PRESSEMITTEILUNG – Bonn, 12. Juni 2015: Die Zurich Versicherung begrüßt die
Beschlussempfehlung des Bundestages zum IT-Sicherheitsgesetz im
Grundsatz, weist aber darauf hin, dass dies nur ein erster Schritt zu
einem transparenteren Verständnis für Cyber-Risiken ist. So fordert
der Versicherer langfristig vor allem verbindliche
Sicherheitsstandards und eine Ausweitung der Meldepflicht für alle
Unternehmen.
„Wir brauchen ein erhöhtes Risikobewusstsein bei den
Unternehmen und einen gewissen Standard, an dem sie sich orientieren
können ,“ betont Miriam Marx, Cyber-Expertin bei Zurich. „Das Gesetz
sollte daher auf den gesamten Mittelstand ausgeweitet werden, um das
Risikobewusstsein zu erhöhen. Den Fokus nur auf ‚kritische‘ Branchen
zu setzen, reicht längst nicht aus. Vor allem dann, wenn diese nicht
klar definiert sind.“
Die Bundesregierung hatte das IT-Sicherheitsgesetz aufgesetzt, um
eine einheitliche Meldestruktur für alle kritischen Branchen
vorzuschreiben. Welche Unternehmen damit aber genau gemeint sind,
wurde bisher nicht festgelegt. Lediglich die Branchen
Finanzwirtschaft, Energie, Wasser, Telekommunikation, IT- Technik,
Transport- und Verkehr sowie Gesundheitswesen wurden benannt. Mit dem
nun verkündeten Beschluss, sind die Unternehmen verpflichtet, alle
zwei Jahre Audits zur Aktualität ihrer IT und Technik nachzuweisen.
Befürwortet: Sanktionen bei Nichtmeldung
Die kürzlich verabschiedete Gesetzesänderung im Hinblick auf
Sanktionen bei einer Nichtmeldung eines Angriffes, befürwortet Miriam
Marx sehr: „Wer über das Netz angegriffen wird, muss das auch melden.
Sonst ist ein Gesetz kein Gesetz, sondern nur eine Empfehlung.“ Ziel
des IT-Sicherheitsgesetz sei es laut der Expertin doch schließlich,
bewusster mit Cyber-Risiken umzugehen und die Experten des Bundesamt
für Sicherheit in der Informationstechnik (BSI) über Angriffe zu
informieren. „Es ist folglich nur richtig, dass eine Nichtanzeige
betraft wird,“ so Marx.
Auch die Versicherungsbranche kann laut der Zurich Expertin ihren
Beitrag zur Optimierung des Gesetzes beitragen. „Unser Geschäft ist
das Kalkulieren von Risiken und die Definition von
Sicherheitsstandards, um diesen entgegenzutreten. Als Versicherer
können wir nicht nur im Schadensfall unterstützen, sondern bereits
präventiv zur IT-Sicherheit beitragen.“
Verantwortung für IT-Sicherheit kann nicht ausgelagert werden
Anders als Arbeitsprozesse, kann die Verantwortung für IT-Sicherheit
nicht ausgelagert werden. Kommt es durch den Einsatz von Spyware zu
einem elektronischen Diebstahl von Kundendaten, muss das Unternehmen
voll für jegliche entstandenen Schäden aufkommen. Der Verlust von
tausenden von Datensätzen kann zu existenzbedrohenden
Vermögenseinbußen führen. Jedes Unternehmen, das Daten verarbeitet
oder speichert, seien es Daten von Arbeitnehmern, Kunden, Zulieferern
oder Geschäftspartnern, ist diesen potenziellen Kostenrisiken
aufgrund von Verletzungen der Vertraulichkeit oder des Datenschutzes
ausgesetzt. Zurich hat dieses Risiko früh erkannt und bereits 2013
eine Absicherungsmöglichkeit entwickelt, die vor Cyber-Risiken
schützen soll. Mit der „Zurich Cyber & Data Protection“ bietet der
Versicherer ein eigenständiges Produkt, das sowohl die finanziellen
Folgen durch externe Angriffe, etwa durch Hacker, als auch das
Fehlverhalten von Mitarbeitern in Bezug auf Datensicherheit abdeckt.
