Die ursprüngliche NIS-Richtlinie von 2016 war ein Meilenstein, zielte aber auf Großunternehmen und Betreiber kritischer Infrastrukturen ab. Da Cyberkriminalität die Stabilität des gesamten Wirtschaftssystems bedroht, wurde die Verordnung der EU auf weitere Branchen und Unternehmensgrößen ausgeweitet.
Im Rahmen von NIS2 müssen jetzt auch mittelständische Unternehmen ab 50 Mitarbeitenden noch in diesem Jahr wirksamere Maßnahmen gegen IT-Angriffe ergreifen. Dazu zählen Risikoanalysen, Krisenmanagement, Datensicherung, Zugangskontrollkonzepte und Mitarbeiterschulungen. Die Geschäftsführung muss in diesem Kontext ihre Kontrollaufgaben aktiv wahrnehmen und kann die Anforderungen keinesfalls uneingeschränkt an die IT-Abteilungen oder Dienstleister delegieren. Mit Inkrafttreten der Richtlinie muss zudem mit einer weiteren Verschärfung gerechnet werden: Bei Verstößen drohen Bußgelder bis zu zehn Millionen Euro oder zwei Prozent des Jahresumsatzes. Und diese gesetzlichen Vorgaben werden sich früher oder später in den Versicherungsverträgen niederschlagen.
Persönliche Haftung für CEO und IT-Leiter
Das Bewusstsein für das Gefahrenpotenzial einer Cyberattacke ist in den Unternehmen meist vorhanden. Betriebe sollten deshalb regelmäßig Stresstests durchführen und entsprechende Notfallpläne aufstellen. In einem ersten Schritt sind kritische Prozesse und Risiken für das Kerngeschäft zu quantifizieren. Die Verantwortung dafür haben die IT-Abteilungen und die Geschäftsführung. CEO und IT-Leiter können persönlich haftbar gemacht werden, falls es zu ernsthaften Schäden kommt und eine Cyberversicherung und/oder adäquate Schutzmaßnahmen fehlen.
Pflicht und keine Kür: Die tägliche Datensicherung und sinnvolle Rechteverwaltung
Kleinst- und Kleinunternehmen sind gut beraten, den Angebotsprozess für IT-Cyberversicherungen zu durchlaufen, um danach die daraus resultierenden Mindestanforderungen in das eigene Unternehmen zu übertragen. Für diesen Vorgang können Angaben zur eigenen IT-Sicherheit in die Antragsmodelle einiger Versicherer übertragen werden, um zu prüfen, ob ein Cyberversicherungsschutz überhaupt möglich wäre. Auf diese Weise könnte auch eine Ablehnung eines Antrags verhindert werden. In diesem Kontext wies der Gewerbeversicherungsmakler FinanzChef24 vor Kurzem darauf hin, dass jeder zweite Antrag eines Unternehmens mit über zehn Millionen Euro Umsatz mit der Begründung „unzureichende IT-Sicherheit“ abgelehnt wird.
Durch diese Vorgehensweise können auch wichtige Hinweise auf mögliche Schwachstellen gewonnen werden und der Weg für ein neues Antragsverfahren auf Basis einer verbesserten IT-Sicherheit eröffnet werden. Als Mindestvoraussetzung werden häufig Abfragen zur Frequenz der Datensicherung, den Sicherheitstrainings für Mitarbeitende, die Zwei-Faktor-Authentisierung sowie ein angemessenes Konzept für die Rollen- und Rechtevergabe gefordert. Mit technischen und organisatorischen Maßnahmen sowie einer zielgerichteten Prävention besteht die Möglichkeit, das Restrisiko in Verbindung mit einem Hackerangriff zu reduzieren und mit einer passenden Cyberpolice abzusichern. Da Schadenfälle durch vermehrte Hackerangriffe zunehmen, setzen Versicherer für den Abschluss einer Cyberpolice eine ausreichende Firewall sowie eine IT-Umgebung auf einem aktuellen Stand als generelle Anforderungen an die IT-Sicherheit voraus.
IT-Dienstleister sind wichtigste Informationsquelle
Auf die Weise, wie Betriebe mit dem Cyberrisiko umgehen und das Risiko analysieren, haben IT-Dienstleister mittlerweile einen erheblichen Einfluss. Über alle Unternehmen stellen sie die meistgenannte Informationsquelle zum Thema Cybersicherheit dar. Deren Kompetenz und Bedeutung kann in kleinen und mittelständischen Unternehmen nicht hoch genug eingeschätzt werden. Nach einer Umfrage des HDI gaben 49 Prozent der Befragten ihren IT-Dienstleister als Informationsquelle zu Cyberthemen an. Mit 54 und 56 Prozent der Befragten war der Anteil der Nennungen bei Mittelständlern mit bis zu 250 Mitarbeitern und bei Kleinunternehmen mit bis zu 49 Mitarbeitern praktisch gleich.
Präventionsmaßnahmen und Schadenbehebung
Darüber hinaus nehmen IT-Dienstleister auch bei der Umsetzung von Präventionsmaßnahmen eine zentrale Rolle ein: 41 Prozent bestätigen, dass ihnen von ihren Geschäftspartnern zur Umsetzung von Präventionsmaßnahmen gegen Cyberattacken geraten wurde. Für eine Schadenbehebung nach einem Cyberangriff griffen 43 Prozent der Mittelständler auf IT-Spezialisten der Cyberversicherung und Kleinstunternehmer auf andere externe IT-Spezialisten (46 Prozent) zurück. Kleinunternehmer vertrauten in diesem Zusammenhang überwiegend auf den eigenen IT-Dienstleister (55 Prozent).
Nach einem schweren Hackerangriff ist von einer Betriebsunterbrechung von drei bis sechs Wochen auszugehen. Der Betrieb steht still, die Einnahmen fallen aus und die Fixkosten, wie Leasingverträge, Miete und Gehälter, laufen weiter. Darüber hinaus fallen Kosten für die IT-Wiederherstellung, die Kundenkommunikation sowie die Krisen-PR an, um Reputationsschäden bei Kunden, Zulieferern, Dienstleistern und Interessenten zu verhindern.
Für die Wiederherstellung der IT-Daten ist in der Regel mit 30 bis 50 Prozent des vorhandenen IT-Wertes zu rechnen. Da Betriebe laut DSGVO nach einem Cyberangriff verpflichtet sind, alle betroffenen Personen zu benachrichtigen, sind auch diese Aufwendungen nicht zu unterschätzen. Pro personenbezogenen Datensatz können 20 bis 40 Euro anfallen. Bei einem anerkannten Cyberschadenfall übernimmt die Cyberversicherung diese Kosten. Wobei Versicherer eine Kostenübernahme von Lösegeldanforderungen mittlerweile auch ausschließen.
Neue Musterbedingungen für Cyberpolicen
Die Rahmenbedingungen für den Cyberversicherungsmarkt haben sich seit der Erstveröffentlichung im Jahr 2017 durch mobiles Arbeiten, Workation, die Nutzung von Anwendungen über Cloud Computing oder auch die Schadenersatzansprüche bei Datenlecks weitreichend und dynamisch verändert. Deshalb wurden in diesem Jahr auch die unverbindlichen Musterbedingungen für Cyberpolicen vom Gesamtverband der Deutschen Versicherungswirtschaft (GDV) angepasst. Berücksichtigt wurden unter anderem die Aspekte für das IT-Sicherheitsniveau, externe Dienstleister, mobiles Arbeiten, eine Verletzung der Datenschutzgesetze sowie das Thema Krieg und staatliche Angriffe.
Lesen Sie dazu auch: Cyber-Security: Neues Gesetz ab Herbst treibt IT-Mindestvorgaben