Die ursprüngliche NIS-Richtlinie von 2016 war ein Meilenstein, zielte aber auf Großunternehmen und Betreiber kritischer Infrastrukturen ab. Da Cyberkriminalität die Stabilität des gesamten Wirtschaftssystems bedroht, wurde die Verordnung der EU auf weitere Branchen und Unternehmensgrößen ausgeweitet.
Im Rahmen von NIS2 müssen jetzt auch mittelständische Unternehmen ab 50 Mitarbeitenden noch in diesem Jahr wirksamere Maßnahmen gegen IT-Angriffe ergreifen. Dazu zählen Risikoanalysen, Krisenmanagement, Datensicherung, Zugangskontrollkonzepte und Mitarbeiterschulungen. Die Geschäftsführung muss in diesem Kontext ihre Kontrollaufgaben aktiv wahrnehmen und kann die Anforderungen keinesfalls uneingeschränkt an die IT-Abteilungen oder Dienstleister delegieren. Mit Inkrafttreten der Richtlinie muss zudem mit einer weiteren Verschärfung gerechnet werden: Bei Verstößen drohen Bußgelder bis zu zehn Millionen Euro oder zwei Prozent des Jahresumsatzes. Und diese gesetzlichen Vorgaben werden sich früher oder später in den Versicherungsverträgen niederschlagen.
Persönliche Haftung für CEO und IT-Leiter
Das Bewusstsein für das Gefahrenpotenzial einer Cyberattacke ist in den Unternehmen meist vorhanden. Betriebe sollten deshalb regelmäßig Stresstests durchführen und entsprechende Notfallpläne aufstellen. In einem ersten Schritt sind kritische Prozesse und Risiken für das Kerngeschäft zu quantifizieren. Die Verantwortung dafür haben die IT-Abteilungen und die Geschäftsführung. CEO und IT-Leiter können persönlich haftbar gemacht werden, falls es zu ernsthaften Schäden kommt und eine Cyberversicherung und/oder adäquate Schutzmaßnahmen fehlen.
Pflicht und keine Kür: Die tägliche Datensicherung und sinnvolle Rechteverwaltung
Kleinst- und Kleinunternehmen sind gut beraten, den Angebotsprozess für IT-Cyberversicherungen zu durchlaufen, um danach die daraus resultierenden Mindestanforderungen in das eigene Unternehmen zu übertragen. Für diesen Vorgang können Angaben zur eigenen IT-Sicherheit in die Antragsmodelle einiger Versicherer übertragen werden, um zu prüfen, ob ein Cyberversicherungsschutz überhaupt möglich wäre. Auf diese Weise könnte auch eine Ablehnung eines Antrags verhindert werden. In diesem Kontext wies der Gewerbeversicherungsmakler FinanzChef24 vor Kurzem darauf hin, dass jeder zweite Antrag eines Unternehmens mit über zehn Millionen Euro Umsatz mit der Begründung „unzureichende IT-Sicherheit“ abgelehnt wird.
Durch diese Vorgehensweise können auch wichtige Hinweise auf mögliche Schwachstellen gewonnen werden und der Weg für ein neues Antragsverfahren auf Basis einer verbesserten IT-Sicherheit eröffnet werden. Als Mindestvoraussetzung werden häufig Abfragen zur Frequenz der Datensicherung, den Sicherheitstrainings für Mitarbeitende, die Zwei-Faktor-Authentisierung sowie ein angemessenes Konzept für die Rollen- und Rechtevergabe gefordert. Mit technischen und organisatorischen Maßnahmen sowie einer zielgerichteten Prävention besteht die Möglichkeit, das Restrisiko in Verbindung mit einem Hackerangriff zu reduzieren und mit einer passenden Cyberpolice abzusichern. Da Schadenfälle durch vermehrte Hackerangriffe zunehmen, setzen Versicherer für den Abschluss einer Cyberpolice eine ausreichende Firewall sowie eine IT-Umgebung auf einem aktuellen Stand als generelle Anforderungen an die IT-Sicherheit voraus.
IT-Dienstleister sind wichtigste Informationsquelle
Auf die Weise, wie Betriebe mit dem Cyberrisiko umgehen und das Risiko analysieren, haben IT-Dienstleister mittlerweile einen erheblichen Einfluss. Über alle Unternehmen stellen sie die meistgenannte Informationsquelle zum Thema Cybersicherheit dar. Deren Kompetenz und Bedeutung kann in kleinen und mittelständischen Unternehmen nicht hoch genug eingeschätzt werden. Nach einer Umfrage des HDI gaben 49 Prozent der Befragten ihren IT-Dienstleister als Informationsquelle zu Cyberthemen an. Mit 54 und 56 Prozent der Befragten war der Anteil der Nennungen bei Mittelständlern mit bis zu 250 Mitarbeitern und bei Kleinunternehmen mit bis zu 49 Mitarbeitern praktisch gleich.
Präventionsmaßnahmen und Schadenbehebung
Darüber hinaus nehmen IT-Dienstleister auch bei der Umsetzung von Präventionsmaßnahmen eine zentrale Rolle ein: 41 Prozent bestätigen, dass ihnen von ihren Geschäftspartnern zur Umsetzung von Präventionsmaßnahmen gegen Cyberattacken geraten wurde. Für eine Schadenbehebung nach einem Cyberangriff griffen 43 Prozent der Mittelständler auf IT-Spezialisten der Cyberversicherung und Kleinstunternehmer auf andere externe IT-Spezialisten (46 Prozent) zurück. Kleinunternehmer vertrauten in diesem Zusammenhang überwiegend auf den eigenen IT-Dienstleister (55 Prozent).
Nach einem schweren Hackerangriff ist von einer Betriebsunterbrechung von drei bis sechs Wochen auszugehen. Der Betrieb steht still, die Einnahmen fallen aus und die Fixkosten, wie Leasingverträge, Miete und Gehälter, laufen weiter. Darüber hinaus fallen Kosten für die IT-Wiederherstellung, die Kundenkommunikation sowie die Krisen-PR an, um Reputationsschäden bei Kunden, Zulieferern, Dienstleistern und Interessenten zu verhindern.
Für die Wiederherstellung der IT-Daten ist in der Regel mit 30 bis 50 Prozent des vorhandenen IT-Wertes zu rechnen. Da Betriebe laut DSGVO nach einem Cyberangriff verpflichtet sind, alle betroffenen Personen zu benachrichtigen, sind auch diese Aufwendungen nicht zu unterschätzen. Pro personenbezogenen Datensatz können 20 bis 40 Euro anfallen. Bei einem anerkannten Cyberschadenfall übernimmt die Cyberversicherung diese Kosten. Wobei Versicherer eine Kostenübernahme von Lösegeldanforderungen mittlerweile auch ausschließen.
Neue Musterbedingungen für Cyberpolicen
Die Rahmenbedingungen für den Cyberversicherungsmarkt haben sich seit der Erstveröffentlichung im Jahr 2017 durch mobiles Arbeiten, Workation, die Nutzung von Anwendungen über Cloud Computing oder auch die Schadenersatzansprüche bei Datenlecks weitreichend und dynamisch verändert. Deshalb wurden in diesem Jahr auch die unverbindlichen Musterbedingungen für Cyberpolicen vom Gesamtverband der Deutschen Versicherungswirtschaft (GDV) angepasst. Berücksichtigt wurden unter anderem die Aspekte für das IT-Sicherheitsniveau, externe Dienstleister, mobiles Arbeiten, eine Verletzung der Datenschutzgesetze sowie das Thema Krieg und staatliche Angriffe.
Lesen Sie dazu auch: Cyber-Security: Neues Gesetz ab Herbst treibt IT-Mindestvorgaben
Themen:
LESEN SIE AUCH
NIS-2-Richtlinie: Unternehmen sollten jetzt aktiv werden
Auch 2023 fehlt es noch flächendeckend am richtigen Cyber-Sicherheitsbewusstsein in Unternehmen und entsprechender Resilienz. Die NIS-2-Richtline soll dem Abhilfe schaffen. Besonderes Augenmerk wird dabei auf das Risikomanagement und das Cyber-Notfallmanagement gelegt.
Marktvergleich legt Heterogenität der Cyber-Tarife offen
Der Cyberversicherungs-Markt weist nicht nur das größte Vertriebspotenzial der Branche auf, er glänzt nach über 10 Jahren Entwicklung auch mit einer starken Professionalisierung im Underwriting und Schadenmanagement. Doch zeigen sich die Tarife mit großen strukturellen und inhaltlichen Abweichungen.
Cybersicherheit ist eine Frage des aktiven Gestaltens
Cyberrisiken: Jeder siebte Betrieb verliert mindestens einen Arbeitstag
Cyberangriffe sind längst kein Randphänomen mehr: Eine neue Studie des Industrieversicherers QBE zeigt, dass jedes siebte mittelständische Unternehmen (14 Prozent) im vergangenen Jahr mindestens einen Arbeitstag durch einen Cybervorfall verloren hat. Besonders brisant: In fast 60 Prozent der Fälle war eine Schwachstelle in der Lieferkette ausschlaggebend.
Unsere Themen im Überblick
Themenwelt
Wirtschaft
Management
Recht
Finanzen
Assekuranz
Digitale Sichtbarkeit neu gedacht – ERGO und ECODYNAMICS analysieren LLM-Suchverhalten
Große Sprachmodelle wie ChatGPT verändern die Online-Suche grundlegend – auch für Versicherer. Ein neues Whitepaper von ERGO Innovation Lab und ECODYNAMICS zeigt, wie sich die Regeln digitaler Sichtbarkeit verschieben und wie sich Unternehmen vorbereiten können.
KI im Kundendialog: Zwischen Game Changer und Beziehungskiller
Künstliche Intelligenz ist längst kein Zukunftsthema mehr – sie verändert die Customer Journey in der Assekuranz bereits heute. Doch sind Kunden wirklich bereit, auf KI-gestützte Services zu setzen? Antworten liefert der neue „KI-Monitor-Assekuranz 2025“ des Marktforschungsinstituts HEUTE UND MORGEN.
Digitale Kluft bleibt groß: 38 Prozent zögern bei Online-Angeboten
Datenschutzsorgen, fehlendes Wissen und Angst vor Fehlern: Eine aktuelle Umfrage zur digitalen Teilhabe zeigt, dass viele Menschen mit der Digitalisierung fremdeln – vor allem Ältere. Der bevorstehende Digitaltag will genau hier ansetzen.
Wunsch nach digitaler Schadenabwicklung steigt
Immer mehr Versicherte wünschen sich eine vollständig digitale Abwicklung von Schadensfällen – doch bei der Automatisierung ziehen viele eine klare Grenze. Eine aktuelle Bitkom-Umfrage zeigt: Während digitale Services zunehmend gefragt sind, bleibt der Wunsch nach persönlicher Kontrolle bestehen. Für Versicherer ergibt sich daraus ein klarer Handlungsauftrag.
Die neue Ausgabe kostenlos im Kiosk
Werfen Sie einen Blick in die aktuelle Ausgabe und überzeugen Sie sich selbst vom ExpertenReport. Spannende Titelstories, fundierte Analysen und hochwertige Gestaltung – unser Magazin gibt es auch digital im Kiosk.
"Das Gesamtpaket muss stimmen"
Bernd Einmold & Sascha Bassir
„Im Vertrieb werden wir unsere Aktivitäten ausbauen und die Kapazitäten dafür verstärken”
Dr. Florian Sallmann