Cyber-Security
Neues Gesetz ab Herbst treibt IT-Mindestvorgaben
München (ots) - Obwohl auch kleine Unternehmen zunehmend unter Hackerangriffen
leiden, haben sie grundsätzlich bessere Chancen, überhaupt eine Police zu
erhalten. Bei Unternehmen mit über 10 Millionen Euro Umsatz wird mittlerweile
rund jeder zweite Antrag wegen unzureichender IT-Sicherheit abgelehnt. Ab
Oktober 2024 wird der Abschluss einer Cyberversicherung für Unternehmen
möglicherweise noch schwieriger, weil dann die zweite Richtlinie zur Netzwerk-
und Informationssicherheit (NIS-2-Richtlinie) in Kraft tritt. Darauf weist der
Gewerbeversicherungsmakler Finanzchef24 ( http://www.finanzchef24.de ) hin.
Vielen nicht bewusst: CEO und IT-Leiter können persönlich haften
leiden, haben sie grundsätzlich bessere Chancen, überhaupt eine Police zu
erhalten. Bei Unternehmen mit über 10 Millionen Euro Umsatz wird mittlerweile
rund jeder zweite Antrag wegen unzureichender IT-Sicherheit abgelehnt. Ab
Oktober 2024 wird der Abschluss einer Cyberversicherung für Unternehmen
möglicherweise noch schwieriger, weil dann die zweite Richtlinie zur Netzwerk-
und Informationssicherheit (NIS-2-Richtlinie) in Kraft tritt. Darauf weist der
Gewerbeversicherungsmakler Finanzchef24 ( http://www.finanzchef24.de ) hin.
Vielen nicht bewusst: CEO und IT-Leiter können persönlich haften
"Jedes Unternehmen sollte regelmäßig Stresstests durchführen und einen
Notfallplan aufstellen", rät Payam Rezvanian, Mitglied der Geschäftsleitung bei
Finanzchef24. Nach seinen Erfahrungen ist das Bewusstsein für das Thema
grundsätzlich vorhanden - aber vielen kleinen Unternehmen fällt der erste
Schritt schwer. Unternehmen sollten daher zunächst kritische Prozesse und
Risiken im Kerngeschäft quantifizieren. "Zudem müssen gerade Geschäftsführer von
kleineren Unternehmen begreifen, dass Informationssicherheit nicht nur eine
Aufgabe der IT-Abteilung ist, sondern des Geschäftsführers", sagt Rezvanian. CEO
und IT-Leiter können persönlich haftbar gemacht werden, wenn es zu ernsthaften
Schäden kommt - und wenn das Unternehmen weder eine Cyberversicherung
abgeschlossen, noch sich adäquat geschützt hat.
Tägliche Datensicherung und sinnvolle Rechteverwaltung sind Pflichtprogramm
Finanzchef24 rät Kleinst- und Kleinunternehmen, einen Angebotsprozess für
IT-Cyberversicherungen zu durchlaufen - um im Zuge dessen die
Mindestanforderungen ins eigene Unternehmen zu übertragen. Einige Versicherer
bieten sogenannte Antragsmodelle an: Dort können Unternehmer Angaben zur eigenen
IT-Sicherheit machen und prüfen, ob sie eine Versicherung erhalten würden. So
wird einerseits verhindert, dass Anträge abgelehnt werden und andererseits
erhält das Unternehmen Hinweise auf wesentliche IT-Schwachstellen. Das ebnet den
Weg für einen neuen Antrag mit verbesserter IT-Sicherheit. Als
Mindestvoraussetzung werden meist Kriterien gefordert wie die Frequenz der
Datensicherung, Sicherheitstrainings für Mitarbeiter, 2-Faktor-Authentifizierung
und ein angemessenes Konzept der Rechtevergabe. "Im Prinzip geht es beim Thema
Cybersicherheit darum, den Schadenfall durch technische und organisatorische
Lösungen so weit wie möglich in die Zukunft zu verschieben und das Restrisiko an
eine Cyberversicherung abzugeben", erklärt Frank Gottheil, Senior
Firmenkundenberater bei Finanzchef24.
Notfallplan aufstellen", rät Payam Rezvanian, Mitglied der Geschäftsleitung bei
Finanzchef24. Nach seinen Erfahrungen ist das Bewusstsein für das Thema
grundsätzlich vorhanden - aber vielen kleinen Unternehmen fällt der erste
Schritt schwer. Unternehmen sollten daher zunächst kritische Prozesse und
Risiken im Kerngeschäft quantifizieren. "Zudem müssen gerade Geschäftsführer von
kleineren Unternehmen begreifen, dass Informationssicherheit nicht nur eine
Aufgabe der IT-Abteilung ist, sondern des Geschäftsführers", sagt Rezvanian. CEO
und IT-Leiter können persönlich haftbar gemacht werden, wenn es zu ernsthaften
Schäden kommt - und wenn das Unternehmen weder eine Cyberversicherung
abgeschlossen, noch sich adäquat geschützt hat.
Tägliche Datensicherung und sinnvolle Rechteverwaltung sind Pflichtprogramm
Finanzchef24 rät Kleinst- und Kleinunternehmen, einen Angebotsprozess für
IT-Cyberversicherungen zu durchlaufen - um im Zuge dessen die
Mindestanforderungen ins eigene Unternehmen zu übertragen. Einige Versicherer
bieten sogenannte Antragsmodelle an: Dort können Unternehmer Angaben zur eigenen
IT-Sicherheit machen und prüfen, ob sie eine Versicherung erhalten würden. So
wird einerseits verhindert, dass Anträge abgelehnt werden und andererseits
erhält das Unternehmen Hinweise auf wesentliche IT-Schwachstellen. Das ebnet den
Weg für einen neuen Antrag mit verbesserter IT-Sicherheit. Als
Mindestvoraussetzung werden meist Kriterien gefordert wie die Frequenz der
Datensicherung, Sicherheitstrainings für Mitarbeiter, 2-Faktor-Authentifizierung
und ein angemessenes Konzept der Rechtevergabe. "Im Prinzip geht es beim Thema
Cybersicherheit darum, den Schadenfall durch technische und organisatorische
Lösungen so weit wie möglich in die Zukunft zu verschieben und das Restrisiko an
eine Cyberversicherung abzugeben", erklärt Frank Gottheil, Senior
Firmenkundenberater bei Finanzchef24.