Heute geht es mal nicht nur um die Sparte Cyber, sondern um Cybersicherheit im eigenen Betrieb. Denn die EU möchte das Thema Digitalisierung des Finanzsektors voranbringen, aber auch regulieren. Wie die EU sich das vorstellt, ist im Entwurf der sogenannten DORA-Richtlinie beschrieben. Doch was sind die Folgen des Digital Operational Resilience Act (DORA) für die Versicherungsbranche? Viele Hausaufgaben für den IT-Compliance-Bereich!
Trotzdem ist DORA auch für Vertriebler interessant. Denn die Richtlinie bietet aufgrund der aufgeführten Risiken einiges an Inspiration für Cyberverkaufsstorys bei Ihren Endkunden.
Wenn Sie grundsätzlich an der DORA-Richtlinie interessiert sind, können Sie gerne unsere Expert Summary, die DORA verständlich auf Deutsch zusammenfasst, hier herunterladen.
Was man grundsätzlich schon aus dem Cyberversicherungsvertrieb kennt, gilt natürlich auch für die Versicherungen selbst: Den hundertprozentigen Schutz vor Cyberattacken gibt es nicht. Umso wichtiger ist es, dass man sich schon vor einem entsprechenden Vorfall mit dem Thema auseinandersetzt und gezielt in die IT-Sicherheit investiert. Zusätzlich zu den Investitionen in IT-Sicherheit empfiehlt sich der Abschluss einer Cyberversicherung zur Absicherung des Restrisikos.
Da wundert es nicht, dass auch die EU ein gewisses Schutzniveau für die Finanzbranche erwartet. Denn besonders diese Branche ist immer wieder Ziel von Cyberkriminellen.
Wie kommt das? Die Finanzbranche speichert etliche personenbezogene und Finanzdaten, wie zum Beispiel Vertrags- und Zahlungsdaten. Diese sind die Geschäftsgrundlage für die Versicherungsbranche.
Für Hacker sind beinahe all diese Daten, egal ob Konto- oder Schadeninformationen, eine Goldgrube. Denn sie können gewinnbringend weiterverkauft werden. Für die Versicherer bleiben als Folgen schwerwiegende finanzielle Verluste und Reputationsschäden.
- Story: Daten als kritisches Asset
Was für die Versicherungen gilt, gilt auch für viele weitere Branchen. Oftmals sind die gespeicherten Daten besonders schützenswert, da diese bei Nichtverfügbarkeit oder Datendiebstahl existenzbedrohende Konsequenzen mit sich ziehen. Beispielsweise kann ein Steuerberater sein Tagesgeschäft ohne Mandantendaten nicht ausführen. Das Resultat ist eine Betriebsunterbrechung.Tipp: Benennen Sie im nächsten Gespräch deutlich die Folgen einer Datenpanne.
In DORA wird zudem konkret gefordert, dass die Betriebsstabilität operativer Systeme gewährleistet sein muss. Gerade auf Systeme, von denen das Tagesgeschäft abhängt, kann ein Ausfall oder eine Störung durch eine Cyberattacke massive Auswirkungen wie eine Betriebsunterbrechung haben. - Story: Abhängigkeit zu Systemen
Aufgrund der Digitalisierung hat fast jede Branche ein IT-System, von dem es abhängig ist. Auch hier gilt: Fällt das System aus, dann kommt es zu einer Betriebsunterbrechung. Beispielsweise kann ein Restaurant ohne Kassen- und Bestellsystem kaum noch den Betrieb aufrechterhalten. Tipp: Weisen Sie im nächsten Gespräch Ihr Gegenüber konkret auf die Abhängigkeit von den IT-Systemen hin.
DORA fordert, dass die Versicherung Notfallpläne erstellt, um Cybervorfälle schnellstmöglich aufzulösen. Denn bei einem Vorfall ist ein zügiges Handeln unabdingbar. - Story: Für den Fall der Fälle gerüstet sein
In der Regel kommt eine Cyberversicherung nicht nur für die finanziellen Folgen einer Cyberattacke auf, sondern bietet bei Eintritt einer Cyberattacke auch Serviceleistungen durch IT-Experten an. Da die meisten Unternehmen – gerade im KMU-Bereich – keinen richtigen Notfallplan haben, punktet die Cyberversicherung durch kompetente Hilfe.
Tipp: Fragen Sie im nächsten Gespräch Ihr Gegenüber, ob es im Notfall einen besseren Plan gibt, als den IT-Admin anzurufen. Denn dieser ist zwar IT-Experte, aber wahrscheinlich kein IT-Sicherheitsexperte.Weiter fordert DORA, dass sich die Versicherungen mit den Risiken durch Externe, zum Beispiel Zulieferer oder Dienstleister, auseinandersetzen. Denn ein klassisches Einfallstor sind Externe, die teilweise nicht so hohe IT-Sicherheitsstandards wie das Versicherungshaus haben. - Story: Externe als Einfallstor
Mittlerweile kommt kaum ein Unternehmen ohne Externe aus. Selbst ein Handwerksbetrieb wie ein Tischler kann ohne Holzlieferanten nicht arbeiten. Daher gibt es eigentlich bei fast jedem Unternehmen eine hohe Abhängigkeit zu einem externen Dienstleister. Zudem genießen Externe in der Regel einen hohen Vertrauensvorschuss, da die Geschäftsbeziehungen etabliert sind. Dementsprechend „einfach“ haben es Cyberkriminelle, die zum Beispiel eine verseuchte E-Mail vom Mailkonto des externen Partners an das Unternehmen verschicken. Die Wahrscheinlichkeit, dass diese geöffnet wird, ist recht hoch. Unternehmen sind also 24/7 einem Risiko ausgesetzt, über Externe Opfer einer Cyberattacke zu werden.
Fazit
Auch wenn DORA nur für die Finanzbrache gilt, wird deutlich, dass sich die Risiken der Finanzbranche im Grunde auf beinahe jedes Unternehmen übertragen lassen. Um diesem Risiko Herr zu werden, lohnt in jedem Fall der Abschluss einer Cyberversicherung. Tatsächlich auch für Versicherungshäuser.
PS: Bei Fragen zu DORA können Sie gerne auch meine Kollegen aus dem Compliance-Bereich kontaktieren .
Autor: Linus Töbke
