#11: Schutzschild Cyberversicherung

Lisa Froehlich: Lisa Froehlich Hallo, herzlich willkommen zu einer neuen Folge von Follow the White Rabbit, dem Link11 IT Security Podcast. Mein Name ist Lisa Fröhlich, ich bin Unternehmenssprecherin bei Link11 und heute habe ich einen besonderen Gast. Payem Rezvanian, Co -Geschäftsführer von Finanzchef24 und Experte für Cybersicherheit und Cyberversicherung. Payem, vielen Dank, dass du dir die Zeit genommen hast und heute mein Gast bist, bevor wir sozusagen in deine Vorstellungsrunde gehen, möchte ich den Hörerinnen und Hörern noch einen kurzen Überblick geben über die Themen, die uns heute beschäftigen werden. Die digitale Welt birgt sehr, sehr viele Chancen, aber natürlich auch entsprechende Risiken für Unternehmen jeder Größe. Cyber -Vorfälle, mit denen wir uns heute ein bisschen näher beschäftigen wollen, können für Unternehmen verheerende Folgen haben und die Existenz der Unternehmen gefährden. Vor diesem Hintergrund werden natürlich auch Cyberversicherungen immer wichtiger, da sich Unternehmen damit vor den finanziellen Folgen von Cyber-Vorfällen Angriffen schützen können. Allerdings müssen Unternehmen gleichzeitig bestimmte Voraussetzungen erfüllen, damit sie Cyberversicherungen überhaupt abschließen können, denn auch Versicherer nehmen war, dass es zu immer mehr Cyber-Vorfällen komm, eben die Risiken in der Cyberwelt immer größer werden. Dann wollen wir nochmal ganz kurz darauf eingehen, was hat es denn mit den Anforderungen an die IT -Sicherheit zu tun? Was haben wir für Risikomanagement -Themen? Und ich würde gerne wissen, warum zum Teil Versicherungsanträge aufgrund unzureichender Sicherheitsmaßnahmen vielleicht doch abgelehnt werden und am Ende vielleicht schaffen wir es noch einen kleinen Ausblick auf NIS2 zu werfen und hier noch mal zu schauen, was die neuen Regularien so mit sich bringen können. Doch bevor wir jetzt gemeinsam in diese ganz vielen spannenden Themen eintauchen, würde ich dich bitten, Payam, stell dich doch bitte kurz unseren Hörerinnen und Hörern vor.

Payam Rezvanian: Payam Rezvanian Ja, erstmal vielen Dank, liebe Lisa, dass ich heute hier Gast in eurem Podcast sein darf. Ich bin Payam Rezvanian. Ich bin hier Co -CEO, Schrägstrich Mitglied der Geschäftsleitung bei Finanche24. Finanche24 ist der Portal Schrägstrich, das digitale Portal für SMEs, kleine mittelständische Unternehmen, die richtige Risikoabdeckung bzw. eine Versicherung zu finden für ihr Risiko. Wir betreuen über 50 .000 Unternehmen in Deutschland. Daher haben wir auch den Einblick vor allem in den kleinen und mittelständischen Markt und können hierzu dann sicherlich auch die eine oder andere Abschätzung abgeben. Ich bin wie gesagt froh und glücklich heute hier Gast sein zu dürfen. Da gerade dieser Bereich der SMEs oftmals vergessen wird und oder gar nicht so unter Beobachtung steht, aber doch einen ganz großen Teil des BEPs in Deutschland ausmacht. Und deswegen bin ich auch gerne bereit, hier die Infos und Auskünfte zu geben, vor allem zu dem Thema Cybersicherheit, zu dem sehr wichtigen Thema.

Lisa Froehlich: Lisa Froehlich Hmm.

Lisa Froehlich: Lisa Froehlich Ja, wir machen ja auch die Erfahrung, dass alle angegriffen werden. Davor sind natürlich keine Unternehmen geschützt und meine Kollegen geben das auch öfter mal mit aus den Gesprächen, dass natürlich bei dem einen oder anderen kleinen und mittelständischen Unternehmen auch zum einen die sozusagen die Sensibilität für das Thema immer noch nicht ganz so groß ist, wie sie sein müsste und zum anderen haben wir ja einen riesigen Fachkräftemangel, der auf uns zurollt oder mit dem wir konfrontiert sind. Und das kommt natürlich gerade in kleinen und mittelständischen Unternehmen die Geschäftsführenden sehr zu spüren. Doch bevor wir jetzt hier schon ins Detail einsteigen, würde ich dich bitten, wie schätzt du die aktuelle Bedrohungslage im Bereich Cybersicherheit für kleinere und mittlere Unternehmen ein?

Payam Rezvanian: Payam Rezvanian Jetzt, wenn man wirklich drauf schaut, so das eine ist meine persönliche Meinung, das andere sind die jüngsten Studien und die decken sich da auch. Das, was wir aus der täglichen Arbeit hier sehen und kennen, ist relativ einfach zusammengefasst. Auch das, was die Institutionen mit ihren entsprechenden Reporten und Berichten zeichnen, ist ein sehr eindeutiges Bild. Die Bedrohungslage ist hoch und sie nimmt weiter zu. Und das ist nicht nur und das betrifft nicht nur die Einrichtungen, die naheliegend sind und die, die man sicherlich direkt vorm Auge hat, sondern wirklich das betrifft jedes Unternehmen, das nur ansatzweise die Digitalisierung oder digitale Services oder IT im weitesten Sinne nutzt.

Lisa Froehlich: Lisa Froehlich Hmm.

Lisa Froehlich: Lisa Froehlich Wir sind ja auch, das denke ich mir immer, auch wenn wir, sage ich mal, Digitalisierung als eines der großen Buzzwords haben, stehen wir ja immer noch ganz schön am Anfang dieser Entwicklung. Also wenn ich überlege, was da sozusagen im Hintergrund schon für Forschungen betrieben werden oder jetzt auch nur mal das Stichwort Quantencomputing zu nennen, also da stehen wir ja noch ganz, ganz am Anfang der Entwicklung und das wird ja nochmal eine ganz andere Dimension an digitaler Transformation für Unternehmen mit sich bringen. Viele Unternehmen sind natürlich digital exponiert. Es gibt ja kaum noch Anwendungen, die nicht in irgendeiner Art und Weise virtuell im Internet miteinander verknüpft sind. Die Corona -Pandemie hat natürlich auch nochmal dann eine unfassbare Geschwindigkeit auch reingebracht. Ad hoc mussten viele Menschen ins Homeoffice, es wurden Systeme dafür geschaffen, die es vorher gar nicht gab. Also da haben sich ja auch die Angriffsflächen in den Unternehmen extrem schnell, extrem vergrößert und da sind natürlich immer noch vermutlich einige Unternehmen, die sozusagen dieser ad hoc Entwicklung, die ich will jetzt mal sagen, so ein bisschen hinterherhecheln. Und viele Unternehmen wüssten, dass Cyber-Vorfälle eines der bedeutendsten Geschäftsrisiken sind und auch quasi die Versicherer sorgen sich ja sozusagen diese Sparte mit Cyberangriffen. Und ich habe ein bisschen recherchiert und habe gelesen, dass der Versichererverband der GDV sozusagen veröffentlicht hat, dass die Schaden - und Kostenquote 2021, also das war sozusagen ja auch noch so ein Corona -Jahr, bei 124 Prozent lag. Das heißt, dass die Versicherer für jeden eingenommenen Prämien Euro 1 ,24 Euro für Schäden und Kosten ausgeben mussten. Das war natürlich ein verlustreiches Jahr für die Versicherung, was mich persönlich im Hinblick auf die Turbodigitalisierung, wie ich es gerne nenne, während Corona im Grunde qua der Angriffstechnik kein Wunder war. Und du hast kürzlich in dem Artikel gesagt, dass bei Unternehmen mit über 10 Millionen Euro Umsatz mittlerweile rund jeder zweite Versicherungsantrag wegen unzureichender IT -Sicherheit abgelehnt wird. Und kürzlich habe ich auch jemanden getroffen, der gesagt hat, na ja, im Grunde wird sich immer eine Versicherung finden, die Cyberrisiken versichert. Das ist natürlich dann immer auch eine Frage der Prämien und der Ausschlusskriterien, die sozusagen nicht damit beinhaltet sind. Und ich verstehe das auch, dass vor allem die Versicherer fordern, dass vor allem mittelständische Unternehmen sich stärker gegen Cyberattacken wappnen, denn bei den meisten Unternehmen werden da noch große Sicherheitslücken gesehen. Wie würdest du diese Herausforderungen beschreiben, denen sich Unternehmen stellen müssen, eine adäquate Cyber-Sicherheit zu gewährleisten? Was sind da, deiner Meinung nach, die Kernpunkte, an denen es auch bei den ein oder anderen Unternehmen gerade im kleinen und mittleren Bereich hakt?

Payam Rezvanian: Payam Rezvanian Mh. Mh. Mh.

Payam Rezvanian: Payam Rezvanian Ja, jetzt wurden ganz viele Themen angesprochen. Ich versuch die nochmal so ein bisschen chronologisch aufzuarbeiten. Das eine ist, wie du richtig sagst, sind die sind die Angriff Flächen einfach viel mehr geworden, rein quantitativ. Damit haben wir natürlich ein erhöhtes Risiko. Das heißt, die Versicherer draußen diese Risiken absichern, haben es einfach mit höheren, weil einfach quantitativ mehreren Risiken zu tun. Und das treibt in aller Regel erst mal die Prämien und oder im Schadensfall auch das Risiko des Versicherers dann auch zu bezahlen. Das zweite ist, worauf der Versicherer natürlich unter anderem schaut, nicht ausschließlich, aber nur es. Wir haben in Deutschland ja in etwa, so laut Bitkom, 206 Milliarden Euro an Schäden durch Cyberangriffe gehabt, und zwar letztes Jahr. Das muss man sich auf der Zunge zergehen lassen. Das ist eine enorm hohe Summe. Jetzt können wir uns vorstellen, diese 206 Milliarden Euro sind verursacht worden und nicht jedes Unternehmen, das betroffen war, war auch adäquat abgesichert.

Lisa Froehlich: Lisa Froehlich Hmm. Ja.

Payam Rezvanian: Payam Rezvanian Das eine ist der Schaden, der entstanden ist, das andere ist die Absicherung. Ich mache einen ganz einfachen Vergleich auf. Leider haben wir in einigen Teilen Deutschlands doch mit dem Hochwasser zu tun. Nicht jeder ist adäquat abgesichert, der von dem Hochwasser betroffen ist und wird sicherlich auch auf dem einen oder anderen Schaden sitzen bleiben. Deswegen empfiehlt es sich hier eben auch präventiv vorzugehen und sich mit dem dann doch sehr...ein zähen Bedingungswerk auseinanderzusetzen. Das ist nichts anderes, außer das Kleingedruckte, was in so einer Versicherung oft steht und in einer Versicherungspolizei oft steht. Und dieses Kleingedruckte ist etwas, was man sich im Vorfeld anschauen muss, bevor man die Versicherung abschließt. Und dafür sorgen wir natürlich, dass wir da eine gewisse Transparenz reinbringen. Und da beraten wir auch in dieser Hinsicht.

Lisa Froehlich: Lisa Froehlich Mhm.

Payam Rezvanian: Payam Rezvanian Die Anfragen und die die uns erreichen in diesem Bereich sind, das gerade kleine und mittelständische Unternehmen sich nicht bewusst sind, welche Risikolage sie ausgesetzt sind. Und diese Risikolage überhaupt zu erfassen ist ein ganz ganz großer Teil. Und da ist es dann auch wirklich so, da gehört die IT-Infrastruktur genauso dazu wie Prozesse wie Vorsorge, also präventive Maßnahmen, das komplette Risikomanagement, Notfallpläne, die systematische Erfassung, die Pflege, der Betrieb, die stetige Überwachung. Also all das, was man heutzutage unter modernem IT -Management versteht, fallen da unter anderem mit rein und da schauen man die Versichere oder die Gesellschaften dann schon drauf und sagen, okay, lieber Kunde oder lieber Anfragende.

Lisa Froehlich: Lisa Froehlich Mhm, mhm. Ja.

Payam Rezvanian: Payam Rezvanian Ich kann mir nicht jedes Risiko einfach blind absichern, sondern ich brauch von dir schon hier eine gewisse Zusammenarbeit. Also wenn du dein Haus praktisch auf einem unsicheren Fundament aufbaust, dann werde ich dir das nicht einfach blind komplett absichern, sondern da wird es einen Risikoaufschlag geben. Und oder bis zu dem entsprechenden Fall halt, wenn es ganz ganz bescheiden läuft, nehme ich die oder versicher ich dich gar nicht. Also dann lehne ich dich ab.

Lisa Froehlich: Lisa Froehlich Mhm.

Lisa Froehlich: Lisa Froehlich Ja, mit Sicherheit.

Payam Rezvanian: Payam Rezvanian weil mir das Risiko einfach zu hoch ist. Und das kommt gerade im Bereich Cyber nicht ausschließlich, aber doch aus einer gewissen Ecke her. Quantitativ haben wir mehr Angriffsflächen. Qualitativ werden die Angriffe und die Vorfälle auch immer tiefgreifender. Und auf der anderen Seite haben wir auch quantitativ mehr Angriffe oder stellen quantitativ mehr Angriffe fest. Und zwar nicht nur aus Staaten wie China und Russland, die jetzt auch in Konflikte auf der Welt irgendwie verwickelt sind oder wo man sagt, da wird unheimlich viel Wirtschaftsspionage getrieben, sondern es gibt auch Angriffe oder wir haben es auch hier mit Ländern aus der EU zu tun oder aus den USA knapp 37 Prozent wissen gar nicht oder das ist unklar woher der Angriff eigentlich kommt also all das fließt natürlich wie gesagt nicht ausschließlich aber unter anderem in eine Risikobewertung ein und dann kann es sein dass der für sich eben sagt nö mache ich nicht und oder du musst dieses Risiko mitgehen in dem du gewisse vorsorge betreibst oder halt mit in die Haftung gehst wenn was passiert und

Lisa Froehlich: Lisa Froehlich Ja.

Lisa Froehlich: Lisa Froehlich Jetzt kann ich mir natürlich vorstellen, dass gerade die großen Versicherer, also wenn ich an so eine Munich Re oder eine Allianz denke, dass die natürlich auch eine ganz andere Dimension an Risikomanagement betreiben können als ein kleines und mittelständisches Unternehmen, das im schlimmsten Fall ja gar kein Risikomanager im klassischen Sinne hat. Also ich... Ich bin ja auch auf verschiedenen Veranstaltungen unterwegs und war kürzlich auf einer Veranstaltung vom Branchenverband Eko und habe zwei Vorträge zum Thema OT -Sicherheit gehört. Also da geht es ja wirklich die Sicherheit der operationalen Technologien. Also ich sage mal irgendwelche Produktionsstraßen etc. und hier das Stichwort Industrie 4 .0 genannt. Also Da werden wir ja auch noch Schritte und Erweiterungen erleben, die sozusagen eine ganz andere Dimension auch an Cyberangriffen noch mit sich zieht, weil nicht nur die ganzen Sicherheitsanbieter nehmen eine Zunahme von Cyberangriffen wahr, also kürzlich ist das BKA -Cybercrime -Bundeslagebild erschienen und

payam: payam mhm

Lisa Froehlich: Lisa Froehlich die sprechen von knapp 30 Prozent mehr Angriffen, die aus dem Ausland auf deutsche Unternehmen verübt werden. Und das sind ja Zahlen, wir kommen ja schon auf von einem relativ hohen Niveau und das wird noch mal gesteigert. Und wenn wir jetzt zum Beispiel uns Ransomware angucken, also im Jahr 2022 sind die Zahlungen an Kryptowährungen von knapp 70 Millionen US -Dollar auf 1 ,1 Milliarden US -Dollar im Jahr 2023 angewachsen. Also das sind ja Summen, die da in Anführungsstrichen im Darknet über Bitcoin und Monero und wie die ganzen Kryptowährungen alle heißen, über den Ladentisch gehen. Das nimmt ja Dimensionen an, die vielleicht das eine oder andere Unternehmen gar nicht in der Risikobetrachtung mit beziffern kann. Also weil meine Kollegen sagen, geben mir oft und mal die Rückmeldung, dass einfach auch die Sensibilität für das Thema Cybersicherheit noch nicht überall ausreichend vorhanden ist. Trotz der zunehmenden Anzahl von Cyber-Vorfällen werden die Risiken von solchen Angriffen immer noch unterschätzt. Was ist deiner Meinung nach ein Grund dafür? Ist die Dimension so komplex? Ist das Thema so schwierig? Ich finde dieses Thema Cyber ist halt eben auch, weil es Cyber ist ja auch irgendwie zumindest für mich oft in einem anderen Raum. Also es ist ja gar nicht so greifbar wie jetzt beispielsweise ein echter Tatort. Also ich sag mal Tatort Internet ist ja ein komplett anderes, ein komplett anderes, ein komplett anderer Fall von, von sag ich jetzt mal Geschäftsausfallrisiko, als wenn irgendwie mir als produzierender Betrieb…irgendeine Steuerung von irgendeinem Fließband kaputt geht und meine Produktion deswegen stillsteht. Aber wenn sozusagen die Dimension dazu kommt, dass diese Steuerung über das Netzwerk angegriffen wird und von außen lahmgelegt wird und ich dann keine Handhabe mehr habe, auf diese Steuerung zuzugreifen, dann liegt ja nicht nur die Produktion lahm. Im schlimmsten Fall habe ich Angreifer in meinem Netzwerk, die wenn es gut läuft, nur Wirtschaftsspionage betreiben. Wenn es schlecht läuft, fangen die an, irgendwelche Daten zu verschlüsseln oder abzuziehen. Und dann kriege ich am nächsten Morgen, wenn die Ransomware, die Malware scharfgeschaltet wird, eine Nachricht. Ja, you've been hacked und bitte zahlen Sie 230 Bitcoin auf folgendes Kryptowährungskonto. Und wie...

Payam Rezvanian: Payam Rezvanian Ja, vielen ist, das passt eigentlich sehr, sehr gut, vielen ist nicht bewusst, dass wir eine hohe Komplexität auf der einen Seite haben und auf der anderen Seite.

Lisa Froehlich: Lisa Froehlich Wie erklärst du dir, dass da noch so viel Nachholbedarf bei den Unternehmen zu sehen ist?

Payam Rezvanian: Payam Rezvanian Dann doch mit etwas zu tun haben, was nicht materiell ist. Und da sind wir im Versicherungsbereich natürlich irre gut aufgestellt. Eine Versicherung deckt ein gewisses Risiko ab, ist aber absolut intangible. Und eigentlich will man das auch gar nicht nutzen, sondern eine Versicherung muss man ja eigentlich im Grunde nur nutzen, wenn Schaden vorliegt und es ist dann richtig Aua. Also ist das ganze Thema erstmal ungriffig. Ähnlich ist es im Cyber-Bereich. Das Thema ist ungriffig. Warum? Als allererstes denkt man immer an das ganz, ganz Böse, nämlich an irgendwelche Banden, an organisierte Kriminalität. Man ist sich dessen gar nicht bewusst, dass ganz, ganz viele Cyber-Vorfälle durch Privatpersonen ausgelöst werden, durch unbeabsichtigte Handlungen ausgelöst werden. Auch durch unbeabsichtigte Handlungen ehemaliger Beschäftigter ausgelöst werden können, genauso wie von konkurrierenden Unternehmen.

Lisa Froehlich: Lisa Froehlich Mmh, mmh.

Payam Rezvanian: Payam Rezvanian Und neben der unabsichtlich, jetzt habe ich eine Dreher, unbeabsichtlich handelnden ehemals Beschäftigten kommt dann auch der Vorsatz mit dazu. Und der kann aber auch genauso Kunden und oder Lieferanten betreffen. Und wenn man sich überhaupt mal, ich sage jetzt mal im weitesten Sinne, den Täterkreis überhaupt mal größer macht, wird einem die Dimension etwas bewusster und so die erste Step da sich damit zu beschäftigen ist sich überhaupt mit den Möglichkeiten, woher etwas kommen kann zu beschäftigen und das machen die allerwenigsten, warum weil solange alles funktioniert ist es ja gut das zweite ist was wir oftmals sehen ist zumindest was wir feststellen ist, dass mit dem Einkauf von IT -Dienstleistungen im Netz, beispielsweise Cloud -Dienste etc., auch das Sicherheitsempfinden, nicht das Risiko tatsächlich, aber das Empfinden an den Verkäufer oder an den, wo ich dieses Gut beziehe. Also gefühlt, wenn jetzt, ich sage jetzt ganz salopp, wenn das produzierende Gewerbe oder eine kleine produzierende Firma,

Lisa Froehlich: Lisa Froehlich Mhm.

Payam Rezvanian: Payam Rezvanian sich einen Cloud -Dienst einkauft, sagt sie auch, ja, aber für die Sicherheit und für den Betrieb ist ja jemand anders zuständig und nicht ich. Und dieses, ich sag jetzt mal, unklare Sicherheitsbild und das unklare Bild der Verantwortlichkeit erzeugt diese Aussage, die oftmals kommt, aber ich bin ja nicht davon betroffen, weil wenn etwas passiert, passiert es ja bei jemandem anderen. Und wer soll mich denn beispielsweise schon hacken? Oder wer soll mich denn angreifen? Also da kommt jetzt wieder die Dimension des Unbeabsichtigten hervor. Und da habe ich es damit.

Lisa Froehlich: Lisa Froehlich Hmm.

Lisa Froehlich: Lisa Froehlich Ja, das ist aber auch, wie du sagst, etwas einzukaufen, was ja Unternehmen heutzutage machen müssen, denn das kann ja, ich hatte das kurz vorhin ja angesprochen, also der Bitkom spricht von aktuell 150 .000 fehlenden IT -Fachkräften. Da sprechen wir noch gar nicht von IT -Sicherheitsfachkräften in kleineren und mittelständischen Unternehmen gibt es, wenn alles gut läuft, eine IT -Abteilung, wo beispielsweise die Steuerungen programmiert werden für die Maschinen, die das Gut xy produzieren. Da gibt es natürlich auf der einen Seite Sicherheitsbedenken. Mein Mann hat bei einem ganz klassischen mittelständischen Maschinenbauer gearbeitet, jahrelang. die waren in ihrer Sparte, in ihrem speziellen Bereich, quasi Weltmarktführer oder gehörten zu einem der Weltmarktführer, die hatten auf ihre Maschinen Remote Zugriff, also auf sämtliche Steuerungen aller Maschinen, die weltweit irgendwo stehen, egal ob das in Südafrika, Brasilien, USA, Australien. Die IT -Abteilung konnte auf die Steuerungen zugreifen. Das waren jetzt keine fancy Steuerungen, das sind ganz klassische meist Siemens -Steuerungen, so SPS nennen sich diese Dinger. Und die arbeiten noch mit Betriebssystemen, die sind uralt. Jetzt ist natürlich eines der großen Risiken für Einfallstore veraltete Software. Jetzt war ich wie gesagt bei dieser Veranstaltung und habe mich da mit dem Vortragenden zum Thema OT -Sicherheit unterhalten. Genau über dieses Thema und ich habe gefragt, ja wie ist denn das? Wird es denn von den Unternehmen überhaupt realisiert und wie groß schätzen die denn die Gefahr ein? Und der hat ganz klar gesagt, dass diese Maschinen, die haben ganz andere Wartungszyklen. Also wir sprechen nicht von einem Software-Update auf meinem persönlichen PC, den unsere IT -Administratoren alle zwei Wochen spätestens macht oder ...immer dann, wenn irgendwie ein neues Update für ein Programm zur Verfügung steht, sondern der Wartungshorizont solcher Maschinen, der beträgt ja manchmal fünf, zehn, fünfzehn und mehr Jahre und die Investition in so eine Maschine war ja schon ein unfassbar großer Batzen Geld und wie du schon gesagt hast, dann wird natürlich gerne mal die Verantwortung für die Sicherheit ausgelagert an denjenigen, von denen man beispielsweise die Maschine gekauft hat. Nichtsdestotrotz haben wir ja mittlerweile Regularien, die, wie gesagt, ich nenne nur mal so am Rande, wir kommen vielleicht später nochmal drauf, die Geschäftsführerhaftung unter NIS2, dass natürlich auch die Unternehmen, die produzieren, dafür sorgen müssen, dass ihre IT -Netzwerke sicher sind. Und irgendwann kann ich halt eben nicht mehr sagen, ich schiebe die Verantwortung von mir an jemand anderen ab. Gleichwohl muss natürlich auch der Anbieter der Steuerung oder der IT -Sicherheitsanbieter entsprechende Vorgaben erfüllen und beispielsweise Cloud -Services entsprechend absichern. Das steht ja auch außer Frage. Jetzt kommen ja wieder aber die Versicherungen und das Kleingedruckte ins Spiel. Weil natürlich wäre ich Versicherer, würde ich sagen, also lieber Kunde... Wir können dein Risiko absichern, aber nur dann, wenn du dich erstens damit beschäftigt hast, welche Risiken gibt es überhaupt? Zweitens, dir mal ein Bild darüber gemacht hast, wie sieht denn eigentlich deine IT -Netzwerkinfrastruktur aus und wo gibt es denn da vielleicht noch eine Shadow -IT, von der du jetzt gerade gar nichts weißt? Oder welcher ehemalige Mitarbeiter hat denn vielleicht noch Administratorenrechte für irgendeine Firewall, die schon in Vergessenheit geraten sind, sodass da den Cyberkriminellen Tor und Tür offensteht, weil die brauchen am Ende des Tages nur ein kleines Nadelöhr, in das sie reinkommen. Also, wie gesagt, du hast ja in dem Artikel, aus dem ich dein Zitat hatte, dass eben mittlerweile Cyberversicherungsanträge für Unternehmen rund 10 Millionen Euro Umsatz häufig abgelehnt werden, hast du auch von Stresstests und Notfallplänen gesprochen. Wie wichtig ist es denn deiner Meinung nach für Unternehmen sich gegen Cyberrisiken entsprechend abzusichern und nicht nur auf eine Versicherung zu setzen, sondern ein entsprechendes Risikomanagement zu betreiben und wie kann es deiner Meinung nach aussehen?

Payam Rezvanian: Payam Rezvanian Ja, meine reine persönliche Meinung, die ich da jetzt kundtue, das ist ganz wichtig an der Stelle noch zu sagen, aber ich sehe es persönlich als absolut elementar an. Ähnlich wie eine Haftpflicht im Kfz -Bereich. Man schadet ja in aller Regel nicht nur sich selbst dem Unternehmen und das geht ja aus der NIS2 -Richtlinie, zumindest aus dem Referentenantrag, deutlicher vor. Man schadet ja auch oft anderen und vor allem anderen. Und dadurch ist der Horizont bzw. der Raum, in dem meine Handlung Wirkung erzeugt, natürlich deutlich ausgefeilter und deutlich größer. Deswegen sehe ich das persönlich wie gesagt als elementar an, sich da abzusichern. Und für mich gehört das auch persönlich. Und das sage ich jetzt nicht aus der Brille eines Finanzchefs, 24 Chefs, sondern das sage ich aus meiner reinen Unternehmerbrille heraus, das muss Chefsache sein. Ich kann heute nicht mehr lässig mit dem Thema Cybersecurity umgehen, ohne dabei fahrlässig zu handeln. Und Fahrlässigkeit sieht der Gesetzgeber als eindeutig immer an, beziehungsweise bestraft solche auch. Und Versicherer erst recht, Fahrlässigkeit ist ganz, ganz, ganz schwierig heutzutage abzusichern. Wie gesagt, der lässige Umgang damit ist fahrlässig. Und dazu gehören sicherlich auch und das Kleingedruckte bei Versicherungen immer das Bedingungswerk. Und dieses Bedingungswerk ist nichts anderes außer eine Risikoanalyse, die der Versicherer im Vorfeld macht. Also der schaut ja auch, der macht seine Hausaufgaben und schickt in aller Regel gerade bei diesem Thema einen Fragebogen herüber. Und dieser Fragebogen, der sollte spätestens dann, wenn man eine Absicherung haben will, einem die Augen öffnen. Warum? Weil es wird nicht nur gesagt, das verlange ich von dir als Versicherer, sondern was hast du heute als Unternehmen, Schreck, Unternehmer, Geschäftsführer, Geschäftsleiter, wie auch immer, eigentlich schon an Vorsorge getroffen? Es überhaupt gar nicht so weit kommen zu lassen. Und wenn ich da dann nicht reagiere und wenn es mir dann da nicht klar wird, ja dann ist es ganz, ganz schwierig, die nächsten Schritte überhaupt zu gehen. Da kann ich relativ einfach daraus ableiten, dass ein weiterer Schutz gar nicht so sehr gewollt ist vom Unternehmen, also oder beziehungsweise das Risiko soll der Versichere idealerweise tragen. Aber ich selber tue eigentlich gar nicht so viel dafür.

Lisa Froehlich: Lisa Froehlich Hmm... Mhm.

Payam Rezvanian: Payam Rezvanian Dazu gehören eben Konzepte eben für die Risikoanalyse, für die Sicherheit von Informationssystemen. Dazu gehört auch ein Konzept zur Vorfallsbewältigung. Viele Versicherer fragen ganz konkret und sehr klar nach, Mensch, was tust du denn heute für die Erkennung, für die Analyse, für das Eindämmen auf bestimmte Vorfälle? Wie reagierst du da drauf? Wie schaut es mit deiner Supply Chain aus?

Lisa Froehlich: Lisa Froehlich Mhm.

Payam Rezvanian: Payam Rezvanian Was tust du heute, bereits im Einkauf, beim Erwerb, bei der Entwicklung und eigentlich auch bei der Wartung der IT -Systeme, die du da heute hast, ein gewisses Risikosicherheit zu vollziehen? Was tust du denn heute dafür? Was ist da so dein Zutun für? Also IT -Systeme, die alle 10 bis 15 Jahre gewartet werden, die würde ich heute so schnell wie möglich entfernen. Das ist nicht mehr zeitgemäß. In diesen Fragebögen wird eine Menge weiter abgefragt. Auch die Bewertung der Wirksamkeit, der Risikomanagement, Maßnahmen, bis hin zur Cyberhygiene, Schulungen in dem Bereich, Mitarbeiterschulungen im Bereich der Cybersecurity. Es wird gefragt, ob man in bestimmten ... Bereichen den Einsatz von Kryptografie oder anderen Verschlüsselungssystemen vollzieht, letzten Endes seine Daten zu schützen. Und da ist jeder Versicherer unterschiedlich. Es gibt keinen standardisierten Fragebogen, sondern jeder ist da unterschiedlich und jeder setzt da andere Schwerpunkte, weil die Risiken anders von den Versicherern gesetzt werden als eigentlich oder unterschiedlich gesetzt werden von den einzelnen Versicherern. Und weil wir vorhin auch über ganz große Gesellschaften sprachen von der Allianz oder der Munich Re, die ja vereinfacht gesagt die Versicherung für die Versicherer ist, also ist wirklich ganz vereinfacht ausgesprochen, das heißt ich kann bei der Munich Re ja eigentlich gar nicht als Endkunde etwas absichern. Die sammeln das natürlich und die versuchen ihr Risiko natürlich so breit wie möglich zu streuen.

Lisa Froehlich: Lisa Froehlich Hmm.

Payam Rezvanian: Payam Rezvanian Und diese Schadensratio, die vorhin auch angesprochen wurde, unter die 100 Prozent zu drücken, also nicht mehr auf 124 Prozent wie im Cyberbereich aktuell zu halten, sondern eigentlich idealerweise nur bei 99 Prozent zu liegen und oder sogar deutlich weiter drunter. Und da schauen die natürlich uns am Ende des Tages Ja, das ist klar der Fall. Auf der anderen Seite.

Lisa Froehlich: Lisa Froehlich Die wollen ja alle was verdienen.

Payam Rezvanian: Payam Rezvanian Es ist ja so, ein Versicherer, der nicht zahlt oder nicht mehr zahlen kann, ist ja auch nicht so das, was man im Grunde haben will. Ganz im Gegenteil. Also insofern diese Suche nach einer geeigneten Absicherung ist auch eine Bewältigung und eigentlich ein prozessuales Vorgehen für einen selbst. Insofern sind wir oftmals recht froh, dass Versicherer da sehr, sehr hart sind und auch sehr, sehr klar sind, wenngleich es auch deutlich mehr Arbeit bedeutet, sowohl in der Beratung als auch in der Vergleichbarkeit, das dem Kunden dann auch oder dem Anfang im Unternehmen auch mal sehr klar und transparent zu machen. Gibt es da oder ist es für uns dann schon sehr, sehr interessant und wichtig auch zu sehen, dass die Versicherer eigentlich die Kunden damit hintreiben, dass die Systeme grundsätzlich stehen. Dass die Awareness eigentlich da ist und da sein sollte und dass dieses Thema auch kontinuierlich behandelt wird. Und wenn das im Grunde vereinfacht ausgedrückt in diesen drei Sparten nicht passiert, also das heißt die Vorsorge der Betrieb als auch die Nachsorge und das komplette Prozessmanagement, dann habe ich es schwer, einfach einen Versicherer zu finden heute. Es wird dann schlichtweg unmöglich. Am Ende des Tages...

Lisa Froehlich: Lisa Froehlich Mmh.

Payam Rezvanian: Payam Rezvanian findet sich immer jemand, der einen absichert. Da würde ich heutzutage nicht mehr so mitgehen. Die Aussage in der Cyber-Sicherheit. Es gibt Versicherer, die klipp und klar sagen nein. Und zwar wirklich klipp und klar sagen nein. Und im Zweifel auch, egal wie gut ich bin, auch bei kritischer Infrastruktur dieses Risiko nicht mehr mitgehen, weil es einfach nicht mehr darstellbar ist, weil ich es nicht mehr rechnen kann, weil ich es nicht mehr überhaupt erfassen kann.

Lisa Froehlich: Lisa Froehlich Mmh. Mmh.

Lisa Froehlich: Lisa Froehlich Na klar. Klar.

Lisa Froehlich: Lisa Froehlich Mhm. Ja. Ja.

Payam Rezvanian: Payam Rezvanian Die sagen sehr, sehr klar Nein. Und ich denke, da wird sogar die Reise noch mehr hingehen. Viele Versicherer. Für die wird das Thema Cyber immer mehr zu einem viel zu großen für die Versicherer in dem Fall Risiko, sodass das man hier wirklich sagen muss, es wird genau hingeschaut. Es wird das Zutun und das Mitwirken der Versicherungsnehmer.

Lisa Froehlich: Lisa Froehlich Mmh.

Payam Rezvanian: Payam Rezvanian extrem wichtig und für den Versicherungsnehmer hat das den Riesenvorteil, dass er oder sie sich wirklich mit dem beschäftigt, was für das Unternehmen unter anderem jetzt elementar ist, egal aus welcher Branche ich komme, nämlich sich damit auseinanderzusetzen, wie es meine IT -Sicherheit, wie es meine Cybersecurity im Allgemeinen steht. Viele Worte, viel gesagt. Ich hoffe, ich konnte es mal so ein bisschen Überblick dazu geben.

Lisa Froehlich: Lisa Froehlich Hm, ja.

Lisa Froehlich: Lisa Froehlich Ja, in jedem Fall, in jedem Fall, Peyam. Ja, also ich finde das Thema mega spannend, weil ich denke, es sind noch nicht alle Präventionsmöglichkeiten ausgeschöpft, die Unternehmen haben, sich entsprechend cyber-sicher aufzustellen. Eines der großen Stichpunkte, denke ich, für die Zukunft, gerade für mittelständische Unternehmen, ist das Thema Automatisierung. Wenn du keine menschlichen Ressourcen bekommst,

Payam Rezvanian: Payam Rezvanian und

Lisa Froehlich: Lisa Froehlich dann sieh zu, dass du einfach die Rundum-Sorglos -Pakete dir besorgst, die automatisch deine Systeme absichern. Es gibt mehrere Verteidigungslinien, also es gibt die First Line of Defense und es gibt dann irgendwann mal eine Last Line of Defense und ich sag mal, dazwischen passiert IT -Sicherheit und ich gehe davon aus oder wir wissen das mit NIS 2. Gut, sie wird nicht im Oktober kommen, das ist klar, das schafft der deutsche Staat nicht, aber die Branchen, man munkelt in der Branche, dass der 1. Januar oder der 1. Vierte so Stichtage sein werden, weil irgendwann müssen wir ja auch mal zahlen. Also ich meine, in Europa da Vorreiter für die NIS2 zu sein oder zu werden und es dann nicht pünktlich umzusetzen, ist natürlich auch ein bisschen peinlich, aber das steht auf einem anderen Papier. Das ist auch nochmal eine eigene Podcast -Folge, würde ich mal behaupten. Ich finde, dass die Anforderungen an die IT -Sicherheit, die werden sicherlich mit NIS2 nochmal deutlich steigen, was natürlich sowohl den Unternehmen als auch auf der anderen Seite den Versicherern und ihren Fragebögen entgegenkommen wird, weil sich einfach viel mehr Unternehmen, auch der kritischen Infrastruktur, sich unter dieser neuen Regelung ja wiederfinden. Also die Zahl der KRITIS-Betreiber wird von rund 5 .000 auf knapp 30 .000 anwachsen. Also da haben wir einfach auch Unternehmen, die ja jetzt vielleicht noch gar nicht wissen, dass sie von S2 betroffen sind und wie sie betroffen sind und was sie alles machen müssen. Wenn ich so mein Ohr in der Branche habe, dann spüre ich ganz viel Verunsicherung und ich spüre auch ...ganz viele Fragen auch bei den Unternehmen und es gibt natürlich viele Unternehmen, die schon gut aufgestellt sind, aber Cybersecurity ist halt auch immer noch so ein Bereich, wo man auch nicht so gerne drüber redet, obwohl auch auf der BKA Cybercrime-Konferenz kürzlich jetzt als Tenor in der Abschlussdiskussion rauskam, dass ganz wichtig ist, transparente Kommunikation, damit wir sozusagen mit den Cyberkriminellen Schritt halten können. Also Geschwindigkeit spielt eine Rolle, transparente Kommunikation spielt eine Rolle und dann spielen natürlich auch die entsprechenden IT -Sicherheitslösungen eine Rolle. Vielen, vielen Dank, dass du die Zeit hattest, uns einen kleinen Einblick zu geben, wie es mit Cyberversicherungen aussieht, wie wichtig Stresstests, Notfallpläne und das richtige Risikomanagement sind, wie wichtig sozusagen es ist, dass die Unternehmen ihre Cybersicherheit erhöhen. Wenn du abschließend den Unternehmern einen Rat geben könntest, welcher wäre das?

Payam Rezvanian: Payam Rezvanian Ja, setzt das Thema auf die Agenda, und zwar in den Chefetagen frühzeitig, idealerweise sofort. Wer lässig damit umgeht, handelt bereits fahrlässig und das wird irgendwann und mit ziemlicher Sicherheit zu einem Schaden führen. Thema auf die Agenda setzen. Sofort damit anfangen und Präventionsmaßnahmen ergreifen.

Lisa Froehlich: Lisa Froehlich Also ihr Liebende draußen, ihr habt es gehört, Cybersecurity ist Chefsache, muss Chefsache werden, damit in Zukunft die Unternehmen, egal welcher Größe, entsprechend gegen Cyber -Vorfälle gewappnet sind. Ja, ich freue mich wahnsinnig, dass du heute mein Gast warst, Per -Jom. Ich danke dir für die Zeit und die spannenden Einblicke. Mir bleibt an dieser Stelle nur zu sagen, wenn euch der Podcast gefallen hat, dann abonniert ihn gerne und lasst eine Bewertung da. Ihr findet uns auf allen großen Portalen und mir bleibt an dieser Stelle immer nur zu sagen, keep calm and get protected. Vielen Dank und bis bald.

Payam Rezvanian: Payam Rezvanian Vielen Dank.

Lisa Froehlich: Lisa Froehlich Tschüss!

Payam Rezvanian: Payam Rezvanian Tschüss!