Die Bedrohungslage für Unternehmen hat sich grundlegend gewandelt, erklärt der Cyberversicherer Stoik und nennt die vier häufigsten Anlässe für seine Notfall-Einsätze.

Cyberrisiken entstehen heute weniger durch einzelne kompromittierte Systeme als durch externe Abhängigkeiten, so eine Auswertung des Cyberversicherers Stoik.

Die Bedrohungslage für Unternehmen hat sich grundlegend gewandelt: Cyberrisiken entstehen heute weniger durch einzelne kompromittierte Systeme als durch externe Abhängigkeiten. Das zeigt die Analyse der Incident-Response-Einsätze 2025 des Cybersecurity-Dienstleisters Stoïk. Incident-Response-Einsätze sind Notfalleinsätze von IT-Spezialisten, die aktiv auf einen laufenden oder kürzlich entdeckten Sicherheitsvorfall reagieren.

„Cybersecurity wurde lange als Problem ‚innerhalb der eigenen Mauern‘ verstanden: Perimeter schützen, Systeme patchen, Mitarbeitende schulen und davon ausgehen, dass der Rest schon hält. 2025 hat sich dieses Bild verschoben", sagt Franziska Geier, Deutschland-Chefin von Stoïk.

Das Stoïk Computer Emergency Response Team (CERT) hat seine Einsätze 2025 ausgewertet. Das Ergebnis: Die größten betrieblichen Schäden entstehen durch vier zentrale Risikoquellen:

1. Software-Lieferkette als Einfallstor

Manipulierte Software-Komponenten können sich schnell in Entwicklungs- und Update-Prozessen ausbreiten. Eine einzige kompromittierte Komponente gelangt dadurch in zahlreiche Programme, die diese automatisch integrieren.

2. Dienstleister als Schadenkaskade

Ein Sicherheitsvorfall bei einem IT- oder Cloud-Dienstleister kann eine Kettenreaktion über mehrere Kunden auslösen. Die Abhängigkeit von externen Dienstleistern macht Unternehmen anfällig für Incidents, die außerhalb ihrer eigenen Infrastruktur entstehen.

3. Cloud-Zugänge unter Beschuss

Gestohlene Cloud-Zugangsdaten ermöglichen Angreifern, binnen kurzer Zeit Tausende Server zu starten – etwa für Krypto-Mining. Die Kosten für die dabei verbrauchte Rechenleistung können schon innerhalb weniger Stunden in die Höhe schnellen.

4. Großstörungen mit Cyberattacken-Charakter

IT- oder Cloud-Störungen sind operativ kaum von einem gezielten Cyberangriff zu unterscheiden. Dies hat Konsequenzen für die Schadensbewertung, regulatorische Meldepflichten und die Krisenkommunikation von Unternehmen.

„Die Angriffsfläche endet nicht an der Firewall“, so das Fazit des CERT-Teams. Unternehmen müssten ihre Abhängigkeiten von Software-Komponenten, Dienstleistern, Cloud-Plattformen und zentralen Identitätssystemen als Teil ihrer Sicherheitsstrategie verstehen.