DDoS-Risiko und Haftpflicht-Falle

In den letzten Wochen waren DDoS-Angriffe aus dem Internet der Dinge (Internet of Things, IoT) ein großes Thema. Über Versicherungen hat dabei keiner gesprochen. Dabei wird Versicherungsschutz vor dem Hintergrund immer wichtiger. Zum einen wird man selbst leicht zum Angriffsziel. Und wenn Mittelständler und IT-Unternehmen selbst mit internetfähigen Steuerungen und embedded systems arbeiten, liefern sie schnell ungewollt neue Robotersoldaten für solche Attacken.

Botnetze aus IP-Kameras und Netzwerk-Kühlschränken

Wer IP-Adressen scannt, findet mehr als genug anfällige internetfähige Elektronikgeräte. Sehr beliebt sind ans Internet angeschlossene Überwachungskameras. (Hier ist eine schöne

Mehr

Haftungsfreistellung zum Herunterladen. Kostenlos. Mit Warnung.

Ob wir nicht eine Haftungsfreistellungsklausel hätten, hat uns ein Anrufer vor kurzem gefragt. Er ist Programmierer, Freelancer und will verständlicherweise dafür sorgen, dass er nicht bei jedem von ihm ausgeführten Auftrag grenzenlos haftet.

Fein, haben wir uns gedacht – und tatsächlich eine Musterklausel zur Haftungsfreistellung (PDF) erstellen lassen, die Sie gerne kostenlos herunterladen und übernehmen dürfen. Aber lesen Sie unbedingt die Warnhinweise, die wir dazugepackt haben.

(Spoiler: Haftung kann man durch sogenannte formularmäßige Klauseln bestenfalls begrenzt ausschließen. Eine solche juristische Wunderpille bringt deshalb mehr Schaden als Nutzen. Was wirklich hilft, ist das Versichern der Haftung.)

Mehr

IT-Compliance, Teil 2: Persönliche Manager-Haftung für IT-Sicherheitsmängel

Wie fehlende IT-Compliance zu Schadenersatzforderungen gegen die Geschäftsleitung führen kann.

  • Im ersten Teil ging es um Compliance generell, und warum Compliance-Verstöße schnell zur persönlichen Haftung aus Geschäftsleiterverantwortung führen können.
  • In dieser Folge wollen wir uns speziell mit IT-Compliance als Risiko für persönliche Schadenersatzansprüche befassen.

Zur Compliance gehört die IT-Sicherheit des Unternehmens

Maßnahmen, die IT-Sicherheitsstandards und Datenschutz-Vorschriften im Unternehmen verankern, sind für die Compliance genauso wichtig wie Abläufe, die eine korrekte Buchführung garantieren oder Bestechung verhindern. Ohne solide, professionelle IT-Security lässt sich weder das vom Gesetzgeber vorgeschriebene Risikomanagement betreiben noch das von Investoren und Kapitalgebern erwartete Niveau an Corporate Governance erreichen.

Ein großer Teil der Werte des Unternehmens ist digital: Ohne Daten, Hardware, Netzwerke und Systeme sind weder Produktion noch Rechnungswesen, Vertrieb oder Marketing denkbar. Datenbestände bilden das Wissen eines Betriebs ab. Selbst so schwer fassbare Dinge wie das Vertrauen

Mehr

IT-Compliance und persönliche Haftung, Teil 1: Compliance-Pflichten

Compliance-Verstoß Hackerangriff: Eine IT-Sicherheitsverletzung kann zu persönlichen Schadenersatzansprüchen gegen die Geschäftsführung führen.

„When, not if“ – so lautet eine Formel, die in IT-Sicherheitskreisen längst Standard geworden ist, wenn es um das Szenario einer konkreten IT-Sicherheitsverletzung geht. Die Frage lautet nicht, ob sich ein Cyber-Angriff, eine Technik-Havarie oder ein folgenschwerer menschlicher Fehler im Umgang mit Daten und Software auch bei Ihnen ereignet. Die Frage ist, wann es dazu kommt – und wie gut Ihr Unternehmen dann darauf vorbereitet ist.

Wer haftet für die Schäden? Das ist die nächste unausweichliche Frage, wenn Systeme

Mehr

Cyber-Versicherung: Ausschluss als Falle

Stolperstein Versicherungsausschluss

Vieles an der Cyber-Versicherung ist neu. Der Querschnittscharakter etwa: Haftpflicht, Eigenschäden, Vertrauensschäden und Rechtsschutz in einer einzigen Police.

Manches ist dagegen so wie immer schon: Etwa die Tatsache, dass der Ausschluss eines bestimmten Versicherungsfalls zur Versicherungsfalle werden kann.

Zwei typische Beispiele:

  • Es gibt zum Beispiel Cyberpolicen, in denen nur zielgerichtete Angriffe versichert sind. Ein sich unkontrolliert verbreitender Computervirus legt Ihr Unternehmen lahm? Pech gehabt.
  • Oder der Ausschluss bezieht sich darauf, dass einer Ihrer Mitarbeiter vorsätzlich handelt. Ein jähzorniger Angestellter quittiert die Kündigung dadurch, dass er Ihre Auftragsdatenbank sabotiert oder alle Projektdaten löscht? Pech gehabt.

Wobei: Pech ist das falsche Wort. So etwas ist ja kein Schicksal, sondern falsche Beratung. Es gibt auch Versicherungsangebote ohne diese Ausschlüsse. Man muss sie allerdings kennen.

Mit anderen Worten: Sie sollten sich an einen Fachmakler für Cyber-Versicherungen wenden. Zum Beispiel an uns, die acant service GmbH. Sie erreichen uns unter 30 863 926 990.

Was deckt eine Cyberversicherungen eigentlich ab?

Für die klassischen betrieblichen Versicherungen wird der Versicherungsschutz nach Sparten definiert: Gegen Feuer eine Sachversicherung, gegen Ansprüche Dritter eine Haftpflicht-Police, gegen Schäden in der EDV eine technische Versicherung  usw.

Bei der Cyberversicherung wirkt zählt dagegen der Gedanke, dass  es nicht darum geht, einzelne mögliche Ursachen für Schäden an Daten, Netzwerken, Hardware, Steuerungen etc. als einzelne Schadensszenarien zu versichern und eine Vielzahl von Spartenversicherungen einzeln abzuschließen. Daten und Systeme sind vielmehr per se anfällig, und immer neuen Risiken ausgesetzt, sie müssen deshalb umfassend gegen unerlaubten Zugriff, Schäden und Ausfälle versichert werden.

Schließlich kann es dem geschädigten Unternehmen letztlich egal sein, ob ein Hacker, ein unzufriedener Mitarbeiter oder technisches Versagen die unersetzliche Datenbank zerstört hat. Und auch die Forderungen der Vertragspartner, die Kosten für das Neuaufsetzen der Datenbank, die juristischen Folgen und die durch die Panne entstehenden Marktverluste summieren sich letztlich zu einem Gesamtschaden, der die Bilanz verhagelt.

Deshalb sollte Cyber-Versicherungsschutz dem Risiko entsprechend umfassend konzipiert sein.

(Nicht vorhandene Risiken sollten dagegen tatsächlich nicht versichert sein – denn das kostet ja Geld.)

Und wie gesagt: Gerne beantworten wir Ihre Fragen zum Thema auch persönlich.

Mehr

Das geplante Kassengesetz: Haftung trotz Zertifikat?

Wer mit Kassen-EDV bzw. Registrierkassen zu tun hat, muss sich auf neue Herausforderungen einstellen. Und auch sonst kann man hier etwas lernen, und zwar: Wenn eine Software oder ein System für einen haftungskritischen Bereich gedacht ist, verringert selbst ein Zertifikat das eigene Haftungsrisiko nicht unbedingt.

Doch der Reihe nach …

Kassensysteme bald nur noch mit BSI-Zertifikat?

Das Bundesfinanzministerium möchte durch neue gesetzliche Vorschriften verhindern, dass in Bargeld-Branchen wie der Gastronomie manipulierte Kassensysteme den Staat um Steuereinnahmen bringen. Es will deshalb verschiedene Dinge ändern:

  • Steuerprüfer sollen jederzeit eine „Kassen-Nachschau” durchführen können, und der Einsatz fehlerhafter Kassensysteme oder fehlende Kassendaten können bis zu 25.000 Euro Bußgeld kosten.
  • Außerdem sollen Kassensysteme manipulationssicher sein und alle relevanten Kassen- und Transaktionsdaten für Berechtigte – wie den Prüfer vom Finanzamt – digital abfragbar machen. Eine „technische Sicherheitseinrichtung” wird Pflicht, bestehend aus einem Sicherheitsmodul, einem Speicher für Kassendaten und einer digitalen Schnittstelle. Und das Ganze muss ein BSI-Zertifikat besitzen.

So steht es im Entwurf zum geplanten „Kassengesetz“. Leider bringt das den Betreibern und Einrichtern von Kassensystemen wohl kaum mehr Rechtssicherheit. Im Gegenteil, es erscheint schwer umsetzbar.

Zertifikat gleich ordnungsgemäß? Von wegen.

Diese Kritik an dem Projekt formuliert ein interessanter Kommentar zu dem Gesetzentwurf von Gerhard Schmidt, Diplom-Informatiker und Chefredakteur beim Forum Elektronische Steuerprüfung.

Schmidt wundert sich über die geplante Einführung vorgeschriebener Positiv-Zertifikate. Ein kurzer Seitenblick auf Buchhaltungssoftware zeigt, warum. Bislang hat die Finanzverwaltung es nämlich rundheraus abgelehnt, für Buchführungssoftware eine belastbare Positiv-Zertifizierung auszustellen, etwa in Form einer so genannten verbindlichen Auskunft. Eine solche Zertifizierung würde dem Betreiber des Programms bescheinigen, dass sein System ordnungsgemäß arbeitet, und ihn damit im Effekt von der Haftung freistellen, wenn es dann doch zu Beanstandungen kommt. Diesen Schutz will das Finanzamt aber nicht gewähren.

Statt solcher Positiv-Zertifikate der Finanzverwaltung gibt es bisher nur „Negativ-Negativ-Zertifikate” der Hersteller von Buchhaltungssoftware: So nennt Schmidt Bescheinigungen der Software-Anbieter, dass mit ihrem Programm etwa GoBD-konform gearbeitet werden kann – was aber nicht ausschließt, dass auch missbräuchliche Anwendungsweisen möglich sind. Es liegt auf der Hand, dass solche Dokumente im Zweifelsfall das Unternehmen kaum vor Ordnungswidrigkeitsverfahren und die Verantwortlichen nicht vor der persönlichen Haftung schützen (Motto: „Sie haben nicht für eine ordnungsgemäße Buchführung in Ihrem Unternehmen gesorgt, Sie haften!”).

Zurück zu den Kassensystemen: Ein BSI-Zertifikat macht bei ihnen nur Sinn, wenn es sich um ein Positiv-Zertifikat handelt, demzufolge das zertifizierte System gar nicht missbräuchlich benutzt werden kann. Diese Prüfung wäre aber praktisch kaum machbar, zumal dann nicht nur ein bestimmtes Produkt, sondern auch jede einzelne Installation überprüft oder geeicht werden müsste. Und ob das BSI für von ihm begutachtete Systeme die volle Haftung übernehmen würde? Daran meldet Schmidt Zweifel an – mit Recht.

Die Haftung wird da bleiben, wo sie jetzt schon ist … bei Ihnen

Im Endeffekt wird bei digitalen Kassensystemen zumindest aus Sicht der Haftungsfrage wohl alles so bleiben, wie es ist: Dafür, dass die Kassen ordnungsgemäß betrieben werden, haftet das Unternehmen und im Durchgriff auch dessen Organe, sprich Geschäftsführer oder Vorstände. Dafür, dass die Kassen ordnungsgemäß funktionieren und nicht beispielsweise von außen manipuliert werden, haftet aber natürlich auch derjenige, der die Systeme herstellt, plant, liefert und /oder einrichtet – und im Zweifel auch dessen Führungspersonal.

Deshalb bleibt Absicherung der Haftung weiterhin zentral. Vor Schadenersatzforderungen und Haftung schützen Elektronik- und Maschinenversicherungen, Cyber-Policen, D&O-Versicherungen (Managerhaftpflicht) sowie persönliche und betriebliche Rechtsschutzversicherungen.

Welche dieser Elemente in welcher Form für Ihren Fall relevant sind und auf welche Sie verzichten können, erfahren Sie vom Versicherungsmakler Ihres Vertrauens. Zum Beispiel von uns – rufen Sie uns an unter 30 863 926 990.

Kassengesetz: Kassen mit Zertifikat (Quelle: BMF)

So stellt sich das BMF die Regelung zu neuen Kassensystemen mit Zertifikat vor. (Quelle: Bundesministerium für Finanzen)

Mehr