IT-Notfall - es brennt ... Foto: Thomas Wolter via Pixabay

Verhalten bei IT-Notfällen

Die IT-Notfallkarte

Vor einigen Monaten hat das BSI (Bundesamt für Sicherheit in der Informationstechnik) eine kleine „IT-Notfallkarte“ veröffentlicht. Man kann sie dort herunterladen, ausfüllen und sie in Büros, Fertigungshallen, Werkstätten, Lagerräumen etc. aufhängen, neben den Hinweisen zum Verhalten im Brandfall oder bei Arbeitsunfällen.

„Verhalten bei IT-Notfällen“ – so sieht die IT-Notfallkarte des BSI aus.

Ganz wirkungslos ist die Kampagne offenbar nicht, denn ich bekomme das Kärtchen in letzter Zeit immer öfter zu sehen, zumindest am Bildschirm. Und das finde ich als Versicherungsmakler mit Schwerpunkt auf Versicherungen für technische und digitalen Risiken sehr gut – wie alles, das für mehr Problem- und Risikobewusstsein in Sachen Cyber-Bedrohungen sorgt.

Es ist absolut richtig, dass man IT-Notfälle als echte Bedrohung ins Bewusstsein rückt

Schließlich kann ein einziger falscher Klick dafür sorgen, dass ein Verschlüsselungstrojaner oder ein Hackerangriff die Existenz des Unternehmens gefährden, zumindest aber die Jahresbilanz verhageln.

Zur Vorbereitung auf den IT-Notfall gehört mehr als eine Notfallkarte

Trotzdem: Mit dem Aufhängen der Karte ist es nicht getan. Entscheidend ist, dass der Umgang mit IT-Risiken im Unternehmen auch gelebt wird und Vorbereitungen getroffen werden:

  • Die Mitarbeiter müssen Bewusstsein dafür entwickeln, dass Viren, Trojaner und Hacker den ganzen Betrieb lahmlegen können und eine einzige unvorsichtige Aktion dafür ausreicht.
  • Es muss tatsächlich eine Notfall-Nummer geben, die man jederzeit anrufen kann. (Existiert es eine solche Nummer bei Ihnen?)
  • Die Mitarbeiter darf keine Scheu haben, sich dort zu melden. Auch dann nicht, wenn er nicht genau weiß, ob wirklich ein Notfall vorliegt.
  • Er muss dem Administrator sofort sagen können, an welchem Gerät er gerade arbeitet. Es braucht also eine eindeutige Kennzeichnung (gibt es vermutlich), und der Mitarbeiter muss die auch sehen können (den internen Host-Namen, eine Inventarnummer etc.)
  • Außerdem sollten die Mitarbeiter wissen, was bei akutem Verdacht auf eine Virus- oder Trojaner-Infektion zu tun ist. (Das Gerät muss vom Netz: sofort LAN-Kabel ziehen und/oder WLAN-Router aus. Wenn möglich, Screenshots machen oder den Bildschirm mit dem Handy fotografieren. Dann das Gerät direkt ohne Herunterfahren ausschalten – und ausgeschaltet lassen. Notieren, was man gerade gemacht hat, in welchem Programm, mit welcher Datei, mit welchem Kommunikationspartner etc.)

Viele Cyber-Versicherer bieten eine Notfall-Hotline mit IT-Expertenrat

Gut, wenn man versichert ist: Viele Cyberversicherer haben eine Notfallnummer für ihre Versicherten, rund um die Uhr und an jedem Tag mit IT-Experten besetzt. Außerdem bieten sie in der Regel vorbereitete Notfallpläne, damit klar ist, was zu tun ist und wer informiert werden muss. Drittens haben viele Versicherungsgesellschaften Experten in Bereitschaft, die sich im Ernstfall vor Ort um Schadensbegrenzung und Notfallmaßnahmen kümmern: IT-Fachleute, Krisen-PR-Experten und Juristen. (Das macht für den Versicherer Sinn, er will ja den Schaden begrenzen, den er bezahlen muss.)

Interesse an den Leistungen und Kosten der verschiedenen Cyber-Versicherungen?

Wir bei acant sind keine Experten für Erste Hilfe bei IT-Notfällen. Aber wir wissen genau, wie man Ihr Unternehmen am besten dagegen versichert. Rufen Sie uns an oder schreiben Sie uns eine Nachricht – wir beraten Sie gern.

Cyber-Versicherung - für wenn es brennt in der IT. Foto: Myriam Zilles via Pixabay

„Brauchen wir eine Cyber-Versicherung?“

Die Fragen hören wir oft. Doch die Fakten sprechen für sich.

„Braucht mein Unternehmen wirklich eine Cyber-Versicherung?“

Ja. Genau, wie jedes Holzhaus eine Feuerversicherung braucht.

 Dieser Vergleich ist nicht übertrieben. E-Mail, Buchhaltung, Warenwirtschaft, Steuerung – praktisch alles ist heute digital. Das schafft gewaltige Angriffsflächen, in so gut wie jedem Unternehmen. Ein Funke genügt, um das Holzhaus zu vernichten. Ein unvorsichtiger Klick eines Mitarbeiters, eine unentdeckte Sicherheitslücke genügt, um Ihr komplettes Unternehmen lahmzulegen.

  • Wie lange ist bei Ihnen der Betrieb unterbrochen, wenn sämtliche Daten im gesamten Unternehmen plötzlich verschlüsselt und nicht mehr lesbar sind? Alle E-Mails, alle Zahlungsvorgänge, alle Personaldaten, alle Kundenadressen etc. etc.? Wenn alle Informationen wiederbeschafft, alle Systeme neu installiert werden müssen?
  • Geraten personenbezogene Daten in die falschen Hände, muss jeder einzelne Betroffene benachrichtig werden – und jeder kann Schadenersatz fordern – ehemalige Kunden, Interessenten, frühere Geschäftspartner und Mitarbeiter, alle, deren Namen, Adressen oder Zahlungsdaten gestohlen wurden. Von Bußgeldern und dem Imageschaden haben wir da noch gar nicht gesprochen. Genauso wenig wie von den Kosten für IT-Notfallexperten, PR-Krisenberater und spezialisierten Anwälten.
  • Schließlich sind da noch die Eigenschäden nach IT-Fehlfunktionen und Cyberangriffen: Sachschäden durch Fehlsteuerung zum Beispiel oder Vertragsstrafen durch Software-Fehlfunktionen.

Diese Schäden lassen sich allesamt versichern. Angesichts des Risikos eine sehr sinnvolle Option.


„Schutz vor Cyber-Angriffen? Unsere IT-Leute sind da Experten“

Eine Brandschutzversicherung ist auch dann sinnvoll, wenn man Feuerlöscher hat (und umgekehrt).

Technische Schutzmaßnahmen (Virenschutz, Firewall, regelmäßige Aktualisierungen etc.) sind unverzichtbar. Aber Technik kann das Risiko nie auf null absenken – schon weil der Mensch bei vielen Cyberangriffen die entscheidende Schwachstelle darstellt. Im Gegenteil. Versicherung und konkrete Schutzmaßnahmen sind keine Alternativen, sie ergänzen sich gegenseitig.

Eine Cyber-Versicherung fängt das unvermeidliche Restrisiko auf.

„Gemessen am Risiko ist eine Cyber-Versicherung doch viel zu teuer“

Nein, im Gegenteil: Die Versicherungskosten liegen in der Regel bei maximal einem Promille des Jahresumsatzes.

Im Verhältnis zu den Versicherungskosten und dem Schadensrisiko ist es betriebswirtschaftlich absolut sinnvoll, Cyber-Risiken zu versichern. Es gibt unterschiedliche Policen mit unterschiedlichen Versicherungsbedingungen. Doch in aller Regel beträgt die Versicherungsprämie nicht mehr als maximal ein Promille des Jahresumsatzes. Nur bei Kleinunternehmen oder besonders gefährdeten Unternehmen liegen die Versicherungskosten regelmäßig etwas höher.

Im Gegenzug bietet die Cyber-Police einen breiten Querschnitt an Versicherungsleistungen: Sie deckt Personen- und Sachschäden ab, die durch IT-Sicherheitsverletzungen entstehen, aber auch die Schadenersatzpflicht, die daraus resultiert. Zudem ist in vielen Policen Rechtsschutz enthalten. Außerdem stellen die Versicherer im Schadensfall oft eine Art schnelle Eingreiftruppe bereit: IT-Experten, spezialisierte Rechtsanwälte und Leute für Krisen-PR, die dann sofort helfen.

Cyber-Versicherungsschutz ist nicht teuer. Jedenfalls dann nicht, wenn der Versicherungsvertrag zum Unternehmen passt.

„Wer sich gegen Cyber-Angriffe versichert, kümmert sich automatisch weniger um IT-Sicherheit, oder nicht?“

Wird ein Holzhausbesitzer mit Feuerversicherung automatisch nachlässiger im Umgang mit offenen Flammen?

Wer eine Cyber-Versicherung abschließt und dann die Vorsicht im Internet aufgibt, schadet vor allem sich selbst. Eine Cyber-Versicherung abschließen und dann auf vernünftige Passwörter verzichten, das ist wie die Haustür offen lassen, weil man gegen Einbruchschäden versichert ist. Die Versicherungsgesellschaft stört das weniger – sie leistet dann einfach nicht.

Der Abschluss einer Cyber-Versicherung zeigt gerade, dass man sich der digitalen Bedrohungen bewusst ist.

Die Cyber-Versicherung ist eine sinnvolle Antwort auf ein akutes Risiko

Die Bedrohung durch Hacker, Viren und Trojaner lässt sich nicht mehr ignorieren: Die Frage ist nicht ob, sondern wann ein Unternehmen betroffen ist.

Gleichzeitig werden Datenschutz- und Compliance-Anforderungen immer strenger.

Eine Cyber-Versicherung bietet in dieser Situation auf ähnliche Art Schutz wie eine Krankentagegeld-Versicherung für die Arbeitsfähigkeit von Selbstständigen: Sie kann den Ausfall nicht verhindern. Aber sie sorgt dafür, dass die wirtschaftlichen Folgen beherrschbar bleiben.

Wir von acant sind Experten für Cyber-Versicherungsschutz. Rufen Sie uns an: Wir beantworten Ihre Fragen. Kostenlos und ausführlich.

Schwachstelle Fenster Versicherungsfall - - Foto von Анастасия Гепп via Pixabay

Ausgesperrt? Aber nicht lange …

Ausgesperrt – und der Schlüssel ist in der Wohnung? Eine vertrackte Situation. All oft leichter lösen lässt als gedacht – zu leicht, aus Sicht der Versicherungsbedingungen.

Und schon ist man drin

Sie gehen aus der Wohnung und ziehen die Tür zu. Dann fällt es Ihnen ein: Der Schlüssel ist noch drin. Ärgerlich, nicht wahr?
Aber vielleicht haben sie ja Glück, und irgendwo ist ein Fenster oder die Balkontür gekippt. Das reicht schon:

Oder Sie ersparen sich die Kletterei. Wenn Sie nicht gerade eine selbstverriegelnde Tür haben, reicht in der Regel eine Fahrradspeiche, ein fester Draht, oder ein krummes, aber festes Stück Plastik, z. B. von einer Cola-Flasche. Damit kriegt man eine Tür auf, die nur zugezogen wurde. Sehen Sie selbst:

Und wo ist das Problem?

Das Problem besteht darin, dass auf die Art auch Einbrecher schnell drin sind. Und wenn Sie es denen zu einfach machen, dann droht doppelter Schaden: Dann kommt die Versicherung nicht für die Einbruchsschäden auf. Wegen Fahrlässigkeit. Das gilt auch für die altbekannte Sache mit dem Schlüssel unter dem Fußabtreter oder unter dem Blumentopf neben der Tür.

Und am Rechner?

Aussperren kann man sich bekanntlich auch vom Computer, oder Smartphone, oder aus der Banking-App, oder all den anderen digitalen Dingen, für die man ein Passwort oder eine PIN braucht. Deshalb gibt es dort das Gegenstück zum Schlüssel unterm Blumentopf: den Klebezettels am Schreibtisch.

Aber damit ist im Falle eines Falles der Versicherungsschutz ebenfalls dahin.

Lieber einmal fürs Öffnen zahlen als auf dem Einbruchsschaden sitzen bleiben

  • Mit den Tipps oben sparen Sie sich den Schlüsseldienst. Wenn Sie jedoch beim Gehen Fenster gekippt lassen und die Tür nur zuziehen, sparen Sie Ihrer Versicherungsgesellschaft Geld. Die muss ja dann nicht leisten, falls jemand einbricht.
  • Ganz ähnlich ist es mit Passwörtern, die auf PostIt-Zetteln notiert neben dem Gerät kleben. Weg damit!
  • Und schließlich: Solche Fahrlässigkeit ist auch bei Unternehmensversicherungen nicht gedeckt. Deshalb: Sind Sie sicher, dass niemand von Ihren Mitarbeiterinnen und Mitarbeitern leichtsinnig ist?

Übrigens: Wenn Sie wissen wollen, was Ihre Versicherungsbedingungen sonst noch ein- bzw. ausschließen, dann fragen Sie uns. Wir von acant verstehen das Kleingedruckte, und übersetzen es gern für Sie in normales Deutsch.

Angriffe auf Unternehmen - Versichern hilft (Clker-Free-Vector-Images via Pixabay)

Angriffe auf Unternehmen: Eine Statistik sagt mehr als tausend Worte

Angriffe auf Unternehmen sind Alltag

Zum Thema „Angriffe auf Unternehmen“ lieferte der Bitkom klare Zahlen. Sie sprechen für sich:

Infografik: So werden Unternehmen angegriffen | Statista

Wie der IT-Branchenverband Bitkom zeigt, kamen 2018 bei rund einem Drittel der Unternehmen Smartphones, Laptops oder andere Geräte weg. Ein weiteres Fünftel war „vermutlich betroffen“.

Der Schaden beschränkt sich dann nicht nur auf die Kosten der Neuanschaffung. Wenn auf dem Gerät persönliche Informationen von Privatkunden oder vertrauliche Daten von Geschäftspartnern waren, dann haftet das „Verlierer-Unternehmen“ grundsätzlich für alle Schäden, die sich daraus ergeben.

Und es muss alle Betroffenen vom Verlust personenbezogener Daten in Kenntnis setzen. Schon das ist ein immenser Aufwand.

Zum Glück ist das alles versicherbar – und zwar vergleichsweise günstig.

Das gilt für alle Schäden durch die in der Infografik genannten Angriffe, also auch für digitale Sabotage, Datendiebstahl, und natürlich „analoge“ Angriffe mit physischem Diebstahl oder handfester Sabotage: Sie können Ihr Unternehmen dagegen versichern, und das zu überschaubaren Kosten.

Fragen Sie uns einfach. Wir von acant klären mit Ihnen gemeinsam, welche Deckungen für Ihr Unternehmen wichtig und sinnvoll sind, und auf was Sie verzichten können. Anschließend suchen wir für Sie die günstigsten Anbieter mit der passenden Police.

Rufen Sie uns einfach an!

Sachschadendeckung für die IT - Image by andreas160578 from Pixabay

Sachschäden durch Bedienfehler und unbefugte IT-Nutzung der eigenen Leute? Auch dafür gibt es eine Cyber-Deckung

Klassischerweise deckt eine Cyberversicherung drei Arten von Schäden:

  • Sie übernimmt Kosten, die nach einer Cyber-Angriff entstehen, etwa für die Feststellung des Tathergang, für die schnelle Wiederherstellung der Systeme und Daten sowie für den Soforteinsatz spezialisierter Rechtsanwälten und Notfall-PR-Berater.
     
  • Sie übernimmt den Schadenersatz an Dritte, etwa weil Hacker Personendaten Dritter bei Ihnen gestohlen haben, oder weil Sie nach einer Trojanerattacke Lieferfristen nicht einhalten konnten.
     
  • Sie bezahlt für Schäden, die durch solche Betriebsunterbrechungen entstehen.

Und wenn der Schaden hausgemacht ist?

Allerdings bleibt eine weitere Art Schaden dabei außen vor: Sachschäden, die auf nicht autorisierter oder sachgerechter IT-Nutzung beruhen und deren Verursacher im eigenen Haus sitzen. Dazu gehören Saboteure aus den eigenen Reihen (ein beträchtliches Risiko!), aber auch überforderte und schusselige Mitarbeiter (ebenfalls eine handfeste Gefahr).

Fragen Sie sich selbst: Welche Sachschäden kann Ihnen durch einen bösartigen oder tollpatschigen Arbeitnehmer entstehen? Und wie leicht könnte es dazu kommen?

Cyber-Versicherung umfasst Sachschäden durch Bedienfehler und unbefugte IT-Nutzung

Bislang waren solche Eigenschäden wenn überhaupt, dann nur in der Deckung einer Elektronik- oder Maschinenversicherung enthalten. Neuerdings gibt es auch die Möglichkeit, sie als Teil einer Cyberversicherung zu versichern.

Versichert sind dabei nicht nur Sachschäden an digitalen Geräten und Maschinen selbst, die durch falsche oder unbefugte Nutzung der IT-Systeme entstehen. Dieses Schadensrisiko ist besonders hoch: Sensible digitale Technologie verträgt nicht viel an grober Fehlbedienung.

Aber der Schaden kann noch größer sein. Ganze Maschinen, Lager voller Waren oder sogar das gesamte Betriebsgebäude können beschädigt werden. Dafür genügen bereits ein falsch programmiertes Klimasystem, das zu Schimmelbildung führt, oder der dilettantische Umgang mit der Steuerung der Sprinkler-Anlage samt anschließendem Wasserschaden. Auch solche Schäden sind in der neuen Deckung grundsätzlich enthalten.

Beispiele für versicherte Cyber-Sachschäden

  • Ein Bedienfehler des zuständigen Ingenieurs legt die Systeme zur Luftreinhaltung in den Produktionsräumen lahm. Das führt zu einem Ausfall der sensiblen, extrem staubempfindlichen Maschinen.
  • Eine von Administrator falsch installierte Software bewirkt eine Fehlsteuerung der automatisierten Fertigungsanlage. Die so erzeugten Produkte sind unbrauchbar, die Maschine selbst muss aufwendig repariert werden.
  • Ein neuer Mitarbeiter ändert eigenmächtig die Einstellungen der CNC-Fräsmaschine. Prompt werden drei Tage lange Aluminiumprofile mit falschen Bohrungen versehen, bis der Fehler auffällt. Die Profile sind damit Ausschuss.

In solchen Fällen kann sich das versicherte Unternehmen die Kosten für das Material, die Neuproduktion und die Reparaturen erstatten lassen.

„Lohnt sich das für uns?“ Das lässt sich nur individuell beantworten

Ob dieses neue Cyberversicherungs-Angebot eines namhaften Versicherers für Ihr Unternehmen attraktiv ist, oder ob Sie das Risiko besser anders versichern (etwa durch eine Maschinenversicherung oder eine Elektronikversicherung), das kläre ich gern mit Ihnen gemeinsam. Vielleicht macht es für Sie auch schlicht keinen Sinn, dafür Geld auszugeben. Das hängt von Ihrem Unternehmen, Ihrer Geschäftstätigkeit und den bestehenden Versicherungen ab.

Rufen Sie mich einfach an – das kostet Sie nichts, denn als Versicherungsmakler bekomme ich erst Geld, wenn Sie sich eine Versicherung vermitteln lassen. Und dann bezahlt in der Regel der Versicherer meine Courtage.

Ransomware: Wie kann Datensicherung vor Erpresser-Programmen schützen?

In diesem Beitrag geht es um Ransomware – und was Datensicherungskonzepte zum Schutz beitragen können.

(Wenn Sie längst wissen, was es mit Ransomware auf sich hat, können Sie direkt beim Abschnitt Datensicherung weiterlesen.)

Warum ist Ransomware eine solche Bedrohung?

  • Die Schadprogramme sind weit verbreitet, und es tauchen immer neue, verbesserte Versionen auf.
  • Viele Betriebe sind trotz Virenschutz schlecht gerüstet. Ein Hauptproblem: bei den Mitarbeitern fehlt es an Problembewusstsein und damit an Vorsicht.
  • Ransomware ist besonders heimtückisch: Nach der Infektion werden Daten schleichend im Hintergrund verschlüsselt. Wenn das Problem bemerkt wird oder der Erpresserhinweis erscheint, können selbst die Sicherungskopien wertlos sein.
  • In vielen Unternehmen gibt es kein Datensicherungskonzept, oder es berücksichtigt die Gefahr von Ransomware nicht.

Deshalb, bevor wir zu Datensicherungskonzepten kommen, ein ganz grundsätzlicher Hinweis: Prävention ist viel besser, als Daten  wiederherstellen zu müssen. Und die wichtigste Form der Prävention betrifft weder Software noch Hardware, sondern das Verhalten von Menschen.

Ransomware: Schadsoftware mit Erpresser-Funktion

Infiziert Ransomware den Rechner, verschlüsselt sie sämtliche Dateien, derer sie habhaft wird – auch auf angeschlossenen USB-Sticks, Rechnern im gleichen Netzwerk oder im verbundenen Cloud-Speicher. Das damit der laufende Betrieb lahmgelegt wird, ist klar.

Die Ransomware Locky teilt ihre Erpresserbotschaft auch auf Deutsch mit.

Die Daten sind zwar noch da, aber nicht mehr nutzbar, bis sie wieder entschlüsselt werden. Dafür braucht man einen Code. Für den verlangen die Cyber-Kriminellen Geld, meist als Krypto-Währung, etwa Bitcoins. Und selbst bei Zahlung kann man Pech haben – Geld weg, kein Schlüssel da.

Zur Erpressung kommen oft Schadfunktionen hinzu. Inzwischen verschickt sich Ransomware selbst an die Kontakte weiter, als Antwort auf eingegangene Nachrichten. Und sie installiert weitere Trojaner auf dem Rechner, die dann beispielsweise Bankdaten und Passwörter ausspähen. Spätestens mit der ungewollten Weitergabe der Infektion an Kunden und Geschäftspartner drohen Auftragsverluste und Schadenersatzklagen. Aber die drohen aufgrund ohnehin, wenn nicht gearbeitet werden kann.

Datensicherung

Eine gute Backup-Strategie ist ein Element der Vorsorge, um im Fall einer Ransomware-Infektion mit einem blauen Auge davon zu kommen.

Dazu muss die Datensicherung allerdings professionell ablaufen. Betriebe, die keine eigenen IT-Fachleute beschäftigen, sollten sich Unterstützung holen. Je nach Umfang der Aufgabe dürfte das nicht mehr als eine dreistellige oder niedrige vierstellige Euro-Summe kosten. (Ich kann Ihnen bei Bedarf gern jemand empfehlen: 0176 1031 8791.)

Nicht immer nur die letzte Version speichern

Ein sinnvolles Datensicherungskonzept sollte evolutiv sein. Das bedeutet: Neben der letzten Sicherung muss auch die vorletzte, die vorvorletzte etc. verfügbar sein.

Ransomware agiert oft mit Verzögerung. Bis man sie bemerkt, sind vielleicht längst an verschiedenen Stellen Daten verschlüsselt und in diesem Zustand gesichert worden.

Man muss also bis zum Zeitpunkt vor der Erstinfizierung. Allerdings sind die Daten, die seither dazugekommen sind, wohl verloren. Datensicherung ist kein Allheilmittel.

Rotierende Bänder

Von der Speicherung auf externen Festplatten oder Bändern sollte es sinnvollerweise stets drei Versionen geben – eine, die am Arbeitssystem hängt, eine im Safe liegt, und eine, die bereitliegt, um als nächstes mit dem Rechner verbunden zu werden.

Keine dauerhafte Verbindung nach dem Backup

Egal, ob die Daten auf dem Arbeitsrechner oder -server auf ein Band, ein externes Festplattenlaufwerk oder einen Cloud-Speicher kopiert werden: Nach der Übertragung muss das Medium ausgeworfen bzw. getrennt werden.

Dokumentieren – sonst war die Mühe umsonst!

Das Set-up der Datensicherung muss genau dokumentiert sein: so genau, dass auch ein anderer Mitarbeiter oder Dienstleister im Ernstfall weiß, wie er bei der Wiederherstellung im Ernstfall vorzugehen hat. Außerdem muss die Zuständigkeit vorab geklärt sein. Das klingt banal, aber genau an diesem Punkt ist schon manche Datenrettung gescheitert.

Zu jeder Sicherung sollte dokumentiert sein, welche Daten sie umfasst (und welche nicht, idealerweise als Liste aller gespeicherten Dateien. Klar sein sollte auch, wer das Backup angestoßen hat, damit im Ernstfall der Ansprechpartner feststeht.

Falls die Backups aus Sicherheitsgründen verschlüsselt werden (sinnvoll – eine Datensicherung ist ja nichts anderes als Ihr betriebliches Know-how in leicht zu transportierender Form), dann muss im Ernstfall bekannt sein, wo sich die Recovery Keys befinden.

Datenwiederherstellung regelmäßig prüfen

Wenn die Backup-Routine erst einmal eingereichtet wurde, ist die Gefahr groß, dass man im Vertrauen auf das Funktionieren der Technik die Sache sich selbst überlässt.

Das reicht nicht. Um das Funktionieren und die Qualität der Sicherung zu prüfen und die Wiederherstellung für den Ernstfall zu testen, sollte man in regelmäßigen Abständen – zweimal im Jahr, beispielsweise – eine Datenwiederherstellung praktisch durchführen.

Beispiel für ein Backup-Konzept: Drei – Zwei – Eins

Sinnvoll ist die Drei-Zwei-Eins-Strategie für Backups:

  • mindestens drei Kopien der Daten (einmal auf dem System, auf dem gearbeitet wird, dann auf einem synchronisierten Medium wie einem Cloudspeicher und drittens auf einem vom Live-System getrennten Medium wie einem Bandgerät.
  • mindestens zwei verschiedene Speicher-Arten – wenn die Festplatte im Rechner auf eine externe Festplatte gespiegelt wird, sollte zumindest ein weiteres Medium zum Einsatz kommen, das keine Festplatte ist, etwa ein Band oder ein Cloudspeicher
  • mindestens ein externer Aufbewahrungsort für eine Sicherung – sonst ist am Ende der Rechner geklaut und das Bandgerät oder die externe Festplatte ebenfalls

Versichern: denn eine Versicherung lässt sich nicht verschlüsseln

Datensicherung mit System ist ein wichtiger Baustein der IT-Sicherheit zum Schutz vor Ransomware und anderen Cyber-Attacken. Doch auch damit kann man nur die Wahrscheinlichkeit verringern, dass es zum Datenverlust kommt.

Deshalb sollte das Fundament der IT-Sicherheitsstrategie aus Versicherungen bestehen. Eine Versicherungspolice kann weder von technischen Pannen noch von neuer Schadware ausgehebelt werden. Versichern lässt sich beispielsweise:

  • der Schaden durch die Betriebsunterbrechung
  • die Schadenersatzforderungen von Kunden, deren Daten kompromittiert wurden
  • Vertragsstrafen, weil Sie Ihre Lieferfristen nicht einhalten können
  • die Kosten, weil wichtige Planungsdaten oder Auftragsinformationen fehlen
  • etc.

Gerade in Bezug auf Bedrohung durch Ransomware ist Versichern als Auffanglösung sehr sinnvoll, denn hier drohen eine besonders aufwändige Wiederherstellung und der Verlust von Daten, die bis zur Entdeckung der Infektion hinzugekommen sind – daraus können sich sehr empfindliche Schäden ergeben.

Ob speziell für Sie eine Cyber-Versicherung am sinnvollsten ist, oder ob Ihre bestehenden Versicherungen Schutz bieten, das klären wir am besten im direkten Gespräch- rufen Sie einfach an.

Eine ganze Reihe der genannten Tipps zu Backup-Strategien verdanke ich Dr. Sybe Rispens von der IT-Sicherheitsberatung Lindemanns | Rispens.

Praxisausfallversicherung für Ärzte und Heilberufe - Foto: DanielCubas via Pixabay

Heilberufe und Ärzte: Praxisausfall und Cyber-Attacken – beides versichert?

Praxisausfallversicherung für Heilberufe

Ob als Arzt, Zahnärztin, Physiotherapeut oder in irgendeinem anderen Heilberuf: Wer sein Geld mit einer eigenen Praxis verdient, ist darauf angewiesen, dass der Praxisbetrieb läuft.

Trotzdem kann es natürlich immer passieren, dass die Praxis aufgrund widriger Umstände vorübergehend schließen muss. Damit brechen auch Umsätze und Einnahmen weg. Vor diesen finanziellen Folgen schützt eine Praxisausfallversicherung.

Schutz vor Praxisausfall hat zwei Grundkomponenten:

  • Die eigentliche Praxisausfallversicherung zahlt, wenn der Arzt, die Therapeutin, der Logopäde oder die Zahnärztin nicht arbeitsfähig sind und deshalb sämtliche Termine verschoben werden müssen.
     
  • Das zweite Element ist eine Versicherung gegen Praxisbetriebsunterbrechung. Sie ersetzt den Verdienstausfall, wenn die Praxisräume oder wichtige Geräte nicht mehr genutzt und deshalb keine Behandlungen stattfinden können, beispielsweise durch einen Wasserschaden, einen Brand, einen Einbruchs oder andere Sachschäden .

Fragen Sie uns!

Wir von acant vermitteln diesen Versicherungsschutz natürlich – und wir beantworten Fragen dazu, selbstverständlich kostenlos: 030 863 926 990.

In vielen (nicht allen) Fällen empfehlen wir diese Deckung, weil sie das Unternehmen hinter der Praxis wirtschaftlich absichert.

Und wenn alle Computer und Daten weg sind? Auch dafür muss vorgesorgt sein

Allerdings bleibt eine Deckungslücke, selbst wenn Praxisausfall und Betriebsunterbrechung versichert sind. Sie betrifft Cyber-Schäden: Schäden an den Computersystemen oder Daten. Diese haben die Versicherungsgesellschaften bei der Deckung von Praxisausfallversicherungen nicht eingeschlossen.

Dabei kann ein Computer-Angriff oder ein Computerschaden die Praxis ganz besonders effektiv lahmlegen. Etwa dann, wenn ein Verschlüsselungstrojaner den Terminkalender unlesbar macht oder die Karten nicht mehr eingelesen werden können.

Falls gar die Patientendaten gestohlen werden, ist das ein GAU. In dem Fall droht nicht nur wirtschaftlicher Schaden durch die Praxisschließung. Dann haben die Patienten auch Schadenersatzansprüche, die sie gegenüber dem Arzt oder der Therapeutin geltend machen können.

Die Lösung ist eine Cyber-Versicherung speziell für Ärzte, für Heilberufe und Heilnebenberufe. Dieser Versicherungsschutz für die eigene Praxis sollte genauso selbstverständlich sein wie Impfschutz für Kinder. Welche Police am besten zu Ihnen und Ihrer Praxis passt, können wir für Sie und mit klären. Wir beraten Sie gern.

Cyberversicherung auswählen- Image by Pete Linforth from Pixabay

Cyber-Versicherung: Versichern Sie nur die vorhandenen Risiken

Cyber-Versicherung: Schnell abschließen, und fertig?

Dass eine Cyber-Versicherung für Unternehmen sinnvoll ist, um Versicherungsschutz gegen Trojaner, Datenpannen, Cyber-Erpressungen und ähnliche Bedrohungen zu haben, das liegt auf der Hand. Solche digitalen Katastrophen können schließlich richtig teuer werden: Betriebsunterbrechung, Umsatzeinbußen, vergraulte Kunden, die Wiederherstellung der Technik, möglicherweise Bußgelder oder Schadenersatz für gestohlene personenbezogene Daten, das alles kann sich summieren.

Kein Problem: Mittlerweile werden viele verschiedene Cyber-Versicherungspolicen für Unternehmen angeboten. Auch für kleine und mittlere Betriebe. Also los zur nächsten Vergleichsplattform, die billigste Police raussuchen, und fertig?

Ein Risikoprofil spart Versicherungskosten – und sorgt für bessere Deckung

Das kann man so machen. Aber man darf sich dann nicht wundern, wenn man unterm Strich draufzahlt. Denn auf der Vergleichsplattform gibt es nur Standard-Versicherungen von der Stange. Und die dann strikt nach Kostengesichtspunkten ausgewählt – ohne Blick dafür, ob die Versicherungsbedingungen zum eigenen Risiko passen? Da versichert man sich dann blind – mit entsprechenden Resultaten.

Das Risikoprofil des eigenen Unternehmens ist auch in Bezug auf Cyber-Gefahren ganz entscheidend dafür, welchen Versicherungsschutz man braucht – und welchen nicht. Ein wichtiger Teil meines Job als Versicherungsmakler besteht darin, das Risikoprofil für jeden Kunden festzustellen. Erst dann suche ich die passenden Cyberversicherungsprodukte heraus. Schließlich weiß ich vorher gar nicht, was genau versichert werden muss!

Das Risikoprofil bestimmen Fragen wie diese:

  • Fallen besonders sensible personenbezogene Daten nach DSGVO in dem Unternehmen an, etwa zur Gesundheit, zu den persönlichen Finanzen, zu religiösen und politischen Einstellungen ? Ein Steuerberaterbüro, ein Heilpraktiker, eine Apotheker, ein Optiker, eine Arztpraxis oder ein Marktforschungsinstitut haben in Sachen Datenschutz besondere Risiken. Ein Schreinerei-Betrieb, ein Werkzeugverleih oder ein Fahrradspezialist vermutlich nicht. (Das muss man aber prüfen.)
     
  • Welche Investitionen in Technik wurden gemacht, wie gefährdet ist diese Technik und wie wichtig ist sie für den Geschäftsbetrieb? Ein Online-Händler, für den sein Online-Shop samt Warenwirtschaft und Payment-Abwicklung unerlässlich sind, hat ein hohes Risiko. Das gilt genauso für einen Industriebetrieb, dessen zentrale Produktionsmaschinen Telemetrie-Funktionen besitzen (und damit eine Angriffsfläche bieten) oder für ein Logistik-Unternehmen, der für seine Disposition GPS-Daten und Pläne mit den Fahrzeugen austauscht.
     
  • Wie ist der aktuelle Sicherheitsstandard im Unternehmen? Ist klar definiert, wer Zugang zu bestimmten Daten, Geräten etc. hat? Gibt es Regeln zum Einsatz eigener Geräte? Gibt es Vorgaben für Geschäftspartner, vor allem solche, mit denen Daten ausgetauscht werden? Kümmern sich Fachkräfte um die IT-Sicherheit? Kurz gesagt: Hat sich das Unternehmen für seine Größe und sein Geschäftsfeld ausreichend mit Sicherheitsfragen befasst, organisatorisch und technisch?
     
  • Welche Risiken sind bereits versichert? Eine Cyber-Versicherung ist eine Querschnittsversicherung, die Haftpflicht, Eigenschäden und oft auch Rechtsschutz enthält. Manche dieser Risiken sind allerdings oft schon im Deckungsumfang von bereits bestehenden Versicherungen enthalten. Damit besteht das Risiko der Überversicherung – und das ist verlorenes Geld. DIeser Punkt wird oft vergessen, er ist aber ganz entscheidend.

Beratung spart Geld – auch beim Versichern

Natürlich kommen für kleine und mittlere Unternehmen nur fertige Versicherungsangebote in Frage. Aber auch ein kleines Unternehmen kann sicherstellen, dass die gewählte Cyberpolice passt. Zum einen, indem das richtige Proukt gewählt wird. Zum anderen lassen sich Teildeckungen durchaus auch bei „fertigen“ Cyberversicherungen anpassen, dazu buchen oder ausschließen.

Für die richtige Wahl muss man sowohl die Versicherungsbedingungen kennen wie das individuelle Risikoprofil des Kunden. Beides gehört zu meiner Aufgabe als Spezialmakler. Rufen Sie mich an, wenn Sie über eine Cyber-Versicherung für Ihr Unternehmen nachdenken. Ich sorge dafür, dass Ihre Versicherung zu Ihrer Branche, Ihrer Betriebsgröße, Ihren bestehenden Versicherungen und Ihrer Risikobereitschaft als Unternehmer passt.

Übrigens kostet Sie weder die Vermittlung noch die Beratung eigenes Geld: Meine Courtage zahlt der Versicherer, für den Sie sich entscheiden. Rufen Sie mich einfach an: 0176 10318791.

Wie bei einer Cyber-Versicherung: die richtige Wahl entscheidet.

Die richtige Cyberversicherung: wichtig, sinnvoll, nicht ganz einfach

Thema Cyberversicherung: über die Unternehmensversicherungen speziell gegen Cyber-Kriminalität und IT-Katastrophen wird immer öfter berichtet. Dabei wird – zumindest in seriösen Quellen – stets dazugesagt, dass dies ein komplexes Thema ist.

Seit Jahren meine Rede! Eine Cyberversicherung erfordert Beratung, sonst bringt sie statt Nutzen nur Kosten. Aber heute beschlossen, mal andere argumentieren zu lassen, und zitiere nur:

Leistungen und Kosten von Cyber-Policen

Die Leistungen von Cyber-Policen unterscheiden sich allerdings je nach Anbieter teilweise deutlich. Unternehmer müssen das genau prüfen. (…) Die Prämienkosten variieren stark, sie richten sich nach Risiko und Größe der Firma, der Art der Daten und der vereinbarten Leistungen. Die Spanne reicht von 500 bis über 100.000 Euro pro Jahr

U. Hottelet, „Wie können sich Unternehmen/Selbständige gegen Cyber-Risiken versichern?“ Haufe.de

Als Versicherungsmakler achte ich strikt darauf, dass Prämienkosten, Deckung und faktisches Risiko für den Kunden betriebswirtschaftlich optimal passen. Das ist eine meiner Kernleistungen.

Risikoanalyse und Versicherungsschutz prüfen

Eines der größten Hindernisse für eine stärkere Verbreitung von Cyberversicherungen ist die sehr aufwendige Risikoanalyse. (…) Wichtig ist es, den Versicherungsschutz genau zu prüfen, also in welchen Fällen gezahlt wird und in welchem Umfang.

Teresa Ritter, Arbeitskreis Öffentliche Sicherheit im Bitkom e. V., in AssCompact 1/2019

Versicherungsschutz prüfen bedeutet, alle Unter- und Teildeckungen, die Deckungsausschlüsse und die Versicherungsbedingungen genau im Blick zu haben. Das ist mein Job. Und die Risikoanalyse führe ich gemeinsam mit meinen Kunden durch.

Die Bedeutung des individuellen Geschäftsmodells

Branchen und Betriebsarten haben für die Cyberversicherung nur untergeordnete Bedeutung. So ist das Cyberrisiko einer lokalen Boutique völlig anders zu bewerten als das eines (vielleicht auch kleinen) Online-Händlers. Und das, obwohl beide Unternehmen Kundendaten sammeln, möglicherweise Kreditkartendaten verarbeiten und ihre Daten und Systeme eventuell auch beide vollständig selbst betreiben oder durch Dritte betreiben lassen. (…) Entscheidend ist, das Geschäftsmodell des Kunden zu durchdringen.

Michael Franke, Leonard Wolf (Franke und Bornberg), in AssCompact 1/2019

Jede Beratung bei acant beginnt damit, Geschäftsmodell und individuelle Situation des Kunden genau festzustellen. Nur dann kann man überhaupt anfangen, sich über Versicherungen zu unterhalten.

Am Thema Cyber-Versicherung kommt man nicht mehr vorbei

Bei der Anzahl stellen wir mittlerweile fest, dass auf jeder zehnten Police mittlerweile ein Schadensfall gemeldet worden ist. Wir sehen Cyberversicherungen von der Aufmerksamkeit her bei den Top fünf-Themen, und das wird in Zukunft sicher eines der Top drei-Themen sein.

Jens Krickhahn, Allianz – AGCS, gegenüber BR24

Für acant ist das Thema Cyber-Versicherung nicht neu. Wir vermitteln  seit 2013 Cyberversicherungen, haben entsprechende Erfahrung und kennen den Markt sehr genau.

Bei acant gibt es zu jeder vermittelten Cyber-Versicherung die nötige Beratung dazu. Neutral und kostenlos.

Wir von acant sind Versicherungsmakler. Dem Kunden das jeweils beste Versicherungsprodukt zu vermitteln und dabei nur seinen Interessen verpflichtet zu sein, schreibt uns das Gesetz vor. Es ist auch unser eigenes Interesse. Schließlich leben wir von der Qualität der Vermittlungsleistung. Und von langfristigen Geschäftsbeziehungen.

Wenn Sie mehr über mögliche Versicherungen gegen Hacker, Trojaner, Datenpannen & Co. wissen wollen, dann fragen Sie uns einfach. Wir legen Wert auf individuelle Beratung – und die ist kostenlos. Sie erreichen uns unter 0 30 863 926 990, oder per  E-Mail ah info@acant.de.

Ohne Sicherheitsmaßnahmen sind Geschäftsgeheimnisse schnell ausgespäht.

Das Geschäftsgeheimnisgesetz kommt – sichern Sie Ihre Geschäftsgeheimnisse

Geplantes Gesetz zum Schutz von Geschäftsgeheimnissen

Bereits seit einiger Zeit befindet sich der Entwurf zum sogenannten Geschäftsgeheimnisgesetz in der Pipeline (zurzeit im Bundestag). Dabei sind Regierung und Parlament zu spät dran, eigentlich hätte die EU-Richtlinie (EU) 2016/943 schon letzten Sommer in deutsches Recht umgesetzt sein müssen. Wann das neue Gesetz kommt, steht noch nicht fest. Aber es wird kommen.

Geschäftsgeheimnis ist nur, was auch angemessen geschützt wird

Dem Entwurf zufolge können alle möglichen Informationen eines Unternehmens Geschäftsgeheimnis sein (sofern sie wirtschaftlichen Wert haben und geheim sind): neben Bauplänen, Rezepturen oder Quellcodes beispielsweise auch Kundenlisten, Bezugsquellen, ein Marketing- oder ein Geschäftsplan.

Das gilt jedoch nur, wenn das Unternehmen für diese Informationen auch angemessene Geheimhaltungsmaßnahmen getroffen hat. Nach der bisherigen Rechtslage ( (§§ 17 – 19 UWG) muss dagegen nur der Wille zur Geheimhaltung klar erkennbar sein.

Das bedeutet: Ohne Schutzmaßnahmen keine Ansprüche bei Missbrauch/Diebstahl

Daraus folgt ganz praktisch: Mit der neuen Rechtslage müssen Unternehmen nachweisen können, dass sie sich aktiv um angemessenen Schutz ihrer Geschäftsgeheimnisse gekümmert haben. Nur dann können sie gegen Fälle von Missbrauch oder „Diebstahl“ von Geschäftsgeheimnissen vorgehen.

Wer den Schutz der eigenen Geschäftsgeheimnisse versäumt hat, kann keinen Schadenersatz fordern, falls ein Arbeitnehmer internes Know-how unter der Hand weitergibt oder ein Wettbewerber es für Konkurrenzangebote nutzt. Und es besteht kein Anspruch, dass die abgekupferten Produkte vom Markt genommen werden.


Schutz durch Technik, durch organisatorische Maßnahmen und durch Vertragsklauseln

Worin „angemessener Schutz“ besteht, hängt vom konkreten Fall ab, vom wirtschaftlichen Wert die Information etc. Grundsätzlich gibt es drei Handlungsfelder:

  • IT-Security sowie andere technische Maßnahmen, etwa Videoüberwachung und/oder elektronische Zutrittssysteme.
  • Organisatorische Schritte: klare Zuständigkeit für Geheimhaltungsmaßnahmen, Schulungen und ein internes Berechtigungsmanagement (Regeln: wer darf was sehen/hat wo Zugang etc. – und wer nicht?).
  • Ganz wichtig: Wirksame vertragliche Verschwiegenheitsklauseln, in den Arbeitsverträgen und in Vereinbarungen mit Geschäfts- und Projektpartnern.

Geschäftsgeheimnisse versichern?

Es gibt keine spezielle „Geschäftsgeheimnisversicherung“. Wettbewerbsrechtliche und urheberrechtliche Themen sind fast immer vom Versicherungsschutz ausgeschlossen.

Cyberversicherungen gibt es allerdings auch ohne solchen Ausschluss. Dann sind auch Geschäftsgeheimnisse in der Deckung enthalten. Das Beziffern des Schadens kann kompliziert werden. Anwalts- und Gerichtskosten sollten aber in jedem Fall „drin“ sein.

Umgekehrt gibt es eine ganze Reihe von Versicherungen, mit denen man sich schützen kann, falls man selbst zum Ziel von Ansprüchen wegen der Verletzung von Geschäftsgeheimnissen wird. Versichern kann man etwa:

  • Vertrauensschaden
  • Betriebshaftpflicht
  • Managerhaftpflicht
  • Strafrechtsschutz
  • Cyber-Schutz

Rufen Sie uns an, wenn Sie Fragen haben

Haben Sie Fragen konkret zu Ihrem Unternehmensrisiko und möglichem Versicherungsschutz? Rufen Sie uns doch einfach an (0 30 863 926 990) oder schreiben Sie uns eine E-Mail (info@acant.de). Wir nehmen uns Zeit für Sie – und unsere Antworten kosten Sie keinen Cent!