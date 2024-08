5.8.2024 – In der heutigen Zeit dürfen Unternehmen die Gefahr von Cyberrisiken nicht ignorieren. Es muss nachhaltig in IT-Sicherheit investiert werden. Dabei sollte auf ganzheitliche Lösungen aus Prävention und Reaktion auf Schäden gesetzt werden. Ein wesentlicher Bestandteil ist dabei die Risikobewertung. Hier kommt auch Versicherungsunternehmen und Versicherungsvermittlern eine bedeutende Rolle zu, schreibt Gerrit Knichwitz, Geschäftsführer des IT-Dienstleisters Perseus, in seinem Gastbeitrag.

Die Zeichen stehen auf Wachstum. Zumindest im Hinblick auf den Trend der abgeschlossenen Cyberversicherungen. Laut der Bundesanstalt für Finanzdienstleistungsaufsicht (Bafin) hat sich das Geschäft mit reinen Cyberpolicen im Betrachtungszeitraum 2020 bis 2022 über alle Kundengruppen und Regionen mehr als verdoppelt.

Gerrit Knichwitz (Bild: Perseus)

Bei der Wahl der Cyberversicherung gehen Versicherungsnehmer sehr zielgerichtet vor. Für sie stehen beim Abschluss der Versicherung insbesondere Leistungen für den Schadenfall im Fokus. Das sind laut einer diesjährigen Untersuchung der Statista GmbH zum Beispiel eine 24/7-Beratung (63 Prozent), die Kostenübernahme der Wiederherstellung der IT-Systeme (62 Prozent) sowie der Zugang zu IT-Forensik-Experten (59,5 Prozent).

Ohne Prävention gibt es oft keinen Schutz

Der Faktor Präventionsleistungen spielt beim Abschluss einer Police ebenfalls eine sehr große Rolle. Das Angebot von vorbeugenden Lösungen ist eine Win-Win-Situation für Versicherungsnehmer und Versicherer. Denn durch gezielte Präventionsmaßnahmen wird der Eintritt eines Schadens verhindert oder das Ausmaß reduziert.

Leistungen wie die Sensibilisierung der Mitarbeiter, das Vorhandensein von Prozessen im Notfall sowie die Einhaltung von Mindeststandards im Bereich IT-Sicherheit gelten inzwischen häufig für Versicherungsunternehmen als Mindestvoraussetzung für den Abschluss einer Versicherung.

Sollten im Schadensfall obligatorische Maßnahmen nicht nachgewiesen werden können, hat das Einfluss auf den Versicherungsschutz. Teilweise werden Schäden nicht übernommen, Prämien bei Vertragserneuerung gegebenenfalls angepasst oder der Versicherungsschutz wird komplett aufgehoben.

Die Reduktion von Cyberrisiken hat oberste Priorität

Warum der Abschluss einer Cyberversicherung für Unternehmen unabhängig von der Größe empfehlenswert ist, zeigt ein Blick auf das aktuelle Geschehen. Drei Viertel aller Unternehmen sind von Cyberkriminalität betroffen. Der deutschen Wirtschaft entsteht dabei laut Bitkom e.V. ein Schaden von mehr als 200 Milliarden Euro jährlich.

Um diese Bedrohungen abzuwenden, müssen Unternehmen in ganzheitliche Lösungen investieren. Wir sehen hier ein Wechselspiel aus zwei Komponenten.

Zum einen muss das Cyberrisiko eines Unternehmens durch Prävention minimiert werden. Dies geschieht durch die Stärkung des Unternehmens mit Hilfe von technischen und organisatorischen Risikobewertungen und der Sensibilisierung von Mitarbeitern. Diese Maßnahmen tragen dazu bei, dass kriminelle Hacker bei ihren Angriffen auf eine aktive Abwehr stoßen.

Zum anderen müssen die Auswirkungen eines möglichen Cyberangriffs reduziert werden. Hier spielen das Notfallmanagement und die finanzielle Absicherung des Restrisikos eine wichtige Rolle.

Im Fokus der Prävention: Risikobewertung als Alleskönner

Während in der Prävention die regelmäßige Sensibilisierung von Mitarbeitern mittlerweile zum Standard gehört, nimmt insbesondere die Bedeutung von Risikobewertungen im Kampf gegen Cyberkriminalität stark zu.

Durch das gezielte Suchen nach vorhandenen technischen und organisatorischen Sicherheitslücken, das Aufdecken sowie das frühzeitige Schließen dieser Schwachstellen profitieren Unternehmen immens. So lassen sich eine Vielzahl von Cyberangriffen und die damit verbundenen Konsequenzen wie Betriebsunterbrechungen, Imageschäden, Kundenverluste, Wettbewerbsnachteile oder Bußgelder vermeiden.

Versicherungsprämie risikoadäquat bestimmen

Doch nicht nur Unternehmen profitieren von dem Einsatz von Risikobewertungen. Auch Versicherer können die Ergebnisse dieser Analysen nutzen. Unter anderem kann die Versicherungsprämie risikoadäquater bestimmt werden, da auf das individuelle Risikoprofil des Versicherungsnehmers eingegangen werden kann.

Auch können Versicherer besser selektieren, welche Risiken sie absichern wollen, und es lassen sich bessere Konditionen bei Rückversicherern aushandeln. Letztlich lassen sich auch Kundenzufriedenheit und -loyalität durch ein ganzheitliches Beratungsangebot innerhalb der Risikobewertung erhöhen.

Großer Bedarf an Risikobewertungen bei KMU

Kleine und mittlere Unternehmen mit bis zu 100 Mitarbeitern haben oft wenig oder keine internen Ressourcen, um die eigene IT-Sicherheitsbedrohungslage zu beurteilen. Daher müssen externe Ressourcen und Experten herangezogen werden, um festzustellen, ob das Unternehmen nachhaltig gegen Cyberrisiken aufgestellt ist.

In diesen Fällen sind technische und organisatorische Risikobewertungen das effektivste Mittel, um die notwendigen und aussagekräftigen Ergebnisse zur Gefährdungslage zu erhalten.

Die von uns durchgeführten Analysen von Risikobewertungen bestätigen, dass noch deutlicher Nachholbedarf besteht. Unternehmen investieren durchaus in ihre IT-Sicherheit. Grundlegende technische Schutzmaßnahmen wie Antivirenprogramme und Firewalls sowie organisatorische und prozessuale Maßnahmen wie das Anlegen von Datensicherungskopien sowie das Absichern von Zugängen durch Passwörter sind vorhanden.

Dennoch bestehen Anfälligkeiten in der IT-Infrastruktur der Unternehmen. So werden Logdateien beispielsweise nicht ausreichend überwacht und auch der Einsatz einer Multi-Faktor-Authentifizierung wird häufig in relevanten Bereichen nicht genutzt. Diese Defizite können durch entsprechende Risikobewertungen frühzeitig erkannt werden.

Bedarf an Beratung: Der Vermittler steht im Fokus

Auch Versicherungsmakler können KMU zur Durchführung von Risikobewertungen anregen, indem die Analysen proaktiv im Beratungsgespräch angesprochen und dem Unternehmen vorgeschlagen werden. Dabei ist es nicht notwendig, dass der Vermittler eine fachliche Beratung durchführt. Diese Untersuchung sollte durch geschulte und erfahrene Dienstleister übernommen werden.

Die gewonnenen Erkenntnisse aus den Analysen reduzieren nicht nur die Eintrittswahrscheinlichkeit von Cyberangriffen, da bestehende Sicherheitslücken frühzeitig offengelegt werden. Sie helfen auch bei der Feststellung besonders unternehmenskritischer Bereiche, der Identifizierung besonders sensibler Daten, bei der Priorisierung und Implementierung von Prozessen und letztlich beim Erstellen von Notfallplänen.

Um diesen elementaren Trend weiter voranzutreiben, kommt auch Versicherungsunternehmen und Versicherungsvermittlern eine bedeutende Rolle zu. Indem strukturierte Risikobewertungen Teil der Cyberversicherung werden und das Thema kontinuierlich in den Beratungsgesprächen angesprochen wird, lassen sich Risiken vermindern, Schäden vermeiden und Schadenkosten minimieren.

Gerrit Knichwitz

Der Autor ist Geschäftsführer des Cybersicherheits- und IT-Dienstleisters Perseus Technologies GmbH mit mehr als zehn Jahren Erfahrung in der Finanz- und Versicherungsbranche.