IT Branchenrisiko

Datendiebstahl und Schadenersatz - Symbolbild von Kris / TheDigitalWay via Pixabay

EuGH zu Datendiebstahl durch Hacker: kein Schadenersatz „einfach so“, ohne Schaden

von

Ist Datendiebstahl stets ein Schaden? Genügt der Diebstahl persönlicher Daten, damit Betroffene vom Betreiber einer gehackten Trading App Schadenersatz fordern können? Oder müssen sie dafür konkrete Schäden nachweisen, zum Beispiel Identitätsdiebstahl? Dazu hat sich vor kurzem der Europäische Gerichtshof geäußert. Das Urteil ist für alle Unternehmen wichtig, die Daten von Kunden oder Interessenten speichern, wie E-Commerce-Anbieter und Shop-Betreiber.

Gleichzeitig ist die Frage nach der Haftpflicht für Datenschutzverletzungen nur ein Aspekt des Cyber-Risikos. Bei Online-Angriffen drohen auch immense Eigenschäden durch Betriebsunterbrechung und Neuinstallation. Zum Glück können beide Schadensarten versichert werden: durch Haftpflicht- und Cyber-Versicherungen.

Diebstahl persönlicher Daten als immaterieller Schaden?

Die Artikel 82 der Datenschutz-Grundverordnung ist eindeutig: Wer für einen Datenschutzverstoß verantwortlich ist, muss den Betroffenen Schadenersatz leisten. Das gilt für materielle Schäden, etwa durch Einkäufe mit gestohlener Identität. Es betrifft außerdem immaterielle Schäden wie Verletzungen des Persönlichkeitsrechts durch Veröffentlichung von Privatinformationen. Zahlen müssen nicht nur die Cyber-Kriminellen, die ohnehin selten gefasst werden. Auch die Betreiber gehackter Plattformen haften für mangelnde Sicherheitsmaßnahmen.

Ein Streitpunkt war lange, ob bereits der Datendiebstahl selbst zu einem immateriellen Schaden führt, weil die Besitzer der Daten in Sorge vor möglichem Missbrauch leben müssen. Das machten zwei Nutzer der Trading-App von Scalable Capital geltend, nachdem Hacker sich 2020 bei dem Online-Broker Zugriff auf viele Tausend Datensätze verschafft hatten. Zwei der Betroffenen klagten vor dem Amtsgericht München. Das Amtsgericht hatte Fragen zu dem Fall, die es dem Europäischen Gerichtshof vorlegte.

Schadenersatz nach einem Online-Angriff: Der EuGH nimmt Stellung

Der EuGH entschied, dass der Schadenersatz keine Straffunktion hat. Ausmaß und möglicher Vorsatz bei Datenschutzversäumnissen spielen für die Schadenersatzhöhe keine Rolle. Zwar wiegt der immaterielle Schaden durch Datendiebstahl per se nicht weniger schwer als etwa eine Körperverletzung. Allerdings genügt laut EuGH bei einem geringfügigen Schaden bereits ein symbolischer Schadenersatz. Und ein Identitätsdiebstahl, der eine entsprechende größere Schädigung belegen würde, liegt erst vor, wenn die gestohlenen Personendaten tatsächlich missbraucht werden.

Das Urteil stärkt einerseits die Rechte der Opfer von Datendiebstahl: auch ihre immateriellen Schäden müssen ersetzt werden und können zu Schmerzensgeld berechtigen. Andererseits liefert es keine Grundlage, um schon beim reinen Abfluss personenbezogener Daten Schadenersatz zu fordern. Dafür muss eine materielle oder immaterielle Schädigung belegt werden (EuGH, 20.06.2024 – C-182/22 und C-189/22).

In einem anderen Verfahren hatte das Landgericht München I einem Kunden von Scalable aufgrund des Diebstahls seiner Daten 2.500 Euro Schmerzensgeld zugesprochen. Inzwischen ist dieser Fall beim Oberlandesgericht anhängig (OLG München – 36 U 138/22).

Datenschutz-Haftung nach einem Datendiebstahl ist nur ein Aspekt: Was ist mit den Eigenschäden?

Die EuGH-Urteil findet medial große Beachtung. Die Haftung für gestohlene Daten gilt zurecht als brisant. Trotzdem kämpfen Unternehmen, die Opfer von Hackern werden, regelmäßig mit einem weiteren, mindestens ebenso großen Problem: den Eigenschäden durch wochenlange Betriebsunterbrechung, Image-Verlust, nicht erfüllte Verträge und teurer Neuinstallation der betrieblichen IT.

Viele Unternehmen sind gegen Schadenersatzpflichten durch Haftpflichtversicherungen ausreichend geschützt – dem Risiko, dass der EuGH in Bezug auf DSGVO-Verstöße ein Stück weit begrenzt hat. Gleichzeitig haben zahlreiche Betriebe weiterhin keine Cyber-Versicherung – und damit keine Deckung für die Eigenschäden, die ihnen durch Online-Kriminelle jederzeit entstehen können.

Im Berlin Capital Club: Business-Talk-Frühstück mit dem Ethical Hacker Immanuel Bär

Im Berlin Capital Club findet am Dienstag, den 10. September 2024  von 09:00 bis 10:30 ein Business-Talk-Frühstück mit Immanuel Bär statt. Der Mitgründer der Prosec GmbH prüft durch Sicherheits-Scans und Penetration Testing, ob die IT-Systeme von Unternehmen möglichen Angreifern standhalten. Die Tests im Kundenauftrag sind realistisch, aber gefahrlos.

Gemeinsam mit Frank Schwandt, Berliner Fachmakler für Cyber-Versicherungsschutz, stellt Immanuel Bär beim Business-Talk-Frühstück seine Arbeit vor. Er wird zeigen, wie Cyber-Sicherheit in der Praxis möglich ist. Und er wird auf das persönliche Haftungsrisiko eingehen, das die EU-Richtlinie zur Cyber-Sicherheit (NIS2) für Geschäftsführer bedeutet: sie haften persönlich für eine angemessene IT-Sicherheit.

Die Anmeldung zum Business-Talk-Frühstück mit Immanuel Bär und acant-Geschäftsführer Frank Schwandt ist unter events@berlincapitalclub.de oder unter +49 30 2062976 möglich.

IT-Chaos, falsch dargestellte IT-Sicherheit, keine Cyber-Versicherungsschutz, Symbolfoto von PawinG via Pixabay

IT-Chaos verschwiegen – Cyber-Versicherung muss nicht zahlen

von

Keine Versicherungsleistung nach Hacker-Angriff: falsche Antworten zur IT-Sicherheit wegen Chaos in der Abteilung rächen sich. Geschäftsführer haften für IT-Sicherheitsversäumnisse.

400.000 Euro Schaden durch Hacker – die Cyber-Versicherung zahlt nicht

Eine Cyberversicherung schützt Unternehmen vor Schäden durch Hacker und Trojaner. Wird bei Vertragsabschluss jedoch der Stand der IT-Sicherheit falsch dargestellt, muss die Versicherung im Ernstfall nicht zahlen. Das bestätigt eine Entscheidung des Landgerichts Kiel. Ein Großhändler aus Schleswig-Holstein blieb deshalb nach einem Trojanerangriff auf rund 400.000 Euro Schaden sitzen. So viel kostete die komplette Neuinstallation der Firmen-Systeme, nachdem dort ein Backdoor installiert worden war.

Anders als gegenüber dem Versicherer dargestellt, war die IT-Sicherheit des Großhändlers mangelhaft. So lief der Datenbank-Server des Online-Shops ohne Firewall, mehrere Rechner hatten keinen Virenscanner. Einige Server wurden mit längst veralteter Software wie Windows 2003 betrieben. Im Unternehmen gab es nicht weniger als 77 Nutzerkonten mit Administrationsrechten. Ihnen waren teilweise einfachste Passwörter wie „anna“ zugeordnet, obwohl eine Passwort-Richtlinie komplexere Passphrasen verlangte.

Chaos in der IT-Abteilung ist genauso schlimm wie böser Wille

Die falschen Angaben bei Versicherungsabschluss wertete das Gericht als arglistige Täuschung. Damit war der Versicherungsvertrag nichtig (LG Kiel 23.05.2024 – 5 O 128/21). Hinter den Fehlinformationen verbarg sich offenbar eher internes Chaos als böse Absicht. Der für IT-Sicherheit zuständige Mitarbeiter war schwer erkrankt und dann verstorben, ein externer Dienstleister hatte nicht genug Einblick, dasselbe galt für den Leiter der IT-Abteilung, der die Risikofragen des Versicherers beantwortet hatte. Abgeschlossen wurde der Vertrag zwischen einem Makler und einem Assekuradeur, die die wahren Gegebenheiten vor Ort wohl nicht weiter prüften.

Für Versäumnisse in der IT-Sicherheit haftet die Unternehmensleitung

Das Fehlen einer bösen Absicht änderte nichts am Schaden. Und spätestens seit Inkrafttreten der EU-Cybersicherheits-Richtlinie NIS2 führen solche Versäumnisse für die Geschäftsführung schnell in die Haftung. Vor diesem Hintergrund wird es wichtig, sich als Chef ein objektives Bild der IT-Sicherheitslage im eigenen Haus zu verschaffen. Spezielle Dienstleister simulieren realistische Angriffe und decken damit mögliche Schwachstellen auf, bevor Cyber-Kriminelle dies tun. Der auf Cyber-Versicherungen spezialisierte Spezialmakler acant vermittelt seinen Kunden diesen Service.

Geschäftsführer haben damit einen objektiven Maßstab für die eigene „preparedness“. Mehr noch: Kommt es zu einer Auseinandersetzung mit der Cyber-Versicherung wie im beschriebenen Fall, wird der erfolgreich absolvierte IT-Sicherheitstest durch einen unabhängigen Experten vor Gericht zum wichtigen Argument. Er zeigt, dass die IT-Sicherheit nicht vernachlässigt wurde.

Im Berlin Capital Club: Business-Talk-Frühstück mit dem Ethical Hacker Immanuel Bär

Im Berlin Capital Club findet am Dienstag, den 10. September 2024  von 09:00 bis 10:30 ein Business-Talk-Frühstück mit Immanuel Bär statt, Mitgründer der Prosec GmbH. Als Experte für Sicherheits-Scans und Penetration Testing prüft er auf realistische, aber gefahrlose Art, ob die IT-Systeme eines Unternehmens Angreifern gewachsen sind. acant, Berliner Fachmakler für Cyber-Versicherungsschutz, arbeitet regelmäßig mit Prosec zusammen, um bei den Kunden mögliche Schwachstellen aufzudecken und ein optimales Sicherheitsniveau  zu gewährleisten.

Beim Business-Talk-Frühstück wird Bär seine Arbeit vorstellen und auf die besondere Herausforderung eingehen, die sich für Geschäftsführer aus der EU-Richlinie zur Cyber-Sicherheit NIS2 ergibt: Sie schreibt die persönliche Haftung der Geschäftsleitung für eine angemessene IT-Sicherheit fest.

Die Anmeldung zum Business-Talk-Frühstück mit Immanuel Bär und acant-Geschäftsführer Frank Schwandt ist unter events@berlincapitalclub.de oder unter +49 30 2062976 möglich.

Fragen zur Cyber-Versicherung beantworten Frank Schwandt und seine Mitarbeiter unter info@acant.de oder unter 030 863 926 990.

Versicherungsbedingungen bei der Cyber-Versicherung Symbolfoto: Arek Socha via Pixabay

Versicherungsschutz bei mobilem Zugriff und für Cloud-Speicher – aber nicht bei staatlichen Cyberattacken

von

Neue Musterbedingungen zur Cyber-Versicherung

Der GDV, Verband der deutschen Versicherer, hat neue Musterbedingungen zur Cyber-Versicherer vorgelegt. Als Fachmakler für Cyber-Versicherungen begrüßen wir von acant viele der neuen Regelungen. Allerdings sind damit längst nicht alle Stolperfallen beseitigt. Entscheidend bleibt die genaue Prüfung der Versicherungsverträge.

Die neuen Musterbedingungen zur Cyber-Versicherung sind ein Fortschritt – aber nicht verbindlich

Der Gesamtverband der Deutschen Versicherungswirtschaft (GDV) veröffentlicht Musterbedingungen zu zahlreichen Versicherungsarten. Musterbedingungen zur Cyber-Versicherung wurden 2017 erstmals publiziert. Nun hat der Verband sie in wichtigen Punkten überarbeitet und erweitert.

Als Cyberversicherungs-Fachmakler sehen wir die Neuauflage insgesamt positiv. So sind nun Fälle von Datendiebstahl, der mobile Datenzugriff und Cloud-Speicher bei Drittanbietern in den Versicherungsschutz einbezogen. Andererseits gelten strengere Ansprüche an die IT-Sicherheit des versicherten Unternehmens.

Vor allem sind die Musterklauseln des Verbands nur eine Empfehlung. Alle namhaften Cyberversicherer haben eigene Deckungskonzepte, so Cyberversicherungs-Experte Schwandt. Diese müssen genau geprüft werden:

Die neuen Musterbedingungen zeigen, wohin die Entwicklung der Cyber-Versicherung geht. An ihnen lassen sich die Versicherungsbedingungen der Versicherer messen. Die konkrete Prüfung der Verträge bleibt dabei unverzichtbar: Der Schutz einer Cyber-Versicherung ist nur so gut, wie das Kleingedruckte im Vertrag.

Wichtige Klarstellungen und verschärfte Anforderungen

Die neuen Musterbedingungen dehnen den Cyber-Versicherungsschutz auf Fälle aus, die viele Unternehmen betreffen. Doch nicht alle der Neuerungen sind für die Versicherungsnehmer positiv.

Vorteilhaft sind zum Beispiel diese Ergänzungen der Musterbedingungen:

  • Auch der mobile Zugriff auf die Firmensysteme ist versichert. Der Trojaner befällt die Firmennetze über einen Mitarbeiter im Homeoffice oder im Außendienst? Dann ist der Schaden durch die Cyber-Versicherung gedeckt.
  • Der Schaden ereignet sich bei einem externen Cloud-Speicher, Provider oder Dienstleister? Eine wichtige Neuerung: die Versicherung leistet auch für zerstörte, verschlüsselte oder gestohlene Daten, die auf angemietetem Cloud-Speicher oder bei einem anderen Dienstleister lagen.
  • Schadenersatz nach DSGVO-Verstößen ist ebenfalls gedeckt. Datenschutzverstöße begründen Schadenersatzansprüche der Betroffenen. Wenn ein Hacker viele Tausend Datensätze stiehlt, kommen schnell gewaltige Summen zusammen. Deshalb ist diese Klarstellung von großer Bedeutung.

Dagegen machen andere Neuerungen es den Unternehmen nicht leichter:

  • Zur „Gewährleistung der IT-Sicherheit“ sind konkrete Maßnahmen gefordert. Vorbei ist die Zeit, in der die Ansprüche an die IT-Sicherheitsmaßnahmen der Unternehmen lax oder vage ausfielen. Nun enthalten die Musterbedingungen konkrete Maßnahmen wie professionelles Patch-Management, systematische Datensicherung, abgestufte Zugriffsberechtigungen, 2-Faktor-Authorisierung bei Servern, Diebstahlsicherung von Mobilgeräten und ähnliches mehr.
  • Schäden durch staatliche Akteure sind nicht gedeckt. Wenn Hacks oder Malware auf nordkoreanische Cyberkriminelle, russische Hacker im Regierungsauftrag oder chinesische Geheimdienste zurückgehen, bleibt das Unternehmen auf seinem Schaden sitzen. Solche Aktivitäten werden immer häufiger aufgedeckt.

Entscheidend sind die Versicherungsbedingungen der Versicherer, nicht die Musterbedingungen

Die Musterbedingungen des GDV sind eine nützliche Messlatte, um die konkreten Versicherungsbedingungen der verschiedenen Cyberversicherungs-Angebote zu prüfen. Dieser Blick ins Kleingedruckte ist unerlässlich, damit eine Cyber-Versicherung Unternehmen und Organisationen im Fall von Cyber-Angriffen, IT-Havarien und Datendiebstählen wirklich schützt.

Allerdings erfordert die Analyse der Versicherungsverträge mehr als den Vergleich mit den Musterbedingungen. Dafür sind Fachwissen und Marktkenntnisse notwendig. Deshalb zahlt sich die Beratung durch einen Fachmakler wie die Berliner acant.service GmbH für Versicherungsnehmer in jedem Fall aus. acant vermittelt Unternehmen seit mehr als zehn Jahren Cyber-, IT-, Elektronik- und Technikversicherungen und weiß, wovon wirksamer, betriebswirtschaftlich sinnvoller Versicherungsschutz abhängt. Wir verhelfen auch Ihnen zur passenden Cyberversicherung – rufen Sie uns einfach an: 0176 1031 8791.

Urteil - Cyberversicherung muss zahlen trotz veralteter Serversysteme, Symbolfoto: dokumol via Pixabay

Software-Updates versäumt, Cyber-Versicherung muss nach Hackerangriff trotzdem zahlen

von

Urteil zur Cyber-Versicherung: Leistungspflicht trotz veralteter Server-Betriebssysteme

Ein Unternehmen wird Opfer eines Hacker-Angriffs mit Ransomware. Die Betriebsunterbrechung verursacht Millionenschäden. Manche Server des Betriebs liefen mit längst veralteten Betriebssystem-Versionen. Trotzdem wurde die Cyber-Versicherung dazu verurteilt, den Schaden zu übernehmen.

Das Urteil gibt Versicherern noch mehr Anlass, auf die IT-Sicherheit ihrer Versicherungsnehmern zu achten. Unternehmen sollten den Abschluss einer Cyber-Versicherung und die Optimierung ihrer Sicherheitsmaßnahmen aufeinander abstimmen.

Cyber-Versicherung abgeschlossen – und gleich Opfer eines Cyber-Angriffs

Bei einem Unternehmen aus Baden-Württemberg hatten nur 10 von 21 Servern aktuelle Betriebssystem-Versionen. Andere liefen selbst 2020 noch mit „Windows Server 2003“. Für dieses Betriebssystem gab es seit 2015 keine Updates mehr.

Trotzdem konnte der Betrieb eine Cyber-Versicherung abschließen. Die kam zum richtigen Zeitpunkt: Zwei Monate später verschlüsselte ein Ransomware-Angriff die Daten im gesamten Firmennetzwerk. Eine fünfmonatige Betriebsunterbrechung war die Folge. Sie führte zu Ausfällen in Millionenhöhe.

Die Versicherungsgesellschaft weigerte sich, den Schaden zu übernehmen. Sie verwies auf die fehlenden Software-Updates und darauf, dass das Unternehmen weder Zwei-Faktor-Authentifizierung noch ein Monitoring-System installiert hatte. Außerdem habe es Kontrollfragen zur Unternehmens-IT falsch beantwortet, die ihm vor Vertragsabschluss vorgelegt wurden.

Keine „Kausalität“, keine „Arglist“: die Versicherung muss bezahlen.

Das Landgericht Tübingen verurteilte den Versicherer trotzdem zur Zahlung. Er musste Schäden von mehr als 2,8 Millionen Euro übernehmen. Allein die Betriebsunterbrechung schlug mit rund 2,5 Millionen Euro zu Buche.

Das Unternehmen hatte einem Vertreter der Versicherungsgesellschaft vor Vertragsunterzeichnung mitgeteilt, dass es noch „Windows Server 2003“ und „Windows Server 2008“ einsetzte. Selbst wenn die – unklar formulierten – Risikofragen falsch beantwortet wurden, lag für das Gericht somit keine Arglist vor.

Außerdem war der Trojaner durch eine Phishing-Mail auf das Notebook eines Administrators gelangt. Von dort verbreitete er sich als Pass-the-Hash-Angriff weiter. Die veraltete Server-Software war deshalb nach Ansicht des Gerichts nicht kausal für den erfolgreichen Ransomware-Angriff.

Wichtig für die Richter: die Unternehmensvertreter hatten den Eindruck gewonnen, der Versicherer stelle keine hohen Anforderungen an die IT-Sicherheit. Sein Repräsentant hatte erklärt, dass „jede Fritzbox“ als Firewall ausreichen würde (AZ: LG Tübingen, 26.05.2023 – 4 O 193/21).

Das Urteil macht es den Unternehmen nicht leichter: Sie sollten IT-Sicherheit und Versicherungsschutz klug kombinieren

Noch vor einigen Jahren verlangten Versicherer zum Abschluss einer Cyber-Versicherung kaum mehr als die symbolische Bestätigung, dass dem Betrieb die Cyber-Risiken bewusst waren. Das hat sich in wenigen Jahren grundlegend geändert. Die Zahl der Cyber-Angriffe und die Höhe der Schäden sind explodiert. Besonders Betriebsunterbrechungen und Schadenersatzforderungen verursachen hohe Kosten. Deshalb sind Cyberversicherungen inzwischen deutlich teurer – und wesentlich schwerer zu bekommen. Die Versicherer schauen mittlerweile genauer hin, wie es um die IT-Sicherheit bei Versicherungsnehmern bestellt ist.

Für die Unternehmen wird es wichtig, zwei Aufgaben aufeinander abzustimmen. Die eine besteht darin, ein professionelles IT-Sicherheitsniveau zu erreichen. Die andere Aufgabe ist es, das Risikomanagement durch eine belastbare Cyber-Police zu ergänzen. Die Geschäftsführung ist gefordert: Nur Investitionen in die IT-Sicherheit ermöglichen adäquaten Versicherungsschutz. Umgekehrt gilt es, die Cyberversicherung präzise auf die Bedrohungslage des Unternehmens auszurichten.

Entscheidend ist dafür die Unterstützung durch einen erfahrenen Fachmakler. Wir von acant haben 2013 als einer der ersten Versicherungsmakler in Deutschland die Vermittlung von Cyberpolicen begonnen. Inzwischen haben wir mehr als zehn Jahre Erfahrung damit. Wir kennen den Markt für Cyberversicherungs-Produkte, haben direkte Kontakte zu den einschlägigen Versicherern und wissen wie man auch in einem schwierigen Markt optimalen Cyber-Versicherungsschutz und individuelle Lösungen sicherstellt. Rufen Sie uns an oder schreiben Sie uns eine Nachricht!

Der Europäische Gerichtshof sorgt für verschärfte Haftung bei DSGVO-Verstößen, zum Glück kann die Schadenersatzpflicht versichert werden. Fotograf: Laurent Verdier via Pixabay

EuGH verschärft Datenschutz-Haftung – zum Glück lassen sich Datenschutzverletzungen versichern

von

Die Rechtsprechung des EuGH der letzten Monate verschärft das Risiko, für Datenschutzverletzungen zu haften. Unternehmen können solche Schadenersatzforderungen versichern. Allerdings ist der Versicherungsmarkt schwierig. Als Fach-Versicherungsmakler sorgt die Berliner acant.service GmbH für optimalen Schutz vor ruinösen Schadenersatzklagen aufgrund von Datenschutzverletzungen.

Schadenersatz für Datenschutzverstöße: neue Rechtsprechung steigert das Risiko

Der Europäische Gerichtshof hat in den letzten Monaten mehrere Entscheidungen zur DSGVO und zum Datenschutzrecht getroffen. In der Summe steigern sie das Risiko von Unternehmen, für Datenschutzverletzungen haften zu müssen, beträchtlich.

So können bereits „gefühlsmäßige Beeinträchtigungen“ durch eine Datenschutzverletzung Schadenersatzansprüche begründen. Mehr noch: allein schon die Befürchtung eines möglichen Missbrauchs personenbezogener Daten kann Schadenersatz rechtfertigen.

Angesichts dieser Entwicklung wird die Möglichkeit, das Unternehmen durch eine Cyberversicherung auch gegen DSGVO-Verstöße zu versichern, immer wichtiger. Gleichzeitig wird der Versicherungsmarkt zunehmend schwierig. Der Berliner Makler acant.service GmbH hilft Unternehmen dabei, individuell passenden Versicherungsschutz zu gestalten.

Der EuGH und die Schadenersatzpflicht für DSGVO-Verstöße

Der Europäische Gerichtshof hat sich in den letzten Monaten in einer ganzen Reihe von Urteilen zur Haftung für Datenschutzverstöße geäußert. Einige der Entscheidungen sind bemerkenswert:

  • Zwar reicht ein DSGVO-Verstoß für sich genommen nicht, um Schadenersatz zu fordern. Dafür genügen jedoch bereits kleine und auch immaterielle Schäden, beispielsweise „vorübergehende gefühlsmäßige Beeinträchtigungen“ durch den Datenmissbrauch. Eine Bagatellgrenze gibt es nicht. Dieses Fazit aus EuGH, 04.05.2023 – C-300/21 ist besonders dann fatal, wenn Daten einer großen Zahl von Personen missbraucht oder gestohlen werden: diese können dann grundsätzlich alle eine jeweils kleine, in der Summe aber sehr umfangreiche Entschädigung fordern. In dem Fall klagte ein Mann, dem die österreichische Post ohne Einwilligung eine hohe Affinität zu einer bestimmten Partei zugeordnet hatte. Er machte „großes Ärgernis“, einen „Vertrauensverlust“ und ein „Gefühl der Bloßstellung“ als Schaden geltend und forderte 1.000 Euro.

  • Unbefugter Zugriff auf personenbezogene Daten bedeutet zwar nicht automatisch, dass die Datenschutzmaßnahmen unzureichend waren. Allerdings ist das Unternehmen in der Beweispflicht, bei dem sich das Datenleck ereignet hat. Es muss nachweisen, dass es „in keinerlei Hinsicht“ verantwortlich ist. Und wenn eine betroffene Person den Missbrauch ihrer Daten auch nur befürchtet, kann das einen immateriellen Schaden darstellen, der zu Schadenersatz berechtigt. So kann man EuGH, 14.12.2023 – C-340/21 zusammenfassen. Die Klage drehte sich um einen Cyberangriff auf die IT-Systeme der bulgarischen Steuerverwaltung.

  • Datenschutzrechtlich Verantwortliche, also etwa Unternehmen, haften zwar nur dann für Missbrauch der von ihnen gespeicherten personenbezogenen Daten, wenn ihnen ein Verschulden anzulasten ist. Die Höhe der Entschädigung ist jedoch nicht an den Grad des Verschuldens gekoppelt. Damit sind selbst bei geringem Verschulden hohe Entschädigungen möglich, wenn der Datenverlust oder -missbrauch bei den Betroffenen zu hohen Schäden führt. Das Urteil EuGH, 21.12.2023 – C-667/21 kam zustande, nachdem der Angestellte des Medizinischen Dienstes einer Krankenkasse gegen seinen Arbeitgeber klagte.
    Auf seiner Grundlage werden jedoch auch hohe Schadenersatzpflichten begründbar, falls kleine technische Versäumnisse, von einfallsreichen Hackern für großangelegten Datendiebstahl genutzt werden.

  • Um Schadenersatzforderungen zu begründen, müssen Hacker gestohlene Daten nicht zum Identitätsdiebstahl genutzt haben. Ein entsprechender, immaterieller Schaden kann bereits dann bestehen, wenn Daten gestohlen wurden, die die Betroffenen identifizierbar machen. Das ergibt sich aus dem Schlussantrag des Generalanwalts zu den Fällen EuGH – C-182/22 und EuGH – C-189/22, die sich auf eine Datensicherheitsverletzung bei dem Broker Scalable Capital beziehen. Der EuGH hat noch nicht entschieden, folgt aber häufig dem Schlussantrag der Generalanwaltschaft.

Cyberversicherungen und Rechtsschutzversicherungen schützen

Das Risiko datenschutzrechtlicher Haftung wird für Unternehmen kontinuierlich brisanter. Dafür sorgen einerseits immer neue und raffinierte Angriffsmethoden von Cyber-Kriminellen. Andererseits setzt der europäische Gerichtshof einen Rechtsprechungsrahmen, der Schadenersatzforderungen gegen Unternehmen aufgrund von DSGVO-Verstößen in vielen Fällen begünstigt.

Ein Teil der notwendigen Reaktion sind professionelle IT-Sicherheit und Datenschutzvorkehrungen. Doch das genügt nicht. Solche Vorkehrungen gewährleisten nie komplette Sicherheit. Umso wichtiger ist Versicherungsschutz als Ergänzung:

  • Die finanziellen Folgen von Datenschutzverletzungen sind im Standardumfang von Cyber-Versicherungen abgedeckt. Eine Versicherungspolice fängt in der Regel die DSGVO-Schadenersatzpflichten nach einem erfolgreichen Hackerangriff auf.
  • Eine Rechtsschutzversicherung verhindert, dass Rechtsstreitigkeiten nach einem Datenverlust das betroffene Unternehmen ruinieren.

Als Fachmakler hilft acant dabei, den richtigen Versicherungsschutz zu erhalten

Allerdings ist der Markt für Cyber-Versicherungen in den letzten Jahren deutlich schwieriger geworden. Grund sind die massiv gestiegenen Schadensfälle durch erfolgreiche Angriffe auf Unternehmen. Die Versicherer bestehen auf umfangreichen Auflagen und Prüfungen. Außerdem haben sich die Versicherungsbedingungen vieler Angebote klar verschlechtert. Es wird schwieriger, individuell passende Policen zu finden bzw. auszuhandeln.

Umso wichtiger ist die Unterstützung und Beratung durch einen Fachmakler für Cyberversicherungen. Die acant.service GmbH hat 2013 als einer der ersten Versicherungsmakler in Deutschland die Vermittlung von Cyberpolicen begonnen. Inzwischen blickt das Berliner Unternehmen auf mehr als zehnjährige Erfahrung zurück: es kennt den Markt genau, hat direkte Kontakte zu den einschlägigen Versicherern und weiß, wie man auch in einem herausforderungsvollen Markt optimalen Cyber-Versicherungsschutz und individuelle Lösungen gewährleistet.
Interesse? Rufen Sie uns an (0176 10318791) oder schreiben Sie uns eine Nachricht!

Digitales Kaufrecht, Symbolfoto: Mediamodifier via Pix abay

Neues digitales Kaufrecht für elektronische Waren, Dienstleistungen und Angebotsbestandteile

von

Seit 2022 gilt ein eigenes Kaufrecht für digitale Produkte, digitale Dienstleistungen, digitale Inhalte und andere digitale Angebote

Verkaufen Sie Software, gestalten Sie Web-Designs, bieten Sie kostenpflichtige Downloads an oder beraten Sie per Videomeeting? In diesem Fall gilt für Sie seit dem 01. Januar 2022 ein neues Kaufrecht, wenn Ihre Kunden Verbraucher sind und keine Unternehmen.

Das neue Kaufrecht greift auch dann, wenn nur ein Teil Ihres Angebots aus digitalen Produkten besteht. Wenn Sie elektronische Geräte zusammen mit einer Software oder einer App anbieten, dann fallen diese digitalen Komponenten ebenfalls unter neue Bestimmungen.

Um was genau geht es im Kaufrecht?

Die Vorschriften des Kaufrechts schreiben die Ansprüche fest, die der Verkäufer oder Dienstleister und sein Kunde gegeneinander haben. Damit legt es auch die Optionen im Fall von Problemen fest:

  • Es liefert die Rechtsgrundlage fürs Forderungsmanagement, falls Kunden nicht wie vereinbart zahlen.
  • Es legt Gewährleistung und Haftung fest, falls der Anbieter nicht so liefert oder leistet, wie er müsste.

Die Kernpunkte des neuen digitalen Kaufrechts bei Verbrauchern

  • Im Bürgerlichen Gesetzbuch ist von der „Bereitstellung digitaler Inhalte oder digitaler Dienstleistungen (digitale Produkte)“ die Rede: sie werden im neuen Abschnitt „Verbraucherverträge über digitale Produkte“ geregelt (§327 – §372s BGB).
  • Ob die „Bereitstellung“ per Download oder auf einem Datenträger erfolgt, ist gleichgültig. Ausgenommen vom neuen Kaufrecht sind dagegen einige Bereiche wie z. B. Finanzdienstleistungen und digital vereinbarte Heilbehandlungen.
  • Außerdem gelten neue Regeln für Sachmängel. In Bezug auf die Gewährleistung wird nun zwischen analogen Produkten, digitalen Produkten und „Waren mit digitalen Elementen“ unterschieden (§475a, b, c BGB). Waren mit digitalen Elementen sind Paketangebote: etwa ein GPS-Tracker samt dazugehöriger Software, oder ein Analysegerät mit dazugehöriger Online-Schulung. Für die Software bzw. die Online-Schulung gelten bei Sachmängeln die Vorschriften für digitale Produkte, für die Geräte selbst die Regeln für analoge Waren.
  • Auf kostenlos bereitgestellte quelloffene Software wird das digitale Kaufrecht nicht angewendet. Dafür gilt es explizit auch dann, wenn Verbraucher zwar kein Geld für die Nutzung eines Dienstes oder einer App bezahlen, im Gegenzug aber personenbezogene Daten bereitstellen.
  • Ein digitales Produkt muss das leisten bzw. umfassen, was ausdrücklich vereinbart war (subjektive Anforderungen). Der Kunde kann außerdem erwarten, dass es sich zur „gewöhnlichen Verwendung“ eignet, also die marktüblichen Erwartungen erfüllt. Andernfalls ist es grundsätzlich mangelhaft.
  • Ausnahme: es wurde ausdrücklich vereinbart, dass das Produkt oder die Dienstleistung bestimmte Ausstattungsmerkmale, Funktionen oder Inhalte nicht umfasst. Das muss dem Kunden aber klar gesagt werden.
  • Ein Mangel liegt bei digitalen Produkten außerdem dann vor, wenn sie sich nicht installieren, anschließen bzw. integrieren lassen, oder wenn vereinbarte bzw. notwendige und erwartbare Aktualisierungen ausbleiben.

Bei mangelhaften digitalen Produkten oder Dienstleistungen können Verbraucher den Preis mindern, Nacherfüllung erfordern oder vom Kaufvertrag zurücktreten. Die Wahl liegt bei ihnen, nicht beim Verkäufer.

Digitale Produkte oder Produktbestandteile und Verbraucher als Kunden? Dann sollten Sie reagieren

Wenn Sie bzw. Ihr Unternehmen digitale Produkte an Verbraucher verkaufen oder digitale Dienstleistungen erbringen, sollten sie auf das neue Kaufrecht reagieren:

  • Nehmen Sie sich Vertragstexte, AGB und Pflichtinformationen vor – vermutlich müssen Sie an die neue Rechtslage angepasst werden.
  • Auch Ihre Werbung und Ihr Marketing sollten Sie auf den Prüfstand stellen. Halten Ihre Produkte das, was Werbeaussagen, Testinstallationen, Demos oder Werbe-Clips versprechen? Entsprechen Ihre Dienstleistungsangebote dem, was Käufer vermutlich erwarten bzw. was Marktstandard ist? Diskrepanzen sollten klar zum Ausdruck gebracht werden, sonst können Käufer einen Mangel geltend machen. Noch schlimmer: Verbraucherschutzverein können Sie abmahnen.
  • Auch bei diesem Thema bieten die richtigen Versicherungen Schutz. Produktversicherungen decken das Risiko einer Haftung aufgrund von Produktmängeln ab. Ein Knackpunkt bei dieser Form des Versicherungsschutzes sind regelmäßig Folgeschäden. Lassen Sie sich genau beraten!
  • Für Dienstleister, die ihre Dienstleistungen digital erbringen, ist eine Vermögensschadenhaftpflicht sinnvoll, um mögliche Ansprüche aus der Mängelhaftung in den Griff zu bekommen.
  • Ebenfalls ausgesprochen sinnvoll: eine Rechtsschutzversicherung, die im Falle von Rechtsstreitigkeiten die eigenen Anwalts- und Gerichtskosten absichert.
  • Last but not least: bei Kapitalgesellschaften sollten Geschäftsführer oder Vorstände sich durch eine D&O-Versicherung schützen, weil sie im Fall einer Sorgfaltspflichtverletzung mit dem persönlichen Vermögen haften.

Wir von acant helfen Ihnen dabei, Ihr Unternehmen optimal zu versichern: Schreiben Sie uns, oder rufen Sie an: 030 863 926 990.

Cyberversicherung mit Rechtsschutz-Baustein, Symbolbild: Emil Lija via Pixabay

Cyber-Versicherung mit Rechtsschutz für den Manager

von

Cyber-Versicherung mit Rechtsschutzbaustein: gute Idee

Ein neuer Baustein für die Cyberversicherung von Cogitanda umfasst Rechtsschutz für Manager und Führungskräfte. Diese erweiterte Deckung ist für Geschäftsführer, Vorstände, Aufsichtsräte und Beiräte eine sinnvolle Sache. Der Grund ist einfach: Schäden durch Cyberangriffe können für die Verantwortlichen des betroffenen Unternehmens schnell zum Vorwurf von Versäumnissen und darüber in die persönliche Haftung führen – und ebenso zu langwierigen wie kostspieligen juristischen Auseinandersetzungen.

Der Baustein umfasst Vermögensschaden-Rechtsschutz, Anstellungsvertrags-Rechtsschutz sowie Strafrechtsschutz. Pro Schadensfall reicht die Deckung bis zu einer Million Euro. Das bedeutet: Rechtskosten für Streit um Schadenersatzforderungen sind ebenso abgedeckt wie Anwalts- und Gerichtskosten bei einer Auseinandersetzung um die Kündigung bzw. Vertragsauflösung sowie die Rechtskosten im Fall strafrechtlicher Vorwürfe.

Drei wichtige Versicherungen: Cyber-Versicherung, D&O-Police, persönlicher Rechtsschutz

2016 haben wir von acant uns das erste Mal mit diesem Haftungsrisiko auseinandergesetzt. Das war in den Beiträgen IT-Compliance und persönliche Haftung und Persönliche Manager-Haftung für IT-Sicherheitsmängel.

Damals hatte noch kaum jemand die persönliche Haftung nach Cybervorfälle als Thema auf dem Schirm. Aber wir haben Recht behalten. Inzwischen hat die Flut der Cyberattacken und der damit verbundenen Betriebsunterbrechungen und Folgeschäden das Thema der persönlichen Haftung von Managern für Versäumnisse in der IT-Sicherheit ganz klar ins Zentrum gerückt.

Zum Glück lässt sich ein großer Teil des Risikos durch Versicherungen auffangen.

  • Zum einen benötigt das Unternehmen – jedes Unternehmen! – eine Cyberversicherung, um Schäden durch Trojaner-Angriffe, Datendiebe und Hacker aufzufangen.
  • Außerdem benötigt die Geschäftsleitung eine D&O-Versicherung, die sie vor den Schadenersatzforderungen im Fall persönlicher Haftung schützt. Sonst haftet sie mit ihrem persönlichen Vermögen für Sorgfaltspflichtverletzungen, etwa problematische Zahlungen bei Insolvenzgefahr oder eben fehlende Vorkehrungen gegen Hackerangriffe.
  • Rechtsschutz ist die dritte Komponente: Was nützt es, wenn man zwar von der Haftung freigestellt wurde, dafür jedoch mit ruinösen Rechtskosten konfrontiert ist.

Wo in Ihrem Fall bereits Versicherungsschutz vorliegt und wo zusätzliche Deckungen für Sie sinnvoll sind, dazu können die Fachleute von acant Sie beraten. Schreiben Sie uns, oder rufen Sie an: 030 863 926 990.

IT-Dienstleister hat die Zugangsdaten: Datenschutzverstoss - Symbolbild: Photo Mix via Pixabay

Datenklau mit Zugangsdaten des IT-Dienstleisters: Schadenersatz

von

Wer hat eigentlich Zugangsdaten zu Ihren IT-Systemen?

Nicht gelöschte Zugangsdaten werden schnell zum teuren Risiko. Zur IT-Sicherheit im Unternehmen gehört es, Zugänge von Mitarbeitern und Dienstleistern regelmäßig zu überprüfen und bei Bedarf zu löschen.

Wenn ein Unternehmen die Zugangsdaten früherer Mitarbeiter und Dienstleister nicht deaktiviert und Unbefugte damit Daten stehlen, drohen Schadenersatzansprüche – und die können ohne Versicherung existenzbedrohend werden.

All das zeigt ein Fall, über den das Landgericht München I vor kurzem entschieden hat (LG München, 09.12.2021 – 31 O 16606/20). Das Urteil unterstreicht, warum Unternehmen unbedingt ihre Haftung für Datenschutzverstöße versichern sollten.

Haftung für Kundendaten, die über den Zugang eines Dienstleisters gestohlen wurden

Das Gericht sprach einem früheren Kunden des Finanzdienstleisters Scalable Capital 2.500 Euro Schadenersatz und einen zusätzlichen Anspruch auf Ersatz aller noch entstehenden Schäden zu.

Der Mann hatte bei dem Online-Broker ein Depotkonto eingerichtet und dazu viele personenbezogene Daten übermittelt. Diese fielen unbekannten Datendieben in die Hände: von der Post- und E-Mail-Adresse sowie der Handynummer über das Geburtsdatum und die Steuer-ID bis zu Wertpapierabrechnungen und der IBAN des Referenzkontos. Auch eine Ausweiskopie und das Porträtfoto fürs Post-Ident-Verfahren wurden entwendet.

Ausgangspunkt waren Zugangsdaten von CodeShip Inc., ein früherer Cloud- bzw. SaaS-Dienstleister von Scalable Capital („Software as a Service“, Cloud-Hosting von Anwendungen). Obwohl die Geschäftsbeziehung schon 2015 geendet hatte, funktionierte der CodeShip-Zugang zur IT von Scalable Jahre später noch immer. Mit diesen Zugangsdaten unternahmen Unbekannte drei großen Daten-Raubzüge: im April, im August und im Oktober 2020 wurden 389.000 Datensätze von insgesamt 33.200 Scalable-Kunden ausgelesen. Die Informationen wurden später für versuchten Kreditbetrug genutzt und im Darknet zum Verkauf angeboten.

Zugangsdaten beim Dienstleister, Haftung beim Auftraggeber

Scalable muss also zahlen, obwohl für den Hack bei CodeShip hinterlegte Zugangsdaten missbraucht wurden. Dabei befasste sich das Gericht gar nicht erst mit der möglichen Verantwortlichkeit von Scalable für Sicherheitsmängel beim früheren Dienstleister. Es sah entscheidende Versäumnisse bei dem Online-Broker selbst: Der hätte den Zugang des ehemaligen Geschäftspartners längst deaktivieren bzw. die Löschung des Zugangs überprüfen müssen.

Stattdessen verließ er sich fahrlässigerweise darauf, dass der frühere Geschäftspartner die Zugangsdaten schon löschen würde. In diesem Versäumnis sahen die Richter einen Datenschutzverstoß. Dieser führte zur Haftung des Finanzunternehmens. Es nützte ihm wenig, dass er nach dem Vorfall sofort Gegenmaßnahmen getroffen hatte und dem betroffenen Kunden noch kein konkreter materieller Schaden entstanden war.

Dem Unternehmen droht eine Klagewelle

Die 2.500 Euro plus Zinsen, die dem klagenden Kunden zugesprochen wurden, sollte man nicht unterschätzen. Von der Datenschutzverletzung waren wie erwähnt mehr als dreißigtausend Kunden betroffen. Sollte sich eine größere Anzahl von ihnen zur Klage entschließen, können schnell gewaltige Summen zusammenkommen.

Das Risiko von Datenschutzverletzungen lässt sich versichern!

  • Immer häufiger gestehen die Gerichte den Betroffenen einer Datenschutzverletzung Anspruch auf Schadenersatz zu.
  • Ein konkreter finanzieller Schaden muss dafür nicht vorliegen. Auch Nichtvermögensschäden begründen Entschädigungsansprüche, etwa Identitätsdiebstahl, Rufschädigung, gesellschaftliche Nachteile oder der Verlust der Vertraulichkeit (LG München I, 02.09.2021 – 23 O 10931/20).
  • Dazu kommen Bußgelder. Die sind bei Verstößen gegen die Datenschutzvorschriften oft von empfindlicher Höhe.

  • Der Verweis auf das hohe IT-Sicherheitsniveau nützte Scalable Capital vor Gericht gar nichts. Ja, die IT-Infrastruktur war gemäß ISO 27001 zertifiziert. Entscheidend war jedoch der nicht gelöschte Zugang. Das bestätigt wieder einmal: Selbst aktuelle Technik und Zertifizierungen garantieren keine IT-Sicherheit. Genau deshalb sind Versicherungen sinnvoll.

  • Die gute Nachricht: Die Haftung aus Datenschutzverstößen lässt sich versichern, solange sie nicht gerade vorsätzlich begangen werden. Auch für das Risiko der Unternehmensleitung, für solche Vorfälle persönlich zu haften, gibt es Versicherungsschutz. Das Gleiche gilt für Eigenschäden aus einer Cyber-Attacke.

acant hilft Ihnen beim Risikomanagement

Wir von acant sind Spezialversicherungsmakler für technische Unternehmensrisiken, Cyber-Bedrohungen und Manager-Haftung. Wir beraten Sie gerne dazu, wie sich das Risiko der Datenschutzhaftung in Ihrem Unternehmen betriebswirtschaftlich sinnvoll versichern lässt. Rufen Sie uns an (030 863 926 990) oder schreiben Sie uns!

Digitalisierungspflicht für Lohn-Unterlagen, Symbolfoto: Jana Schneider via Pixabay

Lohnbuchhaltung: Digitalisierungspflicht für begleitende Lohndokumente

von

Neue Digitalisierungspflicht für Arbeitgeber

Schon seit dem Beginn des Jahres 2022 gilt für Arbeitgeber in Deutschland eine neue Digitalisierungspflicht. Eine ganze Reihe von Dokumenten zum Lohnkonto müssen in elektronischer Form bereitgestellt werden, wenn die Krankenkasse oder ein Betriebsprüfer der Deutschen Rentenversicherung danach fragt.

Die wichtigsten Informationen zur Digitalisierungspflicht stehen in einem „Gemeinsamen Rundschreiben der Sozialversicherungen“ vom 18. März 2022.

Welche Lohndokumente müssen digital vorliegen? Die Pflicht gilt zum Beispiel für die Erklärung eines Minijobbers, mit der er auf Rentenversicherungsbeiträge verzichtet, für Semesterbescheinigungen von Werkstudenten, für Bescheinigungen zur Staatsbürgerschaft  und für A1-Bescheinigungen von Mitarbeitern auf Auslands-Geschäftsreise. Die vollständige Liste findet sich in etwas verklausulierter Form im Gesetz: § 8 Abs. 2 Beitragsverfahrensverordnung.

Müssen jetzt alle alten Unterlagen eingescannt werden? Nein, das ist nur Pflicht, wenn ein Dokument seit Jahresbeginn 2022 ausgestellt wurde. Weiterreichende Digitalisierung ist freiwillig.

Wie müssen die Dokumente digital vorliegen? Erlaubt sind die Dateiformate PDF, TIFF, JPG, BMP und PNG. Die Archivierung muss gemäß GoBD erfolgen – d. h. revisionssicher (jede Änderung eines Dokuments muss  erkennbar sein) und für Außenstehende nachvollziehbar geordnet. Dokumente wie ein Gehaltsverzicht, die auf Papier eine Unterschrift erfordern, müssen in der digitalen Version eine fortgeschrittene oder qualifizierte Signatur aufweisen.

Was tun, wenn die Voraussetzungen für digitale Signaturen fehlen? Dann ist es gestattet, sich mit einem unsignierten Scan eines Papierdokuments zu behelfen. In diesem Fall muss der Arbeitgeber die Papierversion ebenfalls aufbewahren.

Gibt es eine Möglichkeit, sich den Digitalsierungsaufwand zu ersparen? Ja, bis einschließlich 2026 können Unternehmen sich davon befreien lassen. Den Antrag müssen sie an das regionale Prüfbüro der Deutschen Rentenversicherung richten.

Risikomanagement für Arbeitgeber: Parallel zum Digitalisieren versichern

Schon seit langem müssen Arbeitgeber alle Meldungen zur Sozialversicherung elektronisch übermitteln. Mit der anstehenden Einführung einer elektronischen Arbeitsunfähigkeitsbescheinigung und der Digitalisierungspflicht für Lohnunterlagen wächst die Zahl der digitalen Informationen in der Lohnbuchhaltung immer weiter an.

Das Problem: Viele der personenbezogenen Arbeitnehmerdaten, mit denen Arbeitgeber zwangsläufig zu tun haben, sind von der DSGVO besonders geschützt. Das gilt zum Beispiel für Angaben zum Einkommen, zu einer Lohnpfändung oder zu krankheitsbedingten Ausfallzeiten. Und natürlich für alle Stammdaten wie Name, Adresse, Kontonummer und Zahl der Kinder.

  • Werden solche Daten zur Beute eines Hackers, haftet der Arbeitgeber. Das gilt selbst dann, wenn sich der Datendiebstahl beim Steuerberater oder beim Lohnabrechnungsdienstleister ereignet.
  • Genauso problematisch ist es, wenn ein Verschlüsselungstrojaner ins Unternehmen eingeschleust wird und die Ransomware vorgeschriebene Lohn-Unterlagen unlesbar macht. Auch dann haftet der Arbeitgeber für den Verlust der Dokumente

Gemessen an diesem Risiko sind die Prämien für eine Cyberversicherung, die vor den Folgen eines Datendiebstahls schützt, Peanuts: In den meisten Fällen kostet sie nicht mehr als wenige Promille vom Jahresumsatz.

Fragen? Wir von acant können Sie beantworten. Schreiben Sie uns, oder rufen Sie an: 030 863 926 990.

Cyber-Versicherung oder Cyber-Sicherheit? Falsche Frage! Symbolbild: Andreas Lischka via Pixabay

Cyber-Versicherung oder IT-Sicherheit? Falsche Frage!

von

Entweder oder? So einfach ist es nicht

Vor kurzem bin ich in einem Fachbeitrag über folgende Passage gestolpert:

Eine gute Cybersecurity, die den Hackern eine aufmerksame und wirksame Verteidigung entgegenstellt, und eine Versicherung schließen sich nicht aus. Im Gegenteil: Häufig ist ein Mindestmaß an Security Voraussetzung für Versicherungen. Doch die Kosten für beides gleichzeitig sind oft sehr hoch und nicht von jedem Unternehmen zu stemmen. In diesem Fall muss ein Unternehmen besonders kosteneffizient handeln. Dabei lässt sich festhalten, dass ein Euro in eine gute Sicherheitsstruktur hier fast immer besser angelegt ist als in eine Versicherung. Sie verhindert, dass der Schaden überhaupt erst entsteht.

Frank Kölmel, „Was Cyberversicherungen leisten können – und was nicht“, Security-Insider.de

Wo sollten kluge Geschäftsleute ihr Geld besser investieren – in eine Cyber-Versicherung oder in technische IT-Sicherheitsmaßnahmen? Diese Frage, die der Autor anspricht, liegt mir am Herzen, seit ich mit Cyber-Versicherungen beschäftigte. (Und das sind mittlerweile fast zehn Jahre. acant war einer der ersten Makler in Deutschland, der sich auf Cyber-Risiken spezialisierte.)

Allerdings glaube ich nicht, dass die Frage „Cyber-Versicherung oder Cyber-Sicherheitstechnik?“ wirklich Sinn ergibt. Wer so fragt, hat ein Grundprinzip im Risikomanagement nicht verstanden.

Ganz einfach: Es braucht beides, Cyber-Versicherung und Cyber-Sicherheit

Bestimmte Maßnahmen verringern die Wahrscheinlichkeit, dass ein Schadensereignis wie die Betriebsunterbrechung durch Ransomware eintritt. Zu diesen Maßnahmen gehören technische Sicherheitsmaßnahmen, aber auch organisatorische Vorkehrungen wie Schulungen und strikt durchgesetzte Verhaltensregeln. Wenn die Kosten solcher Maßnahmen die geringere Schadenswahrscheinlichkeit rechtfertigen, ergeben sie betriebswirtschaftlich Sinn.

Diese Maßnahmen können Schäden aber nicht vollkommen ausschließen bzw. verhindern. Auch das ist schlicht eine Frage der Wahrscheinlichkeit. Schulungen können Leichtsinn nicht unterbinden. Technik kann Störungen erleiden, falsch verwendet oder bewusst missbraucht werden. Sabotage ist immer möglich.

Und deshalb erfordert ein vernünftiges IT-Sicherheitskonzept auch Versicherungen. Die können, wie Frank Kölmel richtig anmerkt, den Schadenseintritt nicht verhindern. Das ist auch nicht ihr Sinn. Sie können dafür etwas, was die Technololgie nicht schafft: Sie kompensieren den Schaden, wenn es doch zur Sicherheitsverletzung kommt.

Wer sich keine Cyber-Versicherung leisten kann, kann sich keine IT leisten

So könnte man es etwas überspitzt formulieren. Eine fachgerecht administrierte Unternehmens-IT hält das Risiko erfolgreicher Cyber-Angriffe in einem beherrschbaren Rahmen. Es sinkt aber keineswegs auf Null. Auch wenn mittlerweile jeder die Aussage kennt: Die Frage ist nicht, ob es zur IT-Sicherheitsverletzung kommt, sondern wann sie sich ereignet. Aufgabe der IT-Fachleute ist es, dieses „wann“ möglichst hinauszuzögern.

Wenn der Schaden dann doch eintritt, wird die Cyber-Versicherung wichtig. Die Versicherungsprämien, die das Unternehmen über die Jahre hinweg überwiesen (und als Betriebsausgaben geltend gemacht) hat, haben die Kosten des Cyber-Angriffs oder der Datenschutz-Panne schon im Voraus in planbarer Form bezahlt. Jetzt übernimmt die Versicherung die Kosten. Das Schadenereignis reißt also kein Loch in die Bilanz. Ebenso unvorhergesehene wie unvermeidbare Ausgaben wurden auf einen langen Zeitraum verteilt und betriebswirtschaftlich sinnvoll minimiert.

Es geht auch weniger abstrakt

Eine Cyber-Versicherung leistet viel mehr, als nur Schäden zu begleichen. Die meisten Versicherer leisten Akut-Hilfe direkt nach einer Attacke. Sie helfen bei der forensischen Analyse und dem Beseitigen der aufgetretenen Sicherheitslücke. In der Deckung sind nicht nur Eigenschäden eingeschlossen, sondern auch Schadenersatzansprüche anderer Unternehmen und Personen.

Cyberangriffe sind längst ein Teil der Unternehmensrealität. Technik und organisatorische Vorkehrungen mildern das Risiko ab. Versicherungen machen das Restrisiko betriebswirtschaftlich tragbar. Unternehmen können sich längst nicht mehr leisten, auf eine der beiden Komponenten zu verzichten.

Genauso wenig wie auf Beratung. So wie die Netzwerksicherheitslösung zum Firmennetz passen muss, hilft die Cyber-Versicherung nur, wenn sie auf das Unternehmen abgestimmt wurde. Dafür zu sorgen, ist unser Geschäftsfeld. Wir von acant sind auf Cyber-Versicherungen spezialisiert. Sie erreichen uns unter 030 863 926 990 oder über das Kontaktformular!