Wenn wir auf die Zeit vor der Pandemie zurückblicken und nun den heutigen Zustand betrachten – was waren die wichtigsten Veränderungen beim Thema Cybersicherheit?
Sieverding: Von den Angriffsvektoren und der Vorgehensweise sehen wir, dass die Cyberkriminellen immer professioneller vorgehen. Die größte Veränderung ist die wachsende Risikowahrnehmung. Die kritischen Vorfälle werden akribischer aufgearbeitet. Zudem ist die Sicherheitsgemeinde weltweit zusammengerückt. Vorfälle wie Microsoft Exchange Hafnium, VSA Kaseya oder Lock4 Shell haben 2021 gezeigt, dass die Intensität, Handlungsfähigkeit und Resilienz der Software-Anbieter und IT-Beratungshäuser deutlich gestiegen sind.
Sie sagten in einem Interview mit unserem Magazin, die Cyberversicherung sei die „Feuerversicherung des 21. Jahrhunderts“. Wenn man sich die Schadensummen von 223 Milliarden Euro ansieht und feststellt, dass viele Unternehmen nicht abgesichert sind, gewinnt man den Eindruck, dass viele Unternehmen die Gefahr, es könnte auf digitaler Ebene „lodern“, immer noch nicht erkannt haben.
Sieverding: Ich würde die Frage gerne in zwei Ebenen beantworten. Auf der einen Seite: Die Wahrnehmung, dass Cyberangriffe zu den gesellschaftlichen Top-Risiken unserer Zeit gehören, setzt sich durch. Das zeigen diverse Studien. Auf der anderen Seite wird die eigene Betroffenheit katastrophal unterschätzt. Cybergefahren sind nicht nur Gefahren, die andere haben, sondern eben auch die, die ich selbst haben kann. Wenn ich den Vergleich zu den Feuerrisiken ziehe – die existieren seit hunderten Jahren. Die Auswirkungen eines brennenden Hauses sind für jeden greifbar. Cyber hingegen ist so neu, dass Ursachen, Häufigkeiten und Auswirkungen für die meisten kaum greifbar sind. Da Aufklärung zu betreiben ist kompliziert. Das Thema ist immer noch sehr abstrakt.
Und welche Erfahrungen machen Sie Beratungsgesprächen?
Sieverding: Großunternehmen haben inzwischen eine beachtliche Resilienz aufgebaut. Sie haben das Risiko verstanden, gehen proaktiv damit um. Im Zweifel gibt es einen Krisenstab und Notfallpläne. Das größte Problem im KMU-Segment ist die Überforderung. Die Firmen fragen sich, was sie benötigen. Wir müssen dahinkommen, zu verstehen, wie der passende IT-Sicherheitsreifegrad in der Branche aussieht. Hier spielen Cyber-Versicherungen eine wichtige Rolle. Weil sie mit dem Setzen von IT-Mindestanforderungen auf Basis der Schadenerfahrungen einen Rahmen vorgeben. Die Versicherer stellen – abhängig von Branche und Unternehmensgröße – Mindestanforderungen, ohne die Firmen nicht versicherbar sind. Viele Kunden sind dankbar, dass sie dadurch eine Benchmark erhalten.
Scheuen Unternehmen die Absicherung dann doch aus Kostengründen?
Sieverding: Leider ist das Thema IT-Sicherheit kein Umsatzbooster. Dabei muss man die IT-Sicherheit als Lebensversicherung für das eigene Unternehmen sehen. Als Maßnahme, um den Geschäftsbetrieb sicherzustellen und in einer Krise noch handlungsfähig zu sein. Das kostet erst einmal Geld. Die Idee, dass ein Unternehmen nicht getroffen wird, ist schlicht falsch. Die Firmen müssen sich damit auseinandersetzen. Wenn ein Unternehmen glaubt, über genügend finanzielle Ressourcen und eine starke IT-Forensik zu verfügen, um im Worst-Case alles schultern zu können, ist das in Ordnung.
Was ist für Kleinst- oder Kleinunternehmen wichtig?
Sieverding: Bei den kleineren Unternehmen ist die Höhe des Versicherungsschutzes gar nicht mal so entscheidend. Der Hauptgrund für eine Cyberversicherung sind die Assistance-Leistungen. Die bieten unmittelbare Hilfe im Schadenfall. Ich erkläre die Cyber-Versicherung gerne auch als ausgelagerte IT-Krisenabteilung. Wenn ein Kunde nicht das Geld und die Kapazitäten hat, einen IT-Krisenstab im Unternehmen aufzubauen, dann sollte er sich in jedem Fall einen Prozess für die Krise überlegen und die Cyberversicherung als Assistance-Dienstleistung aktiv in den Krisenplan einbauen. Weil Versicherungsnehmer und Versicherer im Schadenfall in einem Boot sitzen. Die Cyberversicherung ist die Feuerwehr, wenn das Haus brennt. Sie möchte möglichst früh involviert werden und kann mit ihrer schnellen Hilfe den Schaden begrenzen. Weil die Firma dann weniger Kosten etwa für die Wiederherstellung und Betriebsunterbrechung der IT zahlen muss.
Seite 2: Warum das Thema Cybersicherheit für Unternehmen eine große Unbekannte ist