Reputationsverlust: Eine Cyber-Police versichert auch den guten Ruf Ihres Unternehmens

Vor wenigen Tagen habe ich über einen Bitkom-Leitfaden zu den Kosten von Cyber-Schäden berichtet. Er belegt erneut, dass die wahren Kostentreiber nach einer Cyber-Attacke oder einer IT-Havarie oft andere sind, als man denkt. Besonders teuer ist zum Beispiel der Reputationsverlust, die Folgen für den guten Ruf Ihres Unternehmens.

Reputationsverlust durch Cyber-Kriminalität: Ihr guter Ruf ist gefährdet

  • Je makelloser Ihr Ruf ist, desto größer das Risiko. Die Reputation Ihres Unternehmens ist vor allem dann leicht zu beschädigen, wenn Sie sich ein ausgezeichnetes Standing aufgebaut haben. Das haben sowohl die Deutsche Bank wie auch VW erfahren müssen.
  • Sie müssen nicht mal Fehler machen. Pech reicht schon. So wie im Fall des kleineren Unternehmens, das nur scheinbar der Absender von 300 Mio. Viren-Mails war.
  • Im Schadensfall müssen Sie rasch und sehr professionell reagieren. Wenn Kundendaten entwendet wurden oder Produkte Fehler aufweisen und Ihr Unternehmen in der Öffentlichkeit zur Zielscheibe wird, helfen komplexe Argumente und hilflose Erklärungsversuche wenig. Weder Social-Media-Nutzer noch verärgerte Kunden setzen sich differenziert mit Ursachen und Schuldfragen auseinander. Nicht zu reagieren ist aber ebenfalls tödlich.
  • Die Fehler sind schnell gemacht, die Folgen lange spürbar. Eine Marke ist schnell beschädigt. Die Menschen merken sich eher den einen Skandal als die lange Zeit davor, in der Ihr Unternehmen ein Synonym für Qualität und Innovation war. Wenn Lieferverzögerungen, Datenschutzverletzungen oder Mängel eine Geschäftsbeziehung beeinträchtigt haben, dauert es lange, die eigene Reputation wieder aufzubauen. Und es kostet Geld: für Öffentlichkeitsarbeit, Marketing und Vertrieb, vielleicht auch für Entschädigungen.

Wie eine Versicherung Sie im Schadensfall schützt

Eine maßgeschneiderte Versicherung kommt nicht nur für Schäden auf – sie hilft auch schon, wenn die Krise sich entfaltet.

Schneller Zugriff auf Krisen-Spezialisten: PR-Fachleute, IT-Experten, Rechtsanwälte

Viele Cyber-Versicherungen ersetzen Ihnen die Kosten für die „schnellen Eingreiftruppen“, die Ihr Unternehmen bei einer schweren Cyber-Attacke oder Datenpanne braucht. Viele Versicherungsgesellschaften haben auch selbst solche Fachleute unter Vertrag – Sie müssen also nicht erst recherchieren.

Drittschäden sind versichert.

Wenn ein Cyber-Vorfall in Ihrem Unternehmen zu Schäden bei Geschäftspartnern führt, können Sie auf Ihre Police verweisen und stellen so sicher, dass für die Schäden gehaftet wird. Das entlastet nicht nur Ihr Unternehmen von der Haftpflicht, es kann auch Geschäftsbeziehungen retten.

Umsatzeinbußen sind versicherbar.

Der Umsatz geht in Folge von Cyberangriffen oder Datenschutzverletzungen zurück? Dieser Ausfall kann durch eine Cyber-Versicherung gedeckt werden.

Rechtsschutzversicherungen geben Ihnen Handlungsfreiheit.

Nach einer Attacke sehen Sie sich vermutlich mit einer Vielzahl von Ansprüchen konfrontiert – berechtigten wie unberechtigten. Eine Rechtsschutzversicherung sorgt dafür, dass das Unternehmen die Rechtskosten schultern kann, ohne dass die Bilanz unter der Last der Rückstellungen in die Knie geht.

D&O-Versicherungen schützen das Management vor persönlicher Haftung.

Wenn die Geschäftsführung eine Cyber-Police abgeschlossen hat, hat sie vorgesorgt und kann zumindest in diesem Punkt nicht aufgrund von Verletzung der Sorgfaltspflichten in Anspruch genommen werden. Wenn Geschäftsführern oder Vorständen dennoch ein Strick aus angeblichen Compliance-Versäumnissen gedreht wird, rettet eine Manager-Haftpflichtversicherung (D&O-Versicherung) im Zweifel die persönliche Existenz.

Haben Sie Fragen zu Ihrer Absicherung?

Falls Sie wissen möchten, welche Versicherungsbausteine für Ihr Unternehmen sinnvoll sind und auf welche Sie verzichten können, und inwieweit die bereits bestehenden Versicherungen Sie vor Reputationsverlust schützen: Ich beantworte Ihre Fragen gern und unverbindlich. Rufen Sie mich an (030 863 926 990) oder schreiben Sie mir eine kurze Nachricht.

Mehr

Schäden und Kosten bei einem Cyber-Angriff

Welche Kosten entstehen bei einem Cyberangriff? Welche Art Schäden wird verursacht? Diesen Fragen geht der Bitkom-Leitfaden „Kosten eines Cyber-Schadensfalles“ nach.

Es lohnt sich sehr, die rund 40 Seiten des Papiers durchzulesen. Es zeigt nicht nur prägnant, wie bedrohlich die Folgekosten eine Cyber-Attacke ausfallen können, man lernt auch, wie sich die verschiedenen Schadensaspekte aufschlüsseln lassen: eine anschauliche Lektion in praktischem Risikomanagement.

Dabei ist das Ganze aufgrund zahlreicher Beispiele zudem gut lesbar. Außerdem gibt es einen Fragenkatalog zur Selbstdiagnose der eigenen Risikosituation.

Konkrete Beispiele für Schäden – in Euro

Besonders frappierend sind die Summen aus den diversen Beispielen für — keineswegs außergewöhnlichen — Cyberzwischenfälle. Ich habe mal ein paar dieser Zahlen notiert:

  • Verschlüsselungstrojaner beim einem deutschen Mittelständler: 150.000 Euro Schaden
  • Kreditkarten-Trojaner im Kassensystem eines gehobenen Restaurants: 115.000 Euro Schaden
  • Denial-of-Service-Attacke auf einen Online-Shop mit 23stündiger Downtime: 185.000 Euro Schaden
  • Datenklau im Vertreib eines Mittelständler: 2.423.000 Euro Schaden
  • Eingeschleuste Fremdsoftware in Verbindung mit CEO-Betrug bei einem Pumpenhersteller: 6.625.000 Euro Schaden

Eigenschäden und Fremdschäden

Die Folgeschäden nach einem Cyber-Angriff zerfallen in zwei verschiedene Arten: Eigenschäden und Fremdschäden. Beide Arten von Schäden tun weh – die einen direkt, die anderen auf dem Umweg über Rechtsanwälte und Schadenersatzklagen sowie durch Reputationsverlust.

Typische Eigenschäden

  • Betriebsunterbrechung oder Betriebsbeeinträchtigungen: Die Produktion steht still, oder die Dienstleistungen können nicht mehr erbracht werden, weil wichtige IT-Ressourcen fehlen. Fehlersuche, Wiederherstellung von Daten und das Wiederanfahren von Systemen kosten viel Geld. Verzögerungen und Qualitätseinbußen führen zu weiteren Kosten.
  • Krisenbewältigungskosten: Wenn nach einem desaströsen IT-Angriff Krisenstäbe tagen und Überstunden ansammeln, externe IT-Spezialisten eilig herbeigeholt werden.
  • Wiederherstellungskosten: Um die IT wieder in arbeitsfähigen Zustand zu versetzen, benötigt man IT-Spezialisten, Arbeitszeit, neue Hardware …
  • Ermittlungskosten: Bevor man einen Schaden reparieren kann, muss man ihn erstmal genau verorten. Außerdem muss die Schwachstelle, die den Angriff ermöglicht hat, dringend geschlossen werden. Drittens muss sichergestellt sein, dass nicht noch weitere Probleme unentdeckt geblieben sind – etwa beim Angriff installierte Schadroutinen. Diese sogenannte IT-Forensik erfordert Zeit und Spezialisten mit beneidenswerten Tagessätzen. Außerdem sind die betroffenen IT-Systeme während der Untersuchungen oft weiterhin nicht verfügbar: noch mehr Ausfallzeit.
  • Rechtsberatungskosten: Anwälte verdienen natürlich auch an Cyberangriffen, denn es gibt einige juristische Fragen zu klären: Haftungsfragen, arbeitsrechtliche und Datenschutzprobleme, Compliance- und Vertragsfragen, Prüfung von Informationspflichten, …
  • Informationskosten: dieser Kostenpunkt wird regelmäßig unterschätzt. Dabei ergeben sich bei einem Cyber-Angriff schnell eine ganze Reihe juristischer Informationspflichten: Das Datenschutzrecht verpflichtet zur Information Betroffener bei Datenklau, das Kapitalmarktrecht kann zu einer Ad-hoc-Mitteilung führen, das IT-Sicherheitsgesetz schreibt Meldungen an das BSI vor, Kreditinstitute müssen die BaFin informieren, etc. All das bindet Arbeitszeit und erfordert Aufwand, vor allem wenn – wie bei massenhaftem Kundendatenklau – viele Geschädigte angesprochen werden müssen.
  • Lösegeldzahlungen: Unternehmen werden schon lange von Cyber-Kriminellen erpresst.
  • Reputationsschäden sind eine weiteres bedrohliches Risiko – sie reichen von erhöhtem Werbe- und PR-Aufwand über sinkenden Umsatz bis zu steigenden Versicherungsprämien.
  • Vertragsstrafen: weil Liefer- oder Dienstverträge nicht eingehalten werden

Fremdschäden

Die Schäden, die der Angriff auf das eigene Unternehmen für Dritte nach sich zieht, sind oft besonders bedrohlich. Das führt der Leitfaden sehr anschaulich aus.

Zum einen kommen solche Schäden ja zu einem zurück – in Form von Ansprüchen aufgrund von Haftpflicht. Wenn die Daten der Kunden aus der zentralen Kundendatenbank gestohlen und später missbraucht werden, kann das gehackte Unternehmen mit einer Klagewelle rechnen.

Zum anderen sind Fremdschäden, anders als Eigenschäden, nur sehr schwer abschätzbar. Man weiß ja nicht, wieviel Geld mit den Kundendaten auf fremde Kosten ergaunert werden kann. Ähnlich ist es mit Trojanern oder Viren, die aus dem eigenen Unternehmen ins Netz von Geschäftspartnern eingeschleust werden und dort den Geschäftsbetrieb lahmlegen.

Gegenmaßnahmen und Präventionskosten

Das Bitkom-Papier zählt eine ganze Reihe von Präventions- und Gegenmaßnahmen auf:
  • ein Notfallkonzept entwickeln (mit Notfall- und Wiederanlaufplanung)
  • Krisenstab organisieren, Krisenübungen durchführen
  • eine Business-Impact-Analyse (BIA) durchführen, um kritische IT-Systeme, deren Abhängigkeiten untereinander und deren maximal tolerierbaren Ausfallzeiten genau zu kennen.
  • sichere IT-Infrastruktur aufbauen
  • Ausweich-Infrastrukturen vorhalten (etwa Verträge mit Ersatzrechenzentren)

Das alles kostet auch Geld. Dem müssen aber die Summen entgegengestellt werden, die ansonsten als Notfallreaktion fällig werden.

Bitkom-Leitfaden zu Schäden von Cyber-Angriffen

Zu den sinnvollsten Vorsorgemaßnahmen gehören Cyber-Versicherungen, so auch der neue Bitkom-Leitfaden (Screenshot, Quelle: Bitkom-Leitfaden).

Auch der Bitkom sagt: Versichern!

Als Quintessenz aus all diesen Informationen empfiehlt auch der Bitkom: Versichern. Ich beschränke mich auf Zitate:

„Vor dem Hintergrund der in diesem Leitfaden skizzierten Herausforderungen, und im Sinne eines Risikomanagements, kann es für ein Unternehmen eine sinnvolle Entscheidung sein, bestehende Restrisiken abzusichern. Angebote mit entsprechender Versicherungspolice sind am Markt zwischenzeitlich verfügbar und runden das Konzept eines ganzheitlichen Sicherheitsmanagements ab.
Obwohl fast drei Viertel aller deutschen Unternehmen Angriffe auf ihre Computer und Datennetze durch Cyberkriminelle oder ausländische Geheimdienste als reale Gefahr sehen, haben sich bisher nur wenige Firmen gegen Cyber-Risiken versichert. Gut die Hälfte aller Unternehmen in Deutschland ist in den vergangenen zwei Jahren Opfer von digitaler Wirtschaftsspionage, Sabotage oder Datendiebstahl geworden (aktuellste Bitkom Studie). Die Unkenntnis über die vorhandenen Versicherungskonzepte oder die Sorge vor vermeintlich hohen Prämien können ein Gründe dafür sein.

Es gibt bereits mehr als ein Dutzend deutsche Versicherungsgesellschaften, die Absicherungslösungen gegen Schäden durch Cyberangriffe anbieten. Selbst der physische Datenverlust durch einfaches Liegenlassen oder durch den Klau einer Festplatte mit Firmendaten gilt dabei ebenso versichert wie das gehackte Firmenkonto oder die Betriebsunterbrechung durch Virenbefall. Zusätzlich bieten viele Versicherer Präventionsmaßnahmen und Krisenübungen an, damit ihre Kunden im Fall der Fälle vorbereitet sind.

Aber selbst wenn sich ein Unternehmen nicht gegen die aufgezeigten finanziellen Schäden absichern möchte, kann die vor Versicherungsvertragsschluss durchgeführte Prüfung einer Versicherungsgesellschaft über die Versicherbarkeit der Risiken durchaus Aufschluss über die Gefährdungslage bieten.
Cyber-Risk-Versicherungen bieten Schutz vor Risiken wie Hacking, Virenattacken, operative Fehler, Datenrechtsverletzungen sowie das Risiko, Dritte durch die Nutzung elektronischer Medien zu schädigen.“

Das Schadenspotenzial einer Cyber-Attacke ist enorm. Aber das gilt auch für die Schutzfunktion einer Cyber-Versicherung.

Haben Sie Fragen dazu? Rufen Sie mich an: 030 863 926 990

Mehr

Cyber-Versicherung: Ausschluss als Falle

Stolperstein Versicherungsausschluss

Vieles an der Cyber-Versicherung ist neu. Der Querschnittscharakter etwa: Haftpflicht, Eigenschäden, Vertrauensschäden und Rechtsschutz in einer einzigen Police.

Manches ist dagegen so wie immer schon: Etwa die Tatsache, dass der Ausschluss eines bestimmten Versicherungsfalls zur Versicherungsfalle werden kann.

Zwei typische Beispiele:

  • Es gibt zum Beispiel Cyberpolicen, in denen nur zielgerichtete Angriffe versichert sind. Ein sich unkontrolliert verbreitender Computervirus legt Ihr Unternehmen lahm? Pech gehabt.
  • Oder der Ausschluss bezieht sich darauf, dass einer Ihrer Mitarbeiter vorsätzlich handelt. Ein jähzorniger Angestellter quittiert die Kündigung dadurch, dass er Ihre Auftragsdatenbank sabotiert oder alle Projektdaten löscht? Pech gehabt.

Wobei: Pech ist das falsche Wort. So etwas ist ja kein Schicksal, sondern falsche Beratung. Es gibt auch Versicherungsangebote ohne diese Ausschlüsse. Man muss sie allerdings kennen.

Mit anderen Worten: Sie sollten sich an einen Fachmakler für Cyber-Versicherungen wenden. Zum Beispiel an uns, die acant service GmbH. Sie erreichen uns unter 30 863 926 990.

Was deckt eine Cyberversicherungen eigentlich ab?

Für die klassischen betrieblichen Versicherungen wird der Versicherungsschutz nach Sparten definiert: Gegen Feuer eine Sachversicherung, gegen Ansprüche Dritter eine Haftpflicht-Police, gegen Schäden in der EDV eine technische Versicherung  usw.

Bei der Cyberversicherung wirkt zählt dagegen der Gedanke, dass  es nicht darum geht, einzelne mögliche Ursachen für Schäden an Daten, Netzwerken, Hardware, Steuerungen etc. als einzelne Schadensszenarien zu versichern und eine Vielzahl von Spartenversicherungen einzeln abzuschließen. Daten und Systeme sind vielmehr per se anfällig, und immer neuen Risiken ausgesetzt, sie müssen deshalb umfassend gegen unerlaubten Zugriff, Schäden und Ausfälle versichert werden.

Schließlich kann es dem geschädigten Unternehmen letztlich egal sein, ob ein Hacker, ein unzufriedener Mitarbeiter oder technisches Versagen die unersetzliche Datenbank zerstört hat. Und auch die Forderungen der Vertragspartner, die Kosten für das Neuaufsetzen der Datenbank, die juristischen Folgen und die durch die Panne entstehenden Marktverluste summieren sich letztlich zu einem Gesamtschaden, der die Bilanz verhagelt.

Deshalb sollte Cyber-Versicherungsschutz dem Risiko entsprechend umfassend konzipiert sein.

(Nicht vorhandene Risiken sollten dagegen tatsächlich nicht versichert sein – denn das kostet ja Geld.)

Und wie gesagt: Gerne beantworten wir Ihre Fragen zum Thema auch persönlich.

Mehr

IT-Sicherheitsgesetz: Die neue Kritis-Verordnung

Erst das IT-Sicherheitsgesetz, jetzt erste Kritis-Details

Als im letzten Juli das IT-Sicherheitsgesetz in Kraft trat, blieben entscheidende Fragen offen. Das Gesetz gibt nur einen Rahmen an zusätzlichen IT-Sicherheitspflichten für Betreiber Kritischer Infrastrukturen (Kritis) vor. Diese sind unter anderem dazu verpflichtet, Cyber-Angriffe zu melden und ein IT-Sicherheitsmanagementsystem einzuführen. Unklar war bislang jedoch nicht nur, wie die Mindestsicherheitsstandards im Einzelnen aussehen sollten, sondern auch, wer eigentlich als Kritis-Anlagenbetreiber gilt.

Dazu werden nach und nach in Form von Verordnungen erlassen. Die erste davon ist jetzt da, die „Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz“ (BSI-KritisV). Sie regelt zunächst für die Sektoren Energie, Informationstechnik und Telekommunikation, Wasser sowie Ernährung, welche Dienstleistungen, Anlagen und Versorgungsgrade als kritisch eingestuft werden. Die noch fehlenden Sektoren aus dem Gesetz – Sektoren Transport und Verkehr,
Gesundheit und Finanz- und Versicherungswesen – werden dann in einer zweiten Verordnung geregelt werden.

730 Anlagen betroffen

Dem Bundesinnenministerium zufolge sind deutschlandweit 730 Anlagen aus den genannten vier Sektoren betroffen. Deren Betreiber müssen nun aktiv werden: Wenn die Verordnung in Kürze im Bundesgesetzblatt verkündet wird, beginnen wichtige Fristen zu laufen: Zwei Jahre später müssen die vom Gesetz geforderten Informationssicherheitsmanagementsysteme (ISMS) zum Schutz der jeweiligen kritischen Infrastruktur installiert sein. Und schon innerhalb von sechs Monaten muss eine Kontaktstelle zum BSI eingerichtet sein.

Allerdings sind nur Anbieter ab einer gewissen Bedeutung direkt im Visier der Verordnung. Eine dezentrale Energieerzeugungsanlage etwa gilt erst dann als Kritis-Infrastruktur, wenn sie 420 MW Nennleistung erzeugt. Ein Wasserwerk muss ein Aufkommen von 22 Mio. Kubikmeter pro Jahr haben, um betroffen zu sein, ein Lebensmittelhändler fast eine halbe Million Tonnen Ware verkaufen. Salopper ausgedrückt: die Fotovoltaik-Anlage auf dem Dach des Gewerbebaus, der Trinkwasserbrunnen im Garten oder die Currywurst-Bude um die Ecke sind nicht betroffen. Einige mittelständische und auch kommunale Versorgungsbetriebe allerdings durchaus.

und ihre Zulieferer, Dienstleister und Auftragnehmer

Überhaupt ändert sich nicht nur für die direkt betroffenen Anbieter und Betreiber etwas, die nun ein ISMS auf Basis von ISO/IEC 27001 installieren müssen. Denn damit werden ja auch die Qualifikationsanforderungen an Dienstleister, Zulieferer und Geschäftspartner verschärft. In der Liefer- beziehungsweise Vertragskette eines Kritis-Unternehmens werden die ISMS-Anforderunge alle Beteiligten direkt oder indirekt betreffen.

Vorteil: Mit der Zertifizierung sind die Hausaufgaben auch fürs Versichern gemacht

Ein Vorteil der Zertifzierung der eigenen IT-Sicherheit besteht darin, dass damit

  1. der Nachweis eines profesionellen Sicherheitsniveaus im Betrieb vorliegt und
  2. eine genaue Analyse der relevanten (Rest-)Risiken deutlich einfacher wird.

Oder mit anderen Worten: Wer eine Zertifizierung durchführt, hat damit beste Voraussetzung, um sich schnell und zu günstigen Prämien versichern, und zwar sowohl das Cyberrisiko wie auch das Haftpflichtrisiko des Unternehmens wie des Managements. Mit einer Zertifizierung hat man die Grundvoraussetzungen für Versicherungsschutz erfüllt.

Mit der ihrer Richtlinie VdS RL 3473 zur Cyber-Security für kleine und mittlere Unternehmen bieten die Versicherer allerdings ein Zertifizierungslevel an, das sich an der ISO 27001 orientiert, aber nicht die Umsetzung sämtlicher Teilaspekte verlangt. Diese kleine Lösung ist ein sinnvolles Instrument für alle „Nicht“-KRITIS Unternehmen, die einerseits ihren Verpflichtungen als Geschäftspartner nachkommen und zugleich die Voraussetzungen für eine Cyber-Versicherung schaffen wollen, ohne dabei einen für KMU unangemessenen Aufwand in Kauf zu nehmen.

Mehr

Kommunale IT-Dienstleister, Cyber-Risiken und Haftungsrisiko

Technik ist immer nur ein Teil der Absicherung

Das Bewusstsein für Cyber-Gefahren wächst, auch und gerade in Verwaltungen und öffentlichen Einrichtungen. Neue Gesetze, Maßnahmen und Initiativen sollen Sicherheit schaffen. Das ist natürlich grundsätzlich positiv. Allerdings werden die IT-Dienstleister, die für Kommunen und ihre Verwaltungseinrichtungen und Versorgungsbetriebe tätig werden, dadurch vor neue Anforderungen gestellt. Parallel dazu steigt durch die juristische Entwicklung ihr Risiko, mit Haftungsansprüchen konfrontiert zu werden.

Deshalb sollten auch kommunale IT-Dienstleister ihr Interesse nicht nur auf Technologien und Strategien für Intrusion Detection, Disaster Recovery, Data Loss Prevention und ähnliches mehr legen. Technische und organisatorische Standards sind natürlich ein zentraler Teil der IT-Sicherheit. Eine wichtige Rolle können aber auch Versicherungen spielen, die vor den finanziellen Schäden und Haftungsansprüche nach einem Cyber-Angriff oder einer IT-Panne schützen, sowohl im eigenen Haus als auch beim Kunden.

Risikomanagement durch Versichern kommt in der IT-Sicherheitsdebatte oft sehr kurz. Dabei kann ein zusätzlicher Schutzring aus einer geeigneten Cyber-Police sowie aus Haftpflichtversicherungen für den IT-Betrieb und seine Geschäftsführung existenziell wichtig werden. Und zwar schon deshalb, weil eine Versicherung weder durch neue Angriffstechniken noch durch dumme Zufälle ausgehebelt werden kann – ein großer Unterschied zu jeder Technologie.

Das Risiko ist nicht mehr zu ignorieren

Auch bei Kommunal- und Stadtverwaltungen, städtischen Versorgern und anderen Verwaltungseinrichtungen entwickelt sich spätestens jetzt ein Bewusstsein dafür, wie gefährlich Cyber-Angriffe und IT-Havarien sind. Schließlich reagieren Bürger auf leichtsinnigen Umgang mit ihren Daten eben so allergisch wie auf den Ausfall öffentlicher Dienste.

Die Presse dagegen freut sich über solche Fälle: Dass die Berliner Bürgerämter durch eine neue Meldewesen-Software im Februar zunächst nicht entlastet, sondern erst recht lahmgelegt wurden, war wochenlang Medienthema: Selbst die ordnungsgemäße Durchführung der Wahlen sei bedroht, war zu lesen. Für die Politiker der Hauptstadt, das Berliner kommunale IT-Dienstleistungszentrum ITDZ oder den namentlich erwähnten Software-Hersteller keine angenehme Lektüre.

Ein anderes Beispiel liefert der Erpressungstrojaner Locky, der in Nordrhein-Westfalen auch in sechs Kliniken Dokumente und Verzeichnisse verschlüsselte und so den Klinikablauf massiv störte. Das war dann nicht nur Thema in den Abendnachrichten im Fernsehen, es rief auch das Landeskriminalamt auf den Plan, das in einer Pressemitteilung zu mehr Sicherheitsbewusstsein aufrief.

Dabei ist das Problem ja längst bekannt, und es tut sich auch etwas. Schon 2014 hat der Deutsche Städtetag einen Leitfaden zur Ausgestaltung der Informationssicherheitsleitlinie in Kommunalverwaltungen veröffentlicht, den die Arbeitsgemeinschaft kommunaler IT-Dienstleister (Vitako) erarbeitet hat. Die IT-Sicherheitsbeauftragten von Ländern und Kommunen arbeiten seit geraumer Zeit in einem eigenen Arbeitsforum bundesweit zusammen. Und in Hessen wurde vor kurzem ein Kommunales Dienstleistungszentrum Cybersicherheit initiiert, das die Kommunen beraten soll.

Dazu kommt das IT-Sicherheitsgesetz

Und natürlich ist da auch das neue IT-Sicherheitsgesetz. Die Kommunalverwaltungen selbst fallen zwar nicht unter die darin erfassten Betreiber kritischer Infrastrukturen, sie sind jedoch ausdrückliche Adressaten des KRITIS-Projekts. Und von den kommunalen Versorgungsbetrieben werden viele zum Kreis der KRITIS- Unternehmen zählen, die auf ein Informations-Sicherheits-Management-System (ISMS) nach Maßgabe von ISO 27001 verpflichtet werden.

Die genaue Abgrenzung der KRITIS-Unternehmen ist noch nicht vollständig,  die gerade beschlossene erste Kritis-Verordnung betrifft zunächst nur die Teilbereiche Energie, IT /TK, sowie Wasser und Ernährung. Nicht für die Betreiber entsprechender Anlagen liegt die Latte damit höher, auch für ihre Dienstleister und Auftragnehmer im IT-Sektor.

Für die IT-Dienstleister wächst das Haftungsrisiko – in mehrfacher Hinsicht

Von der Verwaltung beauftragte IT-Dienstleister der öffentlichen Hand stehen damit vor neuen Herausforderungen und neuen Haftungsrisiken. Das Gleiche gilt für öffentlich-rechtliche Kommunal- und Eigenbetriebe im IT-Bereich.

  • Zum einen steigt mit jedem neuen Cyber-Angriff die Gefahr, in Haftung genommen zu werden, und das um so mehr, je unverzichtbar die IT-Systeme sind, die der Anbieter liefert, installiert oder betreut. Wenn ein Hacker zuschlägt oder es zu einer Datenpanne kommt, kann daran auch ein bislang vertrauensvolles Verhältnis zum öffentlichen Kunden zerbrechen – um so mehr, wenn zum wirtschaftlichen  noch politischer Druck kommt.
    Aus einem echten oder vermeintlichen Programmierfehler oder einer mangelhaft implementierten Sicherheitsfunktion werden dann schnell Schadenersatzforderungen, die die Anwälte beschäftigt halten und dem Dienstleister große Kosten und viel Ärger einbringen können.
  • Neue verpflichtende Zertifizierungen und IT-Sicherheitslevel erhöhen das Haftungsrisiko für die Dienstleister auch schon per se. Wenn Kommunen und ihre Versorgungsbetriebe IT-Sicherheitsleitlinien erlassen, ISO 27001-Zertifizierungen oder IT-Grundschutzlevel fordern, ergeben sich für die Dienstleister, Systemhäuser sowie Software- und Hardware-Zulieferer ja nicht nur inhaltlich neue Anforderungen. Für sie entsteht auch ein zusätzliches Risiko, Pflichtverletzungen zu begehen, denn sie werden ja gesetzlich oder vertraglich auf das entsprechende Sicherheitsniveau verpflichtet.
  • Und dabei geht es nicht nur um die Haftung des Unternehmens oder Betriebs, sondern auch um eine persönliche Haftung der Verantwortlichen. Wenn ein Unternehmen von Gesetzes wegen, durch verbindliche Leitlinien für Informationssicherheit oder durch Verträge auf besondere Standards in der IT-Sicherheit festgelegt ist und diese nicht einhält, dann muss sich sehr schnell auch die Geschäftsführung verantworten.
    Eine solche Inanspruchnahme kann Existenzen vernichten: 2013 verurteilte das Landgericht München einen ehemaligen Siemens-Manager dazu, seinem früheren Arbeitgeber 15 Mio Euro Schadensersatz zu zahlen, weil er nicht für Compliance in den Geschäftsabläufen gesorgt hatte.

Gegenmittel: Unternehmen und Geschäftsführung gezielt versichern

  • Persönliche Haftung:Um die mögliche persönliche Haftung abzudecken, die schnell in existenzgefährdende Bereiche gehen kann, sollte der Vorstand oder die Geschäftsführung durch eine sogenannte D&O- Police (Managerhaftpflichtversicherung) und gegebenenfalls eine Managerrechtsschutzversicherung geschützt sein.
  • Unternehmensrisiken:Aber natürlich benötigt auch der Betrieb selbst Versicherungsschutz für den Fall einer Cyber-Attacke oder IT-Havarie – schließlich ist diese immer mit Kosten verbunden. Da diese Kosten nicht planbar und auch nicht aus Rückstellungen finanzierbar sind, bleibt nur, sie im Schadensfalls aus dem Budget, d. h. aus dem Cash Flow heraus zu bezahlen – oder aber man fängt das Risiko durch planbare Versicherungsbeiträge für eine Cyber-Versicherung auf, die zudem die Steuerlast senken. Aus betriebswirtschaftlicher Sicht und im Hinblick auf den Bilanzschutz ist das natürlich vorteilhafter.Dabei ist das Schadenspotenzial beträchtlich: Es umfasst Eigenschäden wie die Forensik zur Aufklärung des Vorfalls, die Kosten für die Wiederherstellung von Daten und Systemen, Maßnahmen zur Wiederherstellung der beschädigten Reputation und Anwaltskosten. Dazu kommen Schadenersatzforderungen und Haftungsansprüche, wenn Daten Dritter kompromittiert oder vertragliche Verpflichtungen nicht eingehalten werden.

Wenn die Versicherung nicht zur individuellen Situation passt, bietet sie keinen Schutz

Natürlich haben Betriebe im Regelfall bereits typische betriebliche Versicherungen abgeschlossen. Bestehende Sachversicherungen wie Feuer-, Elektronik- oder Maschinenversicherungen sowie die vorhandenen Betriebshaftpflichtversicherungen decken Schäden aus Cyber-Risiken jedoch nur unzureichend oder gar nicht ab. Haftpflichtpolicen beispielsweise greifen nicht, wenn der Schaden ohne eigenes Verschulden eintrat. Maschinen- und Elektronikversicherungen versichern im Regelfall keine Schadensersatzansprüche Dritter. Genau deshalb ist seit einigen Jahren das Produktspektrum der Cyber-Versicherungen entstanden, dass die Folgen digitaler Angriffe im Querschnitt abdeckt – eigene Schäden, Schadensersatzforderungen Dritter und eigene Rechtskosten.
Allerdings ist der Absicherungsbedarf immer sehr individuell. Einer der Gründe dafür, dass Unternehmen wie Kommunen sich für die Cyber-Versicherung nur allmählich erwärmen, liegt sicher im Misstrauen gegenüber Standard-Lösungen begründet. Wer gut beraten wird, muss sich darum allerdings nicht sorgen – schließlich gehört es zur Verantwortung eines Fach-Versicherungsmaklers, die Bausteine einer Police genau zum Risikoprofil des Kunden passend zu kombinieren und kritische Punkte mit den Versicherern individuell nachzuverhandeln. Dabei sollte der Makler auch dafür sorgen, dass bereits durch vorhandene Versicherungen abgedeckte Teilrisiken nicht ein zweites Mal versichert werden.

Was eine gute Cyber-Versicherung leisten sollte: Deckungen und Leistungen im Überblick

So lassen sich aus einem ganzen Spektrum einzelner Bausteine Risiken gezielt abdecken. Eine gute Police umfasst etwa folgende Punkte, soweit diese für den Versicherungsnehmer relevant sind:

Kriminalitätsrisiken, etwa

  • Angriffe durch Viren, Würmer oder Hacker
  • unautorisierter Zugriff durch Mitarbeitern auf das Finanz- und Sachvermögensschäden
  • Erpressungen und Lösegeldforderungen
  • „Kapern“ von EDV-Systemen zur Durchführung krimineller Handlungen

Schädigungen Dritter, z. B.

  • Diebstahl und Manipulation von Daten Dritter
  • Diebstahl von Know-how Dritter
  • Schadenersatzansprüche Dritter wegen Urheberrechtsverletzungen

Vermögensschäden, etwa durch

  • Betriebsunterbrechung durch Hardware-Schäden oder DoS-Attacken
  • Nichtverfügbarkeit des Cloud-Service bzw. des fremden Server-Dienstleisters
  • Mehrkosten durch veränderte Betriebsabläufe
  • Wiederherstellung des Unternehmensimage
  • Ermittlungen durch Datenschutzbehörden

Folgende Kosten sollte eine Cyber-Versicherung abdecken, soweit das Risiko in Ihrem Fall relevant ist:

  • Kosten für forensische Untersuchungen
  • Benachrichtigungen aller Betroffenen bei Datenschutzverletzungen (gesetzlich vorgeschrieben)
  • Öffentlichkeitsarbeit, Maßnahmen zur Wiederherstellung der Reputation
  • Kosten bei Erpressung
  • Beauftragung einer Sicherheitsfirma
  • Erstattung von Lösegeldzahlungen
  • Vermögensschaden-Haftpflicht aufgrund von Datenrechtsverletzung (z. B. Markteinbußen des Kunden)
  • Inanspruchnahme durch einen Dritten
  • Verletzung der Persönlichkeitsrechte Dritter durch Online-Inhalte
  • Ersatz und Wiederherstellung von Daten
  • Absicherung des Ertragsausfalls

Fazit

Die stark steigende Zahl von Cyber-Angriffen übt auch auf kommunale IT-Dienstleister Druck aus. Die Anbieter müssen sich nicht nur mit dem wachsenden Bedrohungsrisiko auseinandersetzen, sondern auch mit einem zunehmend stärker reglementierten Umfeld. In dieser Situation kann Versicherungsschutz ein wichtiger Teil des Risikomanagements sein. Allerdings bringen Versicherungen nur dann ein Plus an Sicherheit, wenn sie sich wirklich an der individuellen Situation des Betriebs ausrichten.

Falls Sie Fragen haben:

Haben Sie Interesse an Cyber-Versicherungen oder konkrete Nachfragen? Wir von der acant.service GmbH sind Spezialmakler für Cyber-Policen und D&O-Versicherungen. Sprechen Sie uns einfach an – wir stehen zu Ihrer Verfügung. Telefon: 030 863 926 990

Mehr

Medical Identity Fraud: Identitätsdiebstahl im Gesundheitswesen

Identitätsdiebstahl bei Patienten

Die Süddeutsche Zeitung schreibt heute über das Phänomen des „Medical Identity Fraud“, den äußerst lukrativen Diebstahl von Patientendaten.

Auch dieser Trend kommt wieder einmal aus den USA. Dort ist die digitale Gesundheitskarte längst Realität. Patientendaten werden zentral gespeichert. Bereits bei 2,3 Millionen Menschen wurden diese Datensätze gestohlen und von Fremden missbraucht. Diese Form des Identitätsdiebstahl wächst in den USA schneller als alle anderen, etwa der Klau von Bankdaten.

Denn im Gesundheitswesen ist Identitätsdiebstahl besonders lukrativ: Mit den Daten kann man sich Schmerz- oder Schlafmittel verschreiben lassen und verkaufen. Ganze Operationen oder umfangreiche Behandlungen werden in falschem Namen abgerechnet. Auch eine Krankenversicherung lässt sich abschließen. Der Schwarzmarktwert solcher Datensätze ist entsprechend hoch.

Den Schaden hat derjenige, dessen Daten gestohlen wurden — aber auch Versicherungen, Artzpraxen und Gesundheitseinrichtungen aller Art, die Opfer betrügerischer Abrechnungen werden. Gegen diese Form des Missbrauchs wurde deshalb ein eigener Branchenverband gegründet, die Medical Identity Fraud Alliance.

Auch in Deutschland steigt das Risiko

Noch ist das Phänomen in Deutschland nicht so weit verbreitet wie in den USA. Aber auch hier ist der Missbrauch von Patientendaten ein Risiko. Noch beschränkt sich die elektronische Gesundheitskarte — salopp gesagt — auf das Patientenfoto, das die Chipkarte ziert. Dabei wird es aber nicht bleiben. Im Dezember letzten Jahres wurde das E-Health-Gesetz beschlossen, damit kommt der Datenaustausch im Gesundheitswesen allmählich ins Rollen.

In den nächsten Jahren werden nach und nach immer weitere Funktionen eingeführt. Ziel ist die digital verfügbare Patientenakte. So soll es in der Arztpraxis einen Stammdatenabgleich mit Datensätzen auf einem zentralen Server geben. Daten zu Allergien oder Vorerkrankungen sollen ebenso auf der Karte gespeichert sein wie Medikationspläne – auf die dann auch die Apotheke zugreifen kann. Auch Behandlungsdaten von Chronikern beispielsweise nach einem Klinikaufenthalt werden auf diesem Weg für Anschlussbehandlungen verfügbar gemacht, und elektronische Arztbriefe weitergereicht.

Diese Funktionen können die medizinische Behandlung sehr erleichtern. Auch das Einsparpotenzial ist groß. Aber dass damit automatisch auch das Missbrauchsrisiko steigt, liegt auf der Hand. Berichte über Sicherheitsprobleme bei der elektronischen Gesundheitskarte gibt es mehr als genug. Dieses Risiko wird auch zum Problem für Praxen, Kliniken und anderen Gesundheitseinrichtungen und -versorgern. Und schon beim Streit um EC-Karten-Missbrauch hat sich gezeigt, dass die Verwender einer Chipkarte gern für Sicherheitslücken im System haftbar gemacht werden, wenn sie diese nicht technisch detailliert nachweisen können.

Zwar haftet der Krankenversicherer für Behandlungskosten, wenn die Karte missbräuchlich verwendet wurde, ohne dass dies erkennbar war. Arztpraxen, Kliniken oder Versorgungseinrichtungen haften jedoch gegenüber den Patienten (und allen anderen Geschädigten, etwa den Versicherern), wenn sie für ein Datenleck verantwortlich sind (oder gemacht werden), das zu Identitätsdiebstahl und anderem Missbrauch führt. Wie teuer so etwas werden kann, einschließlich aller Folgekosten, lässt sich leicht ausmalen.

Versicherer sammelt Fitness-Daten

Virulent wird das Datenschutz-Problem natürlich erst recht, wenn die Player im Gesundheitswesen nicht nur die vorgeschriebenen Formen des Datenaustausch betreiben, sondern die Infrastruktur für eigene Angebote nutzen. Ein Vorstoß in dieser Richtung war die Idee von TK-Chef  Jens Baas, seinen Versicherten kostenlos Fitness-Tracker in Form von Armbändern zur Verfügung zustellen. Die würden z. B. Trainingszeiten registrieren, Schritte zählen und die Pulsfrequenz messen – und diese Daten in der elektronischen Patientenakte mitpeichern.

Solche Angebote können für Kunden sehr attraktiv sein – aber auch sie öffnen zwangsläufig neue Ansatzpunkte für Datendiebstahl. Anbieter, die diese Möglichkeiten nutzen, sollten sich absichern.

Die finanziellen Folgen von Identitätsdiebstahl lassen sich versichern

Auch für Artzpraxen, Kliniken, Gesundheitseinrichtungen und Dienstleister im Gesundheitsbereich wie etwa Dentallabore lautet die Empfehlung deshalb: Dieses Risiko lässt sich versichern! Wenn es zum medizinischen Identitätsdiebstahl kommt, kann eine Versicherung die finanziellen Folgen abfangen und so für das Überleben der Einrichtung entscheidend sein.

Wenn Sie mehr über die Versicherungsmöglichkeiten erfahren wollen, beraten wir Sie gern.

Mehr