IT-Versicherungen und Verantwortung
Laut einer Umfrage des Branchenverbandes Bitkom hat nur rund jedes zehnte Industrieunternehmen in Deutschland eine Versicherung gegen Hackerangriffe und andere IT-Risiken abgeschlossen.
Weitere 9% planen den Abschluss einer Versicherung und 26% diskutieren das zumindest, wie aus der Umfrage des Branchenverbandes Bitkom hervorgeht. Für fast die Hälfte der befragten Unternehmen (49%) ist eine Cybercrime-Police aktuell jedoch kein Thema.
Roland Messmer von LogRhythm kommentiert: „Natürlich drängt sich bei diesem Thema der Vergleich mit der omnipräsenten Kfz-Versicherung auf. Und genau wie bei dieser ist eine Absicherung gegen die Folgen von IT-Zwischenfällen kein Freibrief, etwa um fortan die IT-Security zu vernachlässigen. Denn auch kein noch so gut versicherter Autofahrer darf es sich erlauben, im Tagesgeschäft des Strassenverkehrs alle geltenden Regeln, Vorgaben und Erfahrungswerte zu ignorieren und so materielle und existenzielle Werte für seine Umwelt und sich aufs Spiel zu setzen.
Eine Versicherung zur Abdeckung der Folgeschäden bei Hackerangriffen, Sabotageakten sowie Technik- und Bedienfehlern entbindet Unternehmen nicht von der Verantwortung, die es seinen Kunden gegenüber für die Sicherheit der Daten und sich selbst gegenüber für die Verfügbarkeit und Funktionalität der IT-Systeme trägt. Und diese Verantwortung lässt sich nicht delegieren.“
Aus diesem Blickwinkel heraus sei eine Versicherung gegen IT-Risiken ein Baustein der IT-Sicherheit, der auf ein solides Fundament gehört. Und zu diesem Fundament gehörten durchgängige Verschlüsselungskonzepte, der Einsatz intelligenter Security-Tools zur kontinuierlichen Überwachung der IT-Infrastruktur in Echtzeit, ein ordentliches Identity- und Patch-Management sowie ein professioneller Notfallplan, der greife, wenn es zu einem Zwischenfall komme.
Und Messmer unterstreicht: “Eine Cybercrime-Police kann also ein schlüssiges Security-Konzept als Absicherung gegen ein nicht vermeidbares Restrisiko durchaus sinnvoll ergänzen, aber niemals ersetzen. Bevor ein Unternehmen in Erwägung zieht, solch eine Versicherung abzuschliessen, sollte es erst einmal kritisch kontrollieren, ob es seine Hausaufgaben wirklich gemacht hat. Schliesslich entbindet ja auch die Kfz-Versicherung den Autofahrer nicht vor den Verpflichtungen, einen gültigen Führerschein zu besitzen und sein Fahrzeug regelmässig beim TÜV überprüfen zu lassen.“