Keine pauschale Voraussetzung für alle Unternehmen
Welche Angaben und Maßnahmen relevant sind, hängt von Branche, Umsatz, Daten, Standorten, IT- und Produktionssystemen, Dienstleistern und dem gewünschten Schutz ab. Anforderungen können sich außerdem durch Vertragsbedingungen, Ausschlüsse und Obliegenheiten unterscheiden.
Behandle die folgenden Punkte deshalb als Vorbereitung und Gesprächsleitfaden – nicht als Zusage, dass ein Unternehmen damit automatisch versicherbar ist.
1. Zugänge und Mehr-Faktor-Anmeldung
Ein guter Ausgangspunkt ist eine aktuelle Übersicht über Administrator-, Cloud-, Fernwartungs- und Bankzugänge. Prüfe, ob persönliche Konten verwendet werden, ob Rechte regelmäßig entzogen werden und ob wichtige Zugänge durch Mehr-Faktor-Anmeldung geschützt sind.
Dokumentiere auch Notfallkonten und Wiederherstellungswege. Zugangsdaten gehören nicht ungeschützt in eine offene Datei oder ausschließlich auf ein möglicherweise kompromittiertes Gerät.
2. Backups und Wiederherstellung
Ein Backup-Konzept sollte nicht nur die Existenz einer Kopie beschreiben. Relevant sind getrennte Aufbewahrung, Zugriffsschutz, Wiederherstellbarkeit und regelmäßige Tests mit den für den Betrieb wichtigen Daten.
Halte fest, welche Systeme zuerst wieder anlaufen müssen und wer die Wiederherstellung freigibt. Der BSI-Maßnahmenkatalog zu Ransomware zeigt, warum Backup- und Wiederanlaufplanung zusammengehören.
3. Updates, Fernzugriffe und Rechte
Organisiere Sicherheitsupdates für Betriebssysteme, Anwendungen und Netzwerkkomponenten. Prüfe, welche Fernzugänge existieren, wer sie nutzt und ob nicht mehr benötigte Konten oder Dienste deaktiviert werden.
Für die Einzelfallprüfung ist außerdem hilfreich, Zuständigkeiten und Dienstleisterverträge griffbereit zu haben. So wird sichtbar, wer Maßnahmen umsetzt und wer im Vorfall erreichbar ist.
4. Notfallorganisation und Meldewege
Lege eine Kontaktkette für Geschäftsführung, IT, Datenschutz, Recht und gegebenenfalls weitere Fachstellen fest. Ein kurzer Ablauf für verdächtige E-Mails, verlorene Geräte, kompromittierte Konten oder Systemausfälle sollte im Team bekannt sein.
Dokumentiere Vorfälle und Entscheidungen. Ob Melde- oder Informationspflichten bestehen, hängt vom konkreten Sachverhalt ab und muss fachlich geprüft werden.
5. Unterlagen für das Fachgespräch
Bereite eine Übersicht über Geschäftsprozesse, Daten, Systeme, Standorte, Dienstleister, Sicherheitsmaßnahmen, frühere Vorfälle und bestehende Versicherungen vor. So lassen sich Überschneidungen, offene Fragen und mögliche Nachweise strukturiert besprechen.
Moor & Kollegen kann eine individuelle Versicherungs- oder Vermittlungsprüfung nur anhand der konkreten Angaben und Bedingungen durchführen. CyberVorsorge selbst gibt keine Deckungszusage und empfiehlt keinen Tarif.