Die ursprüngliche NIS-Richtlinie von 2016 war ein Meilenstein, zielte aber auf Großunternehmen und Betreiber kritischer Infrastrukturen ab. Da Cyberkriminalität die Stabilität des gesamten Wirtschaftssystems bedroht, wurde die Verordnung der EU auf weitere Branchen und Unternehmensgrößen ausgeweitet.
Im Rahmen von NIS2 müssen jetzt auch mittelständische Unternehmen ab 50 Mitarbeitenden noch in diesem Jahr wirksamere Maßnahmen gegen IT-Angriffe ergreifen. Dazu zählen Risikoanalysen, Krisenmanagement, Datensicherung, Zugangskontrollkonzepte und Mitarbeiterschulungen. Die Geschäftsführung muss in diesem Kontext ihre Kontrollaufgaben aktiv wahrnehmen und kann die Anforderungen keinesfalls uneingeschränkt an die IT-Abteilungen oder Dienstleister delegieren. Mit Inkrafttreten der Richtlinie muss zudem mit einer weiteren Verschärfung gerechnet werden: Bei Verstößen drohen Bußgelder bis zu zehn Millionen Euro oder zwei Prozent des Jahresumsatzes. Und diese gesetzlichen Vorgaben werden sich früher oder später in den Versicherungsverträgen niederschlagen.
Persönliche Haftung für CEO und IT-Leiter
Das Bewusstsein für das Gefahrenpotenzial einer Cyberattacke ist in den Unternehmen meist vorhanden. Betriebe sollten deshalb regelmäßig Stresstests durchführen und entsprechende Notfallpläne aufstellen. In einem ersten Schritt sind kritische Prozesse und Risiken für das Kerngeschäft zu quantifizieren. Die Verantwortung dafür haben die IT-Abteilungen und die Geschäftsführung. CEO und IT-Leiter können persönlich haftbar gemacht werden, falls es zu ernsthaften Schäden kommt und eine Cyberversicherung und/oder adäquate Schutzmaßnahmen fehlen.
Pflicht und keine Kür: Die tägliche Datensicherung und sinnvolle Rechteverwaltung
Kleinst- und Kleinunternehmen sind gut beraten, den Angebotsprozess für IT-Cyberversicherungen zu durchlaufen, um danach die daraus resultierenden Mindestanforderungen in das eigene Unternehmen zu übertragen. Für diesen Vorgang können Angaben zur eigenen IT-Sicherheit in die Antragsmodelle einiger Versicherer übertragen werden, um zu prüfen, ob ein Cyberversicherungsschutz überhaupt möglich wäre. Auf diese Weise könnte auch eine Ablehnung eines Antrags verhindert werden. In diesem Kontext wies der Gewerbeversicherungsmakler FinanzChef24 vor Kurzem darauf hin, dass jeder zweite Antrag eines Unternehmens mit über zehn Millionen Euro Umsatz mit der Begründung „unzureichende IT-Sicherheit“ abgelehnt wird.
Durch diese Vorgehensweise können auch wichtige Hinweise auf mögliche Schwachstellen gewonnen werden und der Weg für ein neues Antragsverfahren auf Basis einer verbesserten IT-Sicherheit eröffnet werden. Als Mindestvoraussetzung werden häufig Abfragen zur Frequenz der Datensicherung, den Sicherheitstrainings für Mitarbeitende, die Zwei-Faktor-Authentisierung sowie ein angemessenes Konzept für die Rollen- und Rechtevergabe gefordert. Mit technischen und organisatorischen Maßnahmen sowie einer zielgerichteten Prävention besteht die Möglichkeit, das Restrisiko in Verbindung mit einem Hackerangriff zu reduzieren und mit einer passenden Cyberpolice abzusichern. Da Schadenfälle durch vermehrte Hackerangriffe zunehmen, setzen Versicherer für den Abschluss einer Cyberpolice eine ausreichende Firewall sowie eine IT-Umgebung auf einem aktuellen Stand als generelle Anforderungen an die IT-Sicherheit voraus.
IT-Dienstleister sind wichtigste Informationsquelle
Auf die Weise, wie Betriebe mit dem Cyberrisiko umgehen und das Risiko analysieren, haben IT-Dienstleister mittlerweile einen erheblichen Einfluss. Über alle Unternehmen stellen sie die meistgenannte Informationsquelle zum Thema Cybersicherheit dar. Deren Kompetenz und Bedeutung kann in kleinen und mittelständischen Unternehmen nicht hoch genug eingeschätzt werden. Nach einer Umfrage des HDI gaben 49 Prozent der Befragten ihren IT-Dienstleister als Informationsquelle zu Cyberthemen an. Mit 54 und 56 Prozent der Befragten war der Anteil der Nennungen bei Mittelständlern mit bis zu 250 Mitarbeitern und bei Kleinunternehmen mit bis zu 49 Mitarbeitern praktisch gleich.
Präventionsmaßnahmen und Schadenbehebung
Darüber hinaus nehmen IT-Dienstleister auch bei der Umsetzung von Präventionsmaßnahmen eine zentrale Rolle ein: 41 Prozent bestätigen, dass ihnen von ihren Geschäftspartnern zur Umsetzung von Präventionsmaßnahmen gegen Cyberattacken geraten wurde. Für eine Schadenbehebung nach einem Cyberangriff griffen 43 Prozent der Mittelständler auf IT-Spezialisten der Cyberversicherung und Kleinstunternehmer auf andere externe IT-Spezialisten (46 Prozent) zurück. Kleinunternehmer vertrauten in diesem Zusammenhang überwiegend auf den eigenen IT-Dienstleister (55 Prozent).
Nach einem schweren Hackerangriff ist von einer Betriebsunterbrechung von drei bis sechs Wochen auszugehen. Der Betrieb steht still, die Einnahmen fallen aus und die Fixkosten, wie Leasingverträge, Miete und Gehälter, laufen weiter. Darüber hinaus fallen Kosten für die IT-Wiederherstellung, die Kundenkommunikation sowie die Krisen-PR an, um Reputationsschäden bei Kunden, Zulieferern, Dienstleistern und Interessenten zu verhindern.
Für die Wiederherstellung der IT-Daten ist in der Regel mit 30 bis 50 Prozent des vorhandenen IT-Wertes zu rechnen. Da Betriebe laut DSGVO nach einem Cyberangriff verpflichtet sind, alle betroffenen Personen zu benachrichtigen, sind auch diese Aufwendungen nicht zu unterschätzen. Pro personenbezogenen Datensatz können 20 bis 40 Euro anfallen. Bei einem anerkannten Cyberschadenfall übernimmt die Cyberversicherung diese Kosten. Wobei Versicherer eine Kostenübernahme von Lösegeldanforderungen mittlerweile auch ausschließen.
Neue Musterbedingungen für Cyberpolicen
Die Rahmenbedingungen für den Cyberversicherungsmarkt haben sich seit der Erstveröffentlichung im Jahr 2017 durch mobiles Arbeiten, Workation, die Nutzung von Anwendungen über Cloud Computing oder auch die Schadenersatzansprüche bei Datenlecks weitreichend und dynamisch verändert. Deshalb wurden in diesem Jahr auch die unverbindlichen Musterbedingungen für Cyberpolicen vom Gesamtverband der Deutschen Versicherungswirtschaft (GDV) angepasst. Berücksichtigt wurden unter anderem die Aspekte für das IT-Sicherheitsniveau, externe Dienstleister, mobiles Arbeiten, eine Verletzung der Datenschutzgesetze sowie das Thema Krieg und staatliche Angriffe.
Lesen Sie dazu auch: Cyber-Security: Neues Gesetz ab Herbst treibt IT-Mindestvorgaben
Themen:
LESEN SIE AUCH
NIS-2-Richtlinie: Unternehmen sollten jetzt aktiv werden
Auch 2023 fehlt es noch flächendeckend am richtigen Cyber-Sicherheitsbewusstsein in Unternehmen und entsprechender Resilienz. Die NIS-2-Richtline soll dem Abhilfe schaffen. Besonderes Augenmerk wird dabei auf das Risikomanagement und das Cyber-Notfallmanagement gelegt.
Marktvergleich legt Heterogenität der Cyber-Tarife offen
Der Cyberversicherungs-Markt weist nicht nur das größte Vertriebspotenzial der Branche auf, er glänzt nach über 10 Jahren Entwicklung auch mit einer starken Professionalisierung im Underwriting und Schadenmanagement. Doch zeigen sich die Tarife mit großen strukturellen und inhaltlichen Abweichungen.
Cybersicherheit ist eine Frage des aktiven Gestaltens
Sorge über globale Cyber-Risiken in Deutschland bleibt hoch
Im Jahr 2023 wurde die Bedrohungslandschaft für Unternehmen komplexer, da Cyberkriminelle immer mehr künstliche Intelligenz einsetzen, um ihre Taktiken zu optimieren. Trotzdem stufen nur 28 Prozent der Führungskräfte Cyber als größtes Risiko ein. Besorgniserregend ist, 72 Prozent glauben, ihre Cyberschutzmaßnahmen reichen aus, um Cyberangriffe zu bewältigen.
Unsere Themen im Überblick
Themenwelt
Wirtschaft
Management
Recht
Finanzen
Assekuranz
GPT-4.5: Inkrementelle Optimierung statt bahnbrechender Fortschritt
Mit der Veröffentlichung von GPT-4.5 am 27. Februar 2025 setzt OpenAI den Weg der schrittweisen Modellverbesserung fort. Die neue Version bringt eine effizientere Rechenleistung, reduziert Fehler und verarbeitet längere Kontexte zuverlässiger.
Leitungswasserschäden: INTER testet KI-gestützte Lösung zur Früherkennung
Leitungswasserschäden mit Hilfe von KI rechtzeitig erkennen - das ist das erklärte Ziel einer Kooperation zwischen der INTER und dem Start-Up Enzo. Für ausgewählte INTER-Kunden beginnt eine Testphase.
Elektronische Patientenakte gestartet: Modellregionen testen neues System
Seit Mitte Januar wird die „ePA für alle“ schrittweise eingeführt – zunächst in ausgewählten Regionen. Der GKV-Spitzenverband betont, dass das System ausreichend getestet werden muss.
EU-Kommission hält an FIDA-Verordnung fest – Open Finance bleibt auf der Agenda
Nachdem zunächst Berichte die Runde machten, dass die EU-Kommission ihre Pläne zur Regulierung von Open Finance gestoppt habe, zeigt das finale Arbeitsprogramm nun ein anderes Bild: Die FIDA-Verordnung bleibt auf der politischen Agenda. Branchenverbände begrüßen die Kehrtwende und fordern eine praxisnahe Umsetzung.