„Ein Cloud-Ausfall ist eines der schwierigsten Risiken überhaupt“

„Guter Anlass für Vermittler, das Thema Cyberversicherung mit Gewerbekunden zu besprechen“

Pfefferminzia: Greift die Cyber- oder Betriebsunterbrechungsversicherung bei einem Ausfall eines Cloud-Dienstleisters wie AWS?

Franziska Geier: Im Markt zeigt sich derzeit, dass einige Versicherer bei Cloud-bezogenen Ausfällen sehr vorsichtig agieren. Häufig finden sich Einschränkungen oder Ausschlüsse, etwa bei externen Störungen oder bei Vorfällen ohne eindeutigen Cyberangriff. Auch wird eine Cloud-Umgebung nicht immer als Teil des IT-Systems definiert. Damit bleibt der Versicherungsschutz in solchen Szenarien oft lückenhaft.

Stoïk geht hier bewusst weiter: Unsere Policen bieten eine besonders umfassende Deckung, die auch Cloud- und Dienstleisterausfälle abbildet, solange es sich um einen Teil der IT-Infrastruktur des Kunden und ein mitversichertes Ereignis handelt. Damit schließen wir eine wichtige Schutzlücke und sorgen dafür, dass Unternehmen in der Praxis besser abgesichert sind. Auch eine präventive, freiwillige Unterbrechung ist in einem solchen Fall mitversichert, wenn sie nach Entdeckung eines Cybervorfalls zur Begrenzung der Schäden erforderlich ist oder behördlich angeordnet wird.

Wo verläuft die Grenze zwischen eigenem Schaden und Haftungsbereich des Cloud-Anbieters?

Geier: Die Cyberpolice trägt den eigenen Betriebsunterbrechungsschaden des Kunden bis zur vereinbarten Versicherungssumme und den gewählten Sublimits, unter Anrechnung des vereinbarten Selbstbehalts. Vertragliche Servicegutschriften des Providers sowie Regress-Erlöse werden auf den Ertragsausfall angerechnet. Das Subrogationsrecht liegt beim Versicherer.

Wie gehen Sie mit der Tatsache um, dass Kunden keinen Einfluss auf Sicherheitsstandards oder Wiederherstellungszeiten der Anbieter haben?

Geier: Wir sind uns bewusst, dass viele unserer Versicherungsnehmer heute geschäftskritische Prozesse auf IT-Dienstleister, Cloud-Provider oder Managed Service Provider ausgelagert haben. Diese Abhängigkeiten sind zentraler Bestandteil unserer Risikobewertung. Uns ist auch klar, dass Kunden dort oft keinen direkten Einfluss auf Sicherheitsstandards oder Wiederherstellungszeiten – RTO: Recovery Time Objective und RPO: Recovery Point Objective – haben, daher empfehlen wir bei der Auswahl des Anbieters auf Einhaltung unserer definierten Mindeststandards sowie vertragliche Transparenz zu achten.

Wie groß ist das Kumulrisiko bei einem europaweiten Cloud-Ausfall?

Stoïk: Durch die hohe Korrelation solcher Schäden, ist die Beherrschung des Kumulrisikos äußerst komplex und nur schwer zu kalkulieren. Für uns stellt das Kumulrisiko eine spannende Herausforderung dar, der wir mit geeigneten Mitteln entgegenwirken. Grundsätzlich ist das Risiko versicherbar, aber es gilt, klar definierte Grenzen zu ziehen, präventive Maßnahmen zu nutzen und ein aktives Portfoliomanagement zu betreiben.

Wir sehen zwei Ansätze, um diesem Risiko zu begegnen: Zum einen braucht es ein präzises Exposure-Management, das Abhängigkeiten von zentralen Cloud-Providern wie AWS, Microsoft, Google & Co. transparent macht und in die Risikomodelle einfließt.

Zum anderen sind präventive Maßnahmen entscheidend, also technische und organisatorische Vorkehrungen, die die Resilienz der Unternehmen erhöhen. Dazu zählen Multi-Cloud-Strategien, regelmäßige Backups außerhalb der primären Infrastruktur und Notfallpläne, die den Geschäftsbetrieb bei einem Ausfall aufrechterhalten.

Langfristig wird die Branche lernen müssen, solche systemischen Risiken ähnlich wie in der Naturkatastrophenversicherung zu modellieren, also mit Szenarioanalysen, klaren Kapazitätsgrenzen und eventuell sogar Rückversicherungs- oder Poollösungen. Entscheidend ist, dass Versicherer und Kunden gemeinsam an einer höheren digitalen Resilienz arbeiten.

Welche Risikobegrenzungen sind üblich – und ist der Markt vorbereitet?

Geier: Im Hinblick auf Risikobegrenzungsmechanismen sind Sublimits und Franchisen fester Bestandteil der AVB-Systematik, wobei die konkreten Details je nach Vertrag variieren. Bei den Ausschlüssen, die für Cloud-Großschäden besondere Relevanz haben, sind vor allem externe Störungen und Ausfälle zu nennen, etwa im Bereich Telekommunikation, Internet oder Energieversorgung.

Ebenso ausgeschlossen sind in der Regel Gewalthandlungen und staatliche Cyber-Operationen, die einen Kriegs- oder Staatenbezug aufweisen, sowie behördliche Eingriffe. Ein weiterer wichtiger Aspekt ist, dass sogenannte Non-malicious Outages, also reine Pannen ohne zugrundeliegenden Angriff, regelmäßig nicht gedeckt sind.

Ist der Markt ausreichend vorbereitet? Es gibt klare Fortschritte, das Bild bleibt aber heterogen. Grundsätzlich ist die Branche in der Lage, solche Ereignisse zu managen – vorausgesetzt, Portfoliosteuerung, AVB‑Klarheit und Szenario-Arbeit greifen konsequent ineinander. Stoïk setzt hier bewusst auf datengetriebene Analyse und diszipliniertes Underwriting; unser Team verfolgt die Entwicklung eng und passt Annahmerichtlinien kontinuierlich an. Das stärkt die Resilienz gegenüber gleichzeitigen Schadenereignissen spürbar. Ein langer, flächiger Cloud-Blackout bleibt für die Kapazitätsseite herausfordernd

Welche Maßnahmen empfehlen Sie Unternehmen, um sich besser gegen Cloud-Ausfälle abzusichern?

Geier: Technische Widerstandsfähigkeit beginnt mit der richtigen Systemarchitektur. Bevor Unternehmen auf mehrere Cloud-Anbieter setzen, sollten sie zunächst innerhalb ihres bestehenden Anbieters für Ausfallsicherheit sorgen – zum Beispiel durch mehrere Rechenzonen oder, bei besonders wichtigen Anwendungen, durch zusätzliche Regionen.

Ebenso wichtig sind ein Ersatzsystem für die Benutzeranmeldung, ein zweiter Weg für die Namensauflösung (DNS) und eine klare Trennung der einzelnen Systeme. Diese Maßnahmen erhöhen die Stabilität und verringern die Ausfallrisiken deutlich.

Im Bereich Wiederherstellung sollten realistische Ziele für Dauer und Umfang eines IT-Ausfalls festgelegt, regelmäßig überprüft und in die Notfallplanung eingebunden werden. Ein guter Notfallplan enthält eine Übersicht der kritischen Systeme, klare Zuständigkeiten, Kommunikationswege sowie getestete Wiederanlauf- und Sicherungsprozesse. Nur durch regelmäßige Übungen lässt sich sicherstellen, dass diese im Ernstfall funktionieren.

Besonders wichtig sind dabei Sicherungskopien, die unveränderbar und auch ohne Internetzugang verfügbar sind. Zusätzlich sollten für zentrale Geschäftsabläufe – etwa Rechnungsstellung oder Kundendienst – einfache manuelle Ersatzprozesse vorbereitet sein, falls die IT-Systeme einmal ausfallen.

Bei der vertraglichen Absicherung empfehlen sich Incident-SLAs mit klar definierten Eskalationswegen, Transparenz über die vom Cloud-Provider genutzten Upstream-Dienste, Regelungen zur Daten-Portabilität sowie Exit-Klauseln für den Fall eines Anbieterwechsels.

Unser Anspruch bei Stoïk ist es, diese Bausteine gezielt miteinander zu verzahnen und unsere Kunden bei der Umsetzung zu unterstützen.

Wie kann eine Cyberversicherung solche Prävention fördern?

Geier: Eine moderne Cyberversicherung unterstützt Unternehmen nicht nur im Schadenfall, sondern stärkt aktiv deren IT-Sicherheit – durch klare Mindestanforderungen, gezielte Anreize und konkrete Präventionsservices.

Ein Beispiel ist Stoïk Protect: Die Plattform kombiniert wöchentliche externe Sicherheitsscans mit internen Prüfungen von Active-Directory- und Cloud-Konfigurationen sowie Phishing-Simulationen für Mitarbeitende. Wer diese Maßnahmen konsequent umsetzt, senkt nicht nur den Selbstbehalt, sondern reduziert auch spürbar das Risiko eines Cybervorfalls.

Im Ernstfall profitieren Versicherte zudem von der schnellen Unterstützung durch das CERT-Team: Innerhalb weniger Stunden werden erfahrene Incident-Manager eingebunden, die technische Forensik, rechtliche Einschätzung und Kommunikationsmanagement koordinieren. So lassen sich Schäden begrenzen und der Geschäftsbetrieb schneller wiederherstellen.

Ziel ist es, ein ganzheitliches Verständnis von Risiken zu schaffen – damit Cybersicherheit nicht nur Pflicht, sondern ein echter Wettbewerbsvorteil wird.

Ist das aktuelle Ereignis ein Anlass für Vermittler, das Thema aktiv mit Gewerbekunden zu besprechen?

Geier: Ja, absolut. Der aktuelle Cloud-Ausfall ist ein guter Anlass für Vermittler, das Thema Cyberversicherung aktiv mit ihren Gewerbekunden zu besprechen. Dabei helfen drei einfache Schritte:

Erstens: Einen kurzen Blick in die bestehenden Verträge werfen – also prüfen, wann der Versicherungsschutz greift, welche Ausschlüsse gelten und ob es Begrenzungen oder Wartezeiten gibt.

Zweitens: Gemeinsam mit dem Kunden überlegen, welche zentralen IT-Dienste für den Betrieb wirklich kritisch sind – zum Beispiel Cloud-Anbieter, Identity Provider oder DNS-Dienste. So lässt sich schnell erkennen, wo ein Ausfall besonders weh tun würde. Drittens: Überprüfen, ob es funktionierende Notfall- und Wiederanlaufpläne gibt. Entscheidend ist, dass im Ernstfall klar ist, wer was zu tun hat.

• <
• 1
• 2
• 3
• zur Startseite
• >