzpflichten. Ergänzend sollten Unternehmen auf kontinuierliches Monitoring und Reporting setzen, um Leistungs- und Sicherheitsprobleme frühzeitig zu erkennen.
Solche Maßnahmen senken nicht nur das Schadenpotenzial, sondern wirken sich auch positiv auf die Versicherbarkeit und die Prämiengestaltung aus.
Wie kann eine Cyberversicherung solche Prävention fördern?
Blazquez: Indem sie Prämienvorteile für nachweislich resiliente Strukturen bietet, Risikobewertungen oder Security-Audits integriert und im Schadenfall Incident-Response-Teams bereitstellt. Moderne Policen sind längst nicht mehr nur Schadendecker, sondern aktive Risikomanager.
Ist das aktuelle Ereignis ein Anlass für Vermittler, das Thema aktiv mit Gewerbekunden zu besprechen?
Blazquez: Absolut. Ein realer Ausfall schafft Aufmerksamkeit – das ist der beste Zeitpunkt für Beratung. Vermittler sollten mit ihren Kunden prüfen, wie abhängig der Betrieb von Cloud-Strukturen ist, welche Deckungslücken bestehen, und wie man Prävention und Versicherungsschutz kombinieren kann. Der Vorfall ist ein Weckruf, das Thema Cloud-Resilienz endlich strategisch anzugehen.
Autorin 
newsletter
bilderstrecken
Die Highlights vom zweiten Tag der DKM 2025
beitrag lesen
Die Highlights vom ersten Tag der DKM 2025
beitrag lesen
So war es beim ZFF Slam in Kassel
beitrag lesen
Das war der erste Vermittlertag Niedersachsen
beitrag lesen
Diese KI-Anwendungen nutzen Versicherer – Teil 2
beitrag lesen
Dafür nutzen Deutschlands Versicherer KI-Anwendungen
beitrag lesen
powertage
kolumnen
Kundenservice mit KI: Ungewohnt, aber superschnell
beitrag lesen
Falschdiagnosen in Patientenakten: Wie kommt’s dazu und was kann man tun?
beitrag lesen
Zwischen KI, Linkedin und dem Mut zur Unperfektion
beitrag lesen
Dora als Chance: Mehr Datensouveränität für Versicherer
beitrag lesen
Wie Finanzdienstleister durch Kooperationen neue Produkte schaffen
beitrag lesen
eMagazin
kommentare
0 Kommentare
- anmelden
- registrieren
kommentieren