Frank Schwandt

Reputationsschaden: Eine Firma, ein Virus, 300 Mio. E-Mails

von

Viren-Mail, gefälschter Absender, Chaos perfekt

„Etwas Vergleichbares haben wir noch nicht erlebt. Die immensen Reaktionen haben dazu geführt, dass wir alles, alles vom Netz nehmen mussten.“

Das sagte der Geschäftsführer einer kleinen Siegener Betriebs aus der Metallbranche dem WDR, nachdem ein Mitarbeiter scheinbar innerhalb kurzer Zeit scheinbar 300 Mio. virenverseuchte Word-Dateien per E-Mail in alle Welt verschickt hatte. Dabei war das Unternehme völlig schuldlos. Der Absender war gefälscht und sollte nur die Adressaten nur zum Öffnen des Dokument verleiten.

Mit Erfolg. Bei einer Empfänger-Firma wurde sogar das Firmennetzwerk samt der Maschinensteuerungen lahmgelegt. Das Siegener Unternehmen bekam, obwohl schuldlos, die Folgen heftig zu spüren, Geschädigte aus aller Welt machten ihrem Unmut per E-Mail, telefonisch oder auch persönlich Luft. Selbst die Betriebsferien zu Weihnachten verzögerten sich aufgrund des Wirbels.

Der Reputationsschaden ist versicherbar

Den größten Schaden in solchen Fällen stellt aber meistens der Imageverlust dar: Der Reputationsschaden kann – trotz erwiesener Unschuld – erheblich sein.

Die einzige gute Nachricht im Zusammenhang mit derartigen Meldungen: Solche Schäden sind versicherbar, eine Cyber-Police deckt neben den anderen Folgeschäden auch den Reputationsschaden ab.

Die unschöne Geschichte zeigt, dass die Gefahr durch Makroviren in Office-Dokumenten (Excel, Word, PowerPoint) keine Nostalgie, sondern wieder hochaktuell ist. Ein Grund mehr, die Mitarbeiter wieder einmal auf gesundes Misstrauen gegenüber E-Mail-Anhängen einzuschwören, selbst aus scheinbar bekannter Quelle. Und vor allem auch ein Grund, konkret über eine Cyber-Versicherung nachzudenken, die in einem solchen Fall hilft, die finanziellen Schäden aufzufangen.

Falls Sie Fragen haben: Rufen Sie uns einfach an – 030 863 926 990.

NGF: Die Next Generation Firewall allein reicht nicht

von

Vor einiger Zeit kam ich mit Mario Husmann von Witstor.de, der auch als IT-Berater für den  Verband der Sachversicherer tätig ist, auf das Thema „Next-Generation Firewall” (NGF). Die wird ja manchmal als Allzweckwaffe in der IT-Sicherheit dargestellt. So etwas macht mich immer skeptisch.

Nun bin ich Versicherungsmakler, kein IT-Experte. Aber Mario Husmann sieht das ähnlich:

 „Die NGF ist kein pauschaler Sicherheitsgewinn. Zwar ist die neue Technologie schon sicherer. Aber: Man muss sie auch administrieren und konfigurieren können. Wer eine NGF mit den Standard-Einstellungen betreibt, öffnet damit schnell ein Einfallstor, denn die Hacker kennen die Standardeinstellungen genau.

Deshalb ist Technik für sich genommen nicht die Lösung. Schon gar nicht bei KMU ohne professionell ausgebildeten Administrator. Wichtiger als die neueste Firewall-Technik wäre es in vielen Fällen, zunächst einmal Updates einzuspielen und die Firmware aktuell zu halten. Aber wenn der  Administrator Autodidakt ist, wird er davon oft die Finger lassen. Schließlich läuft doch alles …

Nicht, dass der Mitarbeiter selbst die Schuld trägt. Die Geschäftsführung muss Bewusstsein für den Handlungsbedarf entwickeln. Sie sollte zum Beispiel wissen, dass ein Cyber-Einbruch ins Unternehmen selten sofort entdeckt wird. Viel wahrscheinlicher ist es, dass es Monate dauert, bis der unauthorisierte Zugang auffällt. Und auch dann muss sich jemand mit den Monitoring-Tools und dem Netzwerk auskennen, damit die Anomalien auffallen.

Für solche Unternehmen ist es wichtig, den VdS-Sicherheitscheck zu machen, um Schwachstellen aufzudecken. Dann lässt sich mit geringem finanziellen Aufwand Schadenbegrenzung betreiben. Dafür müssen aber zunächst die Geschäftsführer verstehen, dass die Zeit der Nebenbei-Administratoren endgültig vorbei ist und dass man mehr tun muss, als einmal teure Technik zu bestellen. Analyse und Beratung tun Not.”

Recht hat er. Für eine gute IT-Sicherheit braucht man eben IT-Sicherheitsexperten. Und für das Restrisiko, das auch die beste Technologie nicht auf Null zurückfahren kann, benötigt man eine Cyber-Versicherung. Schreiben Sie mir eine kurze Nachricht, wenn Sie Fragen oder Anmerkungen dazu haben.

Gelesen und verlinkt: Boarding-Cards, IoT als Bockmist, Füße warmladen

von

Ein paar Lesetipps fürs Wochenende oder zwischendurch:

  • Auf der Boarding-Card fürs Flugzeug stehen Name, Flug- und Sitzplatznummer – das war’s. Denkt man. Von wegen.
  • Samsung stopft die Sicherheitslücken seiner Smartphones zu nachlässig und liefert nur kurze Zeit lang Updates aus – so der Vorwurf niederländischer Verbraucherschützer. Sie haben den Konzern deshalb verklagt. Wenn sie Erfolg haben, dürften mangelhafte Updates  mittelfristig auch für die Hersteller anderer Geräte und auch in anderen EU-Staaten zum Haftungsrisiko werden.
  • Wie ist das mit der Haftung für Cyber-Attacken, wenn Fahrlässigkeit im Spiel ist? Mit der Frage hat sich Arved Graf von Stackelberg beschäftigt.
  • Welche Vorhersagen zur IT-Sicherheit für 2015 haben sich bewahrheitet? Der Autor des Beitrags untersucht die eigenen Vorhersagen – und arbeitet in einem auf das Management digitaler Schlüssel und Zertifikate spezialisierten Unternehmen. Kein Wunder also, dass die meisten düsteren Prophezeiungen für ihn zutreffen. Fairerweise sollte man aber sagen:  Schuld ist auch die Realität. Das Internet of Things (IoT) führt beispielsweise dazu, dass Dinge wie vernetzte medizinische Geräten, Maschinen oder Autos eben auch fremdgesteuert werden. Mit direkter Gefährdung für die beteiligten Menschen.
  • A propos Internet der Dinge – zu dessen IoT-Auswüchsen gab es vor kurzem einen Beitrag in der Zeit. Programmatischer Titel: Internet of Bockmist.
  • Wirklich sinnvoll wirkt dagegen vor allem in dieser Jahreszeit das Warmpad: Da das Netzteil des Laptops beim Aufladen ja ohnehin warm wird, nutzt  es diese Energie, um die Füße des Nutzers warm zu halten.

Technologie bekommt man nie restlos sicher. Aber man kann die Restrisiken versichern. Ich sage Ihnen gern, wie Sie Ihr Unternehmensrisiko abdecken können. Rufen Sie mich doch einfach an: 030 863 926 990

 

Versicherung gegen den Diebstahl elektronischer Gelder und Wertpapiere

von

Der Markt für Cyberversicherungen ändert sich oft und rasch. Die Versicherer geben sich Mühe, den wahren Bedarf der Unternehmen und die tatsächliche Risikolandschaft genau zu analysieren und ihre Produkte entsprechend anzupassen.

Der Diebstahl elektronischer Gelder und Wertpapiere ist ein solcher Versicherungsbedarf, dem die bisherigen Versicherungspolicen gegen Cyber-Kriminalität nicht immer gerecht wurden. Das Sublimit in den Cyberversicherungen für diese Art Schaden betrug meistens 250.000 Euro. (Sublimit bedeutet: Im Schadensfall kann zwar insgesamt mehr ausbezahlt werden. Aber für den Diebstahl von elektronischen Geldern gibt es höchstens die im Sublimit festgelegte Summe.) In Zeiten, in denen Fälle von Bitcoin-Diebstahl im Wert von über 350 Mio. US-Dollar Schlagzeilen gemacht haben, war das zu wenig.

Jetzt hat ein großer Versicherer das Sublimit für seinen Versicherungs-Baustein Cyber-Diebstahl auf bis zu 50 % der Versicherungssumme und maximal 2,5 Mio. Euro hochgesetzt, Damit können Unternehmen Ihre digitalen Depots angemessen gegen Diebstahl absichern.

Wenn Sie Interesse an oder Fragen zu dieser Art Versicherung haben, dann rufen Sie uns doch einfach an (030 863 926 990 ) oder schicken Sie uns eine Nachricht.

Wer braucht eine Cyberversicherung und warum?

von

Was unterscheidet die Cyberversicherung von anderen Betriebsversicherungen?

  • Eine Cyberversicherung ist eine Querschnittslösung für alle Schäden, die sich in einem bestimmten Bereich ergeben.
  • Sie versichert ein breites Spektrum an Schadensereignissen. Damit die Cyberversicherung leistet, muss man nur eine Informationssicherheitsverletzung nachweisen und belegen, dass das Unternehmen dadurch wirtschaftliche Schäden hatte. Dagegen zahlt eine Maschinen- oder Elektronikversicherung nur, wenn ein Sachschaden eintritt. Bei einer Erpressung durch Hacker oder einem Denial-of-Service-Angriff, der die Server tagelang überlastet, gibt es aber keine Sachschäden. Eine Vertrauensschadenversicherung wiederum zahlt nur, wenn eine Vertrauensperson kriminell handelt. Ein Laptop mit wichtigen Daten kann aber auch ganz ohne Pflichtverletzung des Mitarbeiters gestohlen werden. Eine Betriebshaftpflichtversicherung bezahlt nicht, wenn auf der Website fremde Fotos oder Markenzeichen in guter Absicht, aber ohne Genehmigung verwendet werden.
  • Sie gilt weltweit.
  • Sie versichert sowohl Eigenschäden (Sachschäden, Umsatzausfall) wie auch Drittschäden (Schadenersatzansprüche).  Dabei sind viele verschiedene Kosten mitversichert, die ein Cyberangriff oder eine IT-Panne verursacht: Das Unternehmen muss feststellen, wie es dazu kam. Es muss Daten wiederherstellen und das System wieder in Betrieb nehmen. Es muss Krisen-PR betreiben, braucht Rechtsberatung und dergleichen mehr. Auch solche Kosten sind eingeschlossen oder versicherbar.

Für welche Unternehmen ist eine Cyberversicherung notwendig und sinnvoll?

Notwendig ist sie für alle. Und zwar um so mehr, je …

  • größer die Abhängigkeit von funktionierender IT für den Geschäftsbetrieb ist
  • größer die Vernetzung ist
  • wichtiger die Vertraulichkeit von Kunden- und Geschäftsdaten, Verfahren, Produktionsgeheimnissen ist

Ja, es gibt ausgefeilte technische Schutzmaßnahmen wie Firewall und Virenscanner. Diese sind auch unverzichtbar. Aber das Restrisiko lässt sich technisch nie weit genug reduzieren, um sorglos zu sein. Die Cyber-Versicherung ist der zweite, technisch nicht angreifbare Verteidigungsring um das Unternehmen. (Dafür wird sie umso günstiger, je bessere technische Vorkehrungen nachgewiesen werden können.)

Sinnvoll ist die Cyberversicherung als Bilanzschutz. Versicherungsausgaben sind Betriebsausgaben, wer ein unversichertes Schadensereignis finanziell abfangen muss, bezahlt das aus den Erträgen. Außerdem senkt die Vorsorge durch die Versicherung das Haftungsrisiko des Managements – und zwar erheblich.

Wie sollte man die passende Cyberversicherung auswählen?

Ganz einfach: Man nimmt das billigste Angebot für die benötigte Deckung. Herauszufinden, welche Risiken wirklich abgedeckt werden müssen, ist weniger einfach. Dafür braucht man eine solide Risikoanalyse. Ein guter erster Schritt ist die Selbstanalyse mit dem Quick-Check des Verbands der Sachversicherer.

Größere Unternehmen können individuelle Policen aushandeln. Für KMU sind kompakte Standard-Cyberpolicen die sinnvollste Lösung. Die Versicherer bringen zunehmend auch Branchenlösungen auf den Markt. Auch bei Standardversicherungen lassen sich zumindest Selbstbehalte und sogenannte Sublimits sinnvoll anpassen oder auswählen.

Abschließen sollte man nicht in Eigenregie. Dafür gibt es Versicherungsmakler. Die Maklergebühren zahlt die Versicherungsgesellschaft, trotzdem ist der Makler – schon gemäß gesetzlicher Verpflichtung – dem Interesse des Kunden verpflichtet.

Wie teuer sind die Versicherungsbeiträge für eine Cyberversicherung?

Das hängt natürlich von der konkreten Police, dem Deckungsumfang und Eigenbehalten ab. Bei Unternehmen mit Jahresumsätzen über 100.000 Euro liegen die Kosten jedoch im Promillebereich des Umsatzes.

Was ist im Schadensfall tun?

Rufen Sie bei Ihrem Versicherungsmakler an, der sich um das Weitere kümmert. Natürlich muss man auch Administratoren oder IT-Dienstleister informieren, wenn das noch nicht geschehen ist, und beim Verdacht auf Straftaten auch die Polizei (LKA).

Wo bekomme ich konkrete Auskünfte zum Thema Cyberversicherung?

Bei uns – wir sind einer der wenigen Fachmakler für Cyber- und IT-Risiken in Deutschland und kennen sowohl den Versicherungsmarkt wie die Risikolandschaft sehr gut. Rufen Sie uns an (030 863 926 990) oder schreiben Sie uns eine Nachricht.

Safe Harbor und die praktischen Folgen

von

Bye bye, Safe Harbor im Datenschutz

Der EuGH hat bekanntlich im Oktober das Safe-Harbor-Abkommen zwischen den USA und der EU gekippt, das die Übermittlung personenbezogener Daten an Rechenzentren in den USA erlaubte, wenn diese besonders zertifiziert sind. Das war einmal – wer weiterhin auf Basis dieses Abkommens Daten übermittelt, verstößt gegen Datenschutzrecht. Bis Januar 2016 werden solche Datenschutzverstöße zwar erst einmal nicht geahndet, bis dahin wollen die Politiker schauen, ob sie die Situation gelöst bekommen. Aber verlassen sollten Unternehmen sich darauf nicht. Wer  einen Cloud-Service oder E-Mail-Dienstleister mit Sitz bzw. Rechenzentrum in den USA nutzt und an diesen Kundendaten, Adressatenverzeichnisse oder Arbeitnehmerdaten übermittelt, muss damit auf die sogenannten „EU-Standardvertragsklauseln für Auftragsdatenverarbeitung“ umstellen.  Aber auch deren Geltung steht zumindest mittelfristig in Frage. Und überhaupt: Der Großteil der Unternehmen hat dem Themen bisher wenig Beachtung geschenkt und wird daran wohl nichts ändern. Zumal praktikable Lösungen Mangelware sind.

Datenschutzmanagement ist keine Nebensache mehr

„Das Urteil mag eine große Bedeutung für viele Unternehmen haben. Für die meisten von Ihnen wird es sich jedoch kaum auswirken, da Sie auch vorher rechtswidrig gehandelt haben.“

Das teilte der Berliner Rechtsanwalt Thomas Schwenke den Lesern seines Blogs nach der Safe-Harbor-Entscheidung mit – und hat damit vollkommen recht. Weiter schreibt er:

„Die Datenschutzanforderungen werden Sie ohnehin kaum alle perfekt erfüllen können. Das heißt jedoch nicht, dass Sie es gleich lassen sollten. Ganz im Gegenteil, sollten Sie rechtlich so viel wie möglich richtig machen.“

Ich füge hinzu: Und außerdem brauchen Sie Versicherungsschutz! Das ist gerade jetzt wichtig, weil absolute Compliance in Bezug auf Datenschutzrecht schwierig bis unmöglich ist.

Natürlich kann eine Versicherung nicht den verantwortlichen Umgang mit dem Thema Datenschutz ersetzen. Aber Betriebshaftpflicht, D&O (Managerhaftpflicht) und Cyberversicherung sind die geeigneten Instrumente, um das Unternehmen vor finanziellen Verlusten durch Datenschutzverletzungen zu bewahren. Jedes sinnvolle Risikomanagement schließt in diesem Bereich Versicherungslösungen mit ein.

Das liegt nicht nur am Rechtsrisiko. Mitarbeitern, Kunden und Geschäftspartner erwarten, dass Datenschutz ernst genommen wird. Wer sich darauf nicht einstellt, riskiert nicht nur hohe Folgekosten (und Schadenersatzforderungen), sondern auch einen empfindlichen Reputationsverlust.

Praktische Folgen für Unternehmen

Und was bedeutet das jetzt ganz praktisch? Unternehmen sollten sich darüber klar werden, an wen sie personenbezogene Daten weitergeben, auf welcher vertraglichen Grundlage das geschieht und wer dafür haftet. (Im Zweifel ist das immer erst einmal der eigene Vorstand oder die Geschäftsführung).  Um das Thema müssen sich Betriebe auch dann kümmern, wenn sie keinen Datenschutzbeauftragten haben müssen.

  • Wenn möglich und sinnvoll, sollte man zu Geschäftspartnern wechseln, die die Daten in der EU speichern und verarbeiten.
  • Der Standort der Rechenzentren muss  bei jedem Dienstleister oder Geschäftspartner bekannt sein, an den personenbezogene Daten weitergegeben werden.
  • Wenn es noch keine Datenschutzerklärung gibt, sollte man sie erstellen.
  • Wenn Auftragsdatenverarbeitung ohne Vertrag vorliegt, sollte das unbedingt geändert werden.
  • Wenn Daten in die USA übermittelt werden, müssen die Verträge auf Safe-Harbor-Klauseln überprüft werden. Wenn man fündig wird, besteht Handlungsbedarf. Dazu sollte man sich, wenn nötig, beraten lassen.
  • Weil das Datenschutzrecht sehr im Fluss ist, müssen Unternehmen die Folgen möglicher Datenschutzverstöße versichern. Dazu gehört auch, das Management gegen persönliche Inanspruchnahme aufgrund von Versäumnissen abzusichern: Die Vermeidung von Datenschutzverstößen ist Verantwortung der Geschäftsführung.

Fragen Sie uns jederzeit

Mit dem Versichern von IT-Risiken, Rechtsrisiken und persönlichen Haftungsrisiken kennen wir genau aus.  Und wir haben für alle Ihre Fragen ein offenes Ohr: 030 863 926 990 oder info@acant.de.

 

Auslandskranken­versicherung fürs Austauschjahr in den USA oder Kanada

von

Wenn unsere Mandanten eine Versicherungsfrage haben, die nichts mit Cyber-Risiken oder Haftung im Berufsleben zu tun hat, machen sie meistens das einzig Richtige: Sie rufen auch damit bei uns an.

So wie der Kunde, dessen Tochter für ein halbes Jahr in die USA geht, und dort eine bezahlbare Auslandskrankenversicherung braucht. Eine dafür passendes Angebot ist nicht so einfach zu finden: In den USA, Kanada oder Mexiko sind die Kosten für medizinische Betreuung besonders hoch. Die Einwanderungsbehörden fordern für die Visa-Vergabe aber ausreichenden Krankenversicherungsschutz, die Gast-Universitäten und -Schulen ebenfalls. Und überhaupt: Wer will es bei den eigenen Kindern schon drauf ankommen lassen?

Wir haben ihm eine passende Auslandskrankenversicherung vermittelt: Eine Police, die speziell für längere Auslandsaufenthalte zu Ausbildungs- oder Weiterbildungszwecken von Menschen bis 35 Jahre gedacht ist, die USA, Kanada und Mexiko einschließt, und unter 100 Euro im Monat kostet. Der Rücktransport im Notfall ist eingeschlossen, und wenn bei einem Jahresaufenthalt keine Leistungen benötigt werden, bekommt man eine Monatsprämie als Schadensfreiheitsrabatt zurück.

Brauchen Sie auch so etwas, z. B. für Ihren Sohn oder Ihre Tochter? Rufen Sie uns an (030 863 926 990) oder schreiben Sie uns (info@acant.de).

Zertifizierungspflicht für Energieversorger – dafür günstigere Cyber-Versicherung

von

IT-Katalog, ISMS und Pflicht zur Zertifizierung für Energieversorger

Bis Januar 2018 haben Energieversorgungsunternehmen Zeit, um einen IT-Sicherheitskatalog einzuführen, ein  Informationssicherheits-Managementsystem (ISMS)  zu installieren und dies  zertifizieren zu lassen.  Einen Ansprechpartner für IT-Sicherheit müssen Sie sogar bis Ende November benennen. So will es die Bundesnetzagentur: Sie hat den Energieversorgern, d. h. allen Unternehmen und Einrichtungen, die ein Stromnetz oder Gasnetz betreiben, höhere Standards in der IT-Sicherheit verordnet.

Viel Zeit bleibt nicht

Die Frist bis 2018 sollten betroffene Unternehmen keinesfalls unterschätzen. Sie haben einiges zu tun, denn der IT-Sicherheitskatalog der Bundesnetzagentur hat durchaus umfassene Auswirkungen auf die betriebliche Abläufe – und auch nicht nur etwa die der IT-Abteilung. Zertifiziert wird beispielsweise auch die Einbindung der Geschäftsführung. Außerdem kann man damit rechnen, dass kurz vor Fristende die Zertifizierungsstellen ausgelastet sind – und zertifiziert wird nur, wer das ISMS bereits seit gewisser Zeit im Live-Betrieb hat.

Weitere Informationen

  • Bei der Bundesnetzagentur selbst gibt es ein FAQ zum IT-Sicherheitskatalog für Strom und Gasanbieter
  • Der IT-Branchenverband Bitkom und der Verband Kommunaler Unternehmen (VKU) haben einen ausführlichen Leitfaden samt Praxisbeispielen für Energieversorger veröffentlicht, der über Aufwand und die nötigen Maßnahmen informiert.

Vorteil: Schneller und günstiger zur Cyber-Versicherung

Noch liegt das Zertifikat noch gar nicht vor. Es wird, soviel steht schon fest, auf den Anforderungen der ISO 27001 und der ISO 27019 beruhen.

Immerhin hat die Zertifizierungspflicht neben der hoffentlich erhöhten Sicherheit noch einen weiteren positiven Nebeneffekt: Energieversorgungsunternehmen, die die Zertifizierung durchlaufen haben, haben damit auch ein sehr genaues Risikoprofil und einen klaren Nachweis solider Vorsorge gegen Cyber-Zwischenfälle. Und das sind beste Voraussetzungen, um ohne großen Aufwand an eine Cyber-Versicherung zu günstigen Konditionen zu kommen, die das unvermeidliche Restrisiko betriebswirtschaftlich sinnvoll auffängt.

Fragen? Anrufen!

Wir sind Experten für das Thema Cyber-Versicherung und IT-Risikomanagement. Sie erreichen uns unter 030 863 926 990 oder über das Kontaktformular.

Interview: Versichern von IT-Risiken

von

Vor kurzem fand der 4. IT-Sicherheitstag Mittelstand in Berlin statt. Ich hatte die Ehre, bei einem der Vorträge von Bernd Schulz, Organisator der Veranstaltung und Geschäftsführer der F1 GmbH, „mitreden“ zu dürfen.

Die  Botschaft war, ganz kurz gefasst: Wer sich optimal gegen die unvermeidlichen IT-Risiken absichern will, braucht IT-Sicherheitsmaßnahmen und Cyber-Versicherungsschutz. Die Zusammenfassung liefert unser Folder_IT-Sicherheit-Cyber-Risk.

Anschließend befragte mich Herr Schulz noch einmal zum Versichern als Strategie gegen IT-Risiken:

Hier klicken, um den Inhalt von www.youtube-nocookie.com anzuzeigen

Inhalt direkt öffnen

Die Punkte, die mir am Herzen lagen:

  • IT-Sicherheit und Cyber-Versicherung schließen sich nicht aus – sie ergänzen sich gegenseitig. Mindestsicherheitsstandards garantieren zum Beispiel, dass die Versicherung im Schadensfall auch leistet.
  • Eine Zertifizierung macht die Versicherung leichter, ist aber keineswegs Voraussetzung. Oft ist eine Zertifizierung auch zu umfassend – versichern sollte man nur die IT-Risiken, die für das eigene Unternehmen auch wirklich zentral sind
  • Eine schnelle Bestandsaufnahme der eigenen IT-Sicherheit bietet der VdS-QuickCheck.
  • Für eine sinnvolle Absicherung sollte man sich an einen Fachmakler für Cyber- und IT-Risiken wenden.

Kontrolle der Software-Lizenzen: Ja, die dürfen das.

von

Bei einem acant-Kunden meldet sich die Business Software Alliance – und verlangt geradezu ultimativ, sämtliche Lizenzen für alle dort eingesetzten Microsoft-Produkte nachzuweisen, Dazu Angaben, wer was wann wie nutzt. Bei einem Unternehmen mit rund 70 Mitarbeitern bzw. Arbeitsplätzen sowie diversen Servern ist das ein ganz schöner Aufwand.

Wie das denn sein kann, fragt mich der Inhaber. Und auch gleich: Ob ich weiß, was passiert, wenn irgendwo etwas doch nicht hinhaut? Er kontrolliert ja nicht jeden einzelnen Rechner persönlich.

Nun bin ich Versicherungsmakler und kein Fachanwalt für IT-Recht bzw. Urheber- und Medienrecht. Aber immerhin bin ich gelernter Volljurist. Und ich weiß: Im Urheberrechtsgesetz steht, dass im Fall von Urheberverstößen „in gewerblichem Ausmaß“ der Inhaber der Lizenz-Rechte das Recht auf „Vorlage und Besichtigung“ (§ 101a UrhG) hat. Weiter steht da wörtlich: „Besteht die hinreichende Wahrscheinlichkeit einer in gewerblichem Ausmaß begangenen Rechtsverletzung, erstreckt sich der Anspruch auch auf die Vorlage von Bank-, Finanz- oder Handelsunterlagen.“

Die Wachhunde für Software-Lizenzen von der Software Business Alliance, hinter der neben Microsoft auch Adobe, Symantec, Apple, Trend Micro und viele andere Software-Anbieter stehen, dürfen also ganz schön viel. Sogar die Buchführung kontrollieren, wenn sie einen konkreten Verdacht haben. Wenn der kontrollierte Betrieb sich weigert, können die Prüfer sich eine einstweilige Verfügung besorgen und trotzdem loslegen – das steht auch im Gesetz.

Zum Glück hat unser Kunde eine IT-Betriebsvereinbarung, die neben anderen Vorschriften zur IT-Sicherheit alle Mitarbeiter auch dazu verpflichtet, nur lizenzierte Software zu benutzen. (Beim Abschluss einer Cyber-Versicherung sind solche Regelungen ein Pluspunkt und senken die Prämie!)

Nur: Wenn dann doch irgendein Mitarbeiter ein schwarz installiertes Programm nutzt oder der Administrator gar überall Software installiert, für die gar keine ordentliche Lizenz vorliegt, haften die Geschäftsführung oder der Inhaber trotzdem. Das steht ebenfalls ausdrücklich im Urhebergesetz (§ 99 UrhG), und es ist wohl auch ohne diesen Paragraphen ableitbar.  Und noch schlimmer: Urheberrechtsverstöße führen nicht nur zu durchaus heftigen zivilrechtlichen Ansprüchen, sie sind auch eine Straftat ((§§ 106 – 110 UrhG). Da können also schnell mal eine Anzeige und ein Ermittlungsverfahren drohen.

Deshalb empfehle ich immer:

  • Lizenzen genau archivieren und Lizenzbedingungen einhalten. Man fliegt auch als „kleiner Mittelständler“ keineswegs unter dem Radar der Software-Copyright-Luftüberwachung. Nicht darauf vertrauen, dass schon niemand vorbeikommen wird!
  • Klare Vereinbarung mit allen Mitarbeitern, dass eigenmächtig installierte Programme verboten sind. Das bringt die Geschäftsführung zwar nicht aus der Schusslinie, aber zumindest kann sie dann gegen die Angestellten vorgehen, die einem den Ärger einbrocken.
  • Versichern! Zum ist eine D&O-Versicherung für den Inhaber oder die Geschäftsführer notwendig, damit das Fehlverhalten eines Administrators nicht in persönliche Haftungsansprüchen gegen den Chef mündet. Das geht schneller als gedacht.
  • Und zweitens eine Rechtsschutzversicherung einschließlich Strafrechtsschutz, damit man wenigstens die Einleitung eines Ermittlungsverfahrens (Anhörung) bzw. dessen Durchführung mit anwaltlicher Hilfe halbwegs schadlos übersteht

 

Wenn Sie Fragen dazu haben, wie Sie mit Versicherungen auch dieses Risiko in den Griff bekommen: Sie erreichen uns über 030 863 926 990 oder das Kontaktformular