Cyberversicherungen: ein Risikodialog hilft

Cyberversicherung
LinkedInXingPocketWhatsAppFlipboard

Ganzheitlich und neutral – Parameter, die sich jedes Unternehmen wünscht, wenn es um die Beratung zu einer passenden Cyberversicherung geht. Die Ecclesia Cyber bietet mit dem Risikodialog als „digitalen Betriebsbegehung“ eine umfassende Analyse und Bewertung der IT-Sicherheit, basierend auf anerkannten internationalen Standards.

Was in der Humanmedizin gilt, lässt sich auch auf die „Gesundheit“ von Unternehmen übertragen: Vorsorge ist essenziell. Denn wer diese vernachlässigt, riskiert nicht nur die Unterbrechung des laufenden Betriebs und einen hohen Schaden. Im Ernstfall riskiert er auch seinen bereits bestehenden Versicherungsschutz.

Anzeige

Ein Audit-Verfahren schafft dazu Klarheit. Als eine Art „digitale Betriebsbegehung“ prüft und bewertet es bereits vorhandene Sicherheitsprozesse, in Hinblick auf Cybersicherheitspraktiken, -richtlinien und -infrastruktur, eines Unternehmens und ist damit fester Bestandteil für den Erwerb oder die Fortführung einer Cyber-Police. 

Ein Audit ist eine GAP-Analyse (auch Lückenanalyse genannt) nach ISO 27001. Sie orientiert sich an den internationalen Standards der Informationssicherheit. Ziel des Audits ist es die aktuelle Cyber-Sicherheit des Unternehmens zu analysieren sowie Mängel zu erkennen. So gilt die Auswertung des Audits als maßgebliche Orientierung, um eine passende Cyberversicherung zu finden oder auch einen bestehenden Versicherungsschutz auf Aktualität zu prüfen. 

Risikodialog der Ecclesia Cyber 

Cyber-Sicherheit ist kein statisches Ziel, sondern eine Herausforderung, der sich Unternehmen kontinuierlich stellen müssen. Einen Partner auf Augenhöhe zu haben, der bei der Wahl des passenden Schutzes unterstützt ist unerlässlich. Die Ecclesia Cyber, eine spezialisierte Einheit, die das gesamte Portfolio an Cyber-Security-Lösungen der Ecclesia Gruppe, dem größten deutschen Versicherungsmakler für Unternehmen und Institutionen, bündelt, hebt sich in ihrem Ansatz deutlich von anderen Anbietern ab. Sie transformiert das traditionelle Audit-Verfahren durch den Einsatz eines Risikodialogs und setzt damit neue Maßstäbe in der Branche. 

Der von der Ecclesia Cyber konzipierte Risikodialog verfolgt einen ganzheitlichen Ansatz und wird als Workshop durchgeführt. Er baut auf den zentralen Eckpfeilern eines traditionellen Audits auf: Er orientiert sich an den Standards der ISO 27001 und umfasst die Analyse von Stärken und Schwächen im Unternehmen, die Bewertung des aktuellen Sicherheitsniveaus interner Prozesse sowie die Erstellung eines detaillierten und aussagekräftigen Berichts. Zudem erfasst er sämtliche – über die ISO hinausgehende – Anforderungen des Versicherer-Marktes, wodurch er durchgängig von den Risikoträgern akzeptiert wird.

Audit neu gedacht –  Nachfolgend ein grober Umriss des Risikodialogs der Ecclesia Cyber:

Schritt 1 – Selbsteinschätzung: Im Vorfeld des Risikodialogs, etwa eine Woche vor dessen Durchführung, wird dem Kunden ein umfassender Fragebogen zugesendet, mit dessen Hilfe er die IT-Sicherheit seines Unternehmens eigenständig bewerten kann. Der Fokus dieses Self Assessments liegt auf der Überprüfung der Sicherheitspolitik sowie der Richtlinien kritischer IT-Bereiche. Anhand der im Rahmen der Selbsteinschätzung gemachten Angaben verschafft sich der Auditor ein umfassendes Bild über die bestehende Sicherheitsstrategie des Unternehmens und kann sich optimal auf den Risikodialog vorbereiten. Um die Selbsteinschätzung später adäquat bewerten zu können, werden darüber hinaus grundlegende Informationen über das Unternehmen sowie die vorhandene IT-Infrastruktur erfasst.

Schritt 2 – Durchführung des Risikodialogs: Der Risikodialog, ein zentraler Bestandteil des Evaluationsprozesses, wird als vier- oder achsstündiger Workshop konzipiert, der entweder remote oder in persönlicher Form stattfinden kann. Das primäre Ziel dieses Workshops besteht darin, die IT-Stärken und -Schwächen des Unternehmens im Kontext des ISO27001 Informationssicherheitsstandards zu analysieren und zu bewerten. In diesem Rahmen werden im Dialog, die zuvor im Self Assessment getroffenen Angaben verifiziert sowie ein tieferes Verständnis für „gelebte“, jedoch nicht schriftlich fixierte, Arbeitsabläufe entwickelt.

Schritt 3 – Evaluation und Berichterstellung: Basierend auf den im Vorfeld und während des Risikodialogs gesammelten Informationen erfolgt im Anschluss eine gründliche Evaluation der internen Sicherheitsprozesse. Diese werden mit den Vorgaben des ISO27001-Sicherheitsstandards sowie den aktuellen Anforderungen der Cyber-Versicherer abgeglichen. Nur unter Berücksichtigung dieser Parameter ist es dem Auditor möglich, eine aussagekräftige Bewertung vorzunehmen und einen detaillierten Bericht zu erstellen, der sowohl konkrete Handlungsempfehlungen als auch mögliche Maßnahmen zur Verbesserung der IT-Sicherheit umfasst. Als Ergebnis des Risikodialogs erhält das Unternehmen neben dem detaillierten und strukturierten Bericht auch eine qualifizierte Rückmeldung der Ecclesia Cyber über den aktuellen Status der Versicherbarkeit. Ebenso werden mögliche Maßnahmen zur Risikoverbesserung sowie deren Priorisierung dargelegt. Der Bericht wird dem Kunden etwa eine Woche nach Abschluss des Workshops zugesandt.

Schritt 4 – Entscheidungsfindung und Ausschreibung: Nachdem der Kunde den Bericht erhalten hat, steht das Team der Ecclesia Cyber für etwaige Rückfragen und weitere Unterstützung zur Verfügung. In vertraulichen Gesprächen wird gemeinsam erörtert, ob und in welchem Umfang eine Ausschreibung bei den Versicherern vorgenommen wird. Die letztendliche Entscheidung über das weitere Vorgehen liegt dabei in den Händen des Kunden.

Der Aufbau des Risikodialogs bietet einen strukturierten Rahmen, um die IT-Sicherheit von Unternehmen eingehend zu bewerten und zu optimieren. Beginnend mit der Selbsteinschätzung des Kunden, über den dialogorientierten Workshop, bis hin zur ausführlichen Evaluation und Berichterstellung, wird ein umfassendes Bild der aktuellen Sicherheitslage geschaffen. Die Integration des ISO27001-Standards sowie die Berücksichtigung aktueller Anforderungen von Cyber-Versicherern gewährleisten dabei, dass die Bewertung auf Grundlagen basiert, die eine Eindeckung einer Cyber-Police zu jeder Zeit ermöglicht. Weiter bietet sie dem Kunden nicht nur die Möglichkeit, die gewonnenen Erkenntnisse zu reflektieren, sondern auch aktiv über weitere Schritte, wie beispielsweise eine Versichererausschreibung, zu entscheiden.

Der Risikodialog verfolgt einen ganzheitlichen Ansatz:

Zertifiziert und Versicherer unabhängig: Der Risikodialog der Ecclesia Cyber ist nicht an spezifische Versicherer gebunden. Unternehmen erhalten eine neutrale und objektive Einschätzung ihrer Cyber-Sicherheit und des Schutzes ihres Betriebes. Gleiches gilt auch für den Auditor, der den Dialog gemeinsam mit dem Unternehmen durchführt. Dieser wird nicht von einem Versicherer gestellt. Alle im Rahmen des Dialogs gewonnenen Informationen bleiben vertraulich und werden nicht an Versicherer weitergegeben. Das Unternehmen erhält somit ein umfassendes Bild seines aktuellen Sicherheitsstatus und hat die Möglichkeit, Anpassungen vorzunehmen, um beispielsweise die Grundlagen für einen besseren Versicherungsschutz zu schaffen.

Freie Entscheidung: Der im Rahmen des Dialogs erstellte Bericht gehört zu jeder Zeit dem Unternehmen selbst. Das Unternehmen kann anschließend selbstständig und frei entscheiden, ob es damit eine Ausschreibung für die Eindeckung einer Cyber-Police forciert oder zunächst empfohlene Maßnahmen umsetzt, um das Risikobild in Richtung Versicherer zu verbessern.

Zeitersparnis: Durch die Durchführung des Risikodialogs mit der Ecclesia Cyber können Unternehmen Zeit sparen. Die DIN-Form ist allgemein anerkannt und kann bei fast allen Versicherern als Grundlage genutzt werden. Der Dialog muss nur einmal durchgeführt werden, wohingegen bei einer gängigen Ausschreibung jeweils die individuellen Audits der einzeln angesprochenen Versicherer nötig wären.

Dialog auf Augenhöhe: Der Risikodialog der Ecclesia Cyber geht über eine reine Prüfung hinaus und ist vielmehr ein Gespräch auf Augenhöhe. Durch die unabhängige Positionierung des Auditors wird nicht nur Wissen geteilt, sondern auch konstruktive Verbesserungsvorschläge unterbreitet. Zudem können Sicherheitsstrategien vertraulich mit dem Auditor diskutiert werden, was Unternehmen hilft, ihre Cybersicherheitsmaßnahmen weiter zu optimieren.

Der Risikodialog stärkt die Sicherheit der IT-Infrastruktur und schafft gleichzeitig ein Bewusstsein für die Wichtigkeit einer proaktiven und nachhaltigen IT-Sicherheitspolitik. Er leistet einen wesentlichen Beitrag zur Risikominimierung und zur langfristigen IT-Sicherheit in Unternehmen.


Robert Drexler

Robert

Drexler

Ecclesia Cyber

Leiter

Anzeige

Weitere Artikel

Was bedeuten die neuen NIS2-Anforderungen konkret?
HackGPT als Doppelagent
CISOs scheitern an der Kommunikation mit der Geschäftsleitung
Adlon präsentiert intelligente IT Security für KMU
Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.