Welche Unternehmen brauchen welchen Cyber-Schutz?

Gewerbeversicherung von Sebastian Wilhelm

Die Risiken aus dem Netz sind vielfältig und nicht für alle Firmen gleichermaßen relevant. Um unnötig hohe Prämien zu vermeiden, sollten nur die tatsächlichen Cyber-Bedrohungen abgesichert werden. Was Makler dabei beachten sollten.

Cyberschutz in Unternehmen

Eine Beratung sollte immer die in einer Firma gegebene Bedrohungslage berücksichtigen. Bild: Den Rise

Datenklau, (Erpressungs-)Trojaner, Denial of Service, Viren, Industriespionage, Fake President und, und, und: Wenn über Cyber-Risiken gesprochen wird, verbergen sich dahinter ganz verschiedenartige Bedrohungen. Nicht jede betrifft jedes Unternehmen. Somit ergibt es auch wenig Sinn, als Versicherungsmakler immer das gleiche Cyber-Schutzpaket an die Gewerbekunden zu bringen. Schließlich müssen nicht benötigte Tarifbausteine mit bezahlt werden. Da ist es doch wirtschaftlich vernünftiger, das Geld für wirklich benötigten Schutz in höherer Qualität auszugeben.

Die Beratung sollte also die in einer Firma gegebene Bedrohungslage berücksichtigen. Dabei kann man sich, um nicht jedes Mal bei null beginnen zu müssen, für bestimmte Branchen typische Risikoprofile erarbeiten und zugrunde legen. Übergreifend gilt, dass sowohl Eigen- als auch Drittschäden abgedeckt sein sollten, beispielsweise durch einen Virus, der sich im eigenen Netzwerk und von da aus bei anderen Unternehmen ausbreitet. Zudem ist es sinnvoll, auch glaubwürdige Erpressung mit der Androhung eines Cyber-Schadens miteinzubeziehen. Wer Marketing betreibt, kann überdies in die Falle eine Urheberrechtsverletzung tappen, die ebenso alle Branchen bedroht wie Reputationsschäden.

Beispiel Arztpraxis

In einer Arztpraxis bestehen im Wesentlichen drei große Cyber-Risiken: 1. Patientendaten, sowohl gesundheitlicher als auch finanzieller Art, könnten aus dem Praxis-IT-System entwendet und veröffentlicht werden. 2. Hightech-Geräte könnten fremdgesteuert und so lahmgelegt oder gar zerstört werden. 3. Der Zugriff auf Patientendaten könnte durch einen Angriff (etwa mit einem Verschlüsselungstrojaner) verwehrt werden, so dass kein Praxisbetrieb möglich ist. Abgesichert werden sollten also mindestens Netzwerk- und Datenrechtsverletzungen, Betriebsunterbrechung und Ertragsausfall sowie Elektronik bzw. Praxisinhalt.

Beispiel Onlineshop

Ein typischer Onlineshop ist zum einen auf eine funktionierende IT angewiesen, damit die Verkaufs-Website erreichbar bleibt und die Abwicklung der Bestellungen reibungslos läuft. Zum anderen horten Onlineshops in der Regel vertrauliche Zahlungsdaten ihrer Kunden. Auch hier sollten mithin Netzwerk- und Datenrechtsverletzungen abgesichert werden. Für den Fall, dass die Shopseite durch einen Angriff offline gehen muss oder das IT-System zusammenbricht, bietet sich ein Baustein für Betriebsunterbrechung und Ertragsausfall an.

Beispiel Handwerksbetrieb

Je nach Gewerk und Betriebsgröße kann sich der Schutzbedarf stark unterscheiden. Abgesichert werden muss auf jeden Fall der Diebstahl von Kundendaten, insbesondere von Zahlungsdaten (Datenrechtsverletzung), da er Bußgelder und Regressforderungen nach sich ziehen kann. Inwieweit auch der Betriebsablauf abgesichert werden sollte, entscheidet sich anhand seiner IT-Abhängigkeit: Werden Maschinen und Aufträge digital gesteuert? Kann der Betrieb auch eine Zeitlang ohne IT fortgeführt werden?

Risikoeingrenzung mithilfe des DsiN

Um sich ein Bild der jeweiligen Bedrohungslage zu machen, können Makler den Sicherheits-Check des Vereins Deutschland sicher im Netz hinzuziehen, der unter der Schirmherrschaft des Bundesinnenministeriums steht. In vier Abstufungen lassen sich Fragen wie „Wie groß ist das Interesse der Konkurrenz, der organisierten Kriminalität oder von ausländischen Nachrichtendiensten an Informationen, die Sie im Unternehmen verarbeiten?“, „Wie erkennen Sie Angriffe?“ oder „Wie abhängig ist der Erfolg Ihres Unternehmens von der Integrität, Vertraulichkeit oder Verfügbarkeit von Informationen, die Sie im Unternehmen elektronisch verarbeiten?“ beantworten. Am Ende erhält man Empfehlungen für besseren Cyber-Schutz und wird auf relevante Risiken hingewiesen.

Eine Spezialisierung auf bestimmte Branchen kann bei der Cyber-Absicherung durchaus sinnvoll sein. Dann geht auch eine hinreichend individuelle Risikoeinschätzung nach einiger Zeit schnell von Hand.

  • Facebook Kommentare
  • Disqus Kommentare