Herr Pingsmann, wie schätzen Sie die momentane Bedrohungslage deutscher Unternehmen im Bereich IT-Risiken ein?
Schadprogramme wie der vom Bundesamt für Sicherheit in der Informationstechnik (BSI) als hochgefährlich eingestufte „Emotet“ Trojaner verdeutlichen einmal mehr, dass mit der zunehmenden Vernetzung der Geschäftswelt auch die digitalen Risiken deutlich ansteigen. Das Vorgehen der Angreifer wird dabei immer professioneller. Schadprogramme der neuen Generation treten in einer Vielzahl von Versionen und Abwandlungen auf. Dies erschwert die Prävention und Verhinderung von Angriffen. Darüber hinaus werden zur weiteren Verbreitung der Schadsoftware gezielt alle Kontakte des infizierten Rechners ausgelesen und mit täuschend echt aussehenden E-Mails angeschrieben. Diese Kombination macht die Bedrohungssituation für Unternehmen äußerst gefährlich.
Welche Unternehmen sind besonders betroffen?
Es sind vor allem zwei Gruppen besonders gefährdet. Zum einen kleine und mittelständische Unternehmen, welche sich aufgrund von Größe und Budgetrestriktionen nicht ausreichend vor Angriffen schützen können. Andererseits Unternehmen, welche mit einer hohen Zahl von personenbezogenen Daten arbeiten und in deren Alltag Kundenvertrauen und Reputation eine große Rolle spielen.
Warum wächst das Risiko täglich?
Viele Unternehmen sind aufgrund der Markt- und Wettbewerbssituation gezwungen immer größere Teile ihrer Wertschöpfungsketten zu digitalisieren. Je komplexer die IT-Systeme, desto mehr Angriffsmöglichkeiten bieten sich. Häufig werden jedoch die damit verbundenen Risiken unterschätzt. Die IT-Sicherheitsstrukturen sind oft nicht im gleichen Zuge mitgewachsen. Gleichzeitig nutzen Kriminelle moderne Methoden, um hochentwickelte Schadprogramme zu kreieren und in Umlauf zu bringen. Daraus resultiert unterm Strich ein deutlicher Anstieg des Gesamtrisikos. Es besteht ein ständiger Wettlauf zwischen Angreifern und Unternehmen.
Wie sollten Unternehmen auf diese Bedrohungslage reagieren?
Die Gewährleistung der Sicherheit der eigenen IT-Systeme muss oberste Priorität genießen. Für jedes Unternehmen ist es essentiell ein ganzheitliches IT-Sicherheits- und Risikokonzept zu haben. Ist dies nicht gegeben, können die Auswirkungen im Extremfall existenzbedrohend sein. Ein sinnvoller Bestandteil eines ganzheitlichen Risikomanagements sollte zudem eine Cyberversicherung sein. Eine derartige Versicherung transformiert das verbleibende Restrisiko zu einem externen Risikoträger. Dies ist sinnvoll, da eine 100-%-Sicherheit von IT-Systemen nicht existiert.
Was versteht man eigentlich unter einer Cyberversicherung?
Eine Cyberversicherung schützt Unternehmen und ihre Mitarbeiter gegen Vermögensschäden, die durch Cyber-Angriffe entstehen können. Unter dem Begriff „Cyber-Angriff“ werden verschiedenartige Informationssicherheitsverletzungen zusammengefasst, die sich hinsichtlich Art und Ausführung teilweise deutlich unterscheiden. Dies reicht vom gezielten Eindringen krimineller Dritter in IT-Systeme über eine Denial-of-Service Attacke bis zum standardisierten Verschlüsselungstrojaner, der durch das unbedachte Öffnen eines E-Mail-Anhangs auf die Laufwerke gelangt und automatisch alle erreichbaren Daten verschlüsselt.
Was leistet eine Cyberversicherung?
Grob kann man eine Cyberversicherung in drei Bereiche einteilen: Eigen- und Fremdschäden sowie Assistance-Leistungen. Die Eigenschäden beziehen sich auf direkte Auswirkungen im versicherten Unternehmen. Dies umfasst z. B. die Wiederherstellung der Systeme oder auch die Entschädigung für entgangene Einnahmen durch eine Betriebsunterbrechung.
Fremdschäden beziehen sich auf die Ansprüche und Forderungen Dritter. Sobald Kunden- und Geschäftsdaten abhandenkommen oder verändert werden, ist das jeweilige Unternehmen nach der DSGVO dazu verpflichtet, bestimmte Regularien einzuhalten, von der Meldung des Verstoßes an die Landesdatenschutzbehörden bis zur Benachrichtigung der Betroffenen. Des Weiteren hat jeder betroffene Dateninhaber die Möglichkeit, materielle und sogar immaterielle Ansprüche geltend zu machen.
Eine Cyberversicherung bietet dem Versicherungsnehmer darüber hinaus umfangreiche Assistance-Leistungen. Die meisten Tarife beinhalten einen 24/7-Zugang zu Spezialisten für Incident Response und IT-Forensik, so dass der Kunde in einem Notfall jederzeit technische Hilfe von Experten in Anspruch nehmen kann. Dies beinhaltet die Analyse der Ursache, Beseitigung der Bedrohungslage und Unterstützung bei einer ggf. erforderlichen Meldung an die Datenschutzbehörde innerhalb der 72h-Frist.
Angesichts dieses umfassenden Leistungsspektrums sollte die Mehrzahl der Unternehmen doch bereits über eine aktive Cyberversicherung verfügen?
Ganz im Gegenteil. Bei der Cyberversicherung handelt es sich im deutschen Markt noch um eine relativ neue Produktkategorie. Die erste Gewerbe-Police stammt aus dem Jahr 2012. Nach kurzer Anlaufphase hat sich der Markt vor allem in den letzten zwei Jahren sehr dynamisch entwickelt. Immer mehr Versicherer bieten eigene Produkte und Spezialkonzepte an. Trotzdem geht der Branchenverband GDV davon aus, dass Ende 2018 erst knapp 20.000 aktive Cyber-Policen gezeichnet wurden.
Die einzelnen Tarife sind sehr heterogen und unterscheiden sich deutlich. Umso entscheidender ist es, sich intensiv mit Versicherungsschutz und Deckungsinhalten der verschiedenen Produkte auseinanderzusetzen. Zudem sollte genau auf etwaige Ausschlüsse und Sublimits geachtet werden. Darüber hinaus sollte eine ausreichende Versicherungssumme gewählt werden, die der jeweiligen Risikosituation entspricht. Es ist deshalb sinnvoll einen Experten zu Rate zu ziehen, der bei der Wahl der passenden Absicherung hilft.
Inwiefern kann CyberDirekt Unternehmen dabei unterstützen?
CyberDirekt ist ein Spezialist für die Absicherung von gewerblichen Cyberrisiken. Wir haben uns zur Aufgabe gemacht, unsere Kunden bestmöglich bei der Versicherung digitaler Risiken zu unterstützen. Wir begleiten den Kunden während des gesamten Prozesses: Von der Einschätzung und Beurteilung der individuellen Risikosituation über die Auswahl und den Vergleich geeigneter Versicherungsprodukte bis hin zum unkomplizierten Abschluss in nur wenigen Minuten.
Welche konkreten Lösungsmöglichkeiten bietet CyberDirekt?
Auf unserer Online-Plattform www.cyberdirekt.de lassen sich Tarifdetails und Preise führender Anbieter einfach und unkompliziert vergleichen. Das digitale Angebot richtet sich speziell an Unternehmen mit einem Umsatz von bis zu 10 Millionen Euro. Für größere Firmen bereiten wir auf Anfrage individuelle Angebote vor. Da uns das Risiko über das Einfallstor “Mensch” bewusst ist, ergänzen wir den Versicherungsschutz mit entsprechenden Präventionsmaßnahmen. Dazu gibt es ein von CyberDirekt selbst entwickeltes „Security-Awareness“-Training in Form von Online-Seminaren, die in jedem Unternehmen eingesetzt werden können. Das Online-Training enthält verschiedene Module wie E-Mail- oder Passwortsicherheit und steht für alle Mitarbeiter unserer Kunden unbegrenzt und kostenfrei zur Verfügung und ist von renommierten Versicherern anerkannt.
Artikel veröffentlicht am: 08. Juli 2019
