Cyberversicherung – trügerische Sicherheit ohne Substanz?
Die aktuelle ZEW-Studie zeigt, dass fast jedes zweite IKT-Unternehmen in Deutschland inzwischen eine Cyberversicherung abgeschlossen hat. Vor allem größere Unternehmen sichern sich so gegen wirtschaftliche Folgen digitaler Angriffe ab. Doch diese Zahl täuscht darüber hinweg, dass eine Versicherung keine Schutzmaßnahme im eigentlichen Sinne darstellt. Sie wirkt erst dann, wenn der Schaden bereits entstanden ist und auch nur dann, wenn keine grobe Fahrlässigkeit im Spiel war.
Gleichzeitig offenbart die Studie ein strukturelles Ungleichgewicht: Während Unternehmen zunehmend auf Versicherungen setzen, investieren viele nach wie vor zu wenig in nachhaltige Sicherheitsstrukturen. Ein Drittel der Betriebe verfügt über keinerlei Versicherungsschutz, ein weiteres Fünftel denkt lediglich darüber nach. Bei näherer Betrachtung ergibt sich ein besorgniserregendes Bild. Die Sicherheitskultur ist häufig lückenhaft, das Risikobewusstsein in der Führungsetage unterentwickelt, und viele Entscheidungen über IT-Sicherheit beruhen auf Bauchgefühl statt auf methodischem Verständnis.
Was hilft gegen dieses strukturelle Defizit? Führung durch Kompetenz
Die NIS2-Richtlinie der EU bringt nun Bewegung in diese Debatte. Denn sie verlangt nicht nur technische und organisatorische Maßnahmen, denn sie fordert ausdrücklich qualifizierte Geschäftsleitungen. Wer ein kritisches Unternehmen führt, muss künftig in der Lage sein, Risiken im Bereich der Informationssicherheit zu erkennen, zu bewerten und geeignete Maßnahmen zu ergreifen. Nicht mehr optional. Nicht delegierbar.