Die Zurich Versicherung weist im Zuge des Gesetzgebungsverfahrens zum IT-Sicherheitsgesetz darauf hin, dass dies nur ein erster Schritt zu einem transparenteren Verständnis für Cyber-Risiken ist. Das Unternehmen fordert eine Ausweitung der Meldepflicht für Unternehmen.
Verbindliche Sicherheitsstandards und eine Ausweitung der Meldepflicht für alle Unternehmen würden aus Sicht der Zurich zusätzlich für IT-Sicherheit sorgen. „Wir brauchen ein erhöhtes Risikobewusstsein bei den Unternehmen und einen gewissen Standard, an dem sie sich orientieren können“, betont Miriam Marx, Cyber-Expertin bei Zurich. „Das Gesetz sollte daher auf den gesamten Mittelstand ausgeweitet werden, um das Risikobewusstsein zu erhöhen. Den Fokus nur auf ‚kritische‘ Branchen zu setzen, reicht längst nicht aus. Vor allem dann, wenn diese nicht klar definiert sind.“
Die Bundesregierung hatte das IT-Sicherheitsgesetz aufgesetzt, um eine einheitliche Meldestruktur für alle kritischen Branchen vorzuschreiben. Welche Unternehmen damit aber genau gemeint sind, wurde bisher nicht festgelegt. Lediglich die Branchen Finanzwirtschaft, Energie, Wasser, Telekommunikation, IT-Technik, Transport und Verkehr sowie Gesundheitswesen wurden benannt. Mit dem nun verkündeten Beschluss, sind die Unternehmen verpflichtet, alle zwei Jahre Audits zur Aktualität ihrer IT und Technik nachzuweisen
Zurich befürwortet Sanktionen bei fehlender Meldung
Die kürzlich verabschiedete Gesetzesänderung im Hinblick auf Sanktionen bei einer Nichtmeldung eines Angriffes, befürwortet Miriam Marx: „Wer über das Netz angegriffen wird, muss das auch melden. Sonst ist ein Gesetz kein Gesetz, sondern nur eine Empfehlung.“ Ziel des IT-Sicherheitsgesetz sei es laut der Expertin doch schließlich, bewusster mit Cyber-Risiken umzugehen und die Experten des Bundesamt für Sicherheit in der Informationstechnik (BSI) über Angriffe zu informieren. Auch die Versicherungsbranche kann ihren Beitrag zur Optimierung des Gesetzes beitragen: „Unser Geschäft ist das Kalkulieren von Risiken und die Definition von Sicherheitsstandards, um diesen entgegenzutreten. Als Versicherer können wir nicht nur im Schadensfall unterstützen, sondern bereits präventiv zur IT-Sicherheit beitragen“, meint die Expertin.
Verantwortung für IT-Sicherheit kann nicht ausgelagert werden
Anders als Arbeitsprozesse, lässt sich die Verantwortung für IT-Sicherheit nicht auslagern. Kommt es durch den Einsatz von Spyware zu einem elektronischen Diebstahl von Kundendaten, muss das Unternehmen voll für jegliche entstandenen Schäden aufkommen. Der Verlust von tausenden von Datensätzen kann zu existenzbedrohenden Vermögenseinbußen führen.
Jedes Unternehmen, das Daten verarbeitet oder speichert, seien es Daten von Arbeitnehmern, Kunden, Zulieferern oder Geschäftspartnern, ist diesen potenziellen Kostenrisiken aufgrund von Verletzungen der Vertraulichkeit oder des Datenschutzes ausgesetzt, warnt der Versicherer.