Nach Einschätzung von Payam Rezvanian, Mitglied der Geschäftsleitung bei Finanzchef24, ist das Bewusstsein für das Thema Cybersicherheit grundsätzlich bei kleinen und mittleren Unternehmen vorhanden – aber vielen kleinen Unternehmen fällt der erste Schritt schwer. Unternehmen sollten daher zunächst kritische Prozesse und Risiken im Kerngeschäft quantifizieren. „Jedes Unternehmen sollte regelmäßig Stresstests durchführen und einen Notfallplan aufstellen“, rät Rezvanian.
Zudem müssten gerade Geschäftsführer von kleineren Unternehmen begreifen, dass Informationssicherheit nicht nur eine Aufgabe der IT-Abteilung ist, sondern auch des Geschäftsführers. CEO und IT-Leiter können persönlich haftbar gemacht werden, wenn es zu ernsthaften Schäden kommt – und wenn das Unternehmen weder eine Cyberversicherung abgeschlossen, noch sich adäquat geschützt hat.
Haftungsfragen: CEO und IT-Leiter in der Verantwortung
Die Gewerbeversicherungsplattform rät Kleinst- und Kleinunternehmen, einen Angebotsprozess für IT-Cyberversicherungen zu durchlaufen – um im Zuge dessen die Mindestanforderungen ins eigene Unternehmen zu übertragen. Einige Versicherer bieten sogenannte Antragsmodelle an: Dort können Unternehmer Angaben zur eigenen IT-Sicherheit machen und prüfen, ob sie eine Versicherung erhalten würden. Dadürch würde einerseits verhindert, dass Anträge abgelehnt werden und andererseits erhalte das Unternehmen Hinweise auf wesentliche IT-Schwachstellen.
Laut Rezvanian ebne dieses Vorgehen den Weg für einen neuen Antrag mit verbesserter IT-Sicherheit. Als Mindestvoraussetzung werden nach Angaben des Gewerbeversicherungsportals meist Kriterien wie die Frequenz der Datensicherung, Sicherheitstrainings für Mitarbeiter, 2-Faktor-Authentifizierung und ein angemessenes Konzept der Rechtevergabe gefordert. „Im Prinzip geht es beim Thema Cybersicherheit darum, den Schadenfall durch technische und organisatorische Lösungen so weit wie möglich in die Zukunft zu verschieben und das Restrisiko an eine Cyberversicherung abzugeben“, erklärt Frank Gottheil, Senior Firmenkundenberater bei Finanzchef24.
Cybersicherheit: Fortlaufender Prozess, nicht einmaliges Projekt
So setzen Versicherer wegen der steigenden Schadenfälle Firewalls ebenso voraus wie einen aktuellen Stand der IT-Technik. Darüber hinaus passen Versicherer fortlaufend ihre Konditionen an. Neben oft steigenden Prämien, und niedrigeren Deckungssummen erhöhen sie sukzessive die generellen Anforderungen an die IT-Sicherheit. Spätestens ab Oktober 2024 ist mit einer weiteren Verschärfung zu rechnen. Dann tritt in Deutschland die NIS-2-Richtlinie in Kraft.
Bei Verstößen drohen Bußgelder bis zu zehn Millionen Euro oder zwei Prozent des Jahresumsatzes. „Zwar gilt die Richtlinie nur für Unternehmen, die mehr als 50 Mitarbeiter beschäftigen, mehr als 10 Millionen Euro Umsatz erwirtschaften und in kritischen Wirtschaftsbereichen tätig sind. Allerdings kommen gesetzliche Vorgaben früher oder später in den Verträgen an“, sagt Gottheil.
„Im Schnitt dauert eine Betriebsunterbrechung drei bis sechs Wochen“
Eine Cyberversicherung zu prüfen, lohnt laut Finanzchef24 nicht nur als erster Stresstest, sondern vor allem in Ernstfall. Sie übernimmt im anerkannten Schadenfall die Kosten für die IT-Wiederherstellung, die Kundenkommunikation, Benachrichtigung der Kunden, Interessenten und Zulieferer sowie die Betriebsunterbrechung. „Im Schnitt dauert eine Betriebsunterbrechung nach einem schweren Hackerangriff drei bis sechs Wochen. In dieser Zeit fällt einerseits das Geschäft aus, anderseits laufen weiterhin die Fixkosten etwa für die Gehälter“, betont Gottheil.
Die Wiederherstellung der IT-Daten wird in der Regel mit 30 bis 50 Prozent des IT-Wertes angesetzt. Nicht zu unterschätzen sind die Benachrichtigungskosten: Laut DSGVO sind Unternehmen nach einem Cyberangriff verpflichtet, alle betroffenen Personen zu benachrichtigen. Die Kosten dafür liegen bei 20 bis 40 Euro je personenbezogenem Datensatz. Hinzu kommen Kosten für die weitere Kommunikation wie Öffentlichkeitsarbeit, um mögliche Reputationsschäden zu minimieren. Immer weniger Versicherer sind indes bereit, für Lösegeldforderungen aufzukommen.
Grundsätzlich rät Rezvanian zur eigenen Cyberversicherung, in der sich Risiken modular versichern lassen. Deutlich günstiger und ebenfalls eine einfache Option können Schutzbriefe darstellen, die im Ernstfall vor allem beratend unterstützen. Weniger ratsam seien an die Betriebshaftplicht gekoppelte Zusatzverträge. Angesichts des komplexen Marktes empfehle sich der Gang zum Makler, der Fachwissen und einen breiten Überblick habe, so Rezvanian.