Aktuelles, Branche - geschrieben von dp am Mittwoch, April 10, 2024 10:14 - noch keine Kommentare
Basis für Cyber-Versicherungen: NIS-2-Richtlinie treibt IT-Mindestvorgaben für Unternehmen
Ab Oktober 2024 könnte der Abschluss einer Cyber-Versicherung für Unternehmen möglicherweise noch schwieriger werden
[datensicherheit.de, 10.04.2024] Der Gewerbeversicherungsmakler Finanzchef24 geht in einer aktuellen Stellungnahme zu Cyber-Versicherungen auf die Bedeutung der Zweiten Richtlinie zur Netzwerk- und Informationssicherheit (NIS-2-Richtlinie) für Unternehmen ein und erläutert, dass auch kleine Unternehmen zunehmend unter Hacker-Angriffen zu leiden haben – diese aber grundsätzlich bessere Chancen hätten, überhaupt eine Police zu erhalten. Die Begründung laut Finanzchef24: „Bei Unternehmen mit über zehn Millionen Euro Umsatz wird mittlerweile rund jeder zweite Antrag wegen unzureichender IT-Sicherheit abgelehnt.“
Empfehlung zur Cyber-Versicherung, mit der sich Risiken modular versichern lassen
Ab Oktober 2024 könnte dann der Abschluss einer Cyber-Versicherung für Unternehmen möglicherweise noch schwieriger werden, weil dann die NIS-2-Richtlinie endgültig in Kraft tritt. Grundsätzlich rät Finanzchef24 zu einer Cyber-Versicherung, mit der sich Risiken modular versichern ließen.
Deutlich günstiger und ebenfalls eine einfache Option könnten Schutzbriefe sein, welche im Ernstfall vor allem beratend Unterstützung böten. Weniger ratsam seien an die Betriebshaftplicht gekoppelte Zusatzverträge.
Payam Rezvanian rät zu regelmäßigen Stresstests und einem Notfallplan
Bei Verletzung der Cyber- bzw. IT-Sicherheit können CEO und IT-Leiter in die persönliche Haftung geraten
„Jedes Unternehmen sollte regelmäßig Stresstests durchführen und einen Notfallplan aufstellen“, so Payam Rezvanian, Mitglied der Geschäftsleitung bei Finanzchef24, in seinem Kommentar. Nach seinen Erfahrungen ist das Bewusstsein für das Thema grundsätzlich vorhanden – aber vielen kleinen Unternehmen falle der erste Schritt schwer. Unternehmen sollten daher zunächst kritische Prozesse und Risiken im Kerngeschäft quantifizieren.
„Zudem müssen gerade Geschäftsführer von kleineren Unternehmen begreifen, dass Informationssicherheit nicht nur eine Aufgabe der IT-Abteilung ist, sondern des Geschäftsführers“, betont Rezvanian. CEO und IT-Leiter könnten persönlich haftbar gemacht werden, wenn es zu ernsthaften Schäden kommt – „und wenn das Unternehmen weder eine Cyber-Versicherung abgeschlossen, noch sich adäquat geschützt hat“.
Frank Gottheil: Schadenfall durch TOM so weit wie möglich in die Zukunft verschieben und das Restrisiko an eine Cyber-Versicherung abgeben!
Pflichtprogramm für Cyber-Sicherheit: Tägliche Datensicherung und sinnvolle Rechteverwaltung
Kleinst- und Kleinunternehmen sollten daher einen Angebotsprozess für IT-Cyber-Versicherungen durchlaufen – um im Zuge dessen die Mindestanforderungen ins eigene Unternehmen übertragen. Einige Versicherer böten sogenannte Antragsmodelle an: Dort könnten Unternehmer Angaben zur eigenen IT-Sicherheit machen und prüfen, ob sie eine Versicherung erhalten würden. So werde einerseits verhindert, dass Anträge abgelehnt werden und andererseits erhalte das Unternehmen Hinweise auf wesentliche IT-Schwachstellen. Dies ebne den Weg für einen neuen Antrag mit verbesserter IT-Sicherheit.
Als Mindestvoraussetzung würden meist Kriterien gefordert wie die Frequenz der Datensicherung, Sicherheitstrainings für Mitarbeiter, Zwei-Faktor-Authentifizierung und ein angemessenes Konzept der Rechtevergabe. Frank Gottheil, „Senior-Firmenkundenberater“ bei Finanzchef24, erläutert: „Im Prinzip geht es beim Thema Cyber-Sicherheit darum, den Schadenfall durch technische und organisatorische Lösungen so weit wie möglich in die Zukunft zu verschieben und das Restrisiko an eine Cyber-Versicherung abzugeben.“
Cyber-Sicherheit: Kein einmaliges Projekt, sondern fortlaufender Prozess!
Versicherer setzten wegen der steigenden Schadenfälle Firewalls ebenso voraus wie einen aktuellen Stand der IT-Technik. Darüber hinaus passten Versicherer fortlaufend ihre Konditionen an. Neben oft steigenden Prämien, und niedrigeren Deckungssummen erhöhten sie sukzessive die generellen Anforderungen an die IT-Sicherheit.
Spätestens ab Oktober 2024 sei mit einer weiteren Verschärfung zu rechnen: Dann tritt in Deutschland die NIS-2-Richtlinie in Kraft. Bei Verstößen drohten Bußgelder bis zu zehn Millionen Euro oder zwei Prozent des Jahresumsatzes. „Zwar gilt die Richtlinie nur für Unternehmen, die mehr als 50 Mitarbeiter beschäftigen, mehr als zehn Millionen Euro Umsatz erwirtschaften und in kritischen Wirtschaftsbereichen tätig sind. Allerdings kommen gesetzliche Vorgaben früher oder später in den Verträgen an“, betont Gottheil.
Kosten durch Betriebsunterbrechung in Folge einer Cyber-Attacke immens
Eine Cyber-Versicherung zu prüfen, lohnt laut Finanzchef24 nicht nur als erster Stresstest, sondern vor allem in Ernstfall: Diese übernehme im anerkannten Schadenfall die Kosten für die IT-Wiederherstellung, die Kundenkommunikation, Benachrichtigung der Kunden, Interessenten und Zulieferer sowie die Betriebsunterbrechung. „Im Schnitt dauert eine Betriebsunterbrechung nach einem schweren Hacker-Angriff drei bis sechs Wochen. In dieser Zeit fällt einerseits das Geschäft aus, anderseits laufen weiterhin die Fixkosten etwa für die Gehälter“, erläutert Gottheil.
Die Wiederherstellung der IT-Daten werde in der Regel mit 30 bis 50 Prozent des IT-Wertes angesetzt. Nicht zu unterschätzen seien die Benachrichtigungskosten: „Laut DSGVO sind Unternehmen nach einem Cyber-Angriff verpflichtet, alle betroffenen Personen zu benachrichtigen. Die Kosten dafür liegen bei 20 bis 40 Euro je personenbezogenem Datensatz.“ Hinzu kämen Kosten für die weitere Kommunikation wie Öffentlichkeitsarbeit, um mögliche Reputationsschäden zu minimieren. Immer weniger Versicherer seien indes bereit, für Lösegeldforderungen aufzukommen.
Weitere Informationen zum Thema:
datensicherheit.de, 08.02.2023
Cyber-Versicherungen im Umbruch: Ransomware-Lösegeld-Forderungen bedrohen Unternehmen / Versicherer können Kosten der Ransomware-Schadensregulierung bald nicht mehr tragen
datensicherheit.de, 11.11.2022
Cyber-Versicherungen decken kritische Risiken immer seltener ab / Geschäftsführung und Vorstand drängen indes immer häufiger auf den Abschluss einer Cyber-Versicherung
datensicherheit.de, 03.06.2020
Senkung des Restrisikos: Cyberversicherungen im Mittelstand / Steigende Komplexität der IT-Infrastruktur durch zunehmende Digitalisierung
datensicherheit.de, 30.09.2019
Cyber-Versicherung als digitaler Rettungsring im Ernstfall / Laut Cyber-Studie 2019 kennen nur 36% der Unternehmen den Umfang einer solchen Versicherung
datensicherheit.de, 30.05.2019
Fünf Tipps für Cyber-Versicherungs-Policen / Abschluss einer Police ist nicht unbedingt einfach
Aktuelles, Experten - Nov 21, 2024 20:50 - noch keine Kommentare
ePA für alle: Daten für die Forschung und das Risiko trägt der Patient
weitere Beiträge in Experten
- CRA endgültig in Kraft getreten: Digitale Produkte in der EU kommen auf den Prüfstand
- Datenleck bei Öko-Stromanbieter: 50.000 Datensätze deutscher Tibber-Kunden im Darknet
- HmbBfDI unternahm branchenweite Schwerpunktprüfung im Forderungsmanagement
- Repräsentative Studie von Civey und QBE: Über 24 Prozent deutscher Unternehmen kürzlich von Cyber-Attacke betroffen
- Datenschutz-Sandbox: Forschungsprojekt soll sicherer Technologieentwicklung Raum geben
Aktuelles, Branche - Nov 21, 2024 20:58 - noch keine Kommentare
Gelsemium-Hacker: ESET warnt vor neuen Linux-Backdoors
weitere Beiträge in Branche
- Laut 2025 Identity Fraud Report alle fünf Minuten ein Deepfake-Angriff
- Unternehmen sollten NIS-2 ernst nehmen und schnell konforme Lösungen etablieren
- Betrug im Digital-Zeitalter: Moderne IT definiert -Bedrohungen und -Schutzmaßnahmen neu
- TOPqw Webportal: G DATA deckte fünf Sicherheitslücken auf
- Proofpoint gibt Tipps gegen Online-Betrug – Hochsaison der Online-Einkäufe startet
Branche, Umfragen - Dez 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Kommentieren