Anzeige
Brennt ein Gebäude, kann der Schaden nach festen Kriterien ermittelt werden - bei Cyberangriffen noch nicht.
Brennt ein Gebäude, kann der Schaden nach festen Kriterien ermittelt werden - bei Cyberangriffen noch nicht. (Bild: Gene Blevins/Reuters)

Versicherung: Feuer, Wasser, Cybercrime

Brennt ein Gebäude, kann der Schaden nach festen Kriterien ermittelt werden - bei Cyberangriffen noch nicht.
Brennt ein Gebäude, kann der Schaden nach festen Kriterien ermittelt werden - bei Cyberangriffen noch nicht. (Bild: Gene Blevins/Reuters)

Der Cyberangriff ist vorbei, doch wie groß ist der Schaden? Anders als bei Bränden oder Überschwemmungen können Unternehmen das nicht nach Schutzstandards ermitteln. Das wollen die Versicherer jetzt ändern - belastbare Zahlen fehlen ihnen aber noch.

Anzeige

Wie sicher ist ein Unternehmen gegen Cyber-Risiken? Mit einem Prüf- und Zertifizierungsverfahren will die Versicherungswirtschaft in Zukunft diese Frage beantworten. Unter Leitung der VdS Schadenverhütung, deren Alleingesellschafter der Versichererverband GDV ist, soll ein einheitlicher Standard etabliert werden. Das Prüfverfahren soll die IT-Sicherheit in einem Unternehmen nach festen Kriterien auditieren und zertifizieren. Auf der Cebit im März sollen sie vorgestellt werden.

Als Anbieter von Policen gegen Cyber-Kriminalität auf der einen und als lukratives Angriffsziel von Hackern auf der anderen Seite hat die Versicherungswirtschaft im doppelten Sinne ein Interesse daran, einen festen Standard zur Beurteilung von Cyber-Risiken zu erarbeiten, wie er in anderen Sparten selbstverständlich ist - zum Beispiel in der Feuerversicherung.

Know-how von "30.000 Jahren Berufserfahrung"

Auch in der Abwehr von Naturgefahren, etwa Überschwemmungen, oder von Einbruch und Diebstahl haben sich Schutzstandards etabliert. Die in solchen Richtlinien zusammengetragenen Schritte zur Vorbeugung von Schäden können von Unternehmen umgesetzt und durch einen unabhängigen Dritten testiert und zertifiziert werden. Für das verbleibende Restrisiko wird dann der Versicherungsschutz eingekauft. Genau diese Lücke soll der neue Cyber-Standard schließen.

Aber kann tatsächlich ein Schutzstandard für Cyber-Risiken etabliert werden, die komplex und dynamisch sind? Auf belastbares Zahlenmaterial kann nämlich noch gar nicht zurückgegriffen werden. Zu jung ist dafür der Cyber-Versicherungsmarkt. "Vor diesem Henne-Ei-Problem steht die Versicherungswirtschaft jedoch immer, wenn neue Deckungen angeboten werden", heißt es dazu aus der VdS-Zentrale in Köln. Deshalb will das Institut mit der Cyber-Richtlinie auch gleichzeitig belastbare Statistiken generieren.

"Wir gehen davon aus, dass diese statistischen Daten ab 2017 der Wirtschaft zur Verfügung gestellt werden können", sagt VdS-Sprecher Norbert Bernigau. Einstweilen hoffen die Macher, dass das Know-how und die Praxis von "mehr als 2.500 IT-Fachleuten" mit "circa 30.000 Jahren Berufserfahrung" für den Beginn eine erfolgreiche Basis stellen wird.

Erarbeitet werden die zertifizierten IT-Sicherheits-Richtlinien unter anderem gemeinsam mit dem Verband Deutscher Versicherungs-Makler (VDVM). "Sie werden dem Thema Cyber-Policen nochmals einen Schub geben", hofft Sven Erichsen, der für den VDVM die Standards mitgestaltet hat. Er sieht in der Testierung Vorteile besonders im Underwriting.

Das Sicherheitsaudit sei ein "vernünftiger Nenner" und "genau der richtige Weg", auf den sich Versicherer und Kunden bei der Einschätzung des Risikos einigen könnten, sagt Erichsen. Auf Basis dieser Einschätzung kann der Versicherer seinem potenziellen Kunden ein Angebot für eine Cyber-Deckung unterbreiten.

Der Mittelstand ist zu sorglos

Die Leitlinien wurden dabei auf kleine und mittlere Unternehmen (KMU) zugeschnitten. Bei Versicherern und Maklern, die Cyber-Policen vertreiben, gelten sie als lukrative Zielgruppe. Während sich viele Großkonzerne bereits gegen Cyber-Schäden eingedeckt haben, herrscht im Mittelstand vielerorts eine digitale Sorglosigkeit vor.

Selbst wenn die Sensibilität für Gefährdungen vorhanden sei, würden angemessene Sicherheitsmaßnahmen nicht konsequent umgesetzt, konstatierte das Bundesamt für Sicherheit in der Informationstechnik (BSI) in seinem Ende 2014 vorgestellten Bericht zur Lage der IT-Sicherheit in Deutschland. "So zeigt es sich, dass die Systeme der KMU - wie die Systeme der Bürger - häufig selbst gegen einfache Angriffe nur unzulänglich geschützt sind", warnt das BSI. Das BSI selbst veröffentlicht sogenannte IT-Grundschutz-Kataloge, die ebenfalls eine Zertifizierung ermöglichen.

Genau auf jenen Katalogen, speziell der ISO 27000er Reihe, basiert der VdS-Standard. Er ist sogar "bewusst unterhalb des IT-Grundschutzes des BSI" gehalten, sagt Bernigau. Da aber "über 99 Prozent der Unternehmen in Deutschland zu den KMU" zählten, könne nicht wirklich von einer Begrenzung gesprochen werden. Aktuell befindet sich der neue Cyber-VdS-Standard mit der Nummer 3473 noch in Entwicklung. Pünktlich zur Cebit, der weltweit größten IT-Messe, soll die Richtlinie der Öffentlichkeit vorgestellt werden.


eye home zur Startseite
derdiedas 31. Jan 2015

wenn es deren eigenen Daten sind, von mir aus. Aber wie mit Kundendaten umgegangen wird...



Anzeige

Stellenmarkt
  1. Landeshauptstadt München, München
  2. über RAU | FOOD RECRUITMENT GmbH, Sachsen-Anhalt
  3. ROHDE & SCHWARZ GmbH & Co. KG, München
  4. CVD-Mediengruppe, Chemnitz


Anzeige
Top-Angebote
  1. ab 219,00€
  2. (u. a. Core i7-6700K, i5-6600K, i7-5820K)

Folgen Sie uns
       


  1. Kabelnetz

    Großflächige Störung bei Vodafone

  2. Google

    Nächste Android-Version heißt Nougat

  3. Pleurobot

    Bewegungen verstehen mit einem Robo-Salamander

  4. Überwachung

    Google sammelt Telefonprotokolle von Android-Geräten

  5. Fritzbox

    AVM veröffentlicht FAQ zur Routerfreiheit

  6. Wertschöpfungslücke

    Musiker beschweren sich bei EU-Kommission über Youtube

  7. Vodafone und Ericsson

    Prototyp eines 5G-Netzes in Deutschland

  8. Slim

    Hinweise auf schlanke Playstation 4

  9. Wasserwaagen-App

    Android-Trojaner im Play Store installiert ungewollt Apps

  10. Datenrate

    Telekom und M-Net gewinnen Connect-Festnetztest



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Wireless-HDMI im Test: Achtung Signalstörung!
Wireless-HDMI im Test
Achtung Signalstörung!
  1. Die Woche im Video E3, Oneplus Three und Apple ohne X

Rust: Ist die neue Programmiersprache besser?
Rust
Ist die neue Programmiersprache besser?
  1. Fraunhofer SIT Volksverschlüsselung startet ohne Quellcode
  2. Microsoft Plattformübergreifendes .Net Core erscheint in Version 1.0
  3. Oracle-Anwältin nach Niederlage "Google hat die GPL getötet"

Mikko Hypponen: "Microsoft ist nicht mehr scheiße"
Mikko Hypponen
"Microsoft ist nicht mehr scheiße"

  1. Re: Hotline? Ein Ansagetext könnte schon vielen...

    motzerator | 04:19

  2. Re: Spaß mit Logitech

    LinuxMcBook | 04:16

  3. Re: Namenswahl für Android O

    LinuxMcBook | 03:33

  4. Re: Echt wichtige Nachricht...

    xMarwyc | 02:44

  5. Re: An alle die wegen PCI nun verunsichert sind

    xMarwyc | 02:42


  1. 22:47

  2. 19:06

  3. 18:38

  4. 17:19

  5. 16:19

  6. 16:04

  7. 15:58

  8. 15:21


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel