Police gegen Cyberrisiken „Mittelständler haben das Risiko oft nicht erkannt“
Stefan Sievers: Es fehlen derzeit noch zu viele Informationen, um dies detailliert beurteilen zu können. Aber der Entwurf ist ein Schritt in die richtige Richtung. Es war höchste Zeit, dass die Regierung entsprechende Vorgaben zur IT-Sicherheit macht, denn nur so erhält dieses wichtige Thema die notwendige Aufmerksamkeit in der Wirtschaft. Wenn die einzelnen Branchen es nun schaffen in Zusammenarbeit mit dem BSI branchenspezifische Sicherheitsstandards zu definieren und umzusetzen und das BSI auch logistisch in der Lage ist, ihrer zukünftigen Kontroll- und Warnfunktion nachzukommen, dann wäre das ein großer Fortschritt.
Ist die diskutierte öffentliche Meldepflicht von Cyberangriffen Ihrer Ansicht nach sinnvoll?
Die Meldepflicht ist ja nicht ganz neu. Bereits jetzt müssen Unternehmen laut Bundesdatenschutzgesetz, BDSG, bei Verlust von sensiblen personenbezogenen Daten die entsprechenden Dateninhaber und die jeweils zuständige Datenschutz-Aufsichtsbehörde informieren. Dies wurde in der Vergangenheit allerdings in den meisten Fällen nicht gelebt, daher ist die Dunkelziffer enorm hoch.
Was ist konkret geplant?
Die geplanten Regelungen im IT-Sicherheitsgesetz gehen noch deutlich über das BDSG hinaus, zumal es nicht nur um Datenverlust geht, sondern zum Beispiel auch um Industriespionage, Virenbefall oder sonstige Cyber-Angriffe. Dafür kann die Meldung allerdings bei vielen Branchen anonym erfolgen. Das ist aus meiner Sicht sehr sinnvoll, denn nur so kann das BSI entsprechendes Datenmaterial sammeln und analysieren und entsprechende Handlungsempfehlungen formulieren.
Hiscox hat als erster Versicherer bereits 2011 eine Police gegen Cyberrisiken aufgelegt. Wie viele Policen wurden verkauft?
Die ersten beiden Jahre waren Pionierarbeit und die Anzahl der Abschlüsse war unter unseren Erwartungen. Seit gut einem Jahr steigt die Nachfrage und auch die Abschlussbereitschaft ist stark, wenngleich der Zeitraum von der Angebotserstellung bis zum Abschluss immer noch deutlich länger dauert als bei klassischen Versicherungen.
Interessanterweise beschäftigen sich derzeit aber überwiegend noch die größeren Unternehmen mit den Cyber-Risiken, kleine und mittelständische Unternehmen haben das Risiko oftmals noch nicht erkannt. So ergab der Hiscox eDNA Report 2014, dass 95 Prozent der kleinen und mittleren Unternehmen keine Versicherung gegen Onlinekriminalität haben.
Welche Branchen sind besonders lax im Umgang mit den Cyberrisiken?
Bestimmte Branchen, die sich besonders gut oder schlecht absichern, sind nicht auszumachen. Vielmehr ist es so: Unternehmen, die Cyber-Risiken als existenzbedrohend erkennen, behandeln das Thema als Managementaufgabe, und sind somit besser aufgestellt im Bereich IT-Sicherheit.
Sind die deutschen Finanzdienstleister und Versicherer selbst ausreichend abgesichert? Können sich insbesondere kleinere Unternehmen diese Absicherung leisten?
Zur speziellen Branchenabsicherung liegen mir keine ausreichenden Erkenntnisse vor. Fakt ist: Viele Verbände, auch im Bereich der Finanzdienstleister, beschäftigen sich intensiv mit dem Thema, um ihren Mitgliedern eine Verbandslösung zu präsentieren. Bezahlbar ist bei Hiscox eine solche Absicherung in jedem Fall, denn die kleinste Deckungssumme kostet nur 600 Euro netto im Jahr.
Sie haben in diesem Jahr eine neue Version der Police vorgestellt. Welche Sicherungsaspekte wurden geändert und warum?
In erster Linie haben wir uns das Feedback aus dem Markt zu Herzen genommen und die Police den Marktbedürfnissen stärker angepasst. Das heißt wir haben das Bedingungswerk vereinfacht, um es für Endkunden noch verständlicher zu machen. Darüber hinaus haben wir die Deckung in vielen Bereichen deutlich verbessert und die Anzahl der Ausschlüsse erheblich reduziert. Entscheidend ist aber weiterhin unsere exklusive Zusammenarbeit mit Hisolutions, einem der führenden Unternehmen in den Bereichen Prävention, Krisenmanagement und IT-Forensik.
Dieser Beitrag wurde uns freundlicherweise vom Versicherungssoftwareportal zur Verfügung gestellt.
