Cybersecurity wurde lange als Problem „innerhalb der eigenen Mauern“ verstanden: Perimeter schützen, Systeme patchen, Mitarbeitende schulen und davon ausgehen, dass der Rest schon hält.
2025 hat sich dieses Bild verschoben. Diese Veränderung wird sich in 2026 beschleunigen. Aus Sicht des Stoïk-CERT (Computer Emergency Response Team) zeigte sich in mehreren Incident-Response-Einsätzen vor allem eines: Viele der teuersten und komplexesten Cyberereignisse beginnen in den Abhängigkeiten moderner IT-Landschaften.
Die Exponierung eines Unternehmens endet nicht mehr an der eigenen Firewall. Wer heute ernsthaft über Cyberrisiko spricht, muss die gesamte technische und operative Lieferkette mitdenken – inklusive der Geschäftspartner und Zulieferer.
Mit „Abhängigkeiten“ sind dabei längst nicht nur klassische Lieferketten gemeint, sondern die gesamte technische und operative Kette, auf der heute die digitale Arbeit im Unternehmen läuft: Standard-Bausteine aus Open-Source-Software, externe IT- und Cloud-Dienstleister mit weitreichenden Zugriffsrechten, die genutzten Cloud-Plattformen – sowie zentrale Anbieter und Infrastrukturdienste (zum Beispiel E-Mail-, Kollaborations- oder Rechenzentrumsdienstleister), von denen ganze Branchen gleichzeitig abhängen.
Die Konsequenz ist eine neue Art von Fragilität: Ein einzelner Eintrittspunkt – ein missbrauchter Dienstleister-Zugang, ein gestohlener Cloud-Token oder eine großflächige Provider-Störung – kann Kaskaden auslösen, die nicht beim ersten Opfer enden, sondern sich über Kunden, Partner und Plattformen fortsetzen. Genau diese Dynamik machte Cyberrisiko 2025 zunehmend systemisch: Reichweite schlug Raffinesse, Monetarisierung passierte in Echtzeit, und die schnelle Diagnose in den ersten Stunden wurde zum Engpass.
In mehreren Fällen, an denen das Stoïk-CERT 2025 beteiligt war, wurden kompromittierte Pakete in Systeme eingeschleust und konnten sich über weite Teile der IT- und Software-Infrastruktur ausbreiten. Im Ernstfall geht es dann weniger um die Frage „Welches Paket ist betroffen?“ sondern um schnelle, technisch fundierte Rückverfolgung in der IT-Umgebung, sodass aus dem einzelnen Vorfall kein breiteres Problem wird.
Ein zweites Muster, das sich 2025 durch mehrere Fälle zog, sind kompromittierte Dienstleister. IT-Provider, SaaS-Anbieter oder spezialisierte Outsourcing-Partner besitzen häufig breite Zugänge zu Kundensystemen und genau das macht sie aus Angreifersicht attraktiv.
Der Ablauf ist oft gleich: Ein Dienstleister wird angegriffen, die Täter nutzen seine Zugänge, um in die Systeme der Kunden zu kommen und plötzlich sind nicht nur ein, sondern viele Betriebe betroffen. Ein einziger kompromittierter Dienstleister kann so eine ganze Reihe von Unternehmen gleichzeitig in die Krise ziehen, weil er überall berechtigte Zugriffe und zentrale Werkzeuge im Einsatz hat.
Parallel dazu wurde 2025 in Cloud-Umgebungen ein Angriffsmodus auffällig, der das Schadensprofil verschiebt: Kostenexplosion statt Datendiebstahl. In Vorfällen, die Stoïk 2025 beobachtete, wurden Cloud-Zugänge oder Tokens über Infostealer auf Endgeräten von Mitarbeitenden erbeutet. Mit diesen legitimen Zugängen können Angreifer in kurzer Zeit massenhaft Ressourcen starten – etwa Tausende virtuelle Maschinen – und die Rechenleistung für Krypto-Mining oder ähnliche Monetarisierung missbrauchen.
Eine weitere Entwicklung 2025: Stoïk wurde wiederholt zu Vorfällen gerufen, die sich im Verlauf nicht als Cyberangriffe, sondern als großflächige technische Störungen herausstellten – die Auswirkungen für betroffene Unternehmen waren aber kaum zu unterscheiden. In einer hochvernetzten Infrastruktur ist „Ausfall“ funktional oft identisch zu „Angriff“: Zugriff auf zentrale Systeme geht verloren, Services degradieren massiv, nachgelagerte Prozesse kippen.
In der Akutphase lautet die entscheidende Frage deshalb nicht nur „Wie stellen wir Betrieb wieder her?“, sondern zunächst: Handelt es sich um einen zielgerichteten Cyberangriff, einen Kollateralschaden oder einen rein technischen Ausfall? Diese Unterscheidung ist ausschlaggebend – für Meldepflichten, für die Reaktion von Behörden und Stakeholdern, für die interne Eskalation und nicht zuletzt für die Einordnung im Versicherungs- und Vertragskontext.
Zusammengenommen zeigen die Stoïk-Fälle 2025: Lieferkettenangriffe sind Alltag geworden, kompromittierte Dienstleister erzeugen Dominoeffekte, Cloud-Umgebungen werden zur direkten Geldmaschine für Angreifer, sobald Zugänge abfließen, und Großstörungen wirken für Betroffene oft wie ein echter Cyberangriff.
Für Versicherer, Makler und Unternehmen heißt das: Cyberrisiko ist heute ein systemisches Risiko. Jede zusätzliche Abhängigkeit – ein Software-Baustein, ein SaaS-Anbieter, ein Cloud-Provider – vergrößert die Angriffsfläche und macht den Schadenfall komplexer. Prävention bleibt wichtig, reicht aber allein nicht mehr. Entscheidend ist die Diagnose in den ersten Stunden: Ist es ein Angriff, ein Kollateralschaden oder „nur“ eine technische Störung? Wer hier sauber triagiert, reduziert technische Schäden – und vermeidet die zweite Welle aus Kommunikationschaos, falscher Eskalation und unnötigen Ausfallzeiten.
Autorin Franziska Geier ist Geschäftsführerin von Stoïk in Deutschland.
