Mehr Unternehmen müssen strengere Anforderungen an die Cybersicherheit erfüllen, wenn ab Oktober die Network and Information Security Directive (NIS2-Richtlinie) in der Europäischen Union gilt. Das könnte auf die Versicherbarkeit aller Unternehmen in Sachen Cyberschutz durchschlagen.
So sind von NIS2 auch kleinere Unternehmen betroffen, wenn sie für kritische Unternehmen Zulieferer sind. „Die NIS2-Richtlinie gilt für alle Unternehmen, die Dienstleistungen in der EU erbringen oder dort tätig sind, wenn sie mehr als 50 Personen beschäftigen oder einen Jahresumsatz und eine Jahresbilanzsumme von mehr als zehn Millionen Euro haben und einem der kritischen Sektoren angehören“, erläutert Rechtsanwalt Philipp Reusch aus Saarbrücken. Die Kanzlei bietet einen Quick-Check, der zeigt, ob man als Unternehmen direkt von NIS2 betroffen ist.
Die Auflagen könnten steigen
Indirekt könnten die höheren Anforderungen aber auch auf den Cyberversicherungsschutz durchschlagen. Das befürchten die Versicherungsmakler Finanzchef 24 und Finlex. Nach Erfahrung des Gewerbemakler Finanzchef24 wird bei Unternehmen mit über zehn Millionen Euro Umsatz mittlerweile rund jeder zweite Versicherungsantrag wegen unzureichender IT-Sicherheit abgelehnt. Und dass obwohl auch kleinere Unternehmen zunehmend unter Hackerangriffen leiden.
Laut Finlex hat die Bedeutung von Cyber im unternehmerischen Risikomanagement einen höheren Stellenwert erreicht. Grund wären viele Schadenfälle. Es werde daher mehr in Cyber-Sicherheit investiert und NIS2 würde diese Notwendigkeit noch verstärken, wie Finlex in seinem Marktreport 2024 feststellt.
Die Risikolage ist brisant
In den vergangenen zwölf Monaten waren 81 Prozent aller Unternehmen vom Diebstahl von Daten und IT-Geräten sowie von digitaler und analoger Industriespionage oder Sabotage betroffen. Weitere zehn Prozent vermuten dies. 2023 lagen die Anteile noch bei 72 und acht Prozent. So die Ende August 2024 veröffentlichten Ergebnisse einer Studie im Auftrag des Digitalverbands Bitkom, für die mehr als 1.000 Unternehmen quer durch alle Branchen repräsentativ befragt wurden.
Auch die „Cyberstudie 2024“ der HDI Versicherung zeigt laut Vorstand Christian Kussmann, dass Kleinunternehmen, Kleinstunternehmen und Freiberufler für die Cyber-Angreifer immer interessanter werden. Das Risiko für eine Cyber-Attacke auf ein kleines oder mittleres Unternehmen in Deutschland schätzen 49 Prozent der rund 1.500 Befragten als „hoch“ oder „eher hoch“ ein. Eine Betroffenheit des eigenen Unternehmens halten jedoch nur 38 Prozent der Befragten als wahrscheinlich.
Individuelle Risikoeinschätzung
Aus Schaden wird man klug. Dies gilt grundsätzlich auch nach einem Angriff aus dem Cyberspace. Allerdings scheint diese Einsicht nur eine begrenzte Haltbarkeit zu haben. Die Einschätzung der Befragten hinsichtlich des Angriffs- und des Schadensrisikos nehmen relativ schnell nach einem Angriff auf das Unternehmen wieder deutlich ab: So schätzen 57 Prozent der Befragten, deren Unternehmen innerhalb von 12 Monaten vor der Umfrage attackiert worden ist, das Angriffsrisiko für ihr eigenes Unternehmen als „hoch“ oder „sehr hoch“ ein. Mit drei Jahren Abstand zu einem Cyberangriff hat sich dieser Wert halbiert: nur noch 27 Prozent dieser Befragten teilen dann diese Ansicht.
Die Einschätzung des Cyber-Risikos bleibt somit sehr unternehmensindividuell. Dies zeigen auch Beispiele aus der Praxis. So hält sich Martin Wassmer, Handwerksmeister aus dem baden-württembergischen Klettgau, hinsichtlich umfassenden Gewerbeschutz rund alles sechs Wochen durch seinen Vermittler „auf dem Laufenden“. In Sachen Cyberschutz ist der Unternehmer hingegen kritisch. „Wir haben eine sehr gute, vom System getrennte Datensicherung und werden von einem IT-Spezialisten beraten. Daher sehe ich die Cyber-Versicherung für unser Unternehmen derzeit nicht auf der obersten Prioritätenliste.“
Wie die Praktiker die Lage sehen
Anders reagieren Praktiker, wenn sie ihre Arbeitsweise ändern. Das gilt etwa für den Elektriker Bode und Stephan in Göttingen. Denn als der alteingesessene Handwerker zum Profit-Center der „1KOMMA5° GmbH“ wurde, wurden Laptop und Drohnen neues Arbeitsgerät. Das führte dazu, dass der Cyberschutz im Unternehmen erhöht wurde. Und gerade, wenn die IT erweitert wird, ist eine Cyberpolice sinnvoll. Diese Auffassung vertritt jedenfalls Max Uschakow Geschäftsführer von UFAS Lüftung + Klima aus Leichlingen bei Leverkusen. So geht der Ausbau des Unternehmens, das klug eine Nische zwischen Kälte- und Heizungsbauern besetzt, derzeit rasant weiter.
Uschakow: „Wir planen in dem nächsten Jahrzehnt den Personalausbau auf 100 Mitarbeiter“. Die große Nachfrage nach energieeffizienten Anlagen mache dies möglich. „Derzeit bauen wir ein neues EDV-System auf und werden fachmännisch beraten. Daher haben wir auch schon eine Cyber-Versicherung auf dem Plan.“
Service hält die Schäden gering
Aufgrund einer weiterhin angespannten Sicherheitslage und einer Vielzahl an Schadenfällen ist nach Einschätzung des Versicherungsmaklers Finlex damit zu rechnen, dass die Versicherer strengere Deckungsprüfungen vornehmen. Bereits heute würden – so der aktuelle Marktbericht - vermehrt Verletzungen von Obliegenheiten, wie die vorvertragliche Anzeigepflicht von den Versicherern eingewandt. Es gebe zudem weiterhin neue Fragen, wenn der Vertrag verlängert werden soll. Gleichzeitig würden die Versicherer zunehmend „Outside-Scans“ einsetzen, mit denen die IT-Sicherheit der Kunden eigenständig überprüft wird.
Laut Finlex sind 2024 viele Schadenfälle „verhältnismäßig glimpflich“ ausgegangen, weil die Assekuranzen mit Profi-Schadenservice Black-Outs schnell beseitigen würden. Laut einer Finlex-Statistik wird rund ein Viertel aller Cyberversicherungsfälle mit Hilfe von Erstmaßnahmen gelöst. Bei Cyberschutz ist der Service das A und O der Police. Denn Unternehmer möchten, dass ihr Betrieb nach einer Cyberattacke möglichst bald wieder die IT nutzen kann.
Daher sollte die Kombination aus Mitarbeiterschulung im Vorfeld und Soforthilfe im Ernstfall, wie sie etwa der HDI bietet, Schule machen. HDI-Manager Kussmann: „So umfassen die Präventionsleistungen unter anderem IT-Sicherheitstrainings, fingierte Cyber-Angriffe und eine Prüfung der IT-Sicherheit des Unternehmens, um mögliche Lücken zu erkennen.“
Autor(en): Uwe Schmidt-Kasparek