Einloggen nicht vergessen oder Gratistest nutzen!

Sie können nur als eingeloggter User auf die Inhalte des Wissenspools zugreifen. Bitte loggen Sie sich deshalb mit Ihren Zugangsdaten ein oder bestellen Sie die VersicherungsPraxis24 über unser Registrierungsformular - selbstverständlich mit der Möglichkeit zum 4-Wochen-Gratistest!

10. KW: Cyber-Versicherungen: Das Risikobewusstsein wächst

Autor: Elke Pohl, Berlin

Der Gesetzentwurf der Bundesregierung von Ende Februar zur Cybersicherheit setzt die entsprechende EU-Richtlinie in nationales Recht um. Es geht um "Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der Union“, wie es in der Richtlinie heißt. Wie sind deutsche Firmen gegen Cyber-Risiken geschützt?

Cyber-Attacken auf deutsche Unternehmen gehören heute schon zur Normalität. Fast jeden Tag wird von neuen Cyber-Bedrohungen berichtet. Entsprechend intensiv werden Maßnahmen zur Verbesserung der Cyber-Sicherheit diskutiert. Immer wieder rücken spektakuläre Attacken mit erheblichen Schäden wie z.B. der Krypto-Trojaner "Locky" das Thema in den Mittelpunkt öffentlicher Diskussion. Erst recht, wenn bekannte Firmen wie Deutsche Telekom oder ThyssenKrupp von Hackerangriffen betroffen sind. Durch solche spektakulären Cyber-Schadenfälle und die zunehmende Berichterstattung ist das Risikobewusstsein der Unternehmen im Allgemeinen gestiegen. Dennoch: Bei der Implementierung eines umfassenden Cyber-Risk-Managements muss die Mehrheit der deutschen Unternehmen noch einen weiten Weg gehen, wie der "Cyber Readiness Report 2017" von Hiscox, ein internationaler Spezialversicherer, der spezielle berufliche und private Risiken abdeckt, zeigt.

Deutschland ist Anfänger-Land

Für den "Hiscox Cyber Readiness Report 2017" befragte das Marktforschungsinstitut Forrester Consulting im Auftrag von Hiscox insgesamt 3.036 Führungskräfte, Abteilungsleiter, IT-Manager und andere Verantwortliche für Cyber-Sicherheit von Unternehmen in Deutschland (1.001 Befragte), Großbritannien (1.006 Befragte) und den USA (1.029 Befragte). Auf dieser Basis wurden die Befragten länderübergreifend in die Gruppen "Cyber-Anfänger", "Cyber-Fortgeschrittene" und "Cyber-Experten" eingeteilt. Diese Kategorisierung ermöglicht es, gute Beispiele der Cyber-Experten zu identifizieren und Handlungsanweisungen abzuleiten.

Für Deutschland ergab sich ein bizarres Bild: "Die Anzahl der schlecht gegen Cyber-Attacken gerüsteten Unternehmen in Deutschland ist erschreckend hoch", kommentiert Robert Dietrich, Hauptbevollmächtigter von Hiscox Deutschland, die Studienergebnisse. Laut Studie fallen in Deutschland 62 % der Unternehmen in die Kategorie "Cyber-Anfänger", die also unzureichend auf Cyber-Attacken vorbereitet sind. Der Anteil der "Cyber-Experten" liegt dagegen nur bei 20 %. Als Fortgeschrittene bezeichnen sich 18 %.

Kein Handlungsfeld vernachlässigen

"Bei gut vorbereiteten Unternehmen ist IT-Security ein Top-Management-Thema und es existiert eine klare Strategie. Der Fokus muss dabei auf zeitgemäßen Prozessen und Richtlinien, laufenden Investitionen in die technische IT-Security und der Sensibilisierung und Schulung der Mitarbeiter liegen", macht Dietrich weiter deutlich. Die zweite Verteidigungslinie bildet laut Dietrich ein spezifischer Cyber-Versicherungsschutz. Wer eines dieser Handlungsfelder vernachlässigt, läuft Gefahr, durch Cyber-Attacken nachhaltig geschädigt zu werden. "Kein Unternehmen kann sich absolut vor Cyber-Attacken schützen, aber es kann die Schäden klein halten", mahnt er.

Interne Gefahr wird unterschätzt

Externe Cyber-Attacken nehmen mit 38 % zwar den ersten Platz auf der Liste der folgenschwersten Cyber-Angriffe bei deutschen Unternehmen ein. Auf Platz zwei und drei folgen aber schon die Zwischenfälle, die durch Mitarbeiter ausgelöst werden. Bei jedem fünften deutschen Unternehmen konnten die Verantwortlichen innerhalb der Organisation ausgemacht werden. 14 % der Befragten berichteten von verlorengegangenen bzw. gestohlenen mobilen Geräten, wie Firmenhandys oder -tablets. Trotz der eindeutigen Ergebnisse vernachlässigen es deutsche Unternehmen, ihre Mitarbeiter zu sensibilisieren und zu schulen. Lediglich jedes vierte Unternehmen in Deutschland (24 %) verpflichtet seine Mitarbeiter zur Teilnahme an speziellen Cyber-Trainings. Allerdings planen 57 % der deutschen Befragten, in den kommenden zwölf Monaten die Investitionen für Mitarbeiterschulungen um mehr als 5 % zu erhöhen.

Weniger als ein Drittel deutscher Unternehmen mit Police geschützt

Die Untersuchung hat ergeben, dass man in den USA und Großbritannien in vielen dieser Fragen schon deutlich weiter ist. Das zeigt sich auch und besonders anhand der abgeschlossenen Cyber-Policen: 55 % der befragten US-Unternehmen gaben an, über eine entsprechende Police zu verfügen, in Großbritannien gehen 36 % davon aus. In Deutschland meinen 30 % der befragten 1.001 Führungskräfte, Abteilungsleiter, IT-Manager oder Verantwortlichen für Cyber-Sicherheit, dass ihr Unternehmen mit einer Cyber-Deckung vorsorgt sei. Fast jedes dritte deutsche Unternehmen (31 %), das noch nicht vorgesorgt hat, plant dies innerhalb der nächsten zwölf Monate nachzuholen. Und ein Drittel (33 %) der deutschen Unternehmen bekundet nach wie vor kein Interesse an einer Versicherung gegen Internet-Risiken. 40 % von ihnen glauben, sie wäre für sie nicht relevant und 32 % vertrauen nicht darauf, dass ein Versicherer im Schadenfall überhaupt zahlen würde.

Bildquelle: Hiscox

"Viele Unternehmer kennen ihre Risiken sehr gut, wissen aber noch nicht, dass es dafür ein spezielles Versicherungsprodukt gibt", bestätigt Ole Sieverding, bei Hiscox als Head of Cyber Risk Management tätig, den Aufklärungsbedarf. Denn Cyber-Gefahren sind unsichtbar und wenig greifbar. Hier sind die Versicherer zusammen mit Maklern gefragt, die Vorteile und Leistungen einer Cyber-Deckung zu erklären, die herkömmliche Versicherungen wie die Gewerbeversicherung sinnvoll ergänzen.

Hier liegt der Nachholbedarf deutscher Unternehmen

Die meisten der befragten Unternehmen sind IT-seitig bereits gut aufgestellt, haben aber in den Kategorien Strategien und Prozesse Nachholbedarf. Im Einzelnen handele es sich laut Studie um:

  • Einbeziehung des Top-Managements
  • Festlegung einer formalisierten Strategie
  • Mitarbeitertraining
  • Dokumenten-Prozess
  • IT-Technologien
  • Transfer-Risiko.

 Siehe auch 

Thema der Woche - Archiv