Cyberversicherungen – ab wann sind sie sinnvoll und wann reichen Ihre Sicherheitsmaßnahmen aus

10 Dez

  • in ISMS
  • von
  • 0

 

„Cyberkriminalität ist ein weltweites Phänomen, das weder an Landesgrenzen noch vor verschlossenen Türen Halt macht“, heißt es auf der Webseite des Bundesinnenministeriums (BMI).

„Sie kann überall stattfinden, wo Menschen Computer, Smartphones und andere IT-Geräte benutzen – in Firmen, Behörden, Universitäten, zu Hause und unterwegs.“ Gerade in Krisensituationen sind viele Menschen besonders anfällig für etwaige Übergriffe, wie der Resilienz-Experte und Krisenmanager Uwe Rühl („Unternehmerische Resilienz“; Finalist des 20. getAbstract International Book Award in Kooperation mit Capital) im Gespräch mit der Nachrichtenagentur spot on news bestätigt. (https://t1p.de/z1vg, 19.10.2020, 15:30 Uhr)

Wie in unserem Blogbeitrag vom 15. Oktober 2020 berichtet, wurde sogar in Deutschland der Weisenrat für Cyber-Sicherheit gegründet. Ein Grund dafür war, dass er ähnlich, wie der Bericht der Wirtschaftsweisen, künftig jährlich seinen Bericht für Cyber-Sicherheit vorlegen wird und Politik und Wirtschaft so mit aktuellen Impulsen zum Ausbau des Standorts Deutschland im Bereich Cyber-Sicherheit versorgt und damit seinen Beitrag zur Immunisierung der Gesellschaft gegen Cyber-Attacken leistet.

Die Frage für Sie, für Ihr Unternehmen lautet nun: „Welche Cyber-Risiken können in meinem Unternehmen auftreten und wie kann ich mich absichern?“.

Je abhängiger Ihre Firma von der Technik ist, desto schlimmer können die Folgen eines möglichen Hackerangriffs werden. Legt ein Virus Ihre IT lahm, steht im schlimmsten Fall die Existenz Ihrer Firma auf dem Spiel.

Grundsätzlich ist eine Cyberversicherung dafür gedacht, eine vereinbarte Entschädigung zu zahlen, wenn Ihr Geschäftsbetrieb teilweise oder ganz zum Erliegen kommt. Je nach Versicherung können weitere Serviceleistungen eingeschlossen sein, die Ihnen helfen, Auswirkungen zu begrenzen, wenn z.B. auch Rechte Dritter berührt sind.

In der Regel braucht es für eine solche Cyberversicherung bestimmte Voraussetzungen/Schutzmaßnahmen (z.B. Virenschutz, regelmäßige Datensicherungen, Zutrittskontrollen für sensible Arbeitsbereiche, u.v.m.), die Ihr Unternehmen vorweisen muss.

Jedes Unternehmen muss für sich selbst entscheiden, ob eine Cyberversicherung als Absicherung oder Ergänzung zu den Sicherheitsmaßnahmen Sinn macht. Denn jedes Unternehmen und der Kontext, in dem es sich bewegt ist individuell. Die beste Empfehlung, die wir dazu geben können, ist ein risikobasierter Ansatz. Ermitteln Sie welches Restrisiko nach der Umsetzung Ihrer Sicherheitsmaßnahmen bestehen bleibt und ob der potentielle Schaden (in EUR) die Kosten einer Cyberversicherung rechtfertigt.

Und wie bei jeder Versicherung gilt, lesen Sie das Kleingedruckte und holen Sie sich den Rat eines Experten, wenn Sie unsicher sind. Nichts ist ärgerlicher als eine Versicherung, die im Fall der Fälle nicht hilft.

Der Gesamtverband der Deutschen Versicherungswirtschaft hat eine Übersicht erstellt, wie eine Cyberversicherung funktioniert (https://t1p.de/s8j7; 19.10.2020; 15:45 Uhr):

 

Ansonsten bleiben Sie bitte wachsam und schulen Sie regelmäßig Ihre Mitarbeiten zum Thema Awareness.

„Nicht zuletzt auch aufgrund möglicher strafrechtlicher Konsequenzen sollten sich Unternehmen in jedem Fall mit der Stärkung der internen IT-Sicherheit beschäftigen.

Zu regeln sind im Wesentlichen folgende Punkte:

  • Sicherheitsanweisung für Benutzer
  • Sicherheitsleitlinien für Administratoren
  • Regelung der IT-Nutzung
  • Regelung der Internetnutzung
  • Leitlinie für Outsourcing
  • Virenschutzkonzept
  • Notfallvorsorgekonzept
  • Datensicherungskonzept
  • Archivierungskonzept

Für die Administratoren sollte zusätzlich Folgendes auf die Agenda:

  • Verwaltung der IT-Dienste
  • Zugangs- und Zugriffskontrolle
  • Einsatz von Sicherheitsprodukten Einspielen sicherheitsrelevanter Updates
  • Betreuung und Beratung von IT-Benutzern
  • Test neuer Hard- und Software, Genehmigungsverfahren
  • Sperren und Löschen nicht benötigter Accounts
  • Management von Sicherheitsvorfällen
  • Datensicherungskonzept

Frei zugängliche brauchbare Checklisten bieten zudem das Bundesamt für Sicherheit in der Informationstechnik (Checkliste IT Sicherheit BSI) und der Bayerischen Landesbeauftragten für den Datenschutz (Best practice Prüfkriterien Bayerischer Landesbeauftragter (BayLfD) für Art. 32 DSGVO)

Unternehmen, die diese Checkliste abarbeiten und umsetzen, dürften jedenfalls in strafrechtlicher Hinsicht kaum etwas zu befürchten haben. Betreiber kritischer Infrastrukturen – wozu etwa Energieversorger, aber auch Krankenhäuser gehören – trifft zusätzlich eine Reihe weiterer Pflichten.“ (https://t1p.de/eecn; 19.10.2020; 16:00 Uhr)

 

Lesen Sie auch unseren Blogbeitrag zum Thema

 

Kritische Infrastruktur

 

 

 

Bildnachweis: chaofann von Getty Image Signature auf Canvas – Incurance

Share on Xing
0 Kommentare

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.