(c) John Lund/Blend Images/ Getty Images
Cyber-Versicherungen springen ein, wenn Unternehmen Opfer eines Angriffs aus dem Internet geworden sind. Aber kaum ein mittelständischer Betrieb hat eine solche Police. Das soll sich ändern.
Bei Renault standen in Frankreich die Bänder still, britische Krankenhäuser mussten Patienten nach Hause schicken, bei der Deutschen Bahn funktionierten die Anzeigetafeln nicht: Das Schadprogramm Wannacry legte im Mai die Arbeit in Unternehmen weltweit lahm.
Die Angreifer versuchten, von den Betroffenen Lösegeld zu erpressen. Die Attacke sei ein „Weckruf für Unternehmen, IT-Sicherheit endlich ernst zu nehmen“, urteilte Arne Schönbohm, Präsident des Bundesamts für Sicherheit in der Informationstechnik (BSI).
Ein falscher Klick eines Mitarbeiters auf einen Link, eine Schwachstelle im Betriebssystem: Cyber-Kriminellen genügt eine kleine Sicherheitslücke, um zuzuschlagen. Im Visier haben sie nicht nur große Konzerne, sondern auch Mittelständler und kleine Firmen.
Immerhin 35 Prozent der kleinen und mittleren Unternehmen schätzen das Risiko hoch ein, Opfer eines Hackerangriffs oder eines Datenklaus zu werden, so eine aktuelle Studie der Gothaer Versicherung.
Das Thema Cybersicherheit sei für viele noch neu, erklärt Marc Tenbieg, geschäftsführender Vorstand des Deutschen Mittelstands-Bunds (DMB). Während Konzerne eigene Abteilungen zur IT-Sicherheit einrichten können, fehlen kleineren Betrieben dazu „die personellen, materiellen und finanziellen Kapazitäten“, so Tenbieg. „Das führt dazu, dass in kleinen Unternehmen IT-Systeme oftmals nur unzureichend geschützt sind.“
Schäden durch Cyberangriffe
Ein Fehler. Schließlich wüten Trojaner, Viren oder Würmer nicht nur im eigenen IT-System. Zusätzlich wird womöglich der Betrieb unterbrochen, Kunden klagen auf Schadenersatz. So können schnell Millionenschäden entstehen. Trotzdem handeln nach Aussage von Claudia Wagner von der Ergo-Versicherung viele Firmen „nach dem Prinzip Hoffnung: Man vertraut darauf, dass Investitionen in zusätzliche IT-Sicherheit das Risiko beherrschbar machen“.
Viele Assekuranzen bieten mittlerweile Cyber-Versicherungen an, die im Schadensfall einspringen. Bislang werden die Offerten aber von den Firmen kaum angenommen: Der Gothaer-Studie zufolge haben gerade mal neun Prozent der Betriebe eine abgeschlossen. Ein Grund: Viele Unternehmen sichern sich nicht ab, weil sie fälschlicherweise davon ausgehen, dass Schäden durch Datendiebstahl oder Hackerangriffe von der Betriebshaftpflicht abgedeckt werden.
Hinzu kommt: Cyber-Versicherungen sind ein komplexes Versicherungsinstrument. Auf die Höhe der Prämie hat neben der Größe eines Unternehmens und der Branche auch die Qualität der IT-Sicherheit Einfluss. Kann ein Betrieb einen soliden, anerkannten Informationssicherheitsschutz nachweisen, fällt die Prämie in der Regel niedriger aus.
In diesem Punkt sind Konzerne klar im Vorteil: Sie sind meist nach dem international anerkannten Standard für Informationssicherheit ISO 27001 oder nach dem BSI-Grundschutz zertifiziert und können so recht schnell Auskunft über den Grad von IT-Sicherheit in ihrem Betrieb geben. Dazu gehört etwa, dass vertrauliche Daten vor Hackerangriffen geschützt sind, ein Informationssicherheits-Management-System eingeführt wird und die Normen im Konzern über alle Hierarchieebenen fixiert sind.
Pakete für kleine und mittelgroße Betriebe
„Für kleine und mittlere Unternehmen sind diese umfangreichen Sicherheits-Frameworks aber kein gangbarer Weg, da sie nicht die Zeit, die Ressourcen oder das Know-how besitzen, sie umzusetzen“, sagt Sicherheitsexperte Dirk Losse von HID Global, einem Anbieter für Identitätslösungen.
Auch der Deutsche Mittelstands-Bund ist überzeugt, dass „insbesondere kleine Firmen oftmals nicht über die nötigen Personalressourcen verfügen, um die Anforderungen der Versicherer umzusetzen“. Gleichzeitig sei aber auch für die Versicherer das finanzielle Risiko schwer zu überschauen und die Prämien seien entsprechend hoch. Kleine Unternehmen mit wenigen Mitarbeitern könnten eine Cyber-Police bislang kaum finanzieren, so DMB-Geschäftsführer Tenbieg.
Doch sowohl die Versicherer als auch das BSI wollen nun auf die kleinen und mittelgroßen Betriebe zugehen. Die Behörde modernisiert ihren Grundschutz derzeit umfassend. Mit dem Ziel, diesem Kundenkreis einen einfachen Einstieg zu ermöglichen. Nun kommen Pakete auf den Markt, die auf unterschiedliche Unternehmensgrößen zugeschnitten sind, etwa „Cyber-Versicherung kompakt“ von Ergo für Unternehmen mit Umsätzen bis zu einer Million Euro, „Cyberrisk“ und „Cyber+Smart“ von HDI.
Zudem gibt es ein neues Verfahren, das es ermöglicht, die Informationssicherheit zu auditieren und zu zertifizieren. Entwickelt wurde es von der Sicherheitsfirma VdS Schadenverhütung. Die Richtlinie VdS 3473 ist nach Angaben von HID-Global-Experte Losse „auf die Bedürfnisse und knappen Ressourcen von KMU zugeschnitten“.
So ist keine umfangreiche Dokumentation mehr nötig und nur besonders kritische Teile der IT-Infrastruktur werden unter die Lupe genommen. Der Versicherer Provinzial Rheinland setzt schon auf die Richtlinie VdS 3473 – laut Losse beschäftigen sich bis zu sechs weitere Gesellschaften mit der Umsetzung.
Die Assekuranzen rechnen übrigens damit, dass Cyber-Versicherungen künftig europaweit eine wichtigere Rolle spielen. 2018 wird die neue Datenschutz-Grundverordnung der EU in nationales Recht umgesetzt und damit die individuelle Privatsphäre erheblich gestärkt. Nach Einschätzungen der Allianz werden in der Folge die Bußgeldzahlungen von Unternehmen spürbar zunehmen. Und damit wächst auch der Bedarf, sich gegen solche Risiken abzusichern.
Das könnte Sie interessieren
Blick in den IT-Giftschrank 24. April 2019 Er kennt die Tricks der…
So wehren Mittelständler neue Gefahren ab 21. Februar 2019 Die Häufung der Cyberattacken zeigt,…
Maßgeschneiderte Rollenverteilung 6. November 2018 Der deutschen Wirtschaft entstehen durch…
