Unternehmen entscheiden sich zunehmend für eine Zertifizierung nach ISO 27001, um sich gegen Risiken aus dem Internet abzusichern. Automatisierung, Digitalisierung, Cloud, Cyber-Kriminalität und hybride Kriege prägen das aktuelle Risikoumfeld. Trotzdem sind Versicherer restriktiver geworden und verlangen hohe Preise für ihre Leistungen.
In diesem Beitrag
- Was ist eine Cyber-Versicherung?
- Was sind Cyber-Risiken?
- Wie teuer ist eine Cyber-Versicherung?
- Was sollte eine Cyber-Versicherung grob beinhalten?
- Wie deckt die ISO 27001 Cyber-Sicherheit ab?
- Wie lassen sich Cyber-Risiken durch eine ISO-27001-Zertifizierung eindämmen?
- Was sind die Vorteile der ISO 27001-Zertifizierung gegenüber einer Cyber-Versicherung?
- Wie ergänzen sich Informationssicherheit und Cyber-Sicherheit?
- Fazit
Was ist eine Cyber-Versicherung?
Die Cyber-Versicherung sichert ein Unternehmen gegen Cyber-Risiken ab, das heißt gegen Schäden durch Angriffe auf IT-Systeme von außen oder durch Fehler, die intern passieren und die Sicherheit beeinträchtigen. Die Versicherung deckt Schäden ab, die das Unternehmen selbst betreffen, aber auch die von Dritten, die durch einen Ausfall der Systeme des Unternehmens Schaden erleiden.
Was sind Cyber-Risiken?
Auf den ersten Blick bestehen Cyber-Risiken vor allem darin, dass Cyber-Kriminelle auf die Daten und IT-Systeme eines Unternehmens zugreifen und eventuell schwerwiegende Schäden anrichten könnten – bis hin zum Ausfall unternehmenskritischer Systeme oder gar einem längerfristigen kompletten Betriebsausfall.
Hackerangriffe, Trojaner und vor allem Erpressung durch Ransomware sind viel diskutierte Schreckensszenarien, und aktuelle Kriege zeigen, dass längst auch in der digitalen Welt um die Existenz von Unternehmen, Staaten, politischen Systemen gekämpft wird. Laut einer Studie des IT-Branchenverbandes Bitkom wurden 2021 9 von 10 Unternehmen Opfer eines Cyber-Angriffs. Der deutschen Wirtschaft entstand ein Gesamtschaden von 223 Milliarden €, wieder ein Rekord gegenüber dem Vorjahr.
Cyber-Risiken gibt es aber auch innerhalb von Unternehmen: durch Ausfälle in der IT-Infrastruktur, durch fehlerhafte Software, unaufmerksame oder frustrierte Mitarbeiter und Mitarbeiterinnen, die Daten verlieren oder entwenden, oder durch höhere Gewalt, zum Beispiel Unwetter, Überschwemmungen oder Stromausfälle.
Lassen Sie es nicht so weit kommen und sichern sich gegen Cyber-Risiken ab. Wir unterstützen und beraten Sie dabei gerne. Sprechen Sie uns an und vereinbaren Sie ein kostenloses Beratungsgespräch.
Wie teuer ist eine Cyber-Versicherung?
Die Preisspanne ist groß, sie liegt etwa zwischen 500 € und 100.000 € im Jahr. Der konkrete Preis bemisst sich nach dem Risiko – wie bei allen Versicherungen.
Als größter Ernstfall gilt dabei der Betriebsausfall in einem großen Unternehmen, bei dem zentrale Systeme, wie das ERP-System, länger stillstehen und in dem kein Notfallplan existiert.
Aufmerksamkeit ist geboten, da diese Versicherungssparte relativ jung ist und noch keine einheitlichen Bezeichnungen für die Tarife existieren. Der Gesamtverband der Versicherer (GDV) hat 2017 Musterbedingungen aufgestellt, diese sind jedoch nicht verbindlich. Außerdem überschneidet sich die Cyber-Versicherung möglicherweise mit anderen, was zu Doppelzahlungen und zu Problemen führen kann, wenn sich Versicherer im Ernstfall gegenseitig die Bälle zuschieben.
Was sollte eine Cyber-Versicherung grob beinhalten?
Die Cyber-Versicherung sollte die wesentlichen Risiken abdecken, die aus einem Angriff von außen oder einem sicherheitsrelevanten Versagen der Systeme eines Unternehmens herrühren.
Das betrifft nicht nur den direkten Schaden, der durch den Angriff oder Fehler verursacht wird, sondern auch Kosten, die entstehen, damit das Unternehmen den Geschäftsbetrieb wieder vollständig aufnehmen kann – zum Beispiel Kosten für die Reparatur und Wiederherstellung der IT-Systeme, aber auch solche für externe Fallanalytiker, Anwälte, Krisenmanager.
Wie deckt die ISO 27001 Cyber-Sicherheit ab?
Die ISO 27001 definiert Grundprinzipien, wie mit dem Thema Informationssicherheit umzugehen ist. Die Norm dient dazu, Unternehmen unabhängig von ihrer Größe und Branche einen Rahmen aus Richtlinien, Verfahren und Maßnahmen zur Verfügung zu stellen, die dazu dienen, Risiken in Verbindung mit Verstößen gegen die Informationssicherheit abzumildern.
Darunter fallen zum Beispiel folgende Risiken:
- Physische Gefahren, zum Beispiel Brände in Serverräumen
- Gefahren, die von Mitarbeitern ausgehen, zum Beispiel durch den Diebstahl von Daten oder Fahrlässigkeit
- Gefahren für Systeme und Prozesse, zum Beispiel durch fehlerhafte Software
- Bedrohungen durch Cyber-Kriminalität
Die ISO 27001 führt zu allen – physischen, technischen, rechtlichen – Risiken Maßnahmen auf und gewährleistet so, dass Sicherheitsmaßnahmen zum Schutz von Daten und Informationen eingerichtet werden.
Wie lassen sich Cyber-Risiken durch eine ISO-27001-Zertifizierung eindämmen?
Zur Zertifizierung nach ISO 27001 ist ein bestimmter Satz an Dokumentation notwendig, zu den IT-Vermögenswerten (Assets) eines Unternehmens, aber auch zu den Prozessabläufen – intern und extern, etwa für die Auftragsbearbeitung. Wer die Anforderungen erfüllen will, muss sich intensiv mit sich selbst und den möglichen Risiken auseinanderzusetzen.
Hier geht’s zum Artikel: Risikomanagement & Risk Assessment nach ISO 27001: Tipps & Tricks
Abläufe zu dokumentieren, zu überwachen und weiterzuentwickeln, ist für ein Unternehmen essenziell, wenn es darum geht, Schäden zu vermeiden und sofort zielgerichtet reagieren können, falls es zu Ausfällen oder Sicherheitsmängeln kommt.
Wer schon in der Vorbereitung auf die erste Stufe der Zertifizierung alle Informationen sammelt und Regeln gemäß der Norm aufstellt, muss sich intensiv mit seinem Unternehmen beschäftigen. Dadurch lassen sich nicht nur Risiken abwenden, sondern auch Prozesse glattziehen – ein Mehrwert, der weit über die Schadensvermeidung hinausgeht.
Digitalisierung ist ein oft schmerzhafter, aber wichtiger Schritt zur Zukunftsfähigkeit, und spätestens in Zeiten von Kriegen, die auch im Cyber-Space geführt werden, sollte jedes Unternehmen wissen, was es tut. Es reicht längst nicht mehr, sich um sein Kerngeschäft zu kümmern und darauf zu bauen, dass am Ende die Cyber-Versicherung einspringt. Unternehmen müssen sich schnellstens auf den Ernstfall vorbereiten.
Wir empfehlen Ihnen, jetzt eine Zertifizierung nach ISO 27001 anzugehen, und liefern Ihnen gerne weitere Informationen und Unterstützung für dieses Vorhaben.
Was sind die Vorteile der ISO 27001-Zertifizierung gegenüber einer Cyber-Versicherung?
Einen Schaden zu vermeiden ist besser, als ihn später zu beheben. Die Cyber-Versicherung deckt den Fall ab, dass etwas passiert ist, die ISO 27001-Zertifizierung dient zur Vermeidung dieses Ernstfalles.
Der Schluss, dass die ISO 27001-Zertifizierung die Grundvoraussetzung für eine Cyber-Versicherung ist, liegt nahe, und zwar nicht nur aus den aufgeführten ablaufbezogenen Gründen. Die Zertifizierung hat für ein Unternehmen hinsichtlich der Cyber-Versicherung auch finanziellen Nutzen.
Versicherer kalkulieren auf Basis des Risikos, das ein Unternehmen trägt, und sind in Zeiten von Klimakatastrophen, hybriden Kriegen und weltpolitischen Umwälzungen maximal wachsam geworden, was ihr eigenes Risiko angeht.
Wer keine Zertifizierung oder andere, gleichwertige Sicherheitsmaßnahmen nachweisen kann, wird für eine Cyber-Versicherung einen sehr hohen Preis zahlen, eventuell gar keinen Vertrag abschließen können oder sich im Ernstfall schwertun, seine Ansprüche gegenüber dem Versicherer geltend zu machen.
Ein regelkonformes System für Informationssicherheit aufzubauen, das sogenannte Informationssicherheits-Managementsystem (ISMS), ist für ein Unternehmen überlebenswichtig – und bares Geld wert. Die ISO 27001 liefert die Leitlinien dafür.
Wie ergänzen sich Informationssicherheit und Cyber-Sicherheit?
Informationssicherheit umfasst alle Maßnahmen, die Unternehmen einsetzen, um ihre Informationen und Daten zu schützen. Dazu gehört auch die Definition von Richtlinien zur Verhinderung unerwünschten Zugriffs auf geschäftliche oder persönliche Daten.
Dies schließt verschiedenste Bereiche ein, wie Netzwerk- und Infrastruktursicherheit, Prüfungen und Tests. Alle Daten, Informationen und Gegenstände, die einen Mehrwert für die Funktion eines Unternehmens darstellen und dadurch die Erfüllung der Geschäftsanforderungen erlauben, gelten als Informationswerte, die geschützt werden müssen. Schutzziele der Informationssicherheit sind Vertraulichkeit, Integrität und Verfügbarkeit.
Nur wer die Informationswerte seines Unternehmens schützt, kann sich sicher im Internet bewegen. Kurz: ohne Informationssicherheit keine Cyber-Sicherheit. Mehr über das Thema Informationssicherheit und Cybersicherheit finden Sie in diesem Artikel.
Fazit
Wer sich heutzutage mithilfe einer Cyber-Versicherung gegen Cyber-Risiken absichern will, muss vorbereitet sein, im Vorfeld wie im Ernstfall. Seine Geschäfte in Ordnung zu halten, für geeignete Maßnahmen zur Sicherheit von Informationen und Daten zu sorgen und dies auch nachweisen zu können, ist dafür die Voraussetzung. Die Zertifizierung nach ISO 27001 erleichtert die Vertragsverhandlung, ermöglicht sie vielleicht sogar erst.
Holen Sie sich in unserem Artikel Cyber-Attacken auf Unternehmen – Einfallstore und Gegenmaßnahmen ausführlichere Informationen darüber, welche Cyber-Risiken es gibt, wo Ihnen diese drohen und was sie dagegen tun können.
Möchten Sie sich informieren, wie Sie sich nach ISO 27001 zertifizieren und dadurch bares Geld sparen können? Wir helfen Ihnen gerne weiter – wenden Sie sich noch heute an einen unserer Experten für Informationssicherheit.
Schritt für Schritt zur Zertifizierung nach ISO 27001
Dieses Whitepaper ist Ihr Leitfaden für die Implementierung der ISO 27001 mit praktischen Tipps und Hinweisen.
Jetzt kostenlos herunterladen
