Schutzmaßnahmen sind unbedingt erforderlichCyber-Versicherungen als Garantie für den Datenschutz

22. Juli 2019

Quelle: rawpixel auf Pixabay

Spezielle Versicherungen können Unternehmen vor Hacker-Attacken und Datenverlusten schützen. Betriebe sollten ihre Sicherheitsmaßnahmen jedoch schon vorab prüfen, um im Schadensfall auch Unterstützung zu bekommen.

Wie der aktuelle Bericht zur Lage der IT-Sicherheit in Deutschland des Bundesamt für Sicherheit in der Informationstechnik (BSI) zusammenfasst, ist die Gefährdungslage im Bereich der Cyber-Sicherheit vielschichtiger geworden. WannaCry, NotPetya oder Spectre sind nur einige Schadprogramme, die die Medien in den letzten Jahren dominiert haben. Da die Digitalisierung gleichzeitig immer weiter voranschreitet, vergrößert sich die potenzielle Angriffsfläche von IT-Systemen des Staats sowie in Wirtschaft und Gesellschaft.

So berichten rund 93 Prozent der mittleren und großen deutschen Unternehmen, dass sie bereits IT-Angriffen ausgesetzt waren. 25 Prozent wurden gar Opfer von täglichen Attacken, so der Deloitte Security Report von 2018. Demnach erleidet nahezu die Hälfte der Unternehmen Schäden durch Cyberattacken, die sich im Schnitt auf 700.000 Euro pro Angriff belaufen. Für die deutsche Wirtschaft wird der geschätzte Gesamtschaden mit 50 Milliarden Euro beziffert.

Bei diesen Zahlen ist es nachvollziehbar, dass Unternehmen in Erwägung ziehen, sich gegen Attacken und Datenverluste mit speziellen Cyber-Versicherungen abzusichern. Dennoch ist es besonders wichtig, dass Betriebe schon vorab geeignete Schutzmaßnahmen treffen.

Wozu eine Cyber-Risk-Versicherung?

Unter Cyber-Risk- oder IT-Versicherungen versteht man Zusatzversicherungen für Unternehmen – meist eine Kombination aus Haftpflichtversicherung, Betriebsausfallversicherung und Datenversicherung für Dritt- und Eigenschäden. Die Cyber-Versicherung deckt üblicherweise alle Vermögensschäden ab, die durch Verletzung der Informationssicherheit entstehen. Mit eingeschlossen sind Kosten – sofern noch möglich – für die Wiederherstellung der Daten, für Datenforensik, Krisenberatung und Anwälte. Betreiber aus dem Bereich E-Commerce können den Versicherungsschutz erweitern, um etwa Umsatzausfälle in Webshops, die durch einen Hacker verursacht wurden, finanziell auszugleichen.

Bevor ein Unternehmen eine entsprechende Police abschließen kann, wird es in einem ersten Schritt vom Versicherer bewertet. Dabei ist entscheidend, welche IT-Infrastruktur im Betrieb zum Einsatz kommt, wo die Dateien gespeichert werden und welche regelmäßigen Sicherheitsmaßnahmen das Unternehmen anwendet.

Eine große Rolle spielt dabei immer, ob das Sicherheitskonzept des Betriebs auf dem Stand der Technik ist und auch weiterhin aktuell gehalten wird. Auf diese Weise verschafft sich der Versicherer einen Überblick über das Risiko und so ist es durchaus möglich, dass Unternehmen mit einer unzureichenden IT-Sicherheit erst eine Versicherung abschließen können, wenn sie technisch nachjustieren. Betriebe, die in Sachen IT-Sicherheit hingegen verantwortungsvoll und professionell aufgestellt sind, könnten möglicherweise von niedrigeren Beiträgen profitieren.

Ein gesteigertes Security-Level wird honoriert

Unternehmen, die sich versichern wollen, ist also zu raten, sich schon vorab ausreichend mit der eigenen IT-Infrastruktur und den nötigen Sicherheitsmaßnahmen zu beschäftigen. Besonders wichtig ist es zudem, für Security-Awareness – etwa in Form von Schulungen, festgelegten Richtlinien und Prozessen – bei allen Mitarbeitern zu sorgen.

Auch die Wahl des geeigneten Cloud-Anbieters gehört dazu. Hierbei sollte beachtet werden, dass nur die Nutzer selbst Zugang zu den in der Cloud abgespeicherten Daten haben. Administratoren oder Mitarbeiter von Rechenzentren sollten hingegen schon rein technisch nicht die Möglichkeit haben, auf Daten zuzugreifen. Um ein Risiko bei der Wahl des richtigen Cloud-Anbieters zu vermeiden, empfiehlt es sich, einen betreibersicheren Cloud-Anbieter heranzuziehen, bei dem unerwünschte Zugriffe mithilfe der Technologie ausgeschlossen werden können.

Mitarbeiter des Cloud-Dienstes können verarbeitende Daten weder zur Kenntnis nehmen noch weitergeben. Auf diese Weise ist ein Missbrauch von Daten sehr viel unwahrscheinlicher. Betreibersichere Umgebungen bietet z. B. die versiegelte Cloud der Deutschen Telekom, uCloud von Regio IT und die Sealed Platform der TÜV-SÜD-Tochter Uniscon GmbH.

Mit der Wahl einer betreibersicheren Cloud profitieren Unternehmen also nicht nur von gut abgesicherten Daten, sondern sind auch beim Abschluss einer Cyber-Versicherung im Vorteil, da sie möglicherweise zu besonders günstigen Konditionen eingestuft werden.

Versicherungspflicht für smartere Technologien?

Cyber-Risk-Versicherungen können nicht nur vor Datenverlusten und Cyber-Attacken bewahren. Richtig eingesetzt, könnte die Einführung einer Versicherungs- oder Rückstellungspflicht Anreize schaffen, sodass Anbieter von Internetdiensten smarte und sichere Technologien auch tatsächlich anwenden. Jene Unternehmen, die sicherheitstechnisch nicht auf dem neuesten Stand sind und ungenau agieren, ließen sich bestrafen, da sie besagte Versicherungsleistungen bzw. Rückstellungen aus dem Gewinn bezahlen müssten. Diejenigen Betriebe, die bereits innovativ ausgerüstet sind, würden von günstigeren Policen profitieren, da sie die gebildeten Cyber-Risk-Rückstellungen gewinnsteigernd auflösen könnten.

Solange viele Unternehmen beim Thema Datenschutz erst dann agieren und geeignete Schutz-Maßnahmen ergreifen, wenn Präzedenzfälle publik werden, bleibt Datenschutz ein zahnloser Tiger. Wirkt sich das rasant wachsende Risiko der Digitalisierung allerdings finanziell aus, weil es in der handelsrechtlichen Betrachtung berücksichtigt ist, ergreifen sicherlich weitaus mehr Betriebe die notwendigen und ökonomisch sinnvollen Datenschutz-Maßnahmen.