Der Cyberangriff als Liquiditätsschock

Der letzte Dominostein


Der letzte Dominostein: Der Cyberangriff als Liquiditätsschock Kolumne

Ein schwerer Cyberangriff ist selten die einzige Ursache einer Insolvenz. Häufig trifft er jedoch auf ein bereits angespanntes Geschäftsmodell und löst eine Kettenreaktion aus: Produktion und Auslieferung stehen, Rechnungen bleiben ungeschrieben, Kreditlinien geraten unter Druck und die Liquidität schmilzt. Der Angriff ist dann nicht der erste, sondern der letzte Dominostein.

Cyberangriffe werden in vielen Unternehmen noch immer primär als technisches Problem behandelt. Server fallen aus, Daten werden verschlüsselt und Spezialisten beginnen mit der Wiederherstellung. IT-Experten sprechen von "IT-Assets", "Threat Vectors", "Zero-Day-Schwachstellen", "Lateral Movement", CVE, SIEM, SOC, EDR, XDR, IAM, RTO und RPO. Für technisch geprägte Fachleute mögen diese Begriffe präzise sein. Ein wirtschaftlich denkender Entscheider erkennt daraus jedoch häufig nicht unmittelbar, wie lange zentrale Geschäftsprozesse ausfallen können, wie hoch der zusätzliche Liquiditätsbedarf ist und ab welchem Zeitpunkt die Fortführung des Unternehmens bedroht wird. Genau an dieser Übersetzungsleistung zwischen technischer Sicherheitslogik und betriebswirtschaftlicher Risikowirkung scheitert das Cyberrisikomanagement in der Praxis noch zu häufig. Betriebswirtschaftlich entscheidend ist nämlich, dass ein Angriff den gesamten leistungswirtschaftlichen Kreislauf unterbrechen kann: Aufträge lassen sich nicht verarbeiten, Waren nicht kommissionieren, Produktionsanlagen nicht steuern, Rechnungen nicht erstellen und Zahlungseingänge nicht zuverlässig zuordnen. Während die Einnahmen versiegen, laufen Löhne, Energie-, Miet-, Leasing- und Finanzierungskosten weiter.

Deshalb führt nicht jeder Cyberangriff zur Insolvenz. Gefährlich wird die kumulierende Wirkung: geringe Margen, schwache Liquiditätsreserven, hohe Fremdfinanzierung, Lieferkettenprobleme oder ein laufender Turnaround treffen auf einen abrupten Betriebsstillstand. Der Cybervorfall verwandelt eine beherrschbare Belastung in Zahlungsunfähigkeit. Für die Praxis ist daher weniger die abstrakte Frage relevant, wie "hoch" das Cyberrisiko ist. Entscheidend ist, wie viele Tage das Unternehmen ohne seine kritischen Prozesse überlebt.

Im behördlichen Umfeld ist die Wirkung grundsätzlich nicht anders. Dort stehen zwar nicht unmittelbar Umsatz und Gewinn im Vordergrund, doch können Bürgerservices und wesentliche öffentliche Dienstleistungen über Wochen oder Monate nur eingeschränkt oder gar nicht erbracht werden. Betroffen sind beispielsweise Kfz-Zulassungen, Melde- und Personenstandswesen, Sozialleistungen, Bauanträge, kommunale Zahlungen oder die Ausstellung wichtiger Bescheide und Dokumente. Der Cyberangriff unterbricht damit auch hier zentrale Leistungsprozesse – mit erheblichen Folgen für Bürger, Unternehmen und die Funktionsfähigkeit der öffentlichen Verwaltung.

Fasana: Zwei Wochen Stillstand als existenzielle Zäsur

Der Fall des Euskirchener Serviettenherstellers Fasana zeigt diese Dynamik besonders deutlich. Am 21. Mai 2025 drangen Angreifer in die IT-Infrastruktur ein. Laptops und Computer waren unbenutzbar; Aufträge, Rechnungsstellung, Produktion und Auslieferung waren erheblich eingeschränkt oder standen still. Anfang Juni stellte Fasana Insolvenzantrag. Nach Angaben des vorläufigen Insolvenzverwalters hatte der Cyberangriff das Unternehmen mehr als zwei Wochen lahmgelegt und massive Umsatzeinbußen verursacht. Rund 250 Beschäftigte waren betroffen. 

Die populäre Verkürzung, ein kerngesundes Unternehmen sei allein von Hackern zerstört worden, wäre dennoch zu einfach. Gerade Insolvenzen sind regelmäßig multikausal. Ein Cyberangriff trifft auf Kostensteigerungen, schwache Margen, Finanzierungsengpässe oder strategische Versäumnisse. Seine besondere Gefährlichkeit besteht darin, dass er diese Risiken gleichzeitig verstärkt: Der Umsatz fällt aus, die Kosten steigen, Informationen für Banken und Versicherer fehlen und das Vertrauen von Kunden, Lieferanten und Kapitalgebern nimmt ab.

Kein Einzelfall: Prophete, KNP und Stoli

Beim Fahrradhersteller Prophete kamen Beschaffungsprobleme, hohe Lagerbestände und ein schwacher Geschäftsverlauf mit einem Cyberangriff Ende November 2022 zusammen. Rund drei Wochen waren Produktion, Rechnungsstellung und Auslieferung nicht möglich. Der Insolvenzverwalter formulierte später knapp: Die zusätzlich entstandenen Verluste wollte niemand mehr tragen. Der Angriff war damit nicht die einzige Ursache, aber der entscheidende Krisenbeschleuniger.

Ähnlich verlief der Zusammenbruch der britischen KNP Logistics Group. Nach einem Ransomware-Angriff im Juni 2023 waren zentrale Systeme, Prozesse und Finanzinformationen beeinträchtigt. Vor dem Hintergrund schwieriger Marktbedingungen gelang es nicht mehr, dringend benötigte Finanzierung zu sichern. Das Unternehmen ging in die Insolvenzverwaltung; rund 730 Arbeitsplätze gingen verloren. 

Auch die US-Gesellschaften der Stoli Group beantragten Ende 2024 Gläubigerschutz nach Chapter 11. Der Ransomware-Angriff war hier Teil eines Risikobündels aus 84 Millionen US-Dollar Schulden, geopolitischen Belastungen und Konflikten mit Kreditgebern. Weil zentrale Systeme nicht verfügbar waren, musste das Unternehmen kritische Buchhaltungsprozesse manuell durchführen und konnte aktuelle Finanzberichte nicht liefern. Daraufhin verschärften die Kreditgeber den Finanzierungsdruck. Der Cyberangriff wirkte unmittelbar auf Covenants, Finanzierung und Liquidität.

SIT: Ein Wiederanlauf, den ein Unternehmen kaum überlebt

Welche Dimension ein Wiederanlauf erreichen kann, zeigte der Angriff auf den kommunalen IT-Dienstleister Südwestfalen-IT Ende Oktober 2023. Mehr als 70 Kommunen, rund 22.000 Verwaltungsarbeitsplätze und etwa 1,6 Millionen Bürger waren betroffen. Mehr als 1.400 Server mussten überwiegend neu aufgesetzt werden. Der offizielle Krisenmodus dauerte elf Monate; Ende September 2024 wechselte die Organisation wieder in den Normalmodus. Zu diesem Zeitpunkt standen nahezu alle rund 160 Anwendungen wieder zur Verfügung. In der Stadt Olpe herrschte 14 Monate nach dem Angriff erst "fast" wieder Normalbetrieb.

Für die meisten privatwirtschaftlichen Produktions-, Handels- oder Logistikunternehmen wäre ein zentraler Prozessausfall über 12 oder mehr Monate nicht vorstellbar. Sie hätten sich lange zuvor aus dem Markt und häufig in die Insolvenz verabschiedet. Die öffentliche Hand kann Leistungen reduzieren, papiergebundene Notverfahren einführen, Haushaltsmittel mobilisieren und politische Unterstützung organisieren. Ein Unternehmen muss dagegen fortlaufend Umsatz erzielen und seine fälligen Zahlungen leisten. Genau deshalb ist der Fall Südwestfalen-IT nicht nur eine IT-Geschichte, sondern ein extremes Stresstestszenario für die gesamte Wirtschaft.

Cyberresilienz ist mehr als eine Datensicherung

Viele Organisationen setzen Cyberresilienz noch immer mit Backup gleich. Doch eine technisch intakte Sicherung beantwortet weder die Frage, wie lange die Wiederherstellung dauert, noch ob die gesicherten Daten konsistent sind, ob ausreichend Ersatzhardware verfügbar ist und ob kritische Geschäftsprozesse währenddessen weiterlaufen können. Ein Backup ist ein Baustein. Resilienz entsteht erst durch getestete Wiederanlaufverfahren, klare Prioritäten, segmentierte Netze, geschützte Identitäten, belastbare Notkommunikation und manuelle Ersatzprozesse. Ebenso problematisch ist, dass Informationssicherheit und IT-Risikomanagement vielfach zu theoretisch betrieben werden. Risiken werden nach Checklisten gesammelt und anschließend gemäß einem qualitativen Schema – häufig in Anlehnung an den BSI-Standard 200-3 – in eine farbige Risikomatrix eingetragen. Dann werden subjektive Einschätzungen zu Eintrittshäufigkeit und Schadenshöhe „in Kästchen gemalt“, obwohl hinter einem Feld völlig unterschiedliche Verlustverteilungen und existenzielle Abhängigkeiten liegen können. 

Die wissenschaftliche Kritik an Risikomatrizen ist grundlegend: Sie verdichten sehr unterschiedliche Risiken auf dieselbe Farbe, können quantitativ kleinere Risiken höher einstufen als größere und liefern keine belastbare Grundlage für die optimale Verteilung knapper Sicherheitsbudgets. Besonders problematisch ist, dass kritische, sogenannte taillastige Risiken häufig unterschätzt werden. Dabei handelt es sich um seltene Ereignisse mit potenziell extremen Schadensfolgen. Werden eine niedrige Eintrittswahrscheinlichkeit und ein sehr hohes Schadensausmaß schematisch miteinander multipliziert, kann ein existenzbedrohendes Szenario rechnerisch auf einen scheinbar moderaten Risikowert (Erwartungswert) "heruntergerechnet" werden. Die geringe Wahrscheinlichkeit neutralisiert dann formal das extreme Schadenspotenzial – obwohl gerade ein solches Ereignis die Liquidität aufzehren, zentrale Geschäftsprozesse über lange Zeit unterbrechen oder die Fortführung des Unternehmens gefährden kann. Eine rote, gelbe oder grüne Zelle sagt weder, ob ein Szenario zehn oder 100 Millionen Euro kosten kann, noch wie schnell ein kritischer Schwellenwert überschritten wird. Das Problem ist daher nicht die Visualisierung an sich, sondern ihre Verwechslung mit einer belastbaren Risikoanalyse.

Von der Risikomatrix zur belastbaren Cyber-Risikoanalyse

Modernes Cyber-Risikomanagement muss die technische Bedrohung mit Geschäftsprozessen, Finanzwirkung und Überlebensfähigkeit verbinden. Dazu eignen sich simulationsbasierte Szenarioanalysen: Unsichere Größen wie Ausfalldauer, Wiederherstellungskosten, Umsatzverluste, Kundenabwanderung oder Versicherungsleistungen werden nicht als einzelne Punktwerte, sondern als Bandbreiten und Verteilungen modelliert. Eine stochastische Simulation zeigt dann nicht nur einen Durchschnittsschaden, sondern die gesamte Verlustverteilung, seltene Extremszenarien und die Wahrscheinlichkeit, mit der Liquiditätsreserven oder Kreditlinien nicht ausreichen.

Ebenso wichtig ist Data Analytics. Reale Daten aus Schwachstellenscans, Patch-Management, Identitäts- und Berechtigungssystemen, EDR- und SIEM-Telemetrie, Backup-Restore-Tests, Notfallübungen und tatsächlichen Bearbeitungszeiten müssen in die Risikobewertung einfließen. Prozess-Mining und Abhängigkeitsgraphen können sichtbar machen, welche wenigen Systeme tatsächlich den Umsatz, die Produktion oder die Auszahlung von Leistungen blockieren. Reverse Stress Tests setzen nicht beim Angriff, sondern bei der Existenzgefährdung an: Welche Kombination aus Ausfalldauer, Umsatzeinbruch und Zusatzkosten würde die Zahlungsfähigkeit brechen – und welche Kontrollen verhindern genau dieses Szenario? Auch AI-Methoden können die Verteidigung unterstützen: bei Anomalieerkennung, Priorisierung von Schwachstellen, Analyse von Angriffspfaden, Auswertung großer Logmengen, Erkennung verdächtiger Identitätsnutzung oder Unterstützung bei Code- und Konfigurationsprüfungen. Modelle müssen hierbei regelmäßig validiert, ihre Fehlalarme gemessen und Entscheidungen nachvollziehbar gemacht werden. Doch wer ausschließlich jährliche Workshops und statische Riskmaps nutzt, bewertet ein dynamisches Risiko mit einem Standbild.

Angreifer automatisieren die Angriffskette

Die methodische Lücke wird besonders kritisch, weil Angreifer moderne Verfahren längst selbst einsetzen. Nach Einschätzung des britischen National Cyber Security Centre wird AI bis 2027 die Effizienz, Häufigkeit und Intensität von Cyberangriffen erhöhen. Bereits heute unterstützt sie Aufklärung, Schwachstellenrecherche, Exploit-Entwicklung, Social Engineering, Malware-Erstellung und die Auswertung gestohlener Daten. Kurzfristig entstehen dabei weniger völlig neue Angriffsarten; vielmehr werden bekannte Methoden schneller, billiger, personalisierter und skalierbarer. Google Threat Intelligence beobachtete 2025 staatlich unterstützte Akteure aus Nordkorea, Iran und China, die generative AI entlang des gesamten Angriffszyklus nutzten – von Recherche und Phishing über Skripting und Command-and-Control-Entwicklung bis zur Datenexfiltration. Die relevante Veränderung ist nicht nur bessere Phishing-Prosa. AI verkürzt Recherche- und Entwicklungszeiten, variiert Schadcode, unterstützt die Anpassung an Zielumgebungen und hilft bei der Verarbeitung großer Mengen erbeuteter Informationen. 

Noch deutlicher wird die Entwicklung bei agentischen Systemen. Anthropic analysierte 832 wegen bösartiger Cyberaktivitäten gesperrte Konten aus dem Zeitraum März 2025 bis März 2026. In 67,3 Prozent dieser Fälle wurde AI zur Vorbereitung oder Erstellung von Malware genutzt; zugleich verlagerte sich die Nutzung zunehmend in anspruchsvollere Phasen nach dem Eindringen, etwa Kontenermittlung, Rechteausweitung und laterale Bewegung. Der Anteil der als mindestens mittleres Risiko eingestuften Akteure stieg innerhalb des Untersuchungsjahres von 33 auf 56 Prozent. Die Daten zeigen eine klare Richtung: AI macht weniger qualifizierte Angreifer handlungsfähiger und ermöglicht guten Angreifern, mehrere Stufen einer Attacke mit geringerem menschlichem Aufwand zu orchestrieren. 

Damit verschiebt sich das Wettrennen. Ein Unternehmen, das seine Cyberrisiken einmal jährlich – basierend auf einer Checkliste – in einer farbigen Matrix aktualisiert, trifft auf Gegner, die automatisiert Ziele recherchieren, Varianten erzeugen, Reaktionen auswerten und Angriffspfade anpassen. AI senkt die Eintrittsbarrieren und erhöht Geschwindigkeit und Skalierung. Cyberresilienz verlangt deshalb ebenfalls datengetriebene, lernende und kontinuierlich aktualisierte Verfahren.

Fazit

Die Fälle Fasana, Prophete, KNP Logistics und Stoli zeigen ein wiederkehrendes Muster: Ein Cyberangriff muss ein Unternehmen nicht allein ruinieren. Er kann jedoch mehrere bereits vorhandene Risiken gleichzeitig aktivieren und damit den letzten Dominostein umstoßen. Deshalb darf Cyberrisikomanagement weder an die IT-Abteilung delegiert noch auf Zertifikate, Checklisten und farbige Risikolandkarten reduziert werden.

Zur Pflicht der Geschäftsleitung gehören angemessene Organisations-, Überwachungs- und Präventionsmaßnahmen in Bezug auf die IT-Sicherheit. § 1 StaRUG verlangt die fortlaufende Überwachung bestandsgefährdender Entwicklungen und geeignete Gegenmaßnahmen. Hinzu kommen die allgemeinen Sorgfaltspflichten der Geschäftsführung und des Vorstands. Seit dem 6. Dezember 2025 konkretisiert zudem das deutsche NIS-2-Umsetzungsgesetz für einen deutlich erweiterten Adressatenkreis die Anforderungen an Cyberrisikomanagement, Meldewege und Leitungsverantwortung.

Die gleiche Aufgabe gilt selbstverständlich für die öffentliche Hand. Kommunen und Behörden sind Dienstleister für Bürger. Wenn Sozialleistungen, Zulassungen, Urkunden oder Finanzprozesse monatelang ausfallen, ist das kein unvermeidliches Technikproblem, sondern eine erhebliche Beeinträchtigung staatlicher Leistungserbringung. Auch öffentliche Organisationen benötigen verbindliche Wiederanlaufziele, getestete Ersatzverfahren, unabhängige Kontrollen und ein professionelles Management von Dienstleister- und Konzentrationsrisiken.

Der entscheidende Prüfstein ist nicht, ob eine Organisation ein Informationssicherheitsmanagementsystem dokumentiert hat. Entscheidend ist, ob sie einen realen Angriff erkennt, begrenzt und wirtschaftlich überlebt – beziehungsweise ihre Leistungen für die Bürger aufrechterhält.

 

[ Bildquelle Titelbild: Generiert mit AI ]
Risk Academy

Die Intensiv-Seminare der RiskAcademy® konzentrieren sich auf Methoden und Instrumente für evolutionäre und revolutionäre Wege im Risikomanagement.

Seminare ansehen
Newsletter

Der Newsletter RiskNEWS informiert über Entwicklungen im Risikomanagement, aktuelle Buchveröffentlichungen sowie Kongresse und Veranstaltungen.

jetzt anmelden
Lösungsanbieter

Sie suchen eine Softwarelösung oder einen Dienstleister rund um die Themen Risikomanagement, GRC, IKS oder ISMS?

Partner finden
Ihre Daten werden selbstverständlich vertraulich behandelt und nicht an Dritte weitergegeben. Weitere Informationen finden Sie in unseren Datenschutzbestimmungen.