Informationssicherheit und IT-Management

Informationssicherheit und IT-Management

Angesichts der Zunahme von Cyber-Angriffen stellt sich auch für Sozialversicherungsträger die Frage, ob eine Cyber-Versicherung als Teil ihres Informationssicherheitsmanagements sinnvoll ist

Cyber-Versicherungen bieten Schutz gegen verschiedene Formen von Cyber-Risiken, indem sie Kosten für Datenschutzverletzungen, Haftungsansprüche, Krisenmanagement, Erpressung und Betriebsunterbrechungen abdecken. Sie umfassen außerdem Deckungen für die Wiederherstellung von IT-Systemen nach Cyber-Angriffen. Vorfälle, die auf bekannte Sicherheitslücken, unzureichende interne Sicherheitsmaßnahmen oder vorsätzliches Handeln von Mitarbeitern zurückzuführen sind, sind jedoch nicht versichert.

Für den Abschluss einer Cyber-Versicherung müssen bestimmte Grundvoraussetzungen erfüllt sein, um ein angemessenes Cyber-Sicherheitsniveau zu gewährleisten. Dazu gehören in der Regel die Umsetzung grundlegender IT-Sicherheitsmaßnahmen, die Einhaltung der Datenschutzgesetze, regelmäßige Sicherheitsaudits und Risikobewertungen, das Vorhandensein eines Notfallreaktionsplans für Cyber-Vorfälle sowie regelmäßige Mitarbeiterschulungen zum Thema Cyber-Sicherheit.

Sozialversicherungsträger können von einer Cyber-Versicherung profitieren, da die Träger sensible Informationen verwalten und speichern. Es ist jedoch wichtig zu beachten, dass eine Cyber-Versicherung ein ergänzendes Instrument zur Risikominderung darstellt und nicht als Ersatz für robuste Sicherheitsmaßnahmen und Datenschutzpraktiken angesehen werden sollte. 

Die Notwendigkeit einer Cyber-Versicherung muss von jedem Sozialversicherungsträger individuell auf Basis einer umfassenden Risiko- und Wirtschaftlichkeitsanalyse bewertet werden. Alternativ wäre zu prüfen, ob innerhalb des SV-Systems Mittel für den Bedarfsfall gebildet und zur Verfügung gestellt werden können. Entscheidend ist, dass die Cyber-Versicherung als Teil einer ganzheitlichen Sicherheitsstrategie gesehen wird, die sowohl präventive als auch reaktive Maßnahmen integriert. Eine Cyber-Versicherung entbindet nicht von der Pflicht, geeignete technische und organisatorische Maßnahmen zu ergreifen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten (Art. 32 DSGVO i. V. m. § 392 SGB V).

(Stand: 24.05.2024)