Abo
  • Services:

Versicherung: Feuer, Wasser, Cybercrime

Der Cyberangriff ist vorbei, doch wie groß ist der Schaden? Anders als bei Bränden oder Überschwemmungen können Unternehmen das nicht nach Schutzstandards ermitteln. Das wollen die Versicherer jetzt ändern - belastbare Zahlen fehlen ihnen aber noch.

Artikel veröffentlicht am , Umar Choudhry
Brennt ein Gebäude, kann der Schaden nach festen Kriterien ermittelt werden - bei Cyberangriffen noch nicht.
Brennt ein Gebäude, kann der Schaden nach festen Kriterien ermittelt werden - bei Cyberangriffen noch nicht. (Bild: Gene Blevins/Reuters)

Wie sicher ist ein Unternehmen gegen Cyber-Risiken? Mit einem Prüf- und Zertifizierungsverfahren will die Versicherungswirtschaft in Zukunft diese Frage beantworten. Unter Leitung der VdS Schadenverhütung, deren Alleingesellschafter der Versichererverband GDV ist, soll ein einheitlicher Standard etabliert werden. Das Prüfverfahren soll die IT-Sicherheit in einem Unternehmen nach festen Kriterien auditieren und zertifizieren. Auf der Cebit im März sollen sie vorgestellt werden.

Stellenmarkt
  1. M-net Telekommunikations GmbH, München
  2. McService GmbH, München

Als Anbieter von Policen gegen Cyber-Kriminalität auf der einen und als lukratives Angriffsziel von Hackern auf der anderen Seite hat die Versicherungswirtschaft im doppelten Sinne ein Interesse daran, einen festen Standard zur Beurteilung von Cyber-Risiken zu erarbeiten, wie er in anderen Sparten selbstverständlich ist - zum Beispiel in der Feuerversicherung.

Know-how von "30.000 Jahren Berufserfahrung"

Auch in der Abwehr von Naturgefahren, etwa Überschwemmungen, oder von Einbruch und Diebstahl haben sich Schutzstandards etabliert. Die in solchen Richtlinien zusammengetragenen Schritte zur Vorbeugung von Schäden können von Unternehmen umgesetzt und durch einen unabhängigen Dritten testiert und zertifiziert werden. Für das verbleibende Restrisiko wird dann der Versicherungsschutz eingekauft. Genau diese Lücke soll der neue Cyber-Standard schließen.

Aber kann tatsächlich ein Schutzstandard für Cyber-Risiken etabliert werden, die komplex und dynamisch sind? Auf belastbares Zahlenmaterial kann nämlich noch gar nicht zurückgegriffen werden. Zu jung ist dafür der Cyber-Versicherungsmarkt. "Vor diesem Henne-Ei-Problem steht die Versicherungswirtschaft jedoch immer, wenn neue Deckungen angeboten werden", heißt es dazu aus der VdS-Zentrale in Köln. Deshalb will das Institut mit der Cyber-Richtlinie auch gleichzeitig belastbare Statistiken generieren.

"Wir gehen davon aus, dass diese statistischen Daten ab 2017 der Wirtschaft zur Verfügung gestellt werden können", sagt VdS-Sprecher Norbert Bernigau. Einstweilen hoffen die Macher, dass das Know-how und die Praxis von "mehr als 2.500 IT-Fachleuten" mit "circa 30.000 Jahren Berufserfahrung" für den Beginn eine erfolgreiche Basis stellen wird.

Erarbeitet werden die zertifizierten IT-Sicherheits-Richtlinien unter anderem gemeinsam mit dem Verband Deutscher Versicherungs-Makler (VDVM). "Sie werden dem Thema Cyber-Policen nochmals einen Schub geben", hofft Sven Erichsen, der für den VDVM die Standards mitgestaltet hat. Er sieht in der Testierung Vorteile besonders im Underwriting.

Das Sicherheitsaudit sei ein "vernünftiger Nenner" und "genau der richtige Weg", auf den sich Versicherer und Kunden bei der Einschätzung des Risikos einigen könnten, sagt Erichsen. Auf Basis dieser Einschätzung kann der Versicherer seinem potenziellen Kunden ein Angebot für eine Cyber-Deckung unterbreiten.

Der Mittelstand ist zu sorglos

Die Leitlinien wurden dabei auf kleine und mittlere Unternehmen (KMU) zugeschnitten. Bei Versicherern und Maklern, die Cyber-Policen vertreiben, gelten sie als lukrative Zielgruppe. Während sich viele Großkonzerne bereits gegen Cyber-Schäden eingedeckt haben, herrscht im Mittelstand vielerorts eine digitale Sorglosigkeit vor.

Selbst wenn die Sensibilität für Gefährdungen vorhanden sei, würden angemessene Sicherheitsmaßnahmen nicht konsequent umgesetzt, konstatierte das Bundesamt für Sicherheit in der Informationstechnik (BSI) in seinem Ende 2014 vorgestellten Bericht zur Lage der IT-Sicherheit in Deutschland. "So zeigt es sich, dass die Systeme der KMU - wie die Systeme der Bürger - häufig selbst gegen einfache Angriffe nur unzulänglich geschützt sind", warnt das BSI. Das BSI selbst veröffentlicht sogenannte IT-Grundschutz-Kataloge, die ebenfalls eine Zertifizierung ermöglichen.

Genau auf jenen Katalogen, speziell der ISO 27000er Reihe, basiert der VdS-Standard. Er ist sogar "bewusst unterhalb des IT-Grundschutzes des BSI" gehalten, sagt Bernigau. Da aber "über 99 Prozent der Unternehmen in Deutschland zu den KMU" zählten, könne nicht wirklich von einer Begrenzung gesprochen werden. Aktuell befindet sich der neue Cyber-VdS-Standard mit der Nummer 3473 noch in Entwicklung. Pünktlich zur Cebit, der weltweit größten IT-Messe, soll die Richtlinie der Öffentlichkeit vorgestellt werden.



Anzeige
Hardware-Angebote
  1. täglich neue Deals bei Alternate.de

derdiedas 31. Jan 2015

wenn es deren eigenen Daten sind, von mir aus. Aber wie mit Kundendaten umgegangen wird...


Folgen Sie uns
       


Samsung Micro-LED-TV angesehen (CES 2019)

Micro-LEDs könnten dank Samsungs neuem 75-Zoll-Fernseher bald auch ihren Weg in heimische Wohnzimmer finden. Der neue TV hat ein sehr scharfes und helles Bild - einen Preis hat Samsung aber noch nicht bekanntgegeben.

Samsung Micro-LED-TV angesehen (CES 2019) Video aufrufen
Datenschutz: Nie da gewesene Kontrollmacht für staatliche Stellen
Datenschutz
"Nie da gewesene Kontrollmacht für staatliche Stellen"

Zur G20-Fahndung nutzt Hamburgs Polizei eine Software, die Gesichter von Hunderttausenden speichert. Schluss damit, sagt der Datenschutzbeauftragte - und wird ignoriert.
Ein Interview von Oliver Hollenstein

  1. Brexit-Abstimmung IT-Wirtschaft warnt vor Datenchaos in Europa
  2. Österreich Post handelt mit politischen Einstellungen
  3. Digitalisierung Bär stößt Debatte um Datenschutz im Gesundheitswesen an

IT-Jobs: Ein Jahr als Freelancer
IT-Jobs
Ein Jahr als Freelancer

Sicher träumen nicht wenige festangestellte Entwickler, Programmierer und andere ITler davon, sich selbstständig zu machen. Unser Autor hat vor einem Jahr den Schritt ins Vollzeit-Freelancertum gewagt und bilanziert: Vieles an der Selbstständigkeit ist gut, aber nicht alles. Und: Die Freiheit des Freelancers ist relativ.
Ein Erfahrungsbericht von Marvin Engel

  1. Agilität Wenn alle bestimmen, wo es langgeht
  2. Studie Wo Frauen in der IT gut verdienen
  3. Freiberuflichkeit Bin ich zum Freelancer im IT-Business geeignet?

Urheberrecht: Warum die Kreativwirtschaft plötzlich Uploadfilter ablehnt
Urheberrecht
Warum die Kreativwirtschaft plötzlich Uploadfilter ablehnt

Eigentlich sollte der umstrittene Artikel 13 der EU-Urheberrechtsreform die Rechteinhaber gegenüber Plattformen wie Youtube stärken. Doch nun warnen TV-Sender und Medien vor Nachteilen durch das Gesetz. Software-Entwickler sollen keine zusätzlichen Rechte bekommen.
Von Friedhelm Greis

  1. Leistungsschutzrecht und Uploadfilter EU-Länder bremsen Urheberrechtsreform aus
  2. EuGH-Gutachten Deutsches Leistungsschutzrecht soll unzulässig sein
  3. Leistungsschutzrecht So oft könnten Verlage künftig an Bezahlartikeln verdienen

    •  /