Pfefferminzia: Einige Experten für Cybersicherheit erklärten kürzlich, dass heutzutage „praktisch alle Unternehmen angegriffen werden“. Teilen Sie diese Sicht? Und wenn ja, welche Schlussfolgerung ziehen Sie daraus?

Dennis Heinemeyer, Sopra Steria Consulting: Ich kann diese Aussage definitiv unterschreiben. Wenn wir von Informationssicherheit sprechen, gehen wir erst mal von Informationen aus, die für das Unternehmen von einer gewissen Bedeutung sind. Das mögen bei einem Friseur oder Handwerker weniger sensible Daten sein als etwa bei einem Onlineshop, aber grundsätzlich sind auch kleine und mittlere Unternehmen auf der Datenschutzebene massiv gefordert. Informationssicherheit umzusetzen und sich gegebenenfalls dagegen zu versichern, wenn das verbliebene Risiko nach den getroffenen Sicherheitsmaßnahmen nicht selbst getragen werden soll, sind zentrale Herausforderungen, denen man sich einfach stellen muss.

Kai Lütcke, Signal Iduna: Das IT-Risiko ist bei dem zitierten Friseur sicherlich unterrepräsentiert, und die großen Schäden sind dort nicht zu erwarten, allerdings kann selbst dort eine „abgeschmierte Termindatenbank“ zu erheblichen Problemen führen. Und auch beim Friseur wird mit elektronischen Zahlungsmitteln gearbeitet, wenn hier es zu einem Cyberangriff kommt, kann dies auch schnell Regresse nach sich ziehen und dergleichen mehr.

Michael Winte, Funk Versicherungsmakler: Cyberangriffe sind ja „nur“ ein Teil  des Problems: 50 Prozent der Schäden gehen auf Hackerangriffe zurück, die weiteren Schadenursachen liegen insbesondere in technischen Problemen und menschlichen Fehlhandlungen. Das ist für die Absicherung von Datenschutzvorfällen aber ziemlich unerheblich, weil die Datenschutzverletzung als solche ein schadenauslösendes Ereignis darstellt – egal, wie die Katastrophe passiert ist. Dazu sollte man beachten, dass sich die IT bei den meisten Unternehmen von einem Unterstützungsprozess zu einer zentralen Ressource entwickelt hat – etwa im produzierenden Gewerbe oder auch bei größeren Handwerksbetrieben. Wenn diese nicht zur Verfügung steht, sind Ertragsausfälle programmiert. Gerade hier weisen viele Deckungskonzepte jedoch Lücken auf, da beispielsweise im Rahmen der Betriebsunterbrechung oftmals nur Cybercrime als schadenauslösendes Ereignis definiert wird, nicht aber technische Probleme oder menschliche Fehler.

"Leider stellen wir fest, dass die Ressourcen aufseiten der Versicherer derzeit noch nicht ausreichend sind, um die Nachfrage in einer adäquaten Geschwindigkeit bedienen zu können", sagt Michael Winte. Quelle: Robert Schlossnickel

Richard Weber, Hiscox: Im Kern geht es darum, die IT-Abhängigkeit des Geschäftsmodells und die damit einhergehenden Risiken zu analysieren. Und hier zeigt sich, dass die IT-Abhängigkeit in den vergangenen Jahren rasant angestiegen ist. Das heißt, es gibt heute kaum noch ein Unternehmen, dass sich von damit einhergehenden Risiken frei machen kann, auch wenn zwischen den Branchen teils große Unterschiede bestehen.

Herr Ross, können sich Privatnutzer beim Thema Cybersicherheit womöglich eher frei machen von diesem Risiko, als es im Gewerbebereich der Fall ist?

Jan Ross, Inter: Nein, das denke ich nicht. Wir bewegen uns allesamt als Privatmenschen im Internet, wir brauchen es tagtäglich – das trifft besonders auf die junge Generation zu, die häufig noch viel selbstverständlicher mit den neuen Möglichkeiten des Netzes umgeht, als es die Älteren tun. Damit gehen auch ganz neue Herausforderungen einher – man denke nur an das Thema Cybermobbing. Und darüber hinaus besteht natürlich immer auch die Gefahr, dass Datendiebe auf sensible Zahlungsdaten des Privatkunden zugreifen, um an sein Geld zu gelangen. Das ist eine reale Gefahr, die für Sorglosigkeit überhaupt keinen Anlass gibt.