Versicherer fordern zunehmend, dass Unternehmen Mindeststandards der Cyber-Sicherheit einhalten

[datensicherheit.de, 25.09.2024] Unternehmen müssen zwingend ihre IT sichern, bevor sie eine Cyber-Versicherung abschließen können. Die Versicherer prüfen IT-Sicherheit oft kostenlos bei Anfragen. Indes gilt es zu beachten, dass sich bei neuen Verträgen aktuell die Bedingungen offenbar verschärfen. Die Versicherer fordern demnach zunehmend, dass Unternehmen Mindeststandards einhalten. Diese variierten je nach Branche und Unternehmensgröße – Finanzchef24 beobachtet nach eigenen Angaben diese Entwicklung und erklärt in einer Stellungnahme aktuelle Trends.

Foto: Finanzchef24

Payam Rezvanian rät Unternehmen zu einem kostenlosen IT-Check, mit dem Versicherer Firmen bei der Cyber-Sicherheit helfen können

Angebotsanfrage für Cyber-Versicherung kann Unternehmen wertvolle Hinweise auf IT-Sicherheitslücken bieten

„Durch eine Angebotsanfrage zur Cyber-Versicherung erhalten Unternehmen oft wertvolle Hinweise auf ihre IT-Sicherheitslücken und können so ihre Schutzmaßnahmen bereits in der Angebotsphase verbessern“, erläutert Payam Rezvanian, Mitglied der Geschäftsleitung bei Finanzchef24. Viele Versicherer scannten die IT kostenlos bei der ersten Anfrage und zeigten mögliche Schwachstellen auf. „Es handelt sich sozusagen um einen kostenlosen IT-Check, mit dem Versicherer Firmen bei der Cyber-Sicherheit helfen.“

Über eine derartige Anfrage erhalte das Unternehmen quasi eine zweite Meinung zur IT-Sicherheit und könne diese an den zuständigen IT-Dienstleister weitergeben. „Je besser ein Unternehmen seine IT schützt, desto eher erhält es eine Cyber-Versicherung.“ Diese decke dann das Restrisiko ab, sollte es zum Schaden kommen. „Die Schadenswahrscheinlichkeit hat jedoch im Gegenzug bereits abgenommen, weil die Unternehmen ihre IT zuvor für die Versicherung auf Vordermann gebracht haben. Vom doppelten Schutz profitieren Unternehmer und Versicherer gleichermaßen“, so Rezvanian.

Foto: Finanzchef24

Frank Gottheil: Unternehmen sollten die vom Versicherer angebotenen Änderungen der Vertragsbedingungen regelmäßig überprüfen!

Cyber-Versicherer verändern ihre Bedingungen bei Neuverträgen

„Weil die Cyber-Attacken zunehmen, verändern Versicherer fortlaufend die Bedingungen für Cyber-Versicherungen bei Neuverträgen“, berichtet Frank Gottheil, auf Cyber-Versicherungen spezialisierter „Senior Firmenkundenberater“ bei Finanzchef24. Versicherer zahlten oft kein Lösegeld mehr oder begrenzten die Summe – dies entspreche nicht immer den Erwartungen der Kunden.

Einige Versicherer zögen sich sogar komplett aus diesem Geschäft zurück und kündigten bestehende Cyber-Verträge zur nächsten Möglichkeit. „Deshalb raten wir Unternehmen, auf Veränderungen zu achten und die vom Versicherer angebotenen Änderungen der Vertragsbedingungen regelmäßig zu überprüfen. Aufrüsten lohnt sich“, so Gottheils Fazit.

Weitere Informationen zum Thema:

datensicherheit.de, 10.04.2024
Basis für Cyber-Versicherungen: NIS-2-Richtlinie treibt IT-Mindestvorgaben für Unternehmen / Ab Oktober 2024 könnte der Abschluss einer Cyber-Versicherung für Unternehmen möglicherweise noch schwieriger werden

datensicherheit.de, 08.02.2023
Cyber-Versicherungen im Umbruch: Ransomware-Lösegeld-Forderungen bedrohen Unternehmen / Versicherer können Kosten der Ransomware-Schadensregulierung bald nicht mehr tragen

datensicherheit.de, 11.11.2022
Cyber-Versicherungen decken kritische Risiken immer seltener ab / Geschäftsführung und Vorstand drängen indes immer häufiger auf den Abschluss einer Cyber-Versicherung

IT-Notfallkarten sollten angelegt und Sicherheitslücken fortlaufend ermittelt werden

[datensicherheit.de, 23.07.2024] Unternehmen sollten das fehlerhafte „Crowdstrike“-IT-Update – welches u.a. abgesagte Operationen und Flüge sowie geschlossene Supermärkte zur Folge hatte – dringend zum Anlass nehmen, einen IT-Notfallplan zu erstellen und ihre Cyber-Resilienz zu überprüfen: „Ob die Ursache für einen IT-Ausfall ein Update-Fehler und ein Hacker-Angriff ist, spielt nicht nur bei Kritischen Infrastrukturen eine untergeordnete Rolle. Das Ergebnis ist in beiden Fällen verheerend. Im Falle eines Cyber-Angriffs kommen Image- und Reputationsschäden hinzu“, kommentiert Payam Rezvanian, Mitglied der Geschäftsleitung bei der Finanzchef24 GmbH. Fast jedes zweite Unternehmen in Deutschland sei heute bereits von einer Cyber-Attacke betroffen – doch nur etwa 40 Prozent der Unternehmen hätten überhaupt einen IT-Notfallplan.

Foto: Finanzchef24

Payam Rezvanian empfiehlt Hinweisschild zum Verhalten im IT-Notfall: Es sollte in physischer Form sichtbar positioniert werden!

Ausgereifter und regelmäßig erprobter IT-Notfallplan dringend empfohlen

Finanzchef24 rät Unternehmen nach eigenen Angaben „zu einem gut entwickelten und regelmäßig getesteten IT-Notfallplan“ und gibt hierzu auch einen guten Grund an, nämlich „dass eine bereits funktionierende IT-Sicherheit“ eine grundlegende Voraussetzung zum Abschluss einer Cyber-Versicherung sei. Die Zunahme digitaler Bedrohungen und komplexer werdenden Risikoszenarien erforderten eine systematische Vorgehensweise bei einer unternehmenskritischen Notfallsituation.

Die wichtigsten Punkte laut Finanzchef24 für einen IT-Notfallplan:

1. Effektive Kommunikation
Ein IT-Notfallkommunikationsplan, der sicherstellt, dass alle betroffenen Parteien schnell und klar informiert werden.
Im Vorfeld: Stakeholder identifizieren, Kommunikationskanäle festlegen, Nachrichten für verschiedene Szenarien vorbereiten.
Dabei seien Meldepflichten zu beachten – zum Beispiel: Datenschutzbehörde, Bundesamt für Sicherheit in der Informationstechnik (BSI) und natürlich auch die IT-Schadensmeldung an die Versicherung.

2. Umfassendes IT-Notfallkontaktbuch
Alle relevanten internen und externen Kontakte, die im Notfall benötigt werden.
Dieses Kontaktbuch sollte regelmäßig aktualisiert und sowohl an einem anderen Ort separat digital als auch in physischer Form sicher aufbewahrt werden.

3. Bereitstellung eines IT-Notfallkoffers
Ersatzrechner, -telefone, -server und wichtige Software, um den Geschäftsbetrieb aufrechtzuerhalten.
Ferner: Handbücher und Anweisungen in physischer Form für die schnelle Inbetriebnahme und Fehlerbehebung der Ersatzausrüstung.

4. IT-Notfallkarte
Hinweisschild in physischer Form sichtbar positioniert im bekannten Stil „Verhalten im Brandfall“ bietet Beschäftigten wichtige Verhaltenshinweise bei IT-Notfällen.
Die Notfallkarte sollte an zentralen Orten platziert werden, um einen unmittelbaren Beitrag zur „Security Awareness“ in der Organisation zu erzeugen.
Diese gebe Beschäftigten wichtige Verhaltenshinweisen bei IT-Notfällen, damit sie vom ersten Moment an richtige Entscheidungen treffen könnten (sie sollte die Ansprechpartner für IT-Notfälle und deren Erreichbarkeit beinhalten sowie die ersten Schritte zur Durchführung von Gegenmaßnahmen – diese dürften indes nur nach Absprache mit den Verantwortlichen durchgeführt werden).

5. Regelmäßige Überprüfungen und Übungen
Schulungen und Sensibilisierungsmaßnahmen im Unternehmen sollten sicherstellen, dass der IT-Notfallplan aktuell bleibt und alle Beteiligten wissen, was im Ernstfall zu tun ist.

Cyber- bzw. IT-Sicherheit als Chefsache

Da Cyber-Schadensvorfälle die Existenz eines Unternehmens gefährden, ist Cyber-Sicherheit laut Finanzchef24 Chefsache. „Auch wenn die Aufstellung eines solchen Plans zunächst aufwändig erscheint, ist dies eine Investition in die Zukunftssicherheit des Unternehmens. Es geht nicht nur um die Wiederherstellung von Systemen und Daten, sondern um das Vertrauen von Kunden, Partnern und Mitarbeitern und die Unternehmenszukunft“, unterstreicht Rezvanian.

Die Vorbereitung sollte regelmäßig überprüft, getestet und aktualisiert werden. Schulungen und Weiterbildungen der Mitarbeiter seien essenziell, wodurch die Belegschaft zu einem wesentlichen Bestandteil der Cyber-Sicherheit werde. Meist sei die Herausforderung die Kombination aus technischen Lücken und Fehlverhalten der Mitarbeiter. „Die IT kann noch so gut sein, der Mensch bleibt auch im Jahr 2024 das Problem. Die Bedrohung durch Cyber-Kriminalität nimmt kontinuierlich zu, und Unternehmen jeder Größe müssen sich darauf einstellen“, so Rezvanian.

Fehlende IT-Updates potenzielle Einfallstore für Cyber-Kriminelle

Das Problem sei, dass gerade kleine und mittlere Unternehmen (KMU) oft ihre IT-Sicherheit überschätzten und die Risiken eines Hacker-Angriffs unterschätzten. Die Basis der Gefährdung seien meist Bugs in der Software und fehlerhafte oder fehlende Updates, welche Internet-Bots das Ausspionieren ermöglichten. „Hacker greifen die kleinen und mittleren Unternehmen in der Regel nicht gezielt an. Die Cyber-Kriminellen verwenden dazu besondere Software, die alle verfügbaren Rechner und Homepages auf bekannte Sicherheitslücken absuchen“, berichtet Rezvanian.

Üblicherweise durchsuchen Bots das Internet wie eine Suchmaschine nach Lücken. Jeder Anschluss, der gerade online ist, werde geprüft. Es werde gesucht, „wo das letzte Update noch nicht installiert wurde und welche Software Sicherheitslücken aufweist“. Deswegen sollten Firmen auf aktuelle Updates und Systemsicherheit achten.

Weitere Informationen zum Thema:

datensicherheit.de, 14.05.2024
NIS-2-Anforderungen: Konkrete Bedeutung der verschärften EU-Richtlinie / NIS-2 baut auf Grundlage der Vorgängerrichtlinie von 2016 auf und ist eine Reaktion u.a. auf zunehmende Angriffe auf Lieferketten

datensicherheit.de, 26.07.2018
Incident Response Policy Template: Kostenlos Notfallpläne erstellen / PAM-Spezialist Thycotic unterstützt IT-Abteilungen bei der Erstellung eines individuellen Incident Response-Plans

datensicherheit.de, 07.03.2012
BITKOM: Jede zweite Firma ohne Notfallplan für IT-Sicherheitsvorfälle / Notfallplan als oberste Pflicht, um die Folgen eines IT-Sicherheitsvorfalls minimieren zu können

Ab Oktober 2024 könnte der Abschluss einer Cyber-Versicherung für Unternehmen möglicherweise noch schwieriger werden

[datensicherheit.de, 10.04.2024] Der Gewerbeversicherungsmakler Finanzchef24 geht in einer aktuellen Stellungnahme zu Cyber-Versicherungen auf die Bedeutung der Zweiten Richtlinie zur Netzwerk- und Informationssicherheit (NIS-2-Richtlinie) für Unternehmen ein und erläutert, dass auch kleine Unternehmen zunehmend unter Hacker-Angriffen zu leiden haben – diese aber grundsätzlich bessere Chancen hätten, überhaupt eine Police zu erhalten. Die Begründung laut Finanzchef24: „Bei Unternehmen mit über zehn Millionen Euro Umsatz wird mittlerweile rund jeder zweite Antrag wegen unzureichender IT-Sicherheit abgelehnt.“

Empfehlung zur Cyber-Versicherung, mit der sich Risiken modular versichern lassen

Ab Oktober 2024 könnte dann der Abschluss einer Cyber-Versicherung für Unternehmen möglicherweise noch schwieriger werden, weil dann die NIS-2-Richtlinie endgültig in Kraft tritt. Grundsätzlich rät Finanzchef24 zu einer Cyber-Versicherung, mit der sich Risiken modular versichern ließen.

Deutlich günstiger und ebenfalls eine einfache Option könnten Schutzbriefe sein, welche im Ernstfall vor allem beratend Unterstützung böten. Weniger ratsam seien an die Betriebshaftplicht gekoppelte Zusatzverträge.

Foto: Finanzchef24

Payam Rezvanian rät zu regelmäßigen Stresstests und einem Notfallplan

Bei Verletzung der Cyber- bzw. IT-Sicherheit können CEO und IT-Leiter in die persönliche Haftung geraten

„Jedes Unternehmen sollte regelmäßig Stresstests durchführen und einen Notfallplan aufstellen“, so Payam Rezvanian, Mitglied der Geschäftsleitung bei Finanzchef24, in seinem Kommentar. Nach seinen Erfahrungen ist das Bewusstsein für das Thema grundsätzlich vorhanden – aber vielen kleinen Unternehmen falle der erste Schritt schwer. Unternehmen sollten daher zunächst kritische Prozesse und Risiken im Kerngeschäft quantifizieren.

„Zudem müssen gerade Geschäftsführer von kleineren Unternehmen begreifen, dass Informationssicherheit nicht nur eine Aufgabe der IT-Abteilung ist, sondern des Geschäftsführers“, betont Rezvanian. CEO und IT-Leiter könnten persönlich haftbar gemacht werden, wenn es zu ernsthaften Schäden kommt – „und wenn das Unternehmen weder eine Cyber-Versicherung abgeschlossen, noch sich adäquat geschützt hat“.

Foto: Finanzchef24

Frank Gottheil: Schadenfall durch TOM so weit wie möglich in die Zukunft verschieben und das Restrisiko an eine Cyber-Versicherung abgeben!

Pflichtprogramm für Cyber-Sicherheit: Tägliche Datensicherung und sinnvolle Rechteverwaltung

Kleinst- und Kleinunternehmen sollten daher einen Angebotsprozess für IT-Cyber-Versicherungen durchlaufen – um im Zuge dessen die Mindestanforderungen ins eigene Unternehmen übertragen. Einige Versicherer böten sogenannte Antragsmodelle an: Dort könnten Unternehmer Angaben zur eigenen IT-Sicherheit machen und prüfen, ob sie eine Versicherung erhalten würden. So werde einerseits verhindert, dass Anträge abgelehnt werden und andererseits erhalte das Unternehmen Hinweise auf wesentliche IT-Schwachstellen. Dies ebne den Weg für einen neuen Antrag mit verbesserter IT-Sicherheit.

Als Mindestvoraussetzung würden meist Kriterien gefordert wie die Frequenz der Datensicherung, Sicherheitstrainings für Mitarbeiter, Zwei-Faktor-Authentifizierung und ein angemessenes Konzept der Rechtevergabe. Frank Gottheil, „Senior-Firmenkundenberater“ bei Finanzchef24, erläutert: „Im Prinzip geht es beim Thema Cyber-Sicherheit darum, den Schadenfall durch technische und organisatorische Lösungen so weit wie möglich in die Zukunft zu verschieben und das Restrisiko an eine Cyber-Versicherung abzugeben.“

Cyber-Sicherheit: Kein einmaliges Projekt, sondern fortlaufender Prozess!

Versicherer setzten wegen der steigenden Schadenfälle Firewalls ebenso voraus wie einen aktuellen Stand der IT-Technik. Darüber hinaus passten Versicherer fortlaufend ihre Konditionen an. Neben oft steigenden Prämien, und niedrigeren Deckungssummen erhöhten sie sukzessive die generellen Anforderungen an die IT-Sicherheit.

Spätestens ab Oktober 2024 sei mit einer weiteren Verschärfung zu rechnen: Dann tritt in Deutschland die NIS-2-Richtlinie in Kraft. Bei Verstößen drohten Bußgelder bis zu zehn Millionen Euro oder zwei Prozent des Jahresumsatzes. „Zwar gilt die Richtlinie nur für Unternehmen, die mehr als 50 Mitarbeiter beschäftigen, mehr als zehn Millionen Euro Umsatz erwirtschaften und in kritischen Wirtschaftsbereichen tätig sind. Allerdings kommen gesetzliche Vorgaben früher oder später in den Verträgen an“, betont Gottheil.

Kosten durch Betriebsunterbrechung in Folge einer Cyber-Attacke immens

Eine Cyber-Versicherung zu prüfen, lohnt laut Finanzchef24 nicht nur als erster Stresstest, sondern vor allem in Ernstfall: Diese übernehme im anerkannten Schadenfall die Kosten für die IT-Wiederherstellung, die Kundenkommunikation, Benachrichtigung der Kunden, Interessenten und Zulieferer sowie die Betriebsunterbrechung. „Im Schnitt dauert eine Betriebsunterbrechung nach einem schweren Hacker-Angriff drei bis sechs Wochen. In dieser Zeit fällt einerseits das Geschäft aus, anderseits laufen weiterhin die Fixkosten etwa für die Gehälter“, erläutert Gottheil.

Die Wiederherstellung der IT-Daten werde in der Regel mit 30 bis 50 Prozent des IT-Wertes angesetzt. Nicht zu unterschätzen seien die Benachrichtigungskosten: „Laut DSGVO sind Unternehmen nach einem Cyber-Angriff verpflichtet, alle betroffenen Personen zu benachrichtigen. Die Kosten dafür liegen bei 20 bis 40 Euro je personenbezogenem Datensatz.“ Hinzu kämen Kosten für die weitere Kommunikation wie Öffentlichkeitsarbeit, um mögliche Reputationsschäden zu minimieren. Immer weniger Versicherer seien indes bereit, für Lösegeldforderungen aufzukommen.

Weitere Informationen zum Thema:

datensicherheit.de, 08.02.2023
Cyber-Versicherungen im Umbruch: Ransomware-Lösegeld-Forderungen bedrohen Unternehmen / Versicherer können Kosten der Ransomware-Schadensregulierung bald nicht mehr tragen

datensicherheit.de, 11.11.2022
Cyber-Versicherungen decken kritische Risiken immer seltener ab / Geschäftsführung und Vorstand drängen indes immer häufiger auf den Abschluss einer Cyber-Versicherung

datensicherheit.de, 03.06.2020
Senkung des Restrisikos: Cyberversicherungen im Mittelstand / Steigende Komplexität der IT-Infrastruktur durch zunehmende Digitalisierung

datensicherheit.de, 30.09.2019
Cyber-Versicherung als digitaler Rettungsring im Ernstfall / Laut Cyber-Studie 2019 kennen nur 36% der Unternehmen den Umfang einer solchen Versicherung

datensicherheit.de, 30.05.2019
Fünf Tipps für Cyber-Versicherungs-Policen / Abschluss einer Police ist nicht unbedingt einfach