Der Druck auf Unternehmen, durch Erpressungsmethoden wie Ransomware-Lösegelder an Cyber-Kriminelle zu zahlen, hat sich in den vergangenen Jahren stark erhöht und stellt ein Hauptrisikoszenario für die Industrie dar. Die Kosten für Betriebsunterbrechung und Datenwiederherstellung sind erheblich. Das Risiko steigt mit zunehmender Abhängigkeit von digitalen Geschäftsprozessen. Vor diesem Hintergrund ist ein gutes Cyber-Riskmanagement notwendiger denn je. Zum einen haben die Industrie selbst ein grundsätzliches Interesse, das IT-Sicherheitsniveau kontinuierlich zu erhöhen. Zum anderen steigen die Anforderungen von Gesetzgeber, Kunden, Geschäftspartnern und Versicherern, erklärt Luca Rodermund, Head of Sales Cyber beim Risikoberater Aon, im Interview.
Herr Rodermund, welche Anforderungen stehen hier aktuell im Fokus der Unternehmen?
Aktuell steht insbesondere die EU-Richtlinie NIS-2 im Fokus. Unternehmen werden zu mehr Resilienz verpflichtet; neben risikomindernden Maßnahmen wird insbesondere eine professionelle und schnelle Reaktion im Schadenfall gefordert. Dabei definiert der Gesetzgeber den Kreis der kritischen und damit betroffenen Unternehmen sehr weit und erhöht den Druck auf die Unternehmen.
Wer ist im Unternehmen verantwortlich?
Cybersicherheit ist definitiv eine Management-Aufgabe, die nicht vollständig delegiert werden kann. Durch NIS2 wird die Verantwortung der Unternehmensführung für dieses Thema noch einmal unterstrichen.
Und wie geht man die Umsetzung am besten an?
Jedes Unternehmen weist einen individuellen Cyber-Reifegrad auf. Daher ist es wichtig, zunächst den Status quo zu analysieren, da nur so festgelegt werden kann, welche Schritte priorisiert werden sollten. Entscheidend ist dabei, dass finanzielle und personelle Ressourcen gezielt eingesetzt werden, da diese in den IT-Abteilungen häufig begrenzt sind.
Empfehlen Sie Unternehmen, sich mit zudem mit Cyber-Versicherung zu beschäftigen?
Definitiv! Sich mit diesem Thema auseinanderzusetzen und eine fundierte Entscheidungsgrundlage zu schaffen, ist absolut empfehlenswert. Dazu gehört die Erfassung des IT-Sicherheitsniveaus sowie die Analyse des individuellen Risikoprofils. Auf dieser Basis kann geprüft werden, inwiefern eine Versicherbarkeit gegeben ist und welche Risiken abgesichert werden können. Unserer Erfahrung nach entscheiden sich die meisten Unternehmen nach einer solchen Evaluierung, einen Teil ihres Risikos auf die Bilanz eines Versicherers zu transferieren.
Muss das Unternehmen bestimmte Bedingungen erfüllen?
Ja, der Versicherungsmarkt fordert ein gewisses IT-Sicherheitsniveau, wobei sich konkrete organisatorische und technische Anforderungen herauskristallisiert haben. Daher ist es ratsam, Maßnahmen zu ergreifen, die das Unternehmen sicherer machen, die Anforderungen der Regulatorik erfüllen und die Versicherungsanforderungen berücksichtigen.
Als Fazit: Ist es vorteilhaft all diese Themen ganzheitlich anzugehen?
Ja, denn nur ein ganzheitliches Risikomanagement führt zu einer nachhaltigen Cyber-Resilienz-Strategie. Das erfordert viele unterschiedliche Maßnahmen in den Bereichen Risiko-Analyse, -Minderung, -Transfer sowie Reaktionsmaßnahmen. Wir können diese Themen alle miteinander verknüpfen und unsere Kunden ganzheitlich beraten.
Herr Rodermund, welche Anforderungen stehen hier aktuell im Fokus der Unternehmen?
Aktuell steht insbesondere die EU-Richtlinie NIS-2 im Fokus. Unternehmen werden zu mehr Resilienz verpflichtet; neben risikomindernden Maßnahmen wird insbesondere eine professionelle und schnelle Reaktion im Schadenfall gefordert. Dabei definiert der Gesetzgeber den Kreis der kritischen und damit betroffenen Unternehmen sehr weit und erhöht den Druck auf die Unternehmen.
Wer ist im Unternehmen verantwortlich?
Cybersicherheit ist definitiv eine Management-Aufgabe, die nicht vollständig delegiert werden kann. Durch NIS2 wird die Verantwortung der Unternehmensführung für dieses Thema noch einmal unterstrichen.
Und wie geht man die Umsetzung am besten an?
Jedes Unternehmen weist einen individuellen Cyber-Reifegrad auf. Daher ist es wichtig, zunächst den Status quo zu analysieren, da nur so festgelegt werden kann, welche Schritte priorisiert werden sollten. Entscheidend ist dabei, dass finanzielle und personelle Ressourcen gezielt eingesetzt werden, da diese in den IT-Abteilungen häufig begrenzt sind.
Empfehlen Sie Unternehmen, sich mit zudem mit Cyber-Versicherung zu beschäftigen?
Definitiv! Sich mit diesem Thema auseinanderzusetzen und eine fundierte Entscheidungsgrundlage zu schaffen, ist absolut empfehlenswert. Dazu gehört die Erfassung des IT-Sicherheitsniveaus sowie die Analyse des individuellen Risikoprofils. Auf dieser Basis kann geprüft werden, inwiefern eine Versicherbarkeit gegeben ist und welche Risiken abgesichert werden können. Unserer Erfahrung nach entscheiden sich die meisten Unternehmen nach einer solchen Evaluierung, einen Teil ihres Risikos auf die Bilanz eines Versicherers zu transferieren.
Muss das Unternehmen bestimmte Bedingungen erfüllen?
Ja, der Versicherungsmarkt fordert ein gewisses IT-Sicherheitsniveau, wobei sich konkrete organisatorische und technische Anforderungen herauskristallisiert haben. Daher ist es ratsam, Maßnahmen zu ergreifen, die das Unternehmen sicherer machen, die Anforderungen der Regulatorik erfüllen und die Versicherungsanforderungen berücksichtigen.
Als Fazit: Ist es vorteilhaft all diese Themen ganzheitlich anzugehen?
Ja, denn nur ein ganzheitliches Risikomanagement führt zu einer nachhaltigen Cyber-Resilienz-Strategie. Das erfordert viele unterschiedliche Maßnahmen in den Bereichen Risiko-Analyse, -Minderung, -Transfer sowie Reaktionsmaßnahmen. Wir können diese Themen alle miteinander verknüpfen und unsere Kunden ganzheitlich beraten.
