Smart Cars im Visier der Hacker, Versicherungen für Drohnen, Vibratoren als Datenschleuder

Warum sollte man einer Versicherung gegen Cyber-Risken zumindest mal ein paar Gedanken gewidmet haben? Man muss eigentlich nur Nachrichten lesen, um die Frage zu beantworten. Das zeigen diese Fundstücke aus den letzten Tagen – alle mit einem Bezug zu Technologie, Risiko, Haftung und Versicherung. Als Versicherungsmakler sind das ja nun mal unsere Themen.

Keine Laptops und Tablets im Handgepäck

… diese Vorschrift haben die USA bekanntlich den Fluglinien für Direktflüge aus mehreren Nahost-Staaten aufgedrückt. Großbritannien hat sich angeschlossen. Ob dahinter wirklich Terrorabwehr steckt oder – wie böse Stimmen behaupten – eher Konkurrenzabwehr zu Gunsten der eigenen Airlines, das sei dahingestellt. Es zeigt jedenfalls, wie schnell ein Mitarbeiter auf Geschäftsreise plötzlich den Firmen-Laptop aus den Augen verlieren kann, auch ohne eigene Schuld. Und wenn darauf nun wirklich wichtige Daten sind? Ist die Festlatte verschlüsselt? Sind bei einem Datenverlust die Folgeschäden versichert? Für Letzteres können wir von Acant sorgen. Einfach anrufen!

Cyberrisiken zum, naja, Anfassen

„Lange Jahre galt Informationstechnologie als abstraktes Thema – auch auf der Cebit“, schrieb die Stuttgarter Zeitung zur Messe-Eröffnung und freute sich, dass es dieses Jahr endlich „Digitalisierung zum Anfassen“ gebe: Roboter, Drohnen, automatische Autos und hyperintelligente Schreibtische statt abstrakter Konzepte wie Big Data oder Artificial Intelligence.

Stimmt ja auch. Dummerweise werden mit den intelligenten Alltagsprodukten aber auch die Cyber-Risiken handfester. Das merkt man spätestens dann, wenn der (natürlich intelligente und Bluetooth-fähige) Marken-Vibrator heimlich an den Hersteller übermittelt, wann und wie lange er benutzt wird.

Klar, über diese Geschichte wurde breit berichtet. Aus Verbrauchersicht bleibt aber eine ernste Frage:

Mehr

Lesetipps und Seitenblicke: Doppelt verkaufte Nutzer, schlaue Container, weniger riskante Links

Wieder mal eine kleine Sammlung von Lektüretipps – Beiträge und Informationen, die ich spannend fand. Natürlich haben alle irgendwie mir Risiko, Versicherungen und meist auch mit IT zu tun … das liegt in der Natur der Sache.

  • Eine Geschichte, die zeigt, welchen Wert Nutzerdaten für Kriminelle haben: Ein Amerikaner namens David Kent gründet im Jahr 2000 Rigzone.com, quasi eine Mischung aus Branchen-Website und sozialem Netzwerk speziell für die Ölförderbranche. 2010 verkauft er den Dienst für – je nach Angabe – 39 bis 51 Mio. US-$. Dann macht er sich daran, mit Oilpro.com ein neue, ganz ähnliche Plattform aufzubauen, die er demselben Käufer anbietet, für 20 Mio. US-$. Der Haken an der Sache: Die Mitglieder der zweiten Plattform hat Kent sich besorgt, indem er nachträglich die Nutzerdatenbank der ersten Plattform gehackt hat. Jetzt sitzt er in Untersuchungshaft und könnte bis zu 25 Jahre Haft bekommen. Bei Quartz.com gibt es die Datenklau-Geschichte zum Nachlesen (auf Englisch).
  • Falls Sie, was hoffentlich nicht geschieht, Opfer eines Erpressungstrojaners wie Locky werden, können Sie den virtuellen Erpresserbrief oder eine der verschlüsselten Dateien bei ID Ransomware hochladen und erfahren dann, welcher Verschlüsselungsschädling in Ihrem Fall am Werk war und ob ein Gegenmittel existiert.
  • Vielleicht haben Sie ja von dem Trojaner gehört, der einen Computer im Atomkraftwerk Grundremmingen befallen hatte. Der Rechner diente zur Steuerung der Brennelementelademaschine und war 2008 installiert worden. Befremdlich ist aber nicht nur der Vorfall, sondern auch der Wortlaut der Pressemitteilung des Kernkraftwerkbetreibers: Die jetzt gefundene „so genannte Büro-Schadsoftware“ (sabotiert die Kaffeeautomaten oder sorgt für Papierstau im Drucker?) sei „der Fachwelt bereits einige Jahre bekannt“ – was die Sache ja nicht besser macht. Das Fazit: „Das Vorkommnis wurde gemäß den deutschen Meldekriterien in die Kategorie N (Normal) eingestuft.“ Na dann …
  • Im Rahmen von Industrie 4.0 sollen Fertigungsanlagen, Logistik-Einheiten, die Produkte selbst und andere Elemente der Lieferkette intelligent gemacht und miteinander vernetzt werden. Unter dem Namen Industrial Data Space entwickelt die Fraunhofer-Gesellschaft dafür den Rahmen einer dezentralen und möglichst abhörsicheren Kommunikations-Infrastruktur. Ein konkretes Beispiel ist der intelligente Luftfrachtcontainer I-Con, der mit GPS-Empfänger sowie Bewegungs- und Temperatursensoren ausgestattet ist und seine eigenen Fracht- und Zollpapiere in digitaler Form mit sich führt. Natürlich kann er auch kommunizieren, beispielsweise um dem Frachtführer seinen Standort mitzuteilen oder bei einem Unfall von sich aus Spediteur, Empfänger und Versicherung zu informieren.
  • Normalerweise gehören die Worte „Haftungsrisiken“ und „steigen” ja untrennbar zusammen. Aber ein Haftungsrisiko für Website-Betreiber könnte nun bald entfallen: Das für Website-Betreiber, die Seiten mit unrechtmäßigen Inhalten verlinken. Seit vielen Jahren gilt in Deutschland, dass man verlinkte rechtswidrige Inhalte haftet, wenn man sie sich „zu eigen macht“. Diese Formulierung des BGH brachte in der Praxis viel Unsicherheit, übervorsichtige Link-Policies in vielen Unternehmen und auf privaten Seiten den juristisch sinnfreien Disclaimer „… distanziere ich mich pauschal von allen Links”. Nun aber entscheidet der EuGH bald über die Haftung für Links. Und er könnte die Websites-Betreiber selbst beim bewussten Verlinken illegaler Inhalte von der Haftung freistellen, wie Rechtsanwalt Dr H. M. Wulf aus Hamburg berichtet.
    Falls es tatsächlich so kommt, kann man allerdings auch schwerer dagegen vorgehen, wenn beispielsweise Verstöße gegen eigene Marken- oder Urheberrechte im Netz verbreitet werden.
  • IT-Sicherheit ist ein Thema, das längst weit über die Branchen und die IT-Abteilungen selbst hinaus ausstrahlt. Das zeigt auch ein aktuelles Interview mit dem Sprecher der Pilotenvereinigung Cockpit: Die Piloten wollen, dass Flugzeughersteller, Fluglinien und Behörden mögliche Angriffen auf die Bordcomputersysteme ernster nehmen als bisher.
  • Hier ist ein Ratgeber, den Sie hoffentlich nie nötig haben: In der Washington Post erschien gerade eine illustrierte Anleitung zur richtigen Reaktion, wenn ein Amokschütze im Gebäude ist. Die drei Optionen lauten: „run” – „hide” – „fight”. In dieser Reihenfolge. (Auf Englisch – aber die Grafiken versteht man auch so.)
  • Und zum Schluss noch ein weiteres unangenehmes Thema: Am Ostermontag brannte ein großer Geflügelschlachtbetrieb in Lohne ab. Der Eigentümer Wiesenhof war offenbar unterversichert: Die Betriebsausfallversicherung reicht nicht aus, um die Lohnkosten zu decken. Deshalb soll Personal abgebaut werden. Was der Pressebericht nicht erwähnt: Dieser Schritt kann auch für das Management gefährlich werden. Denn das Bundesarbeitsgericht hat bereits 1972 einem Arbeitgeber untersagt, die Fixkosten nach einem Brand durch Entlassungen aufzufangen – er hätte sich eben versichern müssen. Andererseits kann bei einem Versicherungsversäumnis der Unternehmensschaden zur persönlichen Haftung des Managements führen. Das droht übrigens nicht nur nach einem Brand, sondern auch bei einem desaströsen Cyber-Angriff.
Mehr

Das geplante Kassengesetz: Haftung trotz Zertifikat?

Wer mit Kassen-EDV bzw. Registrierkassen zu tun hat, muss sich auf neue Herausforderungen einstellen. Und auch sonst kann man hier etwas lernen, und zwar: Wenn eine Software oder ein System für einen haftungskritischen Bereich gedacht ist, verringert selbst ein Zertifikat das eigene Haftungsrisiko nicht unbedingt.

Doch der Reihe nach …

Kassensysteme bald nur noch mit BSI-Zertifikat?

Das Bundesfinanzministerium möchte durch neue gesetzliche Vorschriften verhindern, dass in Bargeld-Branchen wie der Gastronomie manipulierte Kassensysteme den Staat um Steuereinnahmen bringen. Es will deshalb verschiedene Dinge ändern:

  • Steuerprüfer sollen jederzeit eine „Kassen-Nachschau” durchführen können, und der Einsatz fehlerhafter Kassensysteme oder fehlende Kassendaten können bis zu 25.000 Euro Bußgeld kosten.
  • Außerdem sollen Kassensysteme manipulationssicher sein und alle relevanten Kassen- und Transaktionsdaten für Berechtigte – wie den Prüfer vom Finanzamt – digital abfragbar machen. Eine „technische Sicherheitseinrichtung” wird Pflicht, bestehend aus einem Sicherheitsmodul, einem Speicher für Kassendaten und einer digitalen Schnittstelle. Und das Ganze muss ein BSI-Zertifikat besitzen.

So steht es im Entwurf zum geplanten „Kassengesetz“. Leider bringt das den Betreibern und Einrichtern von Kassensystemen wohl kaum mehr Rechtssicherheit. Im Gegenteil, es erscheint schwer umsetzbar.

Zertifikat gleich ordnungsgemäß? Von wegen.

Diese Kritik an dem Projekt formuliert ein interessanter Kommentar zu dem Gesetzentwurf von Gerhard Schmidt, Diplom-Informatiker und Chefredakteur beim Forum Elektronische Steuerprüfung.

Schmidt wundert sich über die geplante Einführung vorgeschriebener Positiv-Zertifikate. Ein kurzer Seitenblick auf Buchhaltungssoftware zeigt, warum. Bislang hat die Finanzverwaltung es nämlich rundheraus abgelehnt, für Buchführungssoftware eine belastbare Positiv-Zertifizierung auszustellen, etwa in Form einer so genannten verbindlichen Auskunft. Eine solche Zertifizierung würde dem Betreiber des Programms bescheinigen, dass sein System ordnungsgemäß arbeitet, und ihn damit im Effekt von der Haftung freistellen, wenn es dann doch zu Beanstandungen kommt. Diesen Schutz will das Finanzamt aber nicht gewähren.

Statt solcher Positiv-Zertifikate der Finanzverwaltung gibt es bisher nur „Negativ-Negativ-Zertifikate” der Hersteller von Buchhaltungssoftware: So nennt Schmidt Bescheinigungen der Software-Anbieter, dass mit ihrem Programm etwa GoBD-konform gearbeitet werden kann – was aber nicht ausschließt, dass auch missbräuchliche Anwendungsweisen möglich sind. Es liegt auf der Hand, dass solche Dokumente im Zweifelsfall das Unternehmen kaum vor Ordnungswidrigkeitsverfahren und die Verantwortlichen nicht vor der persönlichen Haftung schützen (Motto: „Sie haben nicht für eine ordnungsgemäße Buchführung in Ihrem Unternehmen gesorgt, Sie haften!”).

Zurück zu den Kassensystemen: Ein BSI-Zertifikat macht bei ihnen nur Sinn, wenn es sich um ein Positiv-Zertifikat handelt, demzufolge das zertifizierte System gar nicht missbräuchlich benutzt werden kann. Diese Prüfung wäre aber praktisch kaum machbar, zumal dann nicht nur ein bestimmtes Produkt, sondern auch jede einzelne Installation überprüft oder geeicht werden müsste. Und ob das BSI für von ihm begutachtete Systeme die volle Haftung übernehmen würde? Daran meldet Schmidt Zweifel an – mit Recht.

Die Haftung wird da bleiben, wo sie jetzt schon ist … bei Ihnen

Im Endeffekt wird bei digitalen Kassensystemen zumindest aus Sicht der Haftungsfrage wohl alles so bleiben, wie es ist: Dafür, dass die Kassen ordnungsgemäß betrieben werden, haftet das Unternehmen und im Durchgriff auch dessen Organe, sprich Geschäftsführer oder Vorstände. Dafür, dass die Kassen ordnungsgemäß funktionieren und nicht beispielsweise von außen manipuliert werden, haftet aber natürlich auch derjenige, der die Systeme herstellt, plant, liefert und /oder einrichtet – und im Zweifel auch dessen Führungspersonal.

Deshalb bleibt Absicherung der Haftung weiterhin zentral. Vor Schadenersatzforderungen und Haftung schützen Elektronik- und Maschinenversicherungen, Cyber-Policen, D&O-Versicherungen (Managerhaftpflicht) sowie persönliche und betriebliche Rechtsschutzversicherungen.

Welche dieser Elemente in welcher Form für Ihren Fall relevant sind und auf welche Sie verzichten können, erfahren Sie vom Versicherungsmakler Ihres Vertrauens. Zum Beispiel von uns – rufen Sie uns an unter 30 863 926 990.

Kassengesetz: Kassen mit Zertifikat (Quelle: BMF)

So stellt sich das BMF die Regelung zu neuen Kassensystemen mit Zertifikat vor. (Quelle: Bundesministerium für Finanzen)

Mehr

Trojaner im Krankenhaus, Datenschutz im Katalog, Internet in allen Dingen: Lesetipps im Februar

  • In der Februar-Ausgabe von Com! professional sind Cyberversicherungen ein großes Thema. Der Artikel ist als Leseprobe kostenlos abrufbar – und bietet einen sehr guten einführenden Überblick über das Produkt und den Markt.
  • SDM, das Standard-Datenschutzmodell, liegt seit einiger Zeit in der Version 0.9 vor. Hinter dem Kürzel verbirgt sich ein Katalog an Maßnahmen, um einen Standard für  die Datenschutz-Compliance in Unternehmen und Behörden zu gewährleisten. Bei Projekt29.de gibt es eine gute Zusammenfassung zu SDM. Das Handbuch dazu kann man beim Landesdatenschutzbeauftragen Nordrhein-Westfalen als PDF herunterladen.
  • Dauerthema IoT und Sicherheit: Die US-Handelsaufsicht FTC hat dem Internet of Things und seinen Risiken einen umfassenden neuen Bericht (Englisch) gewidmet. Wenn Geräte und Dinge von der Industriemaschine bis hin zum tragbaren Pulsmesser miteinander in einem riesigen Netzwerk verbunden sind, Daten erheben, auswerten und austauschen, dann sind die Chancen und Möglichkeiten zwar riesig. Eine McKinsey-Studie sprach letztes Jahr von 11 Billionen  Mehrwert weltweit bis 2025. Die potenziellen Probleme – Störungen, Manipulationen, Datendiebstahl etc. –  sind aber nicht weniger gigantisch.Die FTC empfiehlt trotzdem vorerst keine gesetzlichen Maßnahmen, sie beschränkt sich darauf, an die Unternehmen zu appellieren: Die sollen sich an Best-Practice halten. Aber wer in irgendeiner Weise mit den USA Geschäfte macht, kann sich sicher sein, dass die liability lawyers, sprich auf Schadenersatz spezialisierte Anwälte, zu denjenigen gehören, die sich mit am meisten auf das Internet am Dinge freuen …
  • A propos IoT: Vereinfacht könnte man sagen, dass Industrie 4.0 das Stichwort ist, unter dem das Internet der Dinge in die Industrieproduktion und Logistik Einzug hält. Es soll für enormes Rationalisierungspotenzial sorgen und beispielsweise Fertigung in Kleinstserien rentabel machen.In letzter Zeit wurden die diesbezügliche Euphorie zwar durch manche Stimmen gedämpft, jetzt malt eine neue Studie jedoch wieder große Perspektiven aus: Bis zu 12 Prozent mehr Produktivität soll diese Entwicklung in Deutschland bringen – nachdem die Produktivitätsentwicklung jahrelang mehr als mau verlaufen ist. Das erwarten zumindest die Analysten der DZ-Bank, wie die FAZ berichtet.(Dass eine Industrieproduktion, in der jedes Element der Liefer- und Fertigungskette steuerbar wird, Daten verarbeitet und weitergibt, ganz neue Risiken eröffnet, muss ich jetzt dazu sagen. Das ist schließlich mein Beruf – ich sorge dafür, dass Unternehmens solche Risiken sinnvoll versichern können.)
  • In manchen Branchen sind Cyber-Versicherungen fast komplett angekommen. Ich glaube nicht, dass es noch viele deutsche Geschäftsbanken gibt, die  keine solche Police haben. Und das zusätzlich zum hohen Niveau ihrer technischen und organisatorischen IT-Sicherheit.In anderen Branchen ist dagegen noch wenig passiert. Krankenhäuser, Public Health und Gesundheitsversorger gehören nach meinem Gefühl dazu. Und das, obwohl die Cyber-Bedrohung gerade dort ebenfalls hoch ist. Das gilt für die gesamte Palette an Cyber-Risiken, von der Software-Fehlfunktion eines Behandlungsgeräts über den Hacker, der Patientendaten stiehlt bis hin zum (Computer-) Virus, der den Betrieb lahmlegt.  Letzteres ist gerade in einer Klinik in Los Angeles passiert. Presseberichten zufolge musste sie Bitcoins im Wert von rund 15.000 € an Erpresser bezahlen, um den Trojaner wieder loszuwerden. Gleichzeitig gab es laut WDR  allein in sechs Krankenhäuser in Nordrhein-Westfalen ebenfalls Trojanerattacken, die zu verschlüsselten Dateien führten. Gegen biologische Krankenhauskeime sind die Kliniken versichert. Aber was ist mit den virtuellen Schädlingen?
  • Nicht nur Krankenhäuser, sondern die breite Bevölkerung sucht ein Trojaner mit dem schönen Namen Locky heim. Ein Fraunhofer-Institut hat er auch schon befallen. Auch er verschlüsselt sämtliche Dateien auf dem Rechner, auch auf Cloud-Speicherplatz im Internet. Den Schlüssel zum Wiederlesbarmachen soll man dann teuer kaufen, ohne Garantie, dass der einem die Dokumente wieder zurückgibt.Einfallstor sind Microsoft-Office-Dokumente. Da hilft als Sofortmaßnahme vor allem: Alle per E-Mail zugesandte Dokumente mit ausgeprägtem Misstrauen behandeln. Gegebenenfalls beim Versender nachfragen. Wenn man die Anhänge doch öffnen muss, dann mit Libre Office oder OpenOffice.org. Und: Microsoft Office so einstellen, das die Ausführung von Makros in jedem Fall gesondert bestätigt werden muss. Außerdem dafür sorgen, dass das alle im Unternehmen bzw. Netzwerk so machen.
  • IT-Sicherheitsdienstleister Gemalto hat seinen Breach Level Index (englisch, auf Deutsch findet man die Meldung bei Industrial-Internet.de) für das Jahr 2015 vorlegt. Diese Auswertung der IT-Sicherheitsverletzungen weltweit verzeichnet, dass es in 53 Prozent der Fälle und bei 40 Prozent der betroffenen Datensätze um Identitätsdiebstahl ging. Interessanter Trend: 43 Prozent aller Verletzungen ereigneten sich im Bereich der öffentlichen Verwaltung. Ebenfalls stark betroffen war der Gesundheitssektor, auf den sich 23 Prozent der Angriffe richtete. Der Anteil des Einzelhandels und der Finanzbranche an den Fallzahlen ging dagegen zurück. (Nachtrag, 23.02.)
Mehr

Gelesen und verlinkt: Boarding-Cards, IoT als Bockmist, Füße warmladen

Ein paar Lesetipps fürs Wochenende oder zwischendurch:

  • Auf der Boarding-Card fürs Flugzeug stehen Name, Flug- und Sitzplatznummer – das war’s. Denkt man. Von wegen.
  • Samsung stopft die Sicherheitslücken seiner Smartphones zu nachlässig und liefert nur kurze Zeit lang Updates aus – so der Vorwurf niederländischer Verbraucherschützer. Sie haben den Konzern deshalb verklagt. Wenn sie Erfolg haben, dürften mangelhafte Updates  mittelfristig auch für die Hersteller anderer Geräte und auch in anderen EU-Staaten zum Haftungsrisiko werden.
  • Wie ist das mit der Haftung für Cyber-Attacken, wenn Fahrlässigkeit im Spiel ist? Mit der Frage hat sich Arved Graf von Stackelberg beschäftigt.
  • Welche Vorhersagen zur IT-Sicherheit für 2015 haben sich bewahrheitet? Der Autor des Beitrags untersucht die eigenen Vorhersagen – und arbeitet in einem auf das Management digitaler Schlüssel und Zertifikate spezialisierten Unternehmen. Kein Wunder also, dass die meisten düsteren Prophezeiungen für ihn zutreffen. Fairerweise sollte man aber sagen:  Schuld ist auch die Realität. Das Internet of Things (IoT) führt beispielsweise dazu, dass Dinge wie vernetzte medizinische Geräten, Maschinen oder Autos eben auch fremdgesteuert werden. Mit direkter Gefährdung für die beteiligten Menschen.
  • A propos Internet der Dinge – zu dessen IoT-Auswüchsen gab es vor kurzem einen Beitrag in der Zeit. Programmatischer Titel: Internet of Bockmist.
  • Wirklich sinnvoll wirkt dagegen vor allem in dieser Jahreszeit das Warmpad: Da das Netzteil des Laptops beim Aufladen ja ohnehin warm wird, nutzt  es diese Energie, um die Füße des Nutzers warm zu halten.

Technologie bekommt man nie restlos sicher. Aber man kann die Restrisiken versichern. Ich sage Ihnen gern, wie Sie Ihr Unternehmensrisiko abdecken können. Rufen Sie mich doch einfach an: 030 863 926 990

 

Mehr

Auslandskrankenversicherung fürs Austauschjahr in den USA oder Kanada

Wenn unsere Mandanten eine Versicherungsfrage haben, die nichts mit Cyber-Risiken oder Haftung im Berufsleben zu tun hat, machen sie meistens das einzig Richtige: Sie rufen auch damit bei uns an.

So wie der Kunde, dessen Tochter für ein halbes Jahr in die USA geht, und dort eine bezahlbare Auslandskrankenversicherung braucht. Eine dafür passendes Angebot ist nicht so einfach zu finden: In den USA, Kanada oder Mexiko sind die Kosten für medizinische Betreuung besonders hoch. Die Einwanderungsbehörden fordern für die Visa-Vergabe aber ausreichenden Krankenversicherungsschutz, die Gast-Universitäten und -Schulen ebenfalls. Und überhaupt: Wer will es bei den eigenen Kindern schon drauf ankommen lassen?

Wir haben ihm eine passende Auslandskrankenversicherung vermittelt: Eine Police, die speziell für längere Auslandsaufenthalte zu Ausbildungs- oder Weiterbildungszwecken von Menschen bis 35 Jahre gedacht ist, die USA, Kanada und Mexiko einschließt, und unter 100 Euro im Monat kostet. Der Rücktransport im Notfall ist eingeschlossen, und wenn bei einem Jahresaufenthalt keine Leistungen benötigt werden, bekommt man eine Monatsprämie als Schadensfreiheitsrabatt zurück.

Brauchen Sie auch so etwas, z. B. für Ihren Sohn oder Ihre Tochter? Rufen Sie uns an (030 863 926 990) oder schreiben Sie uns (info@acant.de).

Mehr