Frank Schwandt

Cyber-Versichert – auch gegen die eigenen Mitarbeiter

von

Wer das Cyber-Risiko durch eigene Mitarbeiter versichern will, braucht eine Vertrauensschadenversicherung, die eine Computermissbrauchversicherung einschließt.

Beides ist in vielen gängigen Cyber-Policen enthalten und schützt Ihr Unternehmen vor Schäden durch unvorsichtige oder pflichtvergessene Mitarbeiter – ein Risiko, das sich grundsätzlich nicht ausschließen lässt.

Der Mitarbeiter als IT-Risiko

Das zeigt auch ein Posting vom Datenschutzblog29, das Schusseligkeit (unterwegs verlorene Laptops), schlechte Passwörter und Phisingmails beklagt. Natürlich kann man mit Mitteln der IT etwas dagegen tun.

  1. Man kann lange Passworte mit Sonderzeichen, Großbuchstaben und Zahlen erzwingen. Aber dann klebt das Ergebnis eben als gelbe Haftnotiz am Schreibtisch. (Kann sich ja keiner merken …)
  2. Man kann die Speicher sämtlicher Firmenlaptops verschlüsseln. Aber: siehe Punkt 1.
  3. Man kann und soll die Mitarbeiter über Phishing und Sicherheit informieren. Aber bleibt der E-Mail-Anhang von der jungen, charmanten, neuen Bekannten aus dem Branchenforum deshalb ungeöffnet? Eben.

Und das waren nur Sicherheitsverletzungen aus Dummheit. Ganz schwer kontrollierbar ist ein Mitarbeiter, der dem Unternehmen mit Absicht schaden will – ob aus Rachsucht oder zum eigenen Vorteil.

Die Grenzen der Technik … sind der Beginn des Versicherungsbedarfs

Fazit: Die IT-Administration kann gegen Sicherheitsverletzungen durch Mitarbeiter einiges ausrichten. Allein dadurch das Risiko unter Kontrolle zu halten, ist illusorisch. Das lässt sich jedoch durch speziellen Versicherungsschutz sicherstellen.

  • Eine Vertrauensschadenversicherung zahlt bei Schäden durch Veruntreuung, Unterschlagung, Diebstahl, Geheimnisverrat oder Betrug durch eigene Mitarbeiter – auch Straftaten Dritter lassen sich einschließen.
  • Die Computermissbrauchsversicherung erweitert diesen Schutz auf IT-bezogene Taten wie die Veränderung von Software, das unbefugte Kopieren oder Löschen von Daten oder das Zerstören von Datenspeichern.

Unvorsichtige oder böswillige Mitarbeiter mögen Laptops verlieren, die Firewall umgehen oder Ihre Daten klauen. Eine Versicherungspolice im Unternehmenssafe ist vor ihnen sicher.

Wie teuer ist eine Vertrauensschadenversicherung und/oder eine Computermissbrauchsversicherung speziell für Ihr Unternehmen? Für eine schnelle Auskunft schicken Sie mir eine kurze Nachricht oder rufen mich einfach an.

Cyber-Versicherung für Rechtsanwälte: Deckungslücke trotz Deckungserweiterung

von

Cyber-Versicherungsschutz für Rechtsanwälte per Zusatzbaustein?

Vor kurzem rief ein Rechtsanwalt an, der um eine zweite Meinung bat. Der Versicherungsmakler seiner Kanzlei hatte ihm vorgeschlagen, die Deckung seiner Berufshaftpflichtversicherung um einen Cyberversicherungs-Baustein zu erweitern. Der Anwalt war sich nicht recht sicher und fragte uns nach einer zweiten Meinung.

Die Cyber-Deckungserweiterung der AXA

Diesen Baustein bietet AXA seit einiger Zeit speziell für Rechtsanwälte und Notare an.  Die Idee ist eigentlich gut: Statt einer teuren, kompletten Cyber-Police wird die ohnehin vorhandene Berufshaftpflicht quasi durch ein „Plugin” aufgerüstet – und die Kanzlei gegen die finanziellen Folgen von Datenschutzverletzungen und Cyber-Kriminalität geschützt.

Der AXA-Baustein umfasst IT-bedingte Vermögenseigenschäden wie die Datenwiederherstellung und das Reputationsmanagement nach einem Hackerangriff mit Datenverlust. Kosten für die Informations- und Kreditüberwachung, Sachverständige, für internetbezogenen Strafrechtsschutz, Erpressungsgelder und weitere Mehrkosten sind auch „mit drin“.

Haftpflicht ohne Selbstverschulden

Die Beschränkung auf Eigenschäden scheint sinnvoll, denn die Haftpflicht ist bei einem Rechtsanwalt oder Notar ja ohnehin pflichtversichert. Aber: Die Berufshaftpflichtversicherung leistet in aller Regel nur bei einer Pflichtverletzung.  So war es auch bei diesem Anwalt.

Eine Cyber-Attacke oder eine IT-Panne kann dagegen auch ohne eigenes Verschulden eintreten. Ein Trojaner, der eine bislang unbekannte Sicherheitslücke ausnutzt, kann auch bei völlig adäquater IT-Sicherheit zuschlagen. Dann sind möglicherweise Mandantendaten und vertrauliche Informationen kompromittiert. Die Haftungsansprüche der Mandanten an die Kanzlei sind aber nicht versichert – ohne Fahrlässigkeit kein Versicherungsfall!

Deckungserweiterung: Günstige Option – aber nur, wenn es passt

Bei einer großen Kanzlei mit einer individuellen Police hätte sich auch die dafür nötige Deckung zusätzlich aushandeln lassen. Bei einem Einzelanwalt blieb nur die Wahl zwischen der Deckungslücke oder einer kompletten Cyber-Versicherung (die zu einer teilweisen Überdeckung führt). Er hat sich für letzteres entschieden.

Deckungserweiterungen gibt es  übrigens nicht nur für Rechtsanwälte, sondern auch für andere Branchen und Berufsgruppen, etwa Ärzte, Ingenieure und Architekten. Und sie sind auch keineswegs immer sinnlos, im Gegenteil. Man muss nur – wie immer bei Versicherungen – zwei Dinge genau unter die Lupe nehmen: die angebotene Deckung und das eigene Risiko.

Ist  eine Erweiterung Ihrer bestehenden Versicherungen um Cyber-Versicherungsschutz für Sie sinnvoll? Das kann ich für Sie und mit Ihnen klären – rufen Sie mich einfach an: 030 863 926 990.

Druck auf das Kredit-Rating durch einen Cyber-Angriff

von

„Sollte ein Angriff so schwerwiegend sein, dass er sich etwa auf Umsätze und Rentabilität auswirkt und damit die Kreditkennzahlen beeinträchtigt, kann das Kreditrating des Unternehmens potenziell unter Druck geraten. Kosten infolge einer Cyber-Attacke können auf verschiedene Art und Weise auftreten. Umsatzeinbußen, Reparaturen, Ersatzansprüche, Strafzahlungen wegen regulatorischer Verstöße, Rechtsstreitigkeiten und zusätzliche Marketingkosten zur Wiederherstellung der Reputation sind nur Beispiele dafür. Daraus könnten gigantische Summen erwachsen, und sollten sich die Vorfälle häufen, würden sich die Kosten und die Reputationsprobleme zweifellos vervielfachen.“

Das schreibt Gareth Williams, Analyst bei der Rating-Agentur Standard & Poors, in einem (auch sonst lesenwerten) Gastbeitrag auf finanzen.net. Demgegenüber habe der Kostenaufwand für IT-Sicherheit und Cyber-Versicherung nach Einschätzung seines Hauses keine direkte Auswirkung das Kredit-Rating.

Das ist auch leicht einzusehen, denn Cyber-Versicherungen sind nicht teuer. Natürlich hängen die Kosten immer vom individuellen Unternehmensrisiko und vom konkreten Versicherungsvertrag ab, aber häufig bewegen sich die Prämien im Promillebereich des Jahresumsatzes, und auch kleine Unternehmen (Jahresumsatz < 1 Mio. € ) zahlen meist nicht mehr als ein halbes Prozent.

Deckungslücken aufspüren und stopfen

Ich prüfe Ihre Risiken, sichte Ihre vorhandenen Policen und sage Ihnen, wie viel es Sie kostet, mögliche Deckungslücken mit zu versichern.  Rufen Sie mich an: 030 863 926 990. Oder schreiben Sie mir eine Nachricht.

Eine Cyber-Versicherung schützt auch Ihre Bilanz

von

Vor knapp einem Jahr hat sich der Elektronik- und Technologiekonzern Bosch gegen Cyber-Angriffe versichert – mit einer Deckung in Höhe von 100 Mio. Euro. Damals, vor dem Sony-Hack und dem gekaperten Bundestagsnetzwerk, war das eine Schlagzeile wert. Inzwischen kann man davon ausgehen, dass sehr viele DAX-Unternehmen ähnliche Policen besitzen, in vergleichbarer Größenordnung.

Und zwar nicht einfach nur, weil das Cyber-Risiko mittlerweile  auch die Vorstandesetagen aufschreckt. Dahinter stehen Bilanzschutz und angewandtes Risikomanagement.

  • Planbarkeit: Ein Cyber-Angriff oder eine größere IT-Havarie ist ein nicht vorhersehbarer Schaden – mit riesigem Schadenspotenzial (von der unangenehmen Pflicht zu Ad-hoc-Meldungen ganz abgesehen). Die Versicherungsprämie ist dagegen eine feste, bekannte und kalkulierbare Größe. Sie wird normales Element der gesamten betrieblichen Planung, vom Cash Flow bis zur Ergebnisprognose.
  • Kostenvorteil: Ist das Unternehmen nicht versichert, muss es die Kosten für den Schaden nicht nur mit einem Schlag tragen, sondern auch aus dem bereits versteuerten Gewinn oder durch kurzfristig beschafftes Kapital finanzieren. Diese Aufwendungen sind damit sehr teuer. Wird der Schaden durch die Versicherungsprämien gewissermaßen vorfinanziert, stellen diese Kosten dagegen Betriebsausgaben dar. Allein das senkt den Aufwand grob veranschlagt um die Hälfte.

Deshalb ist eine Versicherung praktizierter Bilanzschutz. Sie macht das Risiko betriebswirtschaftlich beherrschbar und sorgt dafür, dass ein Schadensfall zwar vielleicht ihr Netzwerk, aber nicht die Bilanz zum Kippen bringt.

Dafür muss das tatsächliche Cyber-Risiko Ihres Unternehmens exakt ausgelotet und die Versicherungspolice genau auf Ihre Situation angepasst werden. Es sollte weder zu einer Über- noch zu einer Unterdeckung kommen. Sonst sind entweder die laufenden Kosten zu hoch – oder die Kosten im Schadensfall. Der Versicherungsmarkt bietet jedoch inzwischen die passenden Produkte. Und für Auswahl, Anpassung und Vermittlung Ihrer Cyber-Versicherung bin ich als Ihr Versicherungsmakler zuständig.

Cyber-Attacken in den Medien – und in der Realität

von

„Erst die ganzen NSA-Geschichten, dann der Sony-Hack aus Nordkorea, dann  werden Millionen Datensätze von US-Regierungsangestellten geklaut und jetzt ist das komplette IT-Netz des Bundestags im Eimer. Ständig Cyber-Attacken in den Nachrichten, eine unglaublicher als die andere – beste Werbung für Sie, stimmt’s?“

Das glauben viele. Stimmt aber nicht.

Solche Meldungen bestärken den Irrglauben, dass Cyber-Attacken vor allem Regierungsstellen und internationale Multis gefährden. IT-Sicherheitsverletzungen sind auch für KMU ein großes und wachsendes Problem. Aber es steht halt nicht in der Zeitung, wenn beim Mittelständler nebenan ein Notebook mit Kundendaten oder vertraulichen Projektbeschreibungen verloren geht.

Dass hinter IT-Sicherheitsverletzungen  meist hochspezialisierte Geheimdienstprofis stecken, ist ebenfalls ein Mythos. In Wirklichkeit sind es meist schlampige Mitarbeiter, kleine Kriminelle, technische Pannen und dumme Zufälle, die für Schaden sorgen. Der ist dann trotzdem oft enorm. Aber man kann sich ja Gott sei Dank dagegen versichern, für relativ geringe Kosten.

Wenn Sie mehr wissen wollen oder auch einfach nur Fragen haben, freue ich mich über Ihren Anruf – 030 863 926 990 oder Ihre Nachricht.

Die Sicherheitslücke überhaupt …

von

Wer die Website von Mark Semmler besucht, wird dort so begrüßt:

Das größte Sicherheitslücke sind leider Sie: Screenshot der Header-Grafik von Mark-Semmler.de

Nicht sehr schmeichelhaft. Aber der Mann leitet das Entwicklerteam für die Cyber-Leitlinie des Sachversicherer-Verbands. Er weiß, wovon er redet.

Wenn nicht Sie selbst die Sicherheitslücke sind, dann eben Ihr Praktikant, der mit seinen wichtigen Arbeitsabläufen angibt. Der frustrierte Kollege, der nicht befördert wurde. Oder der Faulpelz aus dem Marketing, der stets dasselbe Passwort nutzt und seinen Laptop am Tisch liegen lässt, wenn er noch einen Kaffee holt.

IT-Sicherheit lässt sich nicht einfach fertig installieren. Es gibt auch keine Rundum-Lösung zu kaufen. Wenn alles nur eine Frage der Technik wäre, gäbe es längst nur noch verschüsselte E-Mails – den meisten Leuten ist Verschlüsseln aber zu umständlich.

Für die Sicherheitslücke Mensch gibt es keinen Patch. Aber man kann sie versichern.

Warum Ihr Unternehmen eine Cyber-Police braucht

von

Ganz einfach: Ihr Unternehmen braucht eine Cyber-Police, damit bei einem Cyber-Angriff oder IT-Zwischenfall …

  1. Ihre Datenbestände versichert sind.
    Kunden-, Buchhaltungs- und Produktdaten sind, anders als Maschinen und Inventar, nicht in den klassischen betrieblichen Versicherungen enthalten.
  2. … Ansprüche Dritter an Sie versichert sind
    Ansprüche, die Kunden im Fall verlorener Kundendaten gegen Sie stellen, sind im Regelfall ohne Cyber-Police nicht abgedeckt. Schadenersatzforderungen aufgrund von im Internet verletzter Urheber- und Persönlichkeitsrechte auch nicht.
  3. … sämtliche Folgeschäden versichert sind
    Betriebsunterbrechung als Teil der Deckung klassischern Unternehmensversicherungen. Aber ohne Zusatz- und Folgekosten wie entgangener Umsatz, Datenrettungskosten, Aufwand für Krisen-PR, anwaltliche Beratung, Information aller Betroffener, Reputationsverlust, Rechtsstreitigkeiten etc.
  4. … Spezialisten für den Ernstfall bereitstehen, die Ihrem Unternehmen schnell helfen.
    Weil auch den Versicherungsgesellschaften daran gelegen ist, den Schaden gering zu halten, vermittelt man Ihnen im Schadensfall schnell Hilfe, z. B.  IT-Sicherheits- und Datenrettungsexperten, Anwälte und PR-Berater.

Übrigens: Der Zusatzgewinn an Unternehmens- und Planungssicherheit durch eine Cyber-Police kostet Ihr Unternehmen im Normalfall kaum ein Zehntel vom Jahresumsatz. Natürlich sind die konkreten Kosten abhängig vom Einzelfall. Aber selbst kleine Unternehmen mit weniger als einer Mio. Euro Jahresumsatz zahlen für die Cyber-Police nur sehr selten mehr als ein halbes Prozent davon.

Fragen?

Gerne – bitte an fs@acant-makler.de oder 030 863 926 990 oder per Kontaktformular

Das IT-Sicherheitsgesetz wird teuer – Versichern senkt das Kostenrisiko

von

Es wird mit großer Sicherheit teuer …

Im Sommer dürfte das IT-Sicherheitsgesetz in Kraft treten. Im Moment liegt der Gesetzesentwurf beim Bundestag. Es bringt dem „Bundesamt für Sicherheit in der Informationstechnik“ (BSI) mehr Bedeutung und für so genannte „Betreiber kritischer Infrastrukturen“ neue Pflichten und Kosten – aber auch für jeden geschäftlichen Website-Betreiber.

Unklar: Betreiber einer kritischen Infrastruktur

Noch ist völlig unklar, wer dazu zählt. Genaue Festlegungen soll es erst später per Rechtsverordnung geben.

Bislang ist die Zielgruppe nur über zwei Merkmale eingegrenzt: Zugehörigkeit zu „den Sektoren Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie Finanz- und Versicherungswesen“ und „hohe Bedeutung für das Funktionieren des Gemeinwesens“ (§ 2 Abs. 10 BSIG n. F.) – ziemlicher Gummi also.

Immerhin: Kleinst- und Kleinunternehmen sind ausgenommen. Andere Betreiber müssen …

  • innerhalb von zwei Jahren verbindliche IT-Sicherheitsstandards einführen. (Welche? Auch noch nicht klar …).
  • deren Einhaltung alle zwei Jahre zertifizieren lassen
  • eine permanent erreichbare „Kontaktstelle“ zum BSI einrichten
  • Cyber-Zwischenfälle sowie Störungen und Bedrohungen der IT-Sicherheit unverzüglich an das BSI melden – auch solche, die nicht zu Ausfällen oder Störungen führten. (Immerhin darf dann die Meldung anonym erfolgen)

Neue Sicherheitspflicht für jeden geschäftlichen Website-Betreiber

Eine Änderung im Telemediengesetz verpflichtet zudem Diensteanbieter (d. h. Website- und Webservice-Betreiber) dazu, alles an Cyber- und Datenschutzmaßnahmen zu installieren, was „technisch möglich und wirtschaftlich zumutbar“ (§ 13 TMG n. F.) ist.

Eine Cyber-Versicherung hilft

Meldepflichten, Zertifizierungspflichten, verpflichtende IT-Sicherheitsstandards – all das ist nicht nur in der Umsetzung teuer. Zusätzlich drohen bei Verstößen Bußgelder und Schadenersatzansprüche Dritter.

Genau hier hilft eine Cyber-Versicherung, die Kostenrisiken im Griff zu halten:

  • Bei einem erfolgreichen Cyberangriff, einem technischen Zwischenfall oder menschlichem Versagen im Cyberbereich sind ihr Eigenschaden sowie Ausfall– und Folgekosten versichert (Produktionsausfälle, zerstörte Hardware, Datenwiederherstellung etc.)
  • Wichtiger noch: die Schadenersatzansprüche, die andere in diesem Fall an Sie stellen, sind ebenfalls versichert (denken Sie an Kunden, deren Daten geklaut wurden)
  • Die Versicherer halten Dienstleister für den Krisenfall bereit, die schnelle Hilfe bieten (Datenrettung, Krisen-PR, Rechtsberatung etc.)
  • Und, aktuell im Zusammenhang mit dem IT-Sicherheitsgesetz wichtig: Wenn gegen Ihr Unternehmen ein Bußgeldverfahren aufgrund von IT-Sicherheitsverletzung läuft, sind Ihre Rechtsanwalts- und Gerichtskosten mitversichert.

 

Der Trend geht zum Zweit-Makler. Aus gutem Grund.

von

Inzwischen nutzen viele unserer Kunden acant als „Zweitmakler“. Ihr angestammter Versicherungsmakler bleibt für die klassischen betrieblichen Versicherungen zuständig, wir betreuen als Fachmakler die Themen Cyberversicherung, Geschäftsführer-/Managerhaftung sowie IT-Projektversicherung.

Wie bei Rechtsanwälten und Ärzten wächst auch bei Versicherungsmaklern der Bedarf an Fachbetreuung für bestimmte Gebiete.

Beispiel Cyber-Police: Der Versicherungstyp ist jung. Die Major Player wie Allianz Global, AXA, ACE, Chubb, R+V, BVK, Hiscox, Württembergische, AIG und die Gothaer haben noch keine jahrelange Schadenerfahrung. Sie passen ihre Produkte deshalb laufend an. Schwerpunkte und Zielgruppen der Policen sind zudem sehr unterschiedlich. Deutsche Versicherern siedeln das Cyber-Thema oft in den Haftpflichtabteilung an, US-Assekuranzen eher bei „Financial Lines“. Daraus ergeben sich  unterschiedliche Vertragsausrichtungen: eher haftpflichtorientiert mit Deckungserweiterung für Eigenschäden im deutschen Fall, Individualpolicen auf Basis von Versicherungsklauseln für Garantieversicherungen oder für Vertrauensschaden und Computermissbrauch bei US-Gesellschaften.

Um zu wissen, was davon für Ihren Bedarf am besten passt und gleichzeitig die geringsten Kosten verursacht, sollte Ihr Versicherungsmakler sich schon etwas häufiger mit Cyber-Risiken befasst haben. Bei persönlichen Haftungsrisiken im Beruf ist das nicht anders. Hier ist es die Rechtsentwicklung, die dafür sorgt, dass sich der Markt für D&O-Policen und andere Betriebs- und Berufshaftpflichtversicherungen laufend ändert. Deshalb sollten Sie auch hier einem Fachmakler vertrauen.

Zweite Meinung?

Sie können sich übrigens auch an uns wenden, wenn Sie eine zweite Meinung zu Versicherungsangelegenheiten einholen wollen. Rufen Sie  an (030 863 926 990) oder schreiben Sie uns.

D&O-Versicherungen und ihre typischen Versicherungslücken

von

Wenn ein Kunde neu zu uns kommt, prüfe ich als Erstes die vorhandenen Versicherungsverträge auf Versicherungslücken – und zwar die Versicherungen für das Unternehmen selbst ebenso wie die Haftpflichtpolicen für die Entscheidungsträger. Dabei treffe ich immer wieder auf die gleichen Deckungslücken.

D&O-Versicherungen sind für Verantwortungsträger im Unternehmen ein Muss

D&O-Versicherungen sind personenbezogene Haftpflichtpolicen für Geschäftsführer, Vorstände, Abteilungsleiter etc – und unverzichtbar. Ohne diesen Schutz können ein zu spät gestellter Antrag auf Insolvenz, Versäumnisse beim Datenschutz, ein nicht angemeldetes Patent oder andere geschäftliche Entscheidungen bis in die Privatinsolvenz führen. Seit dem „Siemens/Neubürger“-Urteil muss es noch nicht einmal mehr eine echte, eigene Entscheidung sein, die mittelbare Verantwortung für Versäumnisse im Unternehmen reicht  (und zwar im konkreten Fall für Forderungen  in Höhe von 15 Mio. € plus Zinsen gegen den ehemaligen Vorstand, LG München, 10.12.2013 – 5 HK O 1387/10, jetzt in Berufung vor dem OLG München, Az. 7 U 113/14).

Immer wieder die gleichen Fehler

Deshalb schaue ich mir die D&O-Versicherungen neuer Kunden immer sehr genau an. Leider finden sich bei der persönlichen Absicherung von Verantwortungsträgern regelmäßig die folgenden Versicherungslücken:

  • Nach dem Ausscheiden besteht kein oder kein zuverlässiger Schutz mehr: Auch Forderungen an einen ehemaligen Vorstand oder die frühere Geschäftsführerin sind juristisch problemlos möglich. Oft sieht der D&O-Vertrag aber keine Rückwärtsdeckung oder Nachhaftung vor, und per „Claims-made“-Prinzip wird der Haftungszeitraum eingeschränkt. Dann ist der ehemalige Geschäftsführer schutzlos.
  • Nur privatrechtliche Ansprüche sind versichert, öffentlich-rechtliche nicht: Oft umfasst die Haftpflichtversicherung nicht die persönliche Haftung für Steuerschulden des Unternehmens oder Außenstände bei den Sozialversicherungen – dabei sind das oft absolut existenzbedrohende Summen.
  • Ansprüche des Unternehmens selbst gegen den Geschäftsführer, Vorstand oder Aufsichtsrat sind nicht mitversichert. Diese Deckung ist bei Versicherungsgesellschaften unbeliebt, weil sie Angst vor Unregelmäßigkeiten haben. Aber diese Art der Forderung ist in der Praxis eines der größten Risiken für die „Organe“ einer Kapitalgesellschaft.

Solche Lücken lassen sich beheben. Aber dazu muss man sie zunächst einmal aufspüren!

Wie bei allen Versicherungen gilt auch für eine D&O-Police: Schutz bietet Ihnen nicht die Überschrift über dem Vertrag und auch nicht das Geld, das Sie jedes Jahr überweisen. Schutz bieten nur die genauen Details im VertragHat Ihr persönlicher Haftungsschutzschirm ebenfalls Löcher? Ich kann es Ihnen sagen.