Eine Cyberschutz-Versicherung kann die finanziellen Risiken eines Hacker-Angriffs und gezielter Wirtschaftskriminalität abmildern. Doch nur rund fünf Prozent der Unternehmen haben eine solche Versicherung für den Fall eines Cyber-Angriffs abgeschlossen. Das zeigt die aktuelle Studie „IT-Sicherheit 2018“ des Eco – Verbands der Internetwirtschaft e. V.
Die Zahl sollte aufrütteln, denn jedes dritte kleine und mittlere Unternehmen wurde bereits durch Cyberattacken geschädigt, elf Prozent sogar mehrfach. Und die Zahl der Attacken steigt seit Jahren deutlich. Werden Unternehmen attackiert, ist am häufigsten eine E Mail der Türöffner. 59 Prozent der erfolgreichen Cyber-Angriffe auf kleine und mittlere Firmen erfolgten über Anhänge oder Links in der elektronischen Post. Das ist ein Ergebnis einer Studie „Cyberrisiken im Mittelstand“, die kürzlich der Gesamtverband der Deutschen Versicherungswirtschaft (GDV) vorgestellt hatte.
„Eine Cyberschutz-Versicherung ist für die meisten Unternehmen sinnvoll, zumal Betriebsunterbrechungen durch Online-Kriminalität ein hohes finanzielles Risiko bergen“, sagt denn auch Oliver Dehning, Leiter der Kompetenzgruppe Sicherheit im Eco.
Angemessener IT-Grundschutz beugt vor
Der Versicherungsschutz deckt dabei lediglich das Restrisiko ab. Im Vordergrund steht jedoch ein angemessener Grundschutz als Folge unterschiedlicher Maßnahmen. Und für die sind die Unternehme selbst verantwortlich. Dazu gehören etwa tägliche Datensicherungen, zeitnahes Aufspielen von sicherheitsrelevanten Software-Updates, starke Passwörter, Schutz vor unbefugtem Zugriff auf personenbezogene und andere sensible Daten sowie Berechtigungsmanagement und Verschlüsselungen.
Welcher IT-Schutz angemessen ist, variiert von Unternehmen zu Unternehmen. „Die Anforderungen an Konzerne sind höher als an Klein- und mittelständische Betriebe“, sagt Dirk Kalinowski, Mitglied der Kompetenzgruppe Sicherheit im eco Verband und Experte für Cyber-Versicherungen bei der AXA Versicherung AG. „Unternehmen, deren tägliches Geschäft der Umgang mit personenbezogenen Daten ist, müssen strengere Anforderungen erfüllen, um Informationssicherheits-Vorfällen vorzubeugen.“
Notfallplan ist Pflicht
Unternehmen und Versicherung überprüfen zunächst gemeinsam, wie gut sich das Unternehmen vor Cybergefahren schützt. Das erhöht das Bewusstsein bei den Verantwortlichen im Betrieb und hilft, das eigene Risiko realistisch einzuschätzen. Senken lässt sich dies beispielsweise mithilfe von Vorkehrungen, die einen Schaden im Fall der Fälle möglichst geringhalten – dazu zählt etwa ein Notfallplan, den Unternehmen regelmäßig überprüfen und aktualisieren sollten.
Immerhin: Bereits 32 Prozent der Unternehmen haben laut der eco Sicherheitsstudie 2018 einen IT-Notfallplan zur Abwehr von Cyberattacken implementiert. Das Thema an sich bewerten rund 80 Prozent der befragten Experten als wichtig oder sehr wichtig.
Weiteres Ergebnis der Studie: Rund 18 Prozent der rund 950 Befragten plant eine Cyberschutz-Versicherung. „Unternehmen sind immer abhängiger von der IT. Mit der Komplexität steigt auch die Verwundbarkeit“, sagt Dehning. Er empfiehlt daher, Eigen- und Drittschäden eines Ddos- oder Hacker-Angriffs, von Social-Engineering oder Kosten für die Wiederherstellung von Daten mittels Cyber-Versicherung aufzufangen. (dr)
Foto: Shutterstock