Antrag auf Cyber-Versicherung: Direkt online!

Für Kurzentschlossene und Interessierte: Einen Antrag auf Cyber-Verscicherung können Sie hier jetzt auch direkt online stellen:

Mehr

Reputationsverlust: Eine Cyber-Police versichert auch den guten Ruf Ihres Unternehmens

Vor wenigen Tagen habe ich über einen Bitkom-Leitfaden zu den Kosten von Cyber-Schäden berichtet. Er belegt erneut, dass die wahren Kostentreiber nach einer Cyber-Attacke oder einer IT-Havarie oft andere sind, als man denkt. Besonders teuer ist zum Beispiel der Reputationsverlust, die Folgen für den guten Ruf Ihres Unternehmens.

Reputationsverlust durch Cyber-Kriminalität: Ihr guter Ruf ist gefährdet

  • Je makelloser Ihr Ruf ist, desto größer das Risiko. Die Reputation Ihres Unternehmens ist vor allem dann leicht zu beschädigen, wenn Sie sich ein ausgezeichnetes Standing aufgebaut haben. Das haben sowohl die Deutsche Bank wie auch VW erfahren müssen.
  • Sie müssen nicht mal Fehler machen. Pech reicht schon. So wie im Fall des kleineren Unternehmens, das nur scheinbar der Absender von 300 Mio. Viren-Mails war.
  • Im Schadensfall müssen Sie rasch und sehr professionell reagieren. Wenn Kundendaten entwendet wurden oder Produkte Fehler aufweisen und Ihr Unternehmen in der Öffentlichkeit zur Zielscheibe wird, helfen komplexe Argumente und hilflose Erklärungsversuche wenig. Weder Social-Media-Nutzer noch verärgerte Kunden setzen sich differenziert mit Ursachen und Schuldfragen auseinander. Nicht zu reagieren ist aber ebenfalls tödlich.
  • Die Fehler sind schnell gemacht, die Folgen lange spürbar. Eine Marke ist schnell beschädigt. Die Menschen merken sich eher den einen Skandal als die lange Zeit davor, in der Ihr Unternehmen ein Synonym für Qualität und Innovation war. Wenn Lieferverzögerungen, Datenschutzverletzungen oder Mängel eine Geschäftsbeziehung beeinträchtigt haben, dauert es lange, die eigene Reputation wieder aufzubauen. Und es kostet Geld: für Öffentlichkeitsarbeit, Marketing und Vertrieb, vielleicht auch für Entschädigungen.

Wie eine Versicherung Sie im Schadensfall schützt

Eine maßgeschneiderte Versicherung kommt nicht nur für Schäden auf – sie hilft auch schon, wenn die Krise sich entfaltet.

Schneller Zugriff auf Krisen-Spezialisten: PR-Fachleute, IT-Experten, Rechtsanwälte

Viele Cyber-Versicherungen ersetzen Ihnen die Kosten für die „schnellen Eingreiftruppen“, die Ihr Unternehmen bei einer schweren Cyber-Attacke oder Datenpanne braucht. Viele Versicherungsgesellschaften haben auch selbst solche Fachleute unter Vertrag – Sie müssen also nicht erst recherchieren.

Drittschäden sind versichert.

Wenn ein Cyber-Vorfall in Ihrem Unternehmen zu Schäden bei Geschäftspartnern führt, können Sie auf Ihre Police verweisen und stellen so sicher, dass für die Schäden gehaftet wird. Das entlastet nicht nur Ihr Unternehmen von der Haftpflicht, es kann auch Geschäftsbeziehungen retten.

Umsatzeinbußen sind versicherbar.

Der Umsatz geht in Folge von Cyberangriffen oder Datenschutzverletzungen zurück? Dieser Ausfall kann durch eine Cyber-Versicherung gedeckt werden.

Rechtsschutzversicherungen geben Ihnen Handlungsfreiheit.

Nach einer Attacke sehen Sie sich vermutlich mit einer Vielzahl von Ansprüchen konfrontiert – berechtigten wie unberechtigten. Eine Rechtsschutzversicherung sorgt dafür, dass das Unternehmen die Rechtskosten schultern kann, ohne dass die Bilanz unter der Last der Rückstellungen in die Knie geht.

D&O-Versicherungen schützen das Management vor persönlicher Haftung.

Wenn die Geschäftsführung eine Cyber-Police abgeschlossen hat, hat sie vorgesorgt und kann zumindest in diesem Punkt nicht aufgrund von Verletzung der Sorgfaltspflichten in Anspruch genommen werden. Wenn Geschäftsführern oder Vorständen dennoch ein Strick aus angeblichen Compliance-Versäumnissen gedreht wird, rettet eine Manager-Haftpflichtversicherung (D&O-Versicherung) im Zweifel die persönliche Existenz.

Haben Sie Fragen zu Ihrer Absicherung?

Falls Sie wissen möchten, welche Versicherungsbausteine für Ihr Unternehmen sinnvoll sind und auf welche Sie verzichten können, und inwieweit die bereits bestehenden Versicherungen Sie vor Reputationsverlust schützen: Ich beantworte Ihre Fragen gern und unverbindlich. Rufen Sie mich an (030 863 926 990) oder schreiben Sie mir eine kurze Nachricht.

Mehr

Schäden und Kosten bei einem Cyber-Angriff

Welche Kosten entstehen bei einem Cyberangriff? Welche Art Schäden wird verursacht? Diesen Fragen geht der Bitkom-Leitfaden „Kosten eines Cyber-Schadensfalles“ nach.

Es lohnt sich sehr, die rund 40 Seiten des Papiers durchzulesen. Es zeigt nicht nur prägnant, wie bedrohlich die Folgekosten eine Cyber-Attacke ausfallen können, man lernt auch, wie sich die verschiedenen Schadensaspekte aufschlüsseln lassen: eine anschauliche Lektion in praktischem Risikomanagement.

Dabei ist das Ganze aufgrund zahlreicher Beispiele zudem gut lesbar. Außerdem gibt es einen Fragenkatalog zur Selbstdiagnose der eigenen Risikosituation.

Konkrete Beispiele für Schäden – in Euro

Besonders frappierend sind die Summen aus den diversen Beispielen für — keineswegs außergewöhnlichen — Cyberzwischenfälle. Ich habe mal ein paar dieser Zahlen notiert:

  • Verschlüsselungstrojaner beim einem deutschen Mittelständler: 150.000 Euro Schaden
  • Kreditkarten-Trojaner im Kassensystem eines gehobenen Restaurants: 115.000 Euro Schaden
  • Denial-of-Service-Attacke auf einen Online-Shop mit 23stündiger Downtime: 185.000 Euro Schaden
  • Datenklau im Vertreib eines Mittelständler: 2.423.000 Euro Schaden
  • Eingeschleuste Fremdsoftware in Verbindung mit CEO-Betrug bei einem Pumpenhersteller: 6.625.000 Euro Schaden

Eigenschäden und Fremdschäden

Die Folgeschäden nach einem Cyber-Angriff zerfallen in zwei verschiedene Arten: Eigenschäden und Fremdschäden. Beide Arten von Schäden tun weh – die einen direkt, die anderen auf dem Umweg über Rechtsanwälte und Schadenersatzklagen sowie durch Reputationsverlust.

Typische Eigenschäden

  • Betriebsunterbrechung oder Betriebsbeeinträchtigungen: Die Produktion steht still, oder die Dienstleistungen können nicht mehr erbracht werden, weil wichtige IT-Ressourcen fehlen. Fehlersuche, Wiederherstellung von Daten und das Wiederanfahren von Systemen kosten viel Geld. Verzögerungen und Qualitätseinbußen führen zu weiteren Kosten.
  • Krisenbewältigungskosten: Wenn nach einem desaströsen IT-Angriff Krisenstäbe tagen und Überstunden ansammeln, externe IT-Spezialisten eilig herbeigeholt werden.
  • Wiederherstellungskosten: Um die IT wieder in arbeitsfähigen Zustand zu versetzen, benötigt man IT-Spezialisten, Arbeitszeit, neue Hardware …
  • Ermittlungskosten: Bevor man einen Schaden reparieren kann, muss man ihn erstmal genau verorten. Außerdem muss die Schwachstelle, die den Angriff ermöglicht hat, dringend geschlossen werden. Drittens muss sichergestellt sein, dass nicht noch weitere Probleme unentdeckt geblieben sind – etwa beim Angriff installierte Schadroutinen. Diese sogenannte IT-Forensik erfordert Zeit und Spezialisten mit beneidenswerten Tagessätzen. Außerdem sind die betroffenen IT-Systeme während der Untersuchungen oft weiterhin nicht verfügbar: noch mehr Ausfallzeit.
  • Rechtsberatungskosten: Anwälte verdienen natürlich auch an Cyberangriffen, denn es gibt einige juristische Fragen zu klären: Haftungsfragen, arbeitsrechtliche und Datenschutzprobleme, Compliance- und Vertragsfragen, Prüfung von Informationspflichten, …
  • Informationskosten: dieser Kostenpunkt wird regelmäßig unterschätzt. Dabei ergeben sich bei einem Cyber-Angriff schnell eine ganze Reihe juristischer Informationspflichten: Das Datenschutzrecht verpflichtet zur Information Betroffener bei Datenklau, das Kapitalmarktrecht kann zu einer Ad-hoc-Mitteilung führen, das IT-Sicherheitsgesetz schreibt Meldungen an das BSI vor, Kreditinstitute müssen die BaFin informieren, etc. All das bindet Arbeitszeit und erfordert Aufwand, vor allem wenn – wie bei massenhaftem Kundendatenklau – viele Geschädigte angesprochen werden müssen.
  • Lösegeldzahlungen: Unternehmen werden schon lange von Cyber-Kriminellen erpresst.
  • Reputationsschäden sind eine weiteres bedrohliches Risiko – sie reichen von erhöhtem Werbe- und PR-Aufwand über sinkenden Umsatz bis zu steigenden Versicherungsprämien.
  • Vertragsstrafen: weil Liefer- oder Dienstverträge nicht eingehalten werden

Fremdschäden

Die Schäden, die der Angriff auf das eigene Unternehmen für Dritte nach sich zieht, sind oft besonders bedrohlich. Das führt der Leitfaden sehr anschaulich aus.

Zum einen kommen solche Schäden ja zu einem zurück – in Form von Ansprüchen aufgrund von Haftpflicht. Wenn die Daten der Kunden aus der zentralen Kundendatenbank gestohlen und später missbraucht werden, kann das gehackte Unternehmen mit einer Klagewelle rechnen.

Zum anderen sind Fremdschäden, anders als Eigenschäden, nur sehr schwer abschätzbar. Man weiß ja nicht, wieviel Geld mit den Kundendaten auf fremde Kosten ergaunert werden kann. Ähnlich ist es mit Trojanern oder Viren, die aus dem eigenen Unternehmen ins Netz von Geschäftspartnern eingeschleust werden und dort den Geschäftsbetrieb lahmlegen.

Gegenmaßnahmen und Präventionskosten

Das Bitkom-Papier zählt eine ganze Reihe von Präventions- und Gegenmaßnahmen auf:
  • ein Notfallkonzept entwickeln (mit Notfall- und Wiederanlaufplanung)
  • Krisenstab organisieren, Krisenübungen durchführen
  • eine Business-Impact-Analyse (BIA) durchführen, um kritische IT-Systeme, deren Abhängigkeiten untereinander und deren maximal tolerierbaren Ausfallzeiten genau zu kennen.
  • sichere IT-Infrastruktur aufbauen
  • Ausweich-Infrastrukturen vorhalten (etwa Verträge mit Ersatzrechenzentren)

Das alles kostet auch Geld. Dem müssen aber die Summen entgegengestellt werden, die ansonsten als Notfallreaktion fällig werden.

Bitkom-Leitfaden zu Schäden von Cyber-Angriffen

Zu den sinnvollsten Vorsorgemaßnahmen gehören Cyber-Versicherungen, so auch der neue Bitkom-Leitfaden (Screenshot, Quelle: Bitkom-Leitfaden).

Auch der Bitkom sagt: Versichern!

Als Quintessenz aus all diesen Informationen empfiehlt auch der Bitkom: Versichern. Ich beschränke mich auf Zitate:

„Vor dem Hintergrund der in diesem Leitfaden skizzierten Herausforderungen, und im Sinne eines Risikomanagements, kann es für ein Unternehmen eine sinnvolle Entscheidung sein, bestehende Restrisiken abzusichern. Angebote mit entsprechender Versicherungspolice sind am Markt zwischenzeitlich verfügbar und runden das Konzept eines ganzheitlichen Sicherheitsmanagements ab.
Obwohl fast drei Viertel aller deutschen Unternehmen Angriffe auf ihre Computer und Datennetze durch Cyberkriminelle oder ausländische Geheimdienste als reale Gefahr sehen, haben sich bisher nur wenige Firmen gegen Cyber-Risiken versichert. Gut die Hälfte aller Unternehmen in Deutschland ist in den vergangenen zwei Jahren Opfer von digitaler Wirtschaftsspionage, Sabotage oder Datendiebstahl geworden (aktuellste Bitkom Studie). Die Unkenntnis über die vorhandenen Versicherungskonzepte oder die Sorge vor vermeintlich hohen Prämien können ein Gründe dafür sein.

Es gibt bereits mehr als ein Dutzend deutsche Versicherungsgesellschaften, die Absicherungslösungen gegen Schäden durch Cyberangriffe anbieten. Selbst der physische Datenverlust durch einfaches Liegenlassen oder durch den Klau einer Festplatte mit Firmendaten gilt dabei ebenso versichert wie das gehackte Firmenkonto oder die Betriebsunterbrechung durch Virenbefall. Zusätzlich bieten viele Versicherer Präventionsmaßnahmen und Krisenübungen an, damit ihre Kunden im Fall der Fälle vorbereitet sind.

Aber selbst wenn sich ein Unternehmen nicht gegen die aufgezeigten finanziellen Schäden absichern möchte, kann die vor Versicherungsvertragsschluss durchgeführte Prüfung einer Versicherungsgesellschaft über die Versicherbarkeit der Risiken durchaus Aufschluss über die Gefährdungslage bieten.
Cyber-Risk-Versicherungen bieten Schutz vor Risiken wie Hacking, Virenattacken, operative Fehler, Datenrechtsverletzungen sowie das Risiko, Dritte durch die Nutzung elektronischer Medien zu schädigen.“

Das Schadenspotenzial einer Cyber-Attacke ist enorm. Aber das gilt auch für die Schutzfunktion einer Cyber-Versicherung.

Haben Sie Fragen dazu? Rufen Sie mich an: 030 863 926 990

Mehr

Lesetipps und Seitenblicke: Doppelt verkaufte Nutzer, schlaue Container, weniger riskante Links

Wieder mal eine kleine Sammlung von Lektüretipps – Beiträge und Informationen, die ich spannend fand. Natürlich haben alle irgendwie mir Risiko, Versicherungen und meist auch mit IT zu tun … das liegt in der Natur der Sache.

  • Eine Geschichte, die zeigt, welchen Wert Nutzerdaten für Kriminelle haben: Ein Amerikaner namens David Kent gründet im Jahr 2000 Rigzone.com, quasi eine Mischung aus Branchen-Website und sozialem Netzwerk speziell für die Ölförderbranche. 2010 verkauft er den Dienst für – je nach Angabe – 39 bis 51 Mio. US-$. Dann macht er sich daran, mit Oilpro.com ein neue, ganz ähnliche Plattform aufzubauen, die er demselben Käufer anbietet, für 20 Mio. US-$. Der Haken an der Sache: Die Mitglieder der zweiten Plattform hat Kent sich besorgt, indem er nachträglich die Nutzerdatenbank der ersten Plattform gehackt hat. Jetzt sitzt er in Untersuchungshaft und könnte bis zu 25 Jahre Haft bekommen. Bei Quartz.com gibt es die Datenklau-Geschichte zum Nachlesen (auf Englisch).
  • Falls Sie, was hoffentlich nicht geschieht, Opfer eines Erpressungstrojaners wie Locky werden, können Sie den virtuellen Erpresserbrief oder eine der verschlüsselten Dateien bei ID Ransomware hochladen und erfahren dann, welcher Verschlüsselungsschädling in Ihrem Fall am Werk war und ob ein Gegenmittel existiert.
  • Vielleicht haben Sie ja von dem Trojaner gehört, der einen Computer im Atomkraftwerk Grundremmingen befallen hatte. Der Rechner diente zur Steuerung der Brennelementelademaschine und war 2008 installiert worden. Befremdlich ist aber nicht nur der Vorfall, sondern auch der Wortlaut der Pressemitteilung des Kernkraftwerkbetreibers: Die jetzt gefundene „so genannte Büro-Schadsoftware“ (sabotiert die Kaffeeautomaten oder sorgt für Papierstau im Drucker?) sei „der Fachwelt bereits einige Jahre bekannt“ – was die Sache ja nicht besser macht. Das Fazit: „Das Vorkommnis wurde gemäß den deutschen Meldekriterien in die Kategorie N (Normal) eingestuft.“ Na dann …
  • Im Rahmen von Industrie 4.0 sollen Fertigungsanlagen, Logistik-Einheiten, die Produkte selbst und andere Elemente der Lieferkette intelligent gemacht und miteinander vernetzt werden. Unter dem Namen Industrial Data Space entwickelt die Fraunhofer-Gesellschaft dafür den Rahmen einer dezentralen und möglichst abhörsicheren Kommunikations-Infrastruktur. Ein konkretes Beispiel ist der intelligente Luftfrachtcontainer I-Con, der mit GPS-Empfänger sowie Bewegungs- und Temperatursensoren ausgestattet ist und seine eigenen Fracht- und Zollpapiere in digitaler Form mit sich führt. Natürlich kann er auch kommunizieren, beispielsweise um dem Frachtführer seinen Standort mitzuteilen oder bei einem Unfall von sich aus Spediteur, Empfänger und Versicherung zu informieren.
  • Normalerweise gehören die Worte „Haftungsrisiken“ und „steigen” ja untrennbar zusammen. Aber ein Haftungsrisiko für Website-Betreiber könnte nun bald entfallen: Das für Website-Betreiber, die Seiten mit unrechtmäßigen Inhalten verlinken. Seit vielen Jahren gilt in Deutschland, dass man verlinkte rechtswidrige Inhalte haftet, wenn man sie sich „zu eigen macht“. Diese Formulierung des BGH brachte in der Praxis viel Unsicherheit, übervorsichtige Link-Policies in vielen Unternehmen und auf privaten Seiten den juristisch sinnfreien Disclaimer „… distanziere ich mich pauschal von allen Links”. Nun aber entscheidet der EuGH bald über die Haftung für Links. Und er könnte die Websites-Betreiber selbst beim bewussten Verlinken illegaler Inhalte von der Haftung freistellen, wie Rechtsanwalt Dr H. M. Wulf aus Hamburg berichtet.
    Falls es tatsächlich so kommt, kann man allerdings auch schwerer dagegen vorgehen, wenn beispielsweise Verstöße gegen eigene Marken- oder Urheberrechte im Netz verbreitet werden.
  • IT-Sicherheit ist ein Thema, das längst weit über die Branchen und die IT-Abteilungen selbst hinaus ausstrahlt. Das zeigt auch ein aktuelles Interview mit dem Sprecher der Pilotenvereinigung Cockpit: Die Piloten wollen, dass Flugzeughersteller, Fluglinien und Behörden mögliche Angriffen auf die Bordcomputersysteme ernster nehmen als bisher.
  • Hier ist ein Ratgeber, den Sie hoffentlich nie nötig haben: In der Washington Post erschien gerade eine illustrierte Anleitung zur richtigen Reaktion, wenn ein Amokschütze im Gebäude ist. Die drei Optionen lauten: „run” – „hide” – „fight”. In dieser Reihenfolge. (Auf Englisch – aber die Grafiken versteht man auch so.)
  • Und zum Schluss noch ein weiteres unangenehmes Thema: Am Ostermontag brannte ein großer Geflügelschlachtbetrieb in Lohne ab. Der Eigentümer Wiesenhof war offenbar unterversichert: Die Betriebsausfallversicherung reicht nicht aus, um die Lohnkosten zu decken. Deshalb soll Personal abgebaut werden. Was der Pressebericht nicht erwähnt: Dieser Schritt kann auch für das Management gefährlich werden. Denn das Bundesarbeitsgericht hat bereits 1972 einem Arbeitgeber untersagt, die Fixkosten nach einem Brand durch Entlassungen aufzufangen – er hätte sich eben versichern müssen. Andererseits kann bei einem Versicherungsversäumnis der Unternehmensschaden zur persönlichen Haftung des Managements führen. Das droht übrigens nicht nur nach einem Brand, sondern auch bei einem desaströsen Cyber-Angriff.
Mehr

Cyber-Versicherung: Ausschluss als Falle

Stolperstein Versicherungsausschluss

Vieles an der Cyber-Versicherung ist neu. Der Querschnittscharakter etwa: Haftpflicht, Eigenschäden, Vertrauensschäden und Rechtsschutz in einer einzigen Police.

Manches ist dagegen so wie immer schon: Etwa die Tatsache, dass der Ausschluss eines bestimmten Versicherungsfalls zur Versicherungsfalle werden kann.

Zwei typische Beispiele:

  • Es gibt zum Beispiel Cyberpolicen, in denen nur zielgerichtete Angriffe versichert sind. Ein sich unkontrolliert verbreitender Computervirus legt Ihr Unternehmen lahm? Pech gehabt.
  • Oder der Ausschluss bezieht sich darauf, dass einer Ihrer Mitarbeiter vorsätzlich handelt. Ein jähzorniger Angestellter quittiert die Kündigung dadurch, dass er Ihre Auftragsdatenbank sabotiert oder alle Projektdaten löscht? Pech gehabt.

Wobei: Pech ist das falsche Wort. So etwas ist ja kein Schicksal, sondern falsche Beratung. Es gibt auch Versicherungsangebote ohne diese Ausschlüsse. Man muss sie allerdings kennen.

Mit anderen Worten: Sie sollten sich an einen Fachmakler für Cyber-Versicherungen wenden. Zum Beispiel an uns, die acant service GmbH. Sie erreichen uns unter 30 863 926 990.

Was deckt eine Cyberversicherungen eigentlich ab?

Für die klassischen betrieblichen Versicherungen wird der Versicherungsschutz nach Sparten definiert: Gegen Feuer eine Sachversicherung, gegen Ansprüche Dritter eine Haftpflicht-Police, gegen Schäden in der EDV eine technische Versicherung  usw.

Bei der Cyberversicherung wirkt zählt dagegen der Gedanke, dass  es nicht darum geht, einzelne mögliche Ursachen für Schäden an Daten, Netzwerken, Hardware, Steuerungen etc. als einzelne Schadensszenarien zu versichern und eine Vielzahl von Spartenversicherungen einzeln abzuschließen. Daten und Systeme sind vielmehr per se anfällig, und immer neuen Risiken ausgesetzt, sie müssen deshalb umfassend gegen unerlaubten Zugriff, Schäden und Ausfälle versichert werden.

Schließlich kann es dem geschädigten Unternehmen letztlich egal sein, ob ein Hacker, ein unzufriedener Mitarbeiter oder technisches Versagen die unersetzliche Datenbank zerstört hat. Und auch die Forderungen der Vertragspartner, die Kosten für das Neuaufsetzen der Datenbank, die juristischen Folgen und die durch die Panne entstehenden Marktverluste summieren sich letztlich zu einem Gesamtschaden, der die Bilanz verhagelt.

Deshalb sollte Cyber-Versicherungsschutz dem Risiko entsprechend umfassend konzipiert sein.

(Nicht vorhandene Risiken sollten dagegen tatsächlich nicht versichert sein – denn das kostet ja Geld.)

Und wie gesagt: Gerne beantworten wir Ihre Fragen zum Thema auch persönlich.

Mehr

Das geplante Kassengesetz: Haftung trotz Zertifikat?

Wer mit Kassen-EDV bzw. Registrierkassen zu tun hat, muss sich auf neue Herausforderungen einstellen. Und auch sonst kann man hier etwas lernen, und zwar: Wenn eine Software oder ein System für einen haftungskritischen Bereich gedacht ist, verringert selbst ein Zertifikat das eigene Haftungsrisiko nicht unbedingt.

Doch der Reihe nach …

Kassensysteme bald nur noch mit BSI-Zertifikat?

Das Bundesfinanzministerium möchte durch neue gesetzliche Vorschriften verhindern, dass in Bargeld-Branchen wie der Gastronomie manipulierte Kassensysteme den Staat um Steuereinnahmen bringen. Es will deshalb verschiedene Dinge ändern:

  • Steuerprüfer sollen jederzeit eine „Kassen-Nachschau” durchführen können, und der Einsatz fehlerhafter Kassensysteme oder fehlende Kassendaten können bis zu 25.000 Euro Bußgeld kosten.
  • Außerdem sollen Kassensysteme manipulationssicher sein und alle relevanten Kassen- und Transaktionsdaten für Berechtigte – wie den Prüfer vom Finanzamt – digital abfragbar machen. Eine „technische Sicherheitseinrichtung” wird Pflicht, bestehend aus einem Sicherheitsmodul, einem Speicher für Kassendaten und einer digitalen Schnittstelle. Und das Ganze muss ein BSI-Zertifikat besitzen.

So steht es im Entwurf zum geplanten „Kassengesetz“. Leider bringt das den Betreibern und Einrichtern von Kassensystemen wohl kaum mehr Rechtssicherheit. Im Gegenteil, es erscheint schwer umsetzbar.

Zertifikat gleich ordnungsgemäß? Von wegen.

Diese Kritik an dem Projekt formuliert ein interessanter Kommentar zu dem Gesetzentwurf von Gerhard Schmidt, Diplom-Informatiker und Chefredakteur beim Forum Elektronische Steuerprüfung.

Schmidt wundert sich über die geplante Einführung vorgeschriebener Positiv-Zertifikate. Ein kurzer Seitenblick auf Buchhaltungssoftware zeigt, warum. Bislang hat die Finanzverwaltung es nämlich rundheraus abgelehnt, für Buchführungssoftware eine belastbare Positiv-Zertifizierung auszustellen, etwa in Form einer so genannten verbindlichen Auskunft. Eine solche Zertifizierung würde dem Betreiber des Programms bescheinigen, dass sein System ordnungsgemäß arbeitet, und ihn damit im Effekt von der Haftung freistellen, wenn es dann doch zu Beanstandungen kommt. Diesen Schutz will das Finanzamt aber nicht gewähren.

Statt solcher Positiv-Zertifikate der Finanzverwaltung gibt es bisher nur „Negativ-Negativ-Zertifikate” der Hersteller von Buchhaltungssoftware: So nennt Schmidt Bescheinigungen der Software-Anbieter, dass mit ihrem Programm etwa GoBD-konform gearbeitet werden kann – was aber nicht ausschließt, dass auch missbräuchliche Anwendungsweisen möglich sind. Es liegt auf der Hand, dass solche Dokumente im Zweifelsfall das Unternehmen kaum vor Ordnungswidrigkeitsverfahren und die Verantwortlichen nicht vor der persönlichen Haftung schützen (Motto: „Sie haben nicht für eine ordnungsgemäße Buchführung in Ihrem Unternehmen gesorgt, Sie haften!”).

Zurück zu den Kassensystemen: Ein BSI-Zertifikat macht bei ihnen nur Sinn, wenn es sich um ein Positiv-Zertifikat handelt, demzufolge das zertifizierte System gar nicht missbräuchlich benutzt werden kann. Diese Prüfung wäre aber praktisch kaum machbar, zumal dann nicht nur ein bestimmtes Produkt, sondern auch jede einzelne Installation überprüft oder geeicht werden müsste. Und ob das BSI für von ihm begutachtete Systeme die volle Haftung übernehmen würde? Daran meldet Schmidt Zweifel an – mit Recht.

Die Haftung wird da bleiben, wo sie jetzt schon ist … bei Ihnen

Im Endeffekt wird bei digitalen Kassensystemen zumindest aus Sicht der Haftungsfrage wohl alles so bleiben, wie es ist: Dafür, dass die Kassen ordnungsgemäß betrieben werden, haftet das Unternehmen und im Durchgriff auch dessen Organe, sprich Geschäftsführer oder Vorstände. Dafür, dass die Kassen ordnungsgemäß funktionieren und nicht beispielsweise von außen manipuliert werden, haftet aber natürlich auch derjenige, der die Systeme herstellt, plant, liefert und /oder einrichtet – und im Zweifel auch dessen Führungspersonal.

Deshalb bleibt Absicherung der Haftung weiterhin zentral. Vor Schadenersatzforderungen und Haftung schützen Elektronik- und Maschinenversicherungen, Cyber-Policen, D&O-Versicherungen (Managerhaftpflicht) sowie persönliche und betriebliche Rechtsschutzversicherungen.

Welche dieser Elemente in welcher Form für Ihren Fall relevant sind und auf welche Sie verzichten können, erfahren Sie vom Versicherungsmakler Ihres Vertrauens. Zum Beispiel von uns – rufen Sie uns an unter 30 863 926 990.

Kassengesetz: Kassen mit Zertifikat (Quelle: BMF)

So stellt sich das BMF die Regelung zu neuen Kassensystemen mit Zertifikat vor. (Quelle: Bundesministerium für Finanzen)

Mehr