Abgeschlossene Versicherungen können nicht den Eintritt eines Schadenfalls verhindern, doch können sie den Policennehmer in der Regel vor unliebsam hohen Spontanzahlungen absichern. So alt das Prinzip der Versicherung auch ist und so universell es heute in den verschiedensten Bereichen und Lebenslagen eingesetzt wird, so genau sollte aber dennoch hingesehen werden, wenn es darum geht, den Einzelfall und damit den individuellen Nutzen zu analysieren.
Anders ausgedrückt: Bestimmte Versicherungen setzen sehr hohe und kostenintensive Ist-Standards voraus, um im Schadensfall überhaupt zu greifen – was ihr Kosten-Nutzen-Verhältnis schnell in ein ungünstiges Licht rücken kann.
Wenn die Nachweispflicht so komplex wie die Schadensprävention selbst ist…
Die IT-Welt ist hochkomplex und extrem schnelllebig. In der Tat so schnelllebig, dass auf positive wie negative Trends und Entwicklungen fast in Echtzeit reagiert werden muss. Gleichzeitig haben die auf in Deutschland ansässige Unternehmen ausgeübten Cyberattacken im Jahr 2021 branchenübergreifend um rund 62% zugenommen, wobei die Zahlen für vornehmlich am Digitalmarkt agierende Firmen noch deutlich höher ausfallen. Ein Versicherungsschutz in dieser Branche kann daher nicht linear verlaufen: Ständig entstehen neue Gefahren, gegen die sich nicht nur die einzelnen Firmen intern absichern müssen, sondern welche auch von den Versicherungen bewertet und in ihre jeweiligen Policenbedingungen übersetzt werden müssen.
Die Folge: Versicherer im Bereich der Cybersecurity stellen zumeist sehr hohe Ansprüche an ihre Kunden und gestalten demnach komplexe Nachweispflichten. Unter anderem beinhalten diese häufig einen Nachweis über das eigene Patch-Management sowie die kontinuierliche Aktualisierung aller eingesetzter Softwarelösungen. Mitarbeiter müssen fortwährend und belegbar themenrelevant informiert und geschult werden; die eingesetzten Datensicherungsmaßnahmen müssen allgemein anerkannten Anforderungen entsprechen.
…stellt sich schnell die Frage nach dem Nutzen der Versicherung
Man könnte etwas zugespitzt also sagen: In dem Moment, in dem ein Unternehmen alle Nachweispflichten und Anforderungen seines Versicherungsanbieters erfüllt, erfüllt es im Grunde auch schon die Grundsätze und Notwendigkeiten des Datenschutzes bzw. einer stark ausgeprägten Cybersecurity selbst – wieviel Nutzen generiert nun also noch die Police?
Erschwerend kommt hinzu, dass Versicherungen ihre Klienten bezüglich ihrer Versicherungsbedingungen häufig weitestgehend über einen Kamm scheren: Der lokal ausgerichtete Mittelständler muss womöglich dieselben Voraussetzungen erfüllen, die auch für einen weltweit agierenden Großkonzern gelten. Voraussetzungen also, die für kleinere Unternehmen aufgrund nicht ausreichender personeller wie monetärer Ressourcen oftmals nicht zu erfüllen (und womöglich auch inhaltlich völlig überdimensioniert) sind.
Für viele KMUs scheint es demnach lohnenswerter, das eigene Augenmerk stärker auf die autonome Schadensfallprävention zu legen, als sich primär am Markt der Versicherer umzusehen. Siegfried Müller nennt in seiner Kolumne zu diesem Thema unter anderem die Aspekte Softwarequalität (die Nutzung sicherheitszertifizierter, tagesaktueller Software), Zugriffsrechtemanagement (bspw. klar definierte Berechtigungskonzepte) sowie den zeitgemäßen Stand der Technik, auch bezüglich der eingesetzten Sicherheitsmaßnahmen.
Erfüllt ein Unternehmen diese grundlegenden Kriterien, so kann es mit vergleichsweise wenig Input ein hohes Sicherheitslevel erzielen, welches selbstredend nicht vor jeglicher Attacke schützen, aber auf den Gesamtmarkt bezogen doch als überdurchschnittlich gelten kann.
Quelle:
https://www.produktion.de/wirtschaft/ausblick-das-wird-2022-im-bereich-cybersecurity-wichtig-505.html