Die ursprüngliche NIS-Richtlinie von 2016 war ein Meilenstein, zielte aber auf Großunternehmen und Betreiber kritischer Infrastrukturen ab. Da Cyberkriminalität die Stabilität des gesamten Wirtschaftssystems bedroht, wurde die Verordnung der EU auf weitere Branchen und Unternehmensgrößen ausgeweitet.
Im Rahmen von NIS2 müssen jetzt auch mittelständische Unternehmen ab 50 Mitarbeitenden noch in diesem Jahr wirksamere Maßnahmen gegen IT-Angriffe ergreifen. Dazu zählen Risikoanalysen, Krisenmanagement, Datensicherung, Zugangskontrollkonzepte und Mitarbeiterschulungen. Die Geschäftsführung muss in diesem Kontext ihre Kontrollaufgaben aktiv wahrnehmen und kann die Anforderungen keinesfalls uneingeschränkt an die IT-Abteilungen oder Dienstleister delegieren. Mit Inkrafttreten der Richtlinie muss zudem mit einer weiteren Verschärfung gerechnet werden: Bei Verstößen drohen Bußgelder bis zu zehn Millionen Euro oder zwei Prozent des Jahresumsatzes. Und diese gesetzlichen Vorgaben werden sich früher oder später in den Versicherungsverträgen niederschlagen.
Persönliche Haftung für CEO und IT-Leiter
Das Bewusstsein für das Gefahrenpotenzial einer Cyberattacke ist in den Unternehmen meist vorhanden. Betriebe sollten deshalb regelmäßig Stresstests durchführen und entsprechende Notfallpläne aufstellen. In einem ersten Schritt sind kritische Prozesse und Risiken für das Kerngeschäft zu quantifizieren. Die Verantwortung dafür haben die IT-Abteilungen und die Geschäftsführung. CEO und IT-Leiter können persönlich haftbar gemacht werden, falls es zu ernsthaften Schäden kommt und eine Cyberversicherung und/oder adäquate Schutzmaßnahmen fehlen.
Pflicht und keine Kür: Die tägliche Datensicherung und sinnvolle Rechteverwaltung
Kleinst- und Kleinunternehmen sind gut beraten, den Angebotsprozess für IT-Cyberversicherungen zu durchlaufen, um danach die daraus resultierenden Mindestanforderungen in das eigene Unternehmen zu übertragen. Für diesen Vorgang können Angaben zur eigenen IT-Sicherheit in die Antragsmodelle einiger Versicherer übertragen werden, um zu prüfen, ob ein Cyberversicherungsschutz überhaupt möglich wäre. Auf diese Weise könnte auch eine Ablehnung eines Antrags verhindert werden. In diesem Kontext wies der Gewerbeversicherungsmakler FinanzChef24 vor Kurzem darauf hin, dass jeder zweite Antrag eines Unternehmens mit über zehn Millionen Euro Umsatz mit der Begründung „unzureichende IT-Sicherheit“ abgelehnt wird.
Durch diese Vorgehensweise können auch wichtige Hinweise auf mögliche Schwachstellen gewonnen werden und der Weg für ein neues Antragsverfahren auf Basis einer verbesserten IT-Sicherheit eröffnet werden. Als Mindestvoraussetzung werden häufig Abfragen zur Frequenz der Datensicherung, den Sicherheitstrainings für Mitarbeitende, die Zwei-Faktor-Authentisierung sowie ein angemessenes Konzept für die Rollen- und Rechtevergabe gefordert. Mit technischen und organisatorischen Maßnahmen sowie einer zielgerichteten Prävention besteht die Möglichkeit, das Restrisiko in Verbindung mit einem Hackerangriff zu reduzieren und mit einer passenden Cyberpolice abzusichern. Da Schadenfälle durch vermehrte Hackerangriffe zunehmen, setzen Versicherer für den Abschluss einer Cyberpolice eine ausreichende Firewall sowie eine IT-Umgebung auf einem aktuellen Stand als generelle Anforderungen an die IT-Sicherheit voraus.
IT-Dienstleister sind wichtigste Informationsquelle
Auf die Weise, wie Betriebe mit dem Cyberrisiko umgehen und das Risiko analysieren, haben IT-Dienstleister mittlerweile einen erheblichen Einfluss. Über alle Unternehmen stellen sie die meistgenannte Informationsquelle zum Thema Cybersicherheit dar. Deren Kompetenz und Bedeutung kann in kleinen und mittelständischen Unternehmen nicht hoch genug eingeschätzt werden. Nach einer Umfrage des HDI gaben 49 Prozent der Befragten ihren IT-Dienstleister als Informationsquelle zu Cyberthemen an. Mit 54 und 56 Prozent der Befragten war der Anteil der Nennungen bei Mittelständlern mit bis zu 250 Mitarbeitern und bei Kleinunternehmen mit bis zu 49 Mitarbeitern praktisch gleich.
Präventionsmaßnahmen und Schadenbehebung
Darüber hinaus nehmen IT-Dienstleister auch bei der Umsetzung von Präventionsmaßnahmen eine zentrale Rolle ein: 41 Prozent bestätigen, dass ihnen von ihren Geschäftspartnern zur Umsetzung von Präventionsmaßnahmen gegen Cyberattacken geraten wurde. Für eine Schadenbehebung nach einem Cyberangriff griffen 43 Prozent der Mittelständler auf IT-Spezialisten der Cyberversicherung und Kleinstunternehmer auf andere externe IT-Spezialisten (46 Prozent) zurück. Kleinunternehmer vertrauten in diesem Zusammenhang überwiegend auf den eigenen IT-Dienstleister (55 Prozent).
Nach einem schweren Hackerangriff ist von einer Betriebsunterbrechung von drei bis sechs Wochen auszugehen. Der Betrieb steht still, die Einnahmen fallen aus und die Fixkosten, wie Leasingverträge, Miete und Gehälter, laufen weiter. Darüber hinaus fallen Kosten für die IT-Wiederherstellung, die Kundenkommunikation sowie die Krisen-PR an, um Reputationsschäden bei Kunden, Zulieferern, Dienstleistern und Interessenten zu verhindern.
Für die Wiederherstellung der IT-Daten ist in der Regel mit 30 bis 50 Prozent des vorhandenen IT-Wertes zu rechnen. Da Betriebe laut DSGVO nach einem Cyberangriff verpflichtet sind, alle betroffenen Personen zu benachrichtigen, sind auch diese Aufwendungen nicht zu unterschätzen. Pro personenbezogenen Datensatz können 20 bis 40 Euro anfallen. Bei einem anerkannten Cyberschadenfall übernimmt die Cyberversicherung diese Kosten. Wobei Versicherer eine Kostenübernahme von Lösegeldanforderungen mittlerweile auch ausschließen.
Neue Musterbedingungen für Cyberpolicen
Die Rahmenbedingungen für den Cyberversicherungsmarkt haben sich seit der Erstveröffentlichung im Jahr 2017 durch mobiles Arbeiten, Workation, die Nutzung von Anwendungen über Cloud Computing oder auch die Schadenersatzansprüche bei Datenlecks weitreichend und dynamisch verändert. Deshalb wurden in diesem Jahr auch die unverbindlichen Musterbedingungen für Cyberpolicen vom Gesamtverband der Deutschen Versicherungswirtschaft (GDV) angepasst. Berücksichtigt wurden unter anderem die Aspekte für das IT-Sicherheitsniveau, externe Dienstleister, mobiles Arbeiten, eine Verletzung der Datenschutzgesetze sowie das Thema Krieg und staatliche Angriffe.
Lesen Sie dazu auch: Cyber-Security: Neues Gesetz ab Herbst treibt IT-Mindestvorgaben
Themen:
LESEN SIE AUCH
NIS-2-Richtlinie: Unternehmen sollten jetzt aktiv werden
Auch 2023 fehlt es noch flächendeckend am richtigen Cyber-Sicherheitsbewusstsein in Unternehmen und entsprechender Resilienz. Die NIS-2-Richtline soll dem Abhilfe schaffen. Besonderes Augenmerk wird dabei auf das Risikomanagement und das Cyber-Notfallmanagement gelegt.
Nur jeder zweite Beschäftigte sieht Bedrohung durch Hackerangriffe
Das Bedrohungspotenzial durch Cyberattacken wird unterschätzt. Jeder zweite Mitarbeitende hält einen Cyberangriff auf sein Unternehmen für unwahrscheinlich. Gleichzeitig zeigt die Studie, dass deren eigene Unachtsamkeit sowie fehlendes Wissen die größten Schwachstellen im Kampf gegen Cyberkriminalität sind.
Marktvergleich legt Heterogenität der Cyber-Tarife offen
Der Cyberversicherungs-Markt weist nicht nur das größte Vertriebspotenzial der Branche auf, er glänzt nach über 10 Jahren Entwicklung auch mit einer starken Professionalisierung im Underwriting und Schadenmanagement. Doch zeigen sich die Tarife mit großen strukturellen und inhaltlichen Abweichungen.
Cybersicherheit ist eine Frage des aktiven Gestaltens
Sorge über globale Cyber-Risiken in Deutschland bleibt hoch
Im Jahr 2023 wurde die Bedrohungslandschaft für Unternehmen komplexer, da Cyberkriminelle immer mehr künstliche Intelligenz einsetzen, um ihre Taktiken zu optimieren. Trotzdem stufen nur 28 Prozent der Führungskräfte Cyber als größtes Risiko ein. Besorgniserregend ist, 72 Prozent glauben, ihre Cyberschutzmaßnahmen reichen aus, um Cyberangriffe zu bewältigen.
Forensische Detekteien – Experten der Kriminologie in der digitalen Welt
Die digitale Welt entwickelt sich rasant - auch in Verbindung mit kriminellen Handlungen. Wer heute Schritt halten und sich absichern möchte, muss gut informiert sein.