Präventivmaßnahmen gegen Cyberangriffe sind nicht nur unerlässlich, um gefährliche Angriffe auf die Systeme eines Unternehmens zu verhindern: Versicherer fordern sie auch als Obliegenheit, um überhaupt Cyberversicherungsschutz zu gewähren. Ein Gastbeitrag von Dr. Florian Wrobel, Geschäftsführer der COGITANDA Risk Prevention GmbH.
Die Prävention mit Blick auf Cyberrisiken ist für Unternehmen aller Größen und Branchen von entscheidender Bedeutung, da Cybervorfälle schwerwiegende Folgen haben können. Jedes Unternehmen gerät früher oder später ins Visier von Cyberkriminellen. Das heißt: Cybersicherheit wird immer wichtiger – auf der technischen und auf der menschlichen Ebene. Eine unverdächtig scheinende E-Mail, eine Excel-Datei im Anhang oder fehlende Updates auf den IT-Systemen – Cyberrisiken lauern überall. In einer repräsentativen Umfrage des Branchenverbandes Bitkom gaben 84 Prozent von mehr als 1.000 befragten Unternehmen an, im Jahr 2022 Ziel eines Cyberangriffs geworden zu sein. Weitere neun Prozent vermuteten dies zumindest. Kriminelle wissen: Wenn sie es nur oft genug versuchen, haben sie irgendwann Erfolg.
Daher müssen Unternehmen wirksame Cybersicherheitsmaßnahmen implementieren, um sich und ihre Vermögenswerte zu schützen und das Risiko von Cybervorfällen zu minimieren. Darüber hinaus kann eine angemessene Prävention von Cyberrisiken Unternehmen dabei helfen, gesetzliche und regulatorische Anforderungen wie die Datenschutz-Grundverordnung (DSGVO), den Rechtsakt zur digitalen Betriebsstabilität (Digital Operational Resilience Act, DORA) und die aktualisierte EU-Richtlinie zur Sicherheit von Netzwerk- und Informationssystemen (NIS-2) einzuhalten. All diese Regelwerke verlangen von Unternehmen, angemessene Cybersicherheitsmaßnahmen zum Schutz sensibler Daten umzusetzen. Wirksame Cybersicherheitsmaßnahmen sind außerdem eine Grundvoraussetzung, um verbleibende wirtschaftliche Restrisiken über eine Cyber-Versicherung abzusichern.
Cyber-Versicherungen federn das finanzielle Risiko eines Cyber-Angriffes ab, Angriffe abwehren oder gar den Schadenfall verhindern können sie jedoch selbstverständlich nicht. Und nicht jeder, der eine Cyber-Versicherung abschließen möchte, bekommt sie auch. Denn Versicherer verlangen von Unternehmen, dass diese nachweisbar angemessene Cybersicherheitsmaßnahmen implementiert haben, bevor die Unternehmen Cyber-Versicherungsschutz erhalten. Versicherer müssen das mit jedem Unternehmen verbundene Risiko und die Wahrscheinlichkeit eines Cybervorfalls bewerten. Diese Informationen helfen, die Kosten der Deckung und den Umfang des dem Unternehmen gebotenen Schutzes zu bestimmen. Auf Grund der hohen Bedrohungslage und der damit verbunden hohen Wahrscheinlichkeit, dass ein Unternehmen Oper eines Cyber-Angriffes wird, wird es immer wichtiger für Unternehmen, angemessene Cybersicherheitsmaßnahmen im Vorfeld nachweisen zu können. Denn dadurch wird die Wahrscheinlichkeit eines Cybervorfalls verringert und eine Cyber-Deckung erst möglich.
Präventionsmaßnahmen müssen sowohl auf technischer Ebene als auch auf organisatorischer Ebene ansetzen. Dazu bedarf es jährlicher Investitionen in Höhe von etwa fünf bis zehn Prozent des IT-Budgets. Hierbei handelt es sich in der Regel nur um einen Bruchteil der Kosten, die dem Unternehmen durch einen Schaden aufgrund eines erfolgreichen Cyber-Angriffs entstehen würden.
Auf technischer Ebene muss das Netzwerk abgesichert werden, um das Eindringen eines Angreifers zu verhindern bzw. zu erschweren. Dafür braucht man moderne Firewalls, Intrusion Detection Systeme und Antivirensoftware, die die Infizierung von Endgeräten mit Malware erkennt. Außerdem sollten die Zugriffe auf die IT-Systeme in geeigneter Form geregelt werden – z. B. über Passwortrichtlinien, durch Multi-Faktor-Authentifizierung sowie über Zugriffsbeschränkungen für Mitarbeiter. Veraltete Hard- und Software sollte schnellstmöglich ausgetauscht werden. Denn es muss sichergestellt werden, dass IT-Systeme durch Updates stets auf dem aktuellen Stand sind.
Um die Auswirkungen eines Cyber-Vorfalls zu reduzieren und eine schnelle Wiederherstellung zu gewährleisten, müssen die relevanten Daten regelmäßig gesichert werden. Diese Datensicherungen müssen ebenso vor Angriffen geschützt und das Wiedereinspielen regelmäßig getestet werden. Nur so hat man Gewissheit, dass die Datensicherung in einem Angriffsfall tatsächlich funktioniert.
Auf organisatorischer Ebene müssen alle Mitarbeiterinnen und Mitarbeiter regelmäßig in Sachen Cybersicherheit geschult werden, damit potenzielle Bedrohungen bewusst sind und vermieden werden können. Gerade dieser Punkt wird häufig unterschätzt – und Investitionen in die Cyber-Ausbildung der Mitarbeitenden werden vernachlässigt. Teurer kann Sparen kaum werden.
Vor allem die Mitarbeiterinnen und Mitarbeiter stehen im Visier von Cyber-Kriminellen und müssen als eine der wichtigsten Sicherheitslücken im Unternehmen angesehen werden. Das Problem: Insbesondere im Mittelstand herrscht ein erheblicher Wissensrückstand – sowohl mit Blick auf die akute Bedrohungslage als auch hinsichtlich der vorhandenen Risiken im eigenen Unternehmen.
Ein typisches Szenario: Ein Mitarbeiter erhält eine E-Mail mit der Aufforderung, ein neues Passwort zu vergeben. Was der Mitarbeiter nicht ahnt: Die täuschend echt aussehende E-Mail stammt gar nicht aus der eigenen IT-Abteilung, sondern wurde von Kriminellen versendet, die es auf sensible Daten des Unternehmens abgesehen haben. Statistisch gesehen fallen 30 Prozent der Mitarbeiterinnen und Mitarbeiter in deutschen Unternehmen auf solche Phishing-Angriffe beim ersten Mal herein. Sind die Zugangsdaten erst einmal gestohlen und der Zutritt zum System gewährt, können Angreifer Daten stehlen und das IT-System unbrauchbar machen. Die Folgekosten für das Unternehmen können verheerend sein; die Reputationsschäden auch.
Langfristig ist die Verminderung des Risikos der einzig wirksame Hebel, um das Cyber-Schadenrisiko und damit mögliche Schadenaufwände in vertretbaren Grenzen zu halten. Es gilt daher, Risiken durch effektive Prävention zu minimieren und verbleibende wirtschaftliche Risiken durch maßgeschneiderte Versicherungspolicen abzudecken.
Prävention bedeutet dabei mehr als ein rudimentärer System-Scan. Neben den bereits skizzierten Maßnahmen gehören System-Analysen und gründliche Penetrationstests, qualifizierte Angriffs-Simulationen sowie – besonders wichtig – die Mitarbeiterschulung dazu. Hier gibt es professionelle Angebote wie die E-Learning-Plattform der COGITANDA Academy, die Lerneinheiten, Schulungsvideos und regelmäßige Lernkontrollen rund um das Thema Cyber-Security anbietet. Gerade was die sogenannte „Human Firewall“ angeht, führt kein Weg an solchen Schulungen und regelmäßigen Prüfungen vorbei.
Richtig eingesetzt, zahlen sich solche Schutz- und Schulungsmaßnahmen für alle Beteiligten aus: Versicherer können bei guter Prävention ihrer Kunden ihre Aufwände für Schäden verringern und die Kundenbeziehung damit stabilisieren. Versicherungsnehmer können durch professionelle Prävention nicht nur ihre Risiken reduzieren und relevante regulatorische und gesetzliche Anforderungen einhalten – viele Unternehmen werden auf diese Weise überhaupt erst versicherbar. Und nicht zuletzt hat die deutsche Volkswirtschaft einen spürbaren Nutzen, wenn durch effektive Cyber-Schutzmaßnahmen die allgemeine Wertschöpfung nicht weiter von Cyber-Kriminellen in der heute gegebenen Form beschädigt wird. Kurz: Versicherungsschutz und Cyber-Prävention schließen sich nicht aus, sondern funktionieren am besten Hand in Hand.
(Versicherungsbote)
Brauchen Sie Informationen?
Rufen Sie uns an: 04707 8888204