Obwohl auch kleine Unternehmen zunehmend unter Hackerangriffen leiden, haben sie grundsätzlich bessere Chancen, überhaupt eine Police zu erhalten. Bei Unternehmen mit über 10 Mio. Euro Umsatz wird mittlerweile rund jeder zweite Antrag wegen unzureichender IT-Sicherheit abgelehnt. Ab Oktober 2024 wird der Abschluss einer Cyberversicherung für Unternehmen möglicherweise noch schwieriger, weil dann die zweite Richtlinie zur Netzwerk- und Informationssicherheit (NIS-2-Richtlinie) in Kraft tritt. Darauf weist der Gewerbeversicherungsmakler Finanzchef 24 hin.
„Jedes Unternehmen sollte regelmäßig Stresstests durchführen und einen Notfallplan aufstellen“, rät Payam Rezvanian, Mitglied der Geschäftsleitung bei Finanzchef 24. Nach seinen Erfahrungen ist das Bewusstsein für das Thema grundsätzlich vorhanden – aber vielen kleinen Unternehmen fällt der erste Schritt schwer. Unternehmen sollten daher zunächst kritische Prozesse und Risiken im Kerngeschäft quantifizieren. „Zudem müssen gerade Geschäftsführer von kleineren Unternehmen begreifen, dass Informationssicherheit nicht nur eine Aufgabe der IT-Abteilung ist, sondern des Geschäftsführers“, sagt Rezvanian. CEO und IT-Leiter können persönlich haftbar gemacht werden, wenn es zu ernsthaften Schäden kommt – und wenn das Unternehmen weder eine Cyberversicherung abgeschlossen, noch sich adäquat geschützt hat.
Finanzchef 24 rät Kleinst- und Kleinunternehmen, einen Angebotsprozess für IT-Cyberversicherungen zu durchlaufen – um im Zuge dessen die Mindestanforderungen ins eigene Unternehmen zu übertragen. Einige Versicherer bieten sogenannte Antragsmodelle an: Dort können Unternehmer Angaben zur eigenen IT-Sicherheit machen und prüfen, ob sie eine Versicherung erhalten würden. So wird einerseits verhindert, dass Anträge abgelehnt werden und andererseits erhält das Unternehmen Hinweise auf wesentliche IT-Schwachstellen. Das ebnet den Weg für einen neuen Antrag mit verbesserter IT-Sicherheit. Als Mindestvoraussetzung werden meist Kriterien gefordert wie die Frequenz der Datensicherung, Sicherheitstrainings für Mitarbeiter, 2-Faktor-Authentifizierung und ein angemessenes Konzept der Rechtevergabe. „Im Prinzip geht es beim Thema Cybersicherheit darum, den Schadenfall durch technische und organisatorische Lösungen so weit wie möglich in die Zukunft zu verschieben und das Restrisiko an eine Cyberversicherung abzugeben“, erklärt Frank Gottheil, Senior Firmenkundenberater bei Finanzchef 24.
Versicherer setzen wegen der steigenden Schadenfälle Firewalls ebenso voraus wie einen aktuellen Stand der IT-Technik. Darüber hinaus passen Versicherer fortlaufend ihre Konditionen an. Neben oft steigenden Prämien, und niedrigeren Deckungssummen erhöhen sie sukzessive die generellen Anforderungen an die IT-Sicherheit. Spätestens ab Oktober 2024 ist mit einer weiteren Verschärfung zu rechnen. Dann tritt in Deutschland die NIS-2-Richtlinie in Kraft. Bei Verstößen drohen Bußgelder bis zu 10 Mio. Euro oder 2 % des Jahresumsatzes.