Anfang der Woche war ich auf der CeBIT. Dort hat der Verband der Sachversicherer (VdS) seine neue „VdS-Cyber-Leitlinie VdS 3473“ zur Informationssicherheit in KMU vorgestellt, die voraussichtlich im Juli in Kraft tritt. Unternehmen, die diese Anforderungen an Technik, Organisation, Präventionsmaßnahmen und Managementprozesse einhalten, werden eine Cyber-Versicherung zu günstigen Standardbedingungen abschließen können. Damit sind sie vor den Folgen von Hacks, Datenverlusten, Havarien etc. geschützt, auch vor daraus resultierenden Schadenersatzforderungen.
Hintergrund der Einführung: Der Bedarf nach Cyber-Absicherung wird auch den Unternehmen immer mehr bewusst. Aber bislang fehlen – anders als beim Brandschutz oder Arbeitssicherheit – vor allem bei KMU allgemein genutzte IT-Sicherheitsstandards. Das ist für die Versicherer ein Problem. Sie wollen schnell und einfach einschätzen, woran sie bei einem neuen Kunden sind.
Deshalb will der VdS seine neue Richtlinie speziell bei KMU rasch populär machen. Dazu beitragen soll bereits jetzt ein kleines Web-Tool zur Selbsteinschätzung, der VdS-Quick-Check. Wenn dessen Ergebnisse in Ordnung sind, reicht das dem Versicherer als Risikobeurteilung bereits aus. Zeigt die Auswertung gelbe oder rote Felder, wird den Unternehmen der ein- oder zweitägige „Quick-Audit“ durch Experten empfohlen, und als große Lösung die komplette Zertifizierung.
Parallel wird eine Fortbildung zum „Informationssicherheitsbeauftragten“ angeboten.
Die neue Leitlinie bringt nicht nur für die Versicherer selbst, sondern auch für unsere Kunden, die Unternehmen mit Versicherungsbedarf, wirklich Vorteile:
- Der Nachweis des eigenen IT-Qualitätsstandards ist mit der VdS-Leitlinie viel unaufwändiger als mit dem IT-Grundschutz-Katalog des BSI.
- Für die vielen unterschiedlichen Versicherungsangebote der Versicherer wird ein gemeinsamer Maßstab festgelegt, Deckungsinhalte und Prämien sind besser vergleichbar.
- Das Netzwerk von Experten, das bei der Risikoaufnahme hilft, steht dann auch im Schadenfall kurzfristig bereit, um die Wiederherstellung der IT-Sicherheit zu gewährleisten.
- Die VdS-Richtlinien machen die Haftung des Managements für IT-Sicherheit und Compliance transparent und – mit einer Cyber-Versicherung und D&O-Lösungen – versicherbar.
Fazit: Zumindest den Quick-Check würde ich jedem Unternehmen empfehlen. Diese zwanzig Minuten sind sicher sinnvoll investiert, denn damit zeigt sich der aktuelle Stand des Unternehmens in Sachen Cyber-Sicherheit.