In einer zunehmend digitalisierten Geschäftswelt wird die Absicherung vor Cyberangriffen für Unternehmen jeglicher Größe immer relevanter. Insbesondere kleine und mittlere Unternehmen (KMU) setzen vermehrt auf Cyberversicherungen, um sich gegen die wachsenden Bedrohungen aus dem Cyberraum zu schützen. Doch trotz der steigenden Popularität solcher Versicherungen werfen die komplexen Zusammenhänge rund um Risikobewertung, Beitragshöhen und Zertifizierungen viele Fragen auf. Der Bundesverband IT-Mittelstand e.V. (BITMi) in Kooperation mit der Industrie- und Handelskammer (IHK) Aachen sowie dem digitalHUB Aachen e.V., haben hierauf eine Antwort gefunden und luden am 24. August 2023 zur kostenfreien Informationsveranstaltung „CYBERver(SICHER)t – aber wie? Aktuelle Fragen zur Cyberversicherung, Risikobewertung und Zertifizierung“ ein. Hier fassen wir die Antworten auf diese Fragen noch einmal zusammen.
Die digitale Revolution hat zweifellos zahlreiche Vorteile für Unternehmen gebracht, aber sie hat auch eine Vielzahl von Risiken in Form von Cyberangriffen und Datenverletzungen mit sich gebracht. KMUs, die oft nicht über die Ressourcen großer Konzerne verfügen, sind besonders gefährdet. Als Reaktion darauf haben sich viele KMUs für den Abschluss von Cyberversicherungen entschieden, um sich gegen die finanziellen Folgen von Cyberattacken abzusichern. Die steigenden Preise solcher Versicherungen sowie die Ablehnung von Versicherungsanträgen bringen jedoch wichtige Fragen auf: Wie erfolgt die Bewertung der Unternehmen durch Versicherungsanbieter? Was sind die Kriterien für die Risikobewertung? Warum werden manche Unternehmen abgelehnt? Und welche Rolle spielen Zertifizierungen in diesem Kontext?
Cyberversicherung: Risikobewertung und Anforderungskatalog
Lennart Schröder von der contego Finanzberatung GmbH sowie Dominik Bieniek von der i2System GmbH beleuchteten die Kriterien, nach denen Cyberversicherer Unternehmen bewerten. Sie erklärten den Prozess der Risikobewertung und wie ein Anforderungskatalog für die Versicherungsabsicherung aussehen könnte. Ausschlaggebend für die sogenannten Risikoinformationen sind insbesondere der Umsatz sowie die Tätigkeit des Unternehmens. Die Versicherer geben für Unternehmen bis meistens 10 Mio. Euro Umsatz die zu erfüllenden Anforderungen im Vorfeld bekannt, wie z. B. technische Anforderungen zum Virenschutz, Patchmanagement oder der Datensicherung. Bei größeren Unternehmen kommen strengere technische, organisatorische und weitere Voraussetzungen hinzu. Dies können die Multi-Faktor-Authentifizierung, jährliche Mitarbeiterschulungen, Business-Continuity-Pläne oder der Beleg über eine ISO27001 Zertifizierung sein. Grundvoraussetzung ist häufig, dass es bisher keine Cyber-Schäden gab. Ist dies der Fall, muss individuell mit dem Versicherer verhandelt werden und der Hergang, die Schadenhöhe sowie die getroffenen Maßnahmen zur Vermeidung ähnlicher Fälle vorgelegt und erläutert werden.
Zertifizierung als starkes Kriterium für die Cyberversicherung
Sandra Wiesbeck, Geschäftsführerin des IT-Sicherheitscluster e.V. und freiberufliche Auditorin, präsentierte eine Übersicht über verschiedene Zertifizierungen im Bereich IT-Sicherheit. Sie erklärte, welche Zertifizierungen von CISIS12 für KMO bis zur ISO/IEC 27001 für zu welchem Unternehmenstyp passen und welche Förderungen es in diesem Zusammenhang gibt. Ihr Fazit: Ein ISMS schafft gerade bei KMO mehr Sicherheit und ist ein großes Plus auf dem Weg hin zu einer Cyberversicherung.
Die Veranstaltung „CYBERver(SICHER)t – aber wie?“ war ein wichtiger Schritt, um Unternehmen auf ihrem Weg zu einer umfassenden Cybersicherheitsstrategie zu unterstützen. Sie bot nicht nur wertvolle Informationen, sondern auch eine Plattform für Unternehmen, sich mit Gleichgesinnten auszutauschen und gemeinsam an Lösungsansätzen zu arbeiten. Angesichts der stetig wachsenden Bedrohungen aus dem Cyberraum ist eine solche Veranstaltung von unschätzbarem Wert für Unternehmen, die sich gegen diese Gefahren wappnen wollen.