Von Cyberkriminalität sind schon lange nicht mehr nur öffentliche Einrichtungen und Großunternehmen betroffen. Beispielsweise via E-Mail sind alle Unternehmen potenzielle Opfer. Warum deshalb eine Cyberschutz-Versicherung eine sinnvolle Ergänzung zu angemessenen Sicherheitsmaßnahmen darstellt, erklärt Oliver Dehning, Leiter der eco Kompetenzgruppe Sicherheit, im Interview.
Herr Dehning, laut einer eco Studie haben nur rund fünf Prozent der Unternehmen eine Cyberschutz-Versicherung abgeschlossen. Wie erklären Sie sich den geringen Anteil?
Das Thema ist noch relativ neu und wird von vielen nicht vollständig verstanden. Auch Versicherungen tun sich nach wie vor schwer mit der Einschätzung von Cyberrisiken – da ist es kein Wunder, dass Unternehmen bestehende Angebote in der Breite noch nicht nutzen.
Wie hoch ist aus Ihrer Sicht das Risiko, als Unternehmen Opfer von Cybercrime zu werden und was sind mögliche Folgen?
Praktisch alle Unternehmen werden angegriffen. Das wird schon aus der Analyse des E-Mail-Verkehrs deutlich: Im E-Mail-Verkehr von Unternehmen ist jede 75. E-Mail Träger eines Virus, ein Phishing-Versuch oder ähnliches. Welche Folgen das hat, hängt maßgeblich von der Verwundbarkeit des Unternehmens ab, wie wichtig die IT für die Durchführung des täglichen Geschäftsbetriebs ist und welche Abwehrmaßnahmen getroffen wurden.
Gut aufgestellte Unternehmen erleiden kaum oder nur geringe Schäden – wer allerdings seine IT-Sicherheit vernachlässigt, darf sich nachher nicht wundern, wenn der Geschäftsbetrieb für mehrere Tage stillsteht. In extremen Fällen hat das schon zur Insolvenz von Unternehmen geführt.
Welche Risiken lassen sich denn mit einer Versicherung abdecken?
Versicherungen sind grundsätzlich dazu da, mögliche hohe Kosten relativ unwahrscheinlicher Schadensereignisse abzudecken. In Bezug auf Cyberversicherungen bedeutet das, dass eine Versicherung die Schäden abdecken kann, die trotz sorgfältiger und angemessener IT-Sicherheitsmaßnahmen entstehen.
Einen hundertprozentigen Schutz kann nämlich auch eine gut aufgestellte IT-Sicherheit in der Regel nicht gewährleisten, schon gar nicht unter wirtschaftlichen Gesichtspunkten.