Die Gefahr von Cyberattacken wird von vielen IT- und Kommunikationsexperten unterschätzt. Darauf deutet die aktuelle Studie »Cybersicherheit in deutschen IT- und Kommunikationsunternehmen« hin, die von dem Berliner Unternehmen CyberDirekt in Auftrag gegeben und dem Marktforschungsinstitut Innofact AG durchgeführt wurde.
Illustration: Geralt Absmeier
Demnach empfinden 70 Prozent der befragten Unternehmer keine bis lediglich eine geringe reelle Bedrohung durch Cyberangriffe – und dass obwohl fast die gleiche Anzahl der Befragten bereits von Angriffen aus dem Netz betroffen waren. Dass gefühlte und reale Bedrohung selbst bei IT-Experten so stark auseinander liegen, repräsentiert das allgemeine Wahrnehmungsdefizit im Bereich der Cybersicherheit.
Risikofaktor »Mensch«
Die befragten Vertreter der IT- und Kommunikationsbranche sind sich darin einig, dass besonders dem Risikofaktor »Mensch« im Sicherheitsdenken eine wichtige Rolle zuteil wird. Immerhin verwenden 38 Prozent abgestufte Nutzungsrechte in ihren Unternehmen. Im Vergleich: Unter Finanzdienstleistern, die ebenfalls mit sensiblen Daten hantieren, bestätigen lediglich 11 Prozent diese organisatorische Maßnahme. Angebote von Schulungs- oder Weiterbildungsmaßnahmen zu Themen wie IT-Sicherheit für Mitarbeiter nutzen immerhin 30 Prozent der Befragten. Dieser Wert ist noch immer sehr gering, obwohl dies im Vergleich zur Finanzbranche, in der lediglich 18 Prozent diese Möglichkeit nutzen, schon ein gewaltiger Fortschritt ist. Neben Mitarbeitern sehen Die Unternehmer vor allem in schwachen Passwörtern, aber auch in Werkseinstellungen bei Routern und Telefonen besonders starke Gefahrenquellen.
Datenbackup
Obwohl der Totalverlust von Kunden- und Rechnungsdaten die größte Angst der IT- und Kommunikationsunternehmen ist, nutzen jedoch immer noch fast ein Drittel der Befragten kein Datenbackup. Die häufigsten Maßnahmen zur Absicherung gegen Cyberangriffe sind bislang Anti-Viren-Software (88 Prozent), Firewalls (80 Prozent), und das regelmäßige Update von Systemen und Software (78 Prozent), um Sicherheitslücken zu beheben.
Haftpflichtschutz
Unternehmen sind neben der Unterbrechung des Betriebs und den Kosten für die Bereinigung und Wiederherstellung der Systeme auch einem durch die DSGVO verschärften Haftungsrisiko ausgesetzt, welches sich aus Datenschutzverletzungen ergibt. Daher verwundert es nicht, dass sich über die Hälfte der befragten Unternehmer in einem Notfall vor allem eine Kostenübernahme für die Wiederherstellung der Systeme und einen Haftpflichtschutz für Datenschutzverletzungen wünschen.
Versicherung gegen Cyberattacken
Eine Versicherung gegen Cyberattacken ist hier eine Möglichkeit, um sich gegen Schäden abzusichern und im akuten Fall auf eine effektive Unterstützung zurückgreifen zu können. Dabei ist es wichtig die Angebote der Versicherer auf die individuelle Unternehmensstruktur hin zu prüfen, um so das optimale Angebot zu ermitteln.
[1] Mit dem Projekt »Cybersicherheit in deutschen IT- und Kommunikationsunternehmen« wurde der Informationsstand zur Cyberkriminalität in deutschen Unternehmen beleuchtet, die Änderung der Gewohnheiten aufgrund von Sicherheitsbedenken aufzeigt und den Grad der Besorgnis sowie die wirkliche Wahrnehmung vor einzelnen Formen der Cyberkriminalität aufgedeckt. Die Ergebnisse der Studie bilden dabei unter anderem die Grundlage um effektive Handlungsanweisungen zur Risikominimierung zu definieren.
Cyber-Versicherungen: digitale Sorglosigkeit führt zur Unterversicherung
Fast jeder zweite Versicherungsentscheider (46 Prozent) ist der Überzeugung, dass das Geschäft mit Cyber-Security-Policen massiv an Relevanz gewinnen wird. Der Vertrieb äußert sich dagegen zurückhaltender. Hier glauben nur 30 Prozent an den Aufschwung durch IT-Sicherheitsversicherungen. Der Grund: Die Produkte sind neu, komplex und erklärungsbedürftig, die Hürden bei der Bedarfsermittlung sind hoch.
Das Bewusstsein für Absicherung gegen Cyber-Security-Risiken ist in den vergangenen Jahren angewachsen. Die digitale Sorglosigkeit ist auf dem Rückzug. Sechs von zehn Firmen haben eine fundierte IT-Sicherheitsstrategie, bei Großunternehmen sind es acht von zehn, die übrigen arbeiten an der Umsetzung, ergibt die Studie »Potenzialanalyse Digital Security 2017« von Sopra Steria Consulting und dem F.A.Z.-Institut [1].
Trotz steigender Risiken, einer verstärkten Aufmerksamkeit in den Medien und einer sinkenden digitalen Sorglosigkeit in den Chefetagen, hält sich der Absatz von Cyber-Policen in Grenzen. Untersuchungen aus der Versicherungswirtschaft zeigen, dass deutsche Firmen im internationalen Vergleich eher unterversichert sind. Jedes dritte Unternehmen äußert kein Interesse an einem Cyber-Schutzbrief, ergibt eine Studie des Spezialversicherers Hiscox.
»Diese Versicherung ist hierzulande noch relativ neu«, sagt Marco Lange, Versicherungsexperte von Sopra Steria Consulting. »Versicherer und Makler stehen vielfach erst am Anfang, den Markt zu entwickeln. Jedes Unternehmen geht unterschiedlich bei Risikoprüfung vor. Zudem fehlen Erfahrungen bei der Festsetzung einer adäquaten Versicherungsprämie. Das führt teilweise zu horrenden Preisunterschieden«, so Lange. All das verunsichert den Vertrieb beim Erstellen von Angeboten und die Unternehmen, weil sie wenige Vergleichsmöglichkeiten haben.
In den USA dagegen entwickelt sich die Cyber-Versicherung bereits zu einer weit verbreiteten Versicherungsform. Um den Vertrieb besser zu unterstützen, kombinieren US-Versicherer ihr Cyber-Policen mit Serviceleistungen im IT-Sicherheitsmanagement. Sie kooperieren beispielsweise mit Whitehat-Hackern, die für Unternehmen Schwachstellen in IT-Systemen aufspüren. Andere Versicherer wie AON arbeiten mit Technologieunternehmen zusammen, um Cyber-Risikomanagement aus einem Guss anzubieten.
Wandel hin zu Bündelprodukten erkannt
Viele Versicherer in Deutschland haben inzwischen erkannt, dass sie mit einer Cyber-Versicherungspolice allein kein großes Neugeschäft erreichen werden. 47 Prozent der Entscheider sehen in Produktbündelungen und neuen Serviceleistungen den Schlüssel zu mehr Wachstum, so der Branchenkompass Insurance. »Die Versicherungswirtschaft hat hier eine enorme Chance, ihre klassische Aufgabe – Aufklärung und Absicherung – um technische und fachliche Präventionshilfe zu erweitern. Sobald sich diese Gesamtexpertise in den Produkten niederschlägt und es zudem mehr Standards bei den Angeboten und Preisen gibt, werden Vermittler und Makler Cyber-Versicherungen weniger skeptisch bewerten als derzeit«, sagt Marco Lange von Sopra Steria Consulting.
Der Gesamtverband der Deutschen Versicherungswirtschaft (GDV) geht ebenfalls davon aus, dass Cyber-Versicherungen zu einem wichtigen Wachstumssegment in Deutschland werden. Die Versicherungswirtschaft hat unverbindliche Musterbedingungen für eine Cyber-Versicherungspolice entwickelt, die sich speziell für kleine und mittelgroße Unternehmen eignet. Diese bündelt verschiedene Risiken und sieht nicht nur die Absicherung von Datenklau und Betriebsunterbrechungen vor, sondern übernimmt zugleich Kosten für IT-Forensiker und Krisenkommunikation.
[1] Über die Studie Branchenkompass Inusrance:
Die Ergebnisse der Studie Branchenkompass Insurance 2017 wurden in zwei Schritten erhoben. Sopra Steria Consulting und das F.A.Z.-Institut haben Versicherungs-Führungskräfte in einem Think Tank zusammengebracht und mit ihnen über die Themen diskutiert, die die Branche bewegen. Digitalisierung, Schadenmanagement und Compliance standen im Fokus. Im Oktober 2017 wurden darüber hinaus 85 Führungskräfte aus Versicherungen zu den Branchentrends, Herausforderungen und Strategien befragt. Die Online-Befragung wurde mit Führungskräften von Versicherern unterschiedlicher Sparten und Größe durchgeführt.
Über die Studie »Potenzialanalyse Digital Security«:
Für die »Potenzialanalyse Digital Security« wurden im Auftrag von Sopra Steria Consulting im April 2017 mehr als 200 (n=205) IT-Entscheider aus Unternehmen ab 500 Mitarbeitern aus den Branchen Banken, Versicherungen, sonstige Finanzdienstleister, Energieversorger, Automotive, sonstiges Verarbeitendes Gewerbe, Telekommunikation und Medien, Öffentliche Verwaltung befragt. Explizit ausgeschlossen wurden Beratungsunternehmen und Anbieter von IT-Lösungen.
Links:
Potenzialanalyse Digital Security nach Registrierung herunterladenhttps://www.soprasteria.de/newsroom/publikationen/studie/potenzialanalyse-cyber-security
Cyberversicherungen – Absicherung existenzbedrohender Risiken