Doch wie steht es um die Cyber-Resilienz der Firmen? „In einigen Bereichen sind Unternehmen sehr gut aufgestellt, in anderen dagegen weniger“, befindet Perseus-Mann Klöpperpieper. Beim Thema Cybersicherheitsmaßnahmen spreche man von vier Dimensionen. „Vor allem im Bereich der technischen Elemente sind die meisten Unternehmen gut ausgestattet. In den anderen Dimensionen gibt es hingegen Nachholbedarf.“ Viele Firmen schulen mittlerweile ihre Mitarbeiter beim Thema Cybersicherheit.
„Nur wird dieses Training einmalig durchgeführt und gilt anschließend als absolviert. Cybersicherheit muss aber kontinuierlich und ganzheitlich geschult werden. Hier müssen Unternehmen nachbessern“, sagt Klöpperpieper. Und auch im Bereich Notfallmanagement zeigen sich gefährliche Lücken. Eine Perseus-Umfrage zum Thema Homeoffice im Zuge der Corona-Pandemie zeigte, dass 50 Prozent der Mitarbeitenden im Cybernotfall nicht wissen, an wen sie sich wenden müssen. „Fast jeder zweite Cyberangriff stößt somit auf keine aktive Gegenwehr“, so Klöpperpieper. Letztlich haben die Firmen zwar eine grundsätzliche Vorstellung davon, was bei einem Cyberangriff vorgehe und welche Konsequenzen drohten. „Ein konkretes Verständnis dafür, was ein erfolgreicher Angriff für das eigene Unternehmen bedeute, haben die wenigsten“, sagt der Experte.
Das könnte erklären, warum nur 21 Prozent der Mittelständler eine Cyberversicherung abgeschlossen haben, wie die Anfang Juni 2022 veröffentlichte KMU-Studie der Gothaer Versicherung zeigte. Gegenüber der Umfrage von 2021 verzeichnete die Studie bei den abgeschlossenen Versicherungen zwar ein Plus von fünf Prozent. Aber: 79 Prozent der Unternehmen stehen immer noch ohne Absicherung da.
Oliver Schulze, Head of Working Group Silent Cyber bei der Gothaer, sieht gleichwohl ein Umdenken im Markt. „Während in der Anfangszeit bei den Unternehmen nur eine geringe Wahrnehmung hinsichtlich potenzieller Cyber-Gefahren bestand, hat sich dies in den vergangenen zwei Jahren grundlegend geändert. Die Unternehmen haben entweder eigene Erfahrungen oder konkrete Vorfälle im engeren Umfeld erkannt, dass sich kein Unternehmen in 100-prozentiger Sicherheit wägen kann, nicht selbst Opfer eines Cyberangriffe zu werden. Diese Entwicklung zeigt ebenfalls positive Auswirkungen auf den Cybervertrieb.“ Unternehmen, die eine Cyberversicherung abschließen möchten, müssen bestimmte Mindeststandards in den Bereichen Datenschutz, IT-Sicherheit, Nutzung von Firewalls und Virenschutz sowie Daten erfüllen.
„Das Unternehmen muss nämlich geeignete technische Einrichtungen und Verfahren zur Informationssicherheit unterhalten, um Hackerangriffe nach Möglichkeit zu verhindern und die Wiederherstellung von Daten und Programmen zu ermöglichen. Diese Mindestanforderungen können sowohl im Risiko-Erfassungsprozess geprüft werden als auch als Obliegenheit vor Eintritt des Versicherungsfalls Vertragsbestandteil sein“, erklärt Schulze. Die technischen und organisatorischen Mindestanforderungen erstrecken sich laut Schulze über die Themenbereiche Datensicherung, Netzwerksicherheit, Patch-Management, Datensicherheit und Benutzerkonten, Fernzugriff und Mitarbeiterschulung und Prävention.
„Die Mindestanforderungen weichen von Versicherer zu Versicherer leicht ab und werden in der Regel insbesondere bei kleineren und mittleren Unternehmen bis 50 Millionen Euro Jahresumsatz per Fragebogen geprüft. Bei Unternehmen bis zehn Millionen Euro Jahresumsatz arbeiten viele Cyberversicherer mit sogenannten Antragsmodellen. Die Kunden können mit der Beantwortung von wenigen Fragen direkt den Versicherungsschutz zur angezeigten Prämie beantragen“, erklärt Sören Brokamp, Cyber-Produktmanagementleiter bei HDI. „Je exponierter ein Unternehmen ist, desto größer sind die Mindestanforderungen für die Bereitstellung des Versicherungsschutzes“, ergänzt Jutta Berger, Head of Financial Lines & Cyber Underwriting bei der Zurich Gruppe Deutschland.
Seite 4: Was Firmen beim Cyberschutz erwarten