IT Branchenrisiko

Wer braucht eine Cyberversicherung und warum?

von

Was unterscheidet die Cyberversicherung von anderen Betriebsversicherungen?

  • Eine Cyberversicherung ist eine Querschnittslösung für alle Schäden, die sich in einem bestimmten Bereich ergeben.
  • Sie versichert ein breites Spektrum an Schadensereignissen. Damit die Cyberversicherung leistet, muss man nur eine Informationssicherheitsverletzung nachweisen und belegen, dass das Unternehmen dadurch wirtschaftliche Schäden hatte. Dagegen zahlt eine Maschinen- oder Elektronikversicherung nur, wenn ein Sachschaden eintritt. Bei einer Erpressung durch Hacker oder einem Denial-of-Service-Angriff, der die Server tagelang überlastet, gibt es aber keine Sachschäden. Eine Vertrauensschadenversicherung wiederum zahlt nur, wenn eine Vertrauensperson kriminell handelt. Ein Laptop mit wichtigen Daten kann aber auch ganz ohne Pflichtverletzung des Mitarbeiters gestohlen werden. Eine Betriebshaftpflichtversicherung bezahlt nicht, wenn auf der Website fremde Fotos oder Markenzeichen in guter Absicht, aber ohne Genehmigung verwendet werden.
  • Sie gilt weltweit.
  • Sie versichert sowohl Eigenschäden (Sachschäden, Umsatzausfall) wie auch Drittschäden (Schadenersatzansprüche).  Dabei sind viele verschiedene Kosten mitversichert, die ein Cyberangriff oder eine IT-Panne verursacht: Das Unternehmen muss feststellen, wie es dazu kam. Es muss Daten wiederherstellen und das System wieder in Betrieb nehmen. Es muss Krisen-PR betreiben, braucht Rechtsberatung und dergleichen mehr. Auch solche Kosten sind eingeschlossen oder versicherbar.

Für welche Unternehmen ist eine Cyberversicherung notwendig und sinnvoll?

Notwendig ist sie für alle. Und zwar um so mehr, je …

  • größer die Abhängigkeit von funktionierender IT für den Geschäftsbetrieb ist
  • größer die Vernetzung ist
  • wichtiger die Vertraulichkeit von Kunden- und Geschäftsdaten, Verfahren, Produktionsgeheimnissen ist

Ja, es gibt ausgefeilte technische Schutzmaßnahmen wie Firewall und Virenscanner. Diese sind auch unverzichtbar. Aber das Restrisiko lässt sich technisch nie weit genug reduzieren, um sorglos zu sein. Die Cyber-Versicherung ist der zweite, technisch nicht angreifbare Verteidigungsring um das Unternehmen. (Dafür wird sie umso günstiger, je bessere technische Vorkehrungen nachgewiesen werden können.)

Sinnvoll ist die Cyberversicherung als Bilanzschutz. Versicherungsausgaben sind Betriebsausgaben, wer ein unversichertes Schadensereignis finanziell abfangen muss, bezahlt das aus den Erträgen. Außerdem senkt die Vorsorge durch die Versicherung das Haftungsrisiko des Managements – und zwar erheblich.

Wie sollte man die passende Cyberversicherung auswählen?

Ganz einfach: Man nimmt das billigste Angebot für die benötigte Deckung. Herauszufinden, welche Risiken wirklich abgedeckt werden müssen, ist weniger einfach. Dafür braucht man eine solide Risikoanalyse. Ein guter erster Schritt ist die Selbstanalyse mit dem Quick-Check des Verbands der Sachversicherer.

Größere Unternehmen können individuelle Policen aushandeln. Für KMU sind kompakte Standard-Cyberpolicen die sinnvollste Lösung. Die Versicherer bringen zunehmend auch Branchenlösungen auf den Markt. Auch bei Standardversicherungen lassen sich zumindest Selbstbehalte und sogenannte Sublimits sinnvoll anpassen oder auswählen.

Abschließen sollte man nicht in Eigenregie. Dafür gibt es Versicherungsmakler. Die Maklergebühren zahlt die Versicherungsgesellschaft, trotzdem ist der Makler – schon gemäß gesetzlicher Verpflichtung – dem Interesse des Kunden verpflichtet.

Wie teuer sind die Versicherungsbeiträge für eine Cyberversicherung?

Das hängt natürlich von der konkreten Police, dem Deckungsumfang und Eigenbehalten ab. Bei Unternehmen mit Jahresumsätzen über 100.000 Euro liegen die Kosten jedoch im Promillebereich des Umsatzes.

Was ist im Schadensfall tun?

Rufen Sie bei Ihrem Versicherungsmakler an, der sich um das Weitere kümmert. Natürlich muss man auch Administratoren oder IT-Dienstleister informieren, wenn das noch nicht geschehen ist, und beim Verdacht auf Straftaten auch die Polizei (LKA).

Wo bekomme ich konkrete Auskünfte zum Thema Cyberversicherung?

Bei uns – wir sind einer der wenigen Fachmakler für Cyber- und IT-Risiken in Deutschland und kennen sowohl den Versicherungsmarkt wie die Risikolandschaft sehr gut. Rufen Sie uns an (030 863 926 990) oder schreiben Sie uns eine Nachricht.

Zertifizierungspflicht für Energieversorger – dafür günstigere Cyber-Versicherung

von

IT-Katalog, ISMS und Pflicht zur Zertifizierung für Energieversorger

Bis Januar 2018 haben Energieversorgungsunternehmen Zeit, um einen IT-Sicherheitskatalog einzuführen, ein  Informationssicherheits-Managementsystem (ISMS)  zu installieren und dies  zertifizieren zu lassen.  Einen Ansprechpartner für IT-Sicherheit müssen Sie sogar bis Ende November benennen. So will es die Bundesnetzagentur: Sie hat den Energieversorgern, d. h. allen Unternehmen und Einrichtungen, die ein Stromnetz oder Gasnetz betreiben, höhere Standards in der IT-Sicherheit verordnet.

Viel Zeit bleibt nicht

Die Frist bis 2018 sollten betroffene Unternehmen keinesfalls unterschätzen. Sie haben einiges zu tun, denn der IT-Sicherheitskatalog der Bundesnetzagentur hat durchaus umfassene Auswirkungen auf die betriebliche Abläufe – und auch nicht nur etwa die der IT-Abteilung. Zertifiziert wird beispielsweise auch die Einbindung der Geschäftsführung. Außerdem kann man damit rechnen, dass kurz vor Fristende die Zertifizierungsstellen ausgelastet sind – und zertifiziert wird nur, wer das ISMS bereits seit gewisser Zeit im Live-Betrieb hat.

Weitere Informationen

  • Bei der Bundesnetzagentur selbst gibt es ein FAQ zum IT-Sicherheitskatalog für Strom und Gasanbieter
  • Der IT-Branchenverband Bitkom und der Verband Kommunaler Unternehmen (VKU) haben einen ausführlichen Leitfaden samt Praxisbeispielen für Energieversorger veröffentlicht, der über Aufwand und die nötigen Maßnahmen informiert.

Vorteil: Schneller und günstiger zur Cyber-Versicherung

Noch liegt das Zertifikat noch gar nicht vor. Es wird, soviel steht schon fest, auf den Anforderungen der ISO 27001 und der ISO 27019 beruhen.

Immerhin hat die Zertifizierungspflicht neben der hoffentlich erhöhten Sicherheit noch einen weiteren positiven Nebeneffekt: Energieversorgungsunternehmen, die die Zertifizierung durchlaufen haben, haben damit auch ein sehr genaues Risikoprofil und einen klaren Nachweis solider Vorsorge gegen Cyber-Zwischenfälle. Und das sind beste Voraussetzungen, um ohne großen Aufwand an eine Cyber-Versicherung zu günstigen Konditionen zu kommen, die das unvermeidliche Restrisiko betriebswirtschaftlich sinnvoll auffängt.

Fragen? Anrufen!

Wir sind Experten für das Thema Cyber-Versicherung und IT-Risikomanagement. Sie erreichen uns unter 030 863 926 990 oder über das Kontaktformular.

Interview: Versichern von IT-Risiken

von

Vor kurzem fand der 4. IT-Sicherheitstag Mittelstand in Berlin statt. Ich hatte die Ehre, bei einem der Vorträge von Bernd Schulz, Organisator der Veranstaltung und Geschäftsführer der F1 GmbH, „mitreden“ zu dürfen.

Die  Botschaft war, ganz kurz gefasst: Wer sich optimal gegen die unvermeidlichen IT-Risiken absichern will, braucht IT-Sicherheitsmaßnahmen und Cyber-Versicherungsschutz. Die Zusammenfassung liefert unser Folder_IT-Sicherheit-Cyber-Risk.

Anschließend befragte mich Herr Schulz noch einmal zum Versichern als Strategie gegen IT-Risiken:

Hier klicken, um den Inhalt von www.youtube-nocookie.com anzuzeigen

Inhalt direkt öffnen

Die Punkte, die mir am Herzen lagen:

  • IT-Sicherheit und Cyber-Versicherung schließen sich nicht aus – sie ergänzen sich gegenseitig. Mindestsicherheitsstandards garantieren zum Beispiel, dass die Versicherung im Schadensfall auch leistet.
  • Eine Zertifizierung macht die Versicherung leichter, ist aber keineswegs Voraussetzung. Oft ist eine Zertifizierung auch zu umfassend – versichern sollte man nur die IT-Risiken, die für das eigene Unternehmen auch wirklich zentral sind
  • Eine schnelle Bestandsaufnahme der eigenen IT-Sicherheit bietet der VdS-QuickCheck.
  • Für eine sinnvolle Absicherung sollte man sich an einen Fachmakler für Cyber- und IT-Risiken wenden.

Kontrolle der Software-Lizenzen: Ja, die dürfen das.

von

Bei einem acant-Kunden meldet sich die Business Software Alliance – und verlangt geradezu ultimativ, sämtliche Lizenzen für alle dort eingesetzten Microsoft-Produkte nachzuweisen, Dazu Angaben, wer was wann wie nutzt. Bei einem Unternehmen mit rund 70 Mitarbeitern bzw. Arbeitsplätzen sowie diversen Servern ist das ein ganz schöner Aufwand.

Wie das denn sein kann, fragt mich der Inhaber. Und auch gleich: Ob ich weiß, was passiert, wenn irgendwo etwas doch nicht hinhaut? Er kontrolliert ja nicht jeden einzelnen Rechner persönlich.

Nun bin ich Versicherungsmakler und kein Fachanwalt für IT-Recht bzw. Urheber- und Medienrecht. Aber immerhin bin ich gelernter Volljurist. Und ich weiß: Im Urheberrechtsgesetz steht, dass im Fall von Urheberverstößen „in gewerblichem Ausmaß“ der Inhaber der Lizenz-Rechte das Recht auf „Vorlage und Besichtigung“ (§ 101a UrhG) hat. Weiter steht da wörtlich: „Besteht die hinreichende Wahrscheinlichkeit einer in gewerblichem Ausmaß begangenen Rechtsverletzung, erstreckt sich der Anspruch auch auf die Vorlage von Bank-, Finanz- oder Handelsunterlagen.“

Die Wachhunde für Software-Lizenzen von der Software Business Alliance, hinter der neben Microsoft auch Adobe, Symantec, Apple, Trend Micro und viele andere Software-Anbieter stehen, dürfen also ganz schön viel. Sogar die Buchführung kontrollieren, wenn sie einen konkreten Verdacht haben. Wenn der kontrollierte Betrieb sich weigert, können die Prüfer sich eine einstweilige Verfügung besorgen und trotzdem loslegen – das steht auch im Gesetz.

Zum Glück hat unser Kunde eine IT-Betriebsvereinbarung, die neben anderen Vorschriften zur IT-Sicherheit alle Mitarbeiter auch dazu verpflichtet, nur lizenzierte Software zu benutzen. (Beim Abschluss einer Cyber-Versicherung sind solche Regelungen ein Pluspunkt und senken die Prämie!)

Nur: Wenn dann doch irgendein Mitarbeiter ein schwarz installiertes Programm nutzt oder der Administrator gar überall Software installiert, für die gar keine ordentliche Lizenz vorliegt, haften die Geschäftsführung oder der Inhaber trotzdem. Das steht ebenfalls ausdrücklich im Urhebergesetz (§ 99 UrhG), und es ist wohl auch ohne diesen Paragraphen ableitbar.  Und noch schlimmer: Urheberrechtsverstöße führen nicht nur zu durchaus heftigen zivilrechtlichen Ansprüchen, sie sind auch eine Straftat ((§§ 106 – 110 UrhG). Da können also schnell mal eine Anzeige und ein Ermittlungsverfahren drohen.

Deshalb empfehle ich immer:

  • Lizenzen genau archivieren und Lizenzbedingungen einhalten. Man fliegt auch als „kleiner Mittelständler“ keineswegs unter dem Radar der Software-Copyright-Luftüberwachung. Nicht darauf vertrauen, dass schon niemand vorbeikommen wird!
  • Klare Vereinbarung mit allen Mitarbeitern, dass eigenmächtig installierte Programme verboten sind. Das bringt die Geschäftsführung zwar nicht aus der Schusslinie, aber zumindest kann sie dann gegen die Angestellten vorgehen, die einem den Ärger einbrocken.
  • Versichern! Zum ist eine D&O-Versicherung für den Inhaber oder die Geschäftsführer notwendig, damit das Fehlverhalten eines Administrators nicht in persönliche Haftungsansprüchen gegen den Chef mündet. Das geht schneller als gedacht.
  • Und zweitens eine Rechtsschutzversicherung einschließlich Strafrechtsschutz, damit man wenigstens die Einleitung eines Ermittlungsverfahrens (Anhörung) bzw. dessen Durchführung mit anwaltlicher Hilfe halbwegs schadlos übersteht

 

Wenn Sie Fragen dazu haben, wie Sie mit Versicherungen auch dieses Risiko in den Griff bekommen: Sie erreichen uns über 030 863 926 990 oder das Kontaktformular

 

Cyberversicherungen speziell für Immobilienunternehmen: acant im Interview

von

Das Grundeigentum“, Fachzeitschrift für Grundstücks-, Haus- und Wohnungswirtschaft, hat mich für die neueste Ausgabe interviewt (Das Grundeigentum, 16/2015. S. 1013) . Natürlich habe ich mich über das Interesse sehr gefreut – Thema war „Versicherungsschutz gegen Cyber-Kriminalität“.

Auch für Immobilienunternehmen wird immer deutlicher, dass

  1. IT-Risiken und digitale Bedrohungen sehr real sind, und dass
  2. eine spezielle, maßgeschneiderte Versicherung für das einzelne Unternehmen der sinnvollste Weg ist, das Risiko  seriös abzufedern. Die Cyber-Versicherung ist aus Sicht der Bilanz die beste Lösung, und sie kann gleichzeitig die Gefahr persönlicher Haftungsansprüche von Geschäftsführern und Vorständen ausschließen.

Ob Asset Management, Projektentwicklung oder Hausverwaltung: Immobilienunternehmen haben es mit großen Projektvolumina zu tun, mit ständigen Geldströmen und mit sensiblen Daten von einer Vielzahl an Gewerbemietern, Wohneigentümern und Mietern. Da liegt es auf der Hand, dass man vorsorgen will für den Fall, dass ein Mitarbeiterfehler oder eine IT-Sicherheitspanne zu Datenbankausfällen, versiegenden Zahlungsströmen und teuren Schadenersatzforderungen führt.

Überhaupt ist das die Zukunft der Cyber-Versicherung: Spezielle Lösungen für die typische IT-Risiken bestimmter Branchen. Hier wird sich in den nächsten Monaten und Jahren noch einiges tun.

Wollen Sie wissen, wie Sie das digitale Branchenrisiko Ihres Unternehmens maßgeschneidert versichern können? Haben Sie Fragen zur Absicherung Ihres persönlichen Haftungsrisikos? Rufen Sie uns an ( 030 863 926 990) oder schreiben Sie uns eine kurze Nachricht, wir melden uns umgehend zurück.

Gewährleistungs- oder Erfüllungsbürgschaft für IT-Projekte? Gibt’s auch beim Versicherungsmakler

von

Ihr Versicherungsmakler vermittelt Projektbürgschaften

Sie brauchen eine Gewährleistungsbürgschaft oder Erfüllungsbürgschaft für ein IT-Projekt? Die bekommen Sie nicht nur bei Ihrer Bank. Als Versicherungsmakler vermittle ich Ihnen auch Vertragserfüllungs- und Gewährleistungsbürgschaften für Ihre Projekte.

Kunden sind immer wieder überrascht, wenn Sie hören, dass die Projektversicherung für ein IT-Projekt nicht nur allgemeine Haftung umfasst, sondern dass Versicherungen auch Kautionsversicherungen anbieten und damit die Gewährleistung bzw. die Vertragserfüllung absichern.

Der Weg über die Versicherer hat zwei große Vorteile

  • Die Gebühren bzw. die Prämie sind zwar nicht günstiger als bei Bankprodukten – aber Versicherungsunternehmen begnügen sich mit geringeren Sicherheiten. Das schont die Liquidität des Bürgschaftsnehmers.Banken verlangen meist eine verpfändete Bareinlage in stattlicher Höhe – in der Regel 50 Prozent der Bürgschaftssumme, typischerweise als Abtretung eines Kontoguthabens. Versicherer sind da meistens deutlich bescheidener und verzichten bei Kunden mit guter Bonität mitunter ganz auf diese Sicherheit.Mit anderen Worten: Die Bürgschaft vom Versicherer schont die eigene Bilanz!
  • Im Bankgespräch sitzt der Unternehmer der Gegenseite alleine gegenüber. Bei den Verhandlungen mit den Versicherungen bin ich dagegen beteiligt – und zwar als Sachwalter des Kundeninteresses. Der Bürgschaftsnehmer hat mich an seiner Seite.Dazu bin ich als Makler nicht nur durch mein berufliches Selbstverständnis, sondern auch von Gesetzes wegen verpflichtet. Die Beratung ist ein nicht zu unterschätzender Vorteil – ganz besonders dann, wenn ein Unternehmen mit der Gewährleistungsbürgschaft oder Erfüllungsbürgschaft noch keine große Erfahrung hat.

Gewährleistungsbürgschaften können tückisch sein

Wie wichtig der genaue Blick auf die Versicherungsbedingungen (bzw. die AGB der Banken oder anderer Bürgschaftsgeber ist, zeigt diese Warnung des Münchener Rechtsanwalts Steven Heym zum Immobilienbereich. Wer seine Gewährleistungsbürgschaft oder Erfüllungsbürgschaft zu sorglos abschließt, steht im Ernstfall oft plötzlich vor dem Nichts – die vermeintliche Absicherung löst sich in Luft auf.

Fragen zu Projektbürgschaften, Projektsicherheiten oder Projektversicherungen? Ich gebe Ihnen gerne Auskunft: 030 863 926 990 oder info@acant.de.

Schritt für Schritt zur IT-Sicherheit

von

Unternehmen im IT-Sicherheitsdilemma

Trotz steigender Bedrohungslage ist das Thema IT-Sicherheit in weiten Teilen der deutschen Wirtschaft noch nicht bis in die Chefetagen vorgedrungen., so eine aktuelle Bitkom-Studie von 2015. Dabei ist der Schaden durch Cyberattacken und Produktpiraterie enorm hoch: 51 Milliarden Euro Gesamtschaden. Ganz neue Dimensionen entstehen durch beauftragbare Internetpiraten („Crime as a service“) und fortschreitende Digitalisierung (Web 4.0). Erste Insolvenzen durch hackerbedingte Betriebsunterbrechung gab es bereits.

Eine eindrucksvolle Online-Darstellung der zur Sekunde laufenden Angriffe erhalten sie beim Sicherheitstacho der Telekom- Werfen Sie ruhig auch einen Blick auf die verfügbaren Statistiken.

Doch mangels gesetzlicher Grundlagen und aus falscher Scham werden diese Ereignisse nicht öffentlich gemacht. Es ist grotesk: Der Bundestag beschließt das IT-Sicherheitsgesetz, während eine Cyber-Attacke seine IT-Infrastruktur schwer beschädigt. Deutlicher kann man nicht zeigen, welches Risiko mit der der Digitalisierung der Arbeitsprozesse verbunden ist.

Was ist zu tun, um die IT Sicherheit zu verbessern und das Restrisiko abzusichern?

Schritt 1: Die eigene Risikosituation einschätzen

Frage: Welcher Angreifer interessiert sich für mein Unternehmen?

  • Außentäter Die Angreifer schauen weder auf den Ruf noch auf den Namen Ihres Unternehmens, sie suchen nur offene Zugänge in Ihr IT-System. Arbeitet ihr Unternehmen mit elektronischer Datenverarbeitung? Haben Sie IP-Adressen und Schnittstellen ins Internet? Dann sind sie potentielles Opfer.
  • Allerdings sind Außentäter nicht etwa nur Täter mit Sitz im Ausland. Eine Bitkom-Studie von 2014 ermittelte, dass die kriminellen Handlungen oft innerhalb der Grenzen stattfinden: Bis zu 45 % der Cyber-Kriminalität geht von Deutschland aus.
  • Innentäter sind das unterschätzte Risiko. Der Täterkreis ist oft in den eigenen Reihen zu suchen: Gemessen an den kriminellen Handlungen sind die Täter mit bis zu 66 % unter (ehemaligen) Mitarbeitern zu suchen

Frage: Was kostet mich eine digitale Betriebsunterbrechung und die Wiederherstellung meiner infizierten IT -Infrastruktur?

Das hängt natürlich vom Einzelfall ab. Aber: Unternehmen sind von existentiell bedrohlichen Angriffen betroffen. Berichte hierüber gibt es allerdings nur von Konzernen. Der Mittelstand vermeidet aus verständlichen Gründen bei solchen Ereignissen die Publizität.

Zwei Beispiele aus der Realität

  • Ein entlassener Mitarbeiter zerstört Produktionsparameter, Kundenanpassungen und Planungsunterlagen – das kann passieren, weil eine Zugangsberechtigung vergessen wurde. Kosten für Umsatzausfall und Wiederherstellung/ Rettung der Daten: € 450.000,00
  • Ein Unternehmen der chemischen Industrie fängt sich über eine infizierte  E-Mail eine Schadsoftware ein. Kontodaten werden manipuliert, Zahlungen in Höhe  € 100.000,00 von einem Kunden werden umgeleitet und gehen dem Unternehmen verloren. Die Schadsoftware verbreitet sich auf dem Produktionssystem, die Produktion fährt unkontrolliert herunter, die Produktionsanlage wird beschädigt. Kosten für Umsatzausfall, Forensik, Wiederherstellung der Systeme: € 1,3 Millionen

Schritt zwei: Den eigenen IT-Sicherheitsstatus feststellen

Ein einfaches webbasiertes Selbst-Audit kann einen ersten Überblick über die Technik, Organisation und ihre Prozesse geben. Eine gute Basis, um gemeinsam mit der IT-Abteilung die Anforderungen abzuleiten.

Der Quick-Check der Versicherer liefert anhand von  39 Fragen für eine solide Einschätzung der Risikosituation. Das Ergebnis ist eine Art Risikolandkarte,  als Grundlage der weiteren Diskussion.

Maßgeschneiderte Testierung von Cyber-Security in Unternehmen:  Mit Tools wie dem Selbst-Audit durch den VdS-Quick-Check, vor allem aber mit der neuen VdS-Richtlinie 3473 können Unternehmen und Kommunen einen neuen Standard zur Bewertung ihrer IT-Sicherheit entwickeln.  Ein VdS-Zertifikat schafft Vertrauen bei Kunden und Lieferanten, entspricht dem IT-Sicherheitsgesetz und unterstützt gleichzeitig Versicherer bei der Einschätzung des Cyberrisikos.

Schritt 3: Das Restrisiko absichern – durch eine Cyber-Versicherung

Damit eine Versicherung abgeschlossen werden kann, muss das Risiko genau definiert werden. Dazu bieten sich folgende Schritte an, die wir als Versicherungsmakler mit unseren Kunden gemeinsam durchgehen:

  • Anhand aktueller Schadenerfahrung lässt sich das Schadenpotenzial darstellen: Die Bedrohung kann durch die Einschätzung des IT-Leiters konkretisiert werden, wie viele Tage er oder externe Fachleute für das Aufspüren einer Schadsoftware auf dem System benötigen.
  • Folgekosten berechnen: Die schrittweise Ermittlung der Wiederherstellungskosten, Kosten für Kundeninformation und Anwaltskosten macht die (oft existenzbedrohenden) Auswirkungen deutlich.
  • Weitere Bedrohungsszenarien ausloten: Betriebsunterbrechungen, Erpressungssituation und Geld-Umleitung z. B. Besonders gefährdet sind außerdem Branchen, bei denen das Risiko eines Kreditkarten- oder Patientendatenverlusts besteht.
  • Den potenziellen Schaden ermitteln: Auf Basis der erworbenen Erkenntnisse lässt sich der potentielle Schaden und damit die Versicherungssumme leicht ermitteln.
  • Ausschlüsse aufspüren: Die bestehenden Versicherungspolicen müssen immer mit der Cyber-Police abgeglichen werden, um Ausschlüsse zu erkennen, die ‚vor der digitalen Revolution’ formuliert wurden und für den Cyber-Fall relevant sind.
  • Angebote zur Cyber-Versicherung einholen: Die Cyber-Versicherung muss auf das Unternehmensrisiko abgestimmt sein.
  • Notfallplan erstellen: Der Notfallplan ist der mit dem Versicherer abgestimmte Fahrplan für alle Beteiligten im Schadenfall. Eine schnelle und abgestimmte Reaktion verhindert weitere Folgeschäden.

 Welche Kosten übernimmt die Cyber-Versicherung?

  • Schadenersatzansprüche Dritter (Abwehr unberechtigter Ansprüche, Ausgleich berechtigter Ansprüche)
  • Ertragsausfall infolge Unterbrechung des Betriebs
  • Kosten für forensische Untersuchungen
  • Kosten für externe Unterstützung bei Aufklärung
  • Kosten für Einschaltung PR-Berater
  • Wiederherstellungskosten bei Verlust/Zerstörung eigener Daten und Netzwerke
  • Erpressungsforderungen durch Hacker
  • Benachrichtigungskosten bei Verstößen gegen Datenschutz-Vorschriften

Über den Autor: Achim Fischer-Erdsiek ist Geschäftsführer der ProRisk Gesellschaft für Risikomanagement mbH in Hannover.

Spionage, Sabotage, Datendiebstahl

von

Vor kurzem wurde die Bitkom-Studie „Spionage, Sabotage und Datendiebstahl – Wirtschaftsschutz im digitalen Zeitalter“ veröffentlicht. Statt langer Worte beschränken wir uns mal auf einen Teil vom Inhaltsvereichnis. Der sagt schon genug über die Situation:

Und vielleicht noch ein paar einschlägige Zitate:

„Bei 52 Prozent der von Wirtschaftsspionage, Sabotage und Datendiebstahl betroffenen Unternehmen war ein aktueller oder ehemaliger Mitarbeiter das Einfallstor.“  (Seite 6)

„Der Mittelstand ist aus mehreren Gründen ein besonders lukratives Angriffsziel. Viele Unternehmen bieten sehr innovative Produkte an und haben in ihrem Marktsegment international eine starke Stellung. Häufig sind sie als Zulieferer fest in den Lieferketten von Großkonzernen verankert. Sie verfügen aber nicht über die gleichen Mittel zur Abwehr entsprechender Angriffe und können somit als Einfallstor dienen, um an die Geschäftsgeheimnisse der Großkonzerne zu gelangen.“  (Seite 8)

„Gut ein Drittel derjenigen, die keine staatlichen Stellen informiert haben, nennt als Grund »Angst vor negativen Konsequenzen«.“ (Seite 25)

„Technische Sicherheitsmaßnahmen alleine reichen nicht aus.“ (Seite 34)

Die optimale Ergänzung für technische und organisatorische Sicherheitsmaßnahmen ist eine Cyber-Versicherung. Sie schützt das Unternehmen vor den finanziellen Folgen von Angriffen – auch wenn die technischen Schutzmaßnahmen versagt haben.

Haben Sie Fragen dazu? Rufen Sie uns an: 030 863 926 990

Das IT-Sicherheitsgesetz ist in Kraft – mit neuen Haftungsrisiken

von

Seit letztem Freitag ist das IT-Sicherheitsgesetz in Kraft. Es liegt für unterschiedliche Betroffene die Pflicht zu IT-Schutzmaßnahmen sowie Meldepflichten fest. Allerdings ist im Detail noch ziemlich viel unklar. Die „das Gesetz konkretisierende Rechtsverordnung” des Innenministeriums liegt noch nicht vor.

IT-Sicherheitsgesetz: Wer ist wie betroffen?

  • Direkte Auswirkungen gibt es auf alle Betreiber von geschäftlichen Websites und Online-Shops, denn das IT-Sicherheitsgesetz verschärft das Telemediengesetz. Jeder geschäftliche Auftritt oder Dienst im Web muss technisch und organisatorisch vor unerlaubtem Zugriff, Datenschutzverstößen und Angriffen von außen geschützt sein. Diese Vorkehrungen „müssen den Stand der Technik berücksichtigen”. Als Beispiel wird Verschlüsselung genannt (§ 13 Abs. 7 TMG n. F.). Die Nichtbeachtung kann nicht nur zu Bußgeldern (s. u.), sondern auch zu einer Abmahnung durch die Konkurrenz führen.
  • Sofortige Auswirkungen gibt es auch auf Telekommunikationsanbieter. Sie müssen ab sofort ihre Kunden warnen und unterstützen, falls es Anzeichen dafür gibt, dass deren IT-Sicherheit verletzt wurde. Gleichzeitig darf der Provider zu Präventionszwecken die Kundendaten speichern, bis zu sechs Monate.
    Abzuwarten bleibt, mit welchen Aussichten ein geschädigtes Unternehmen damit nun umgekehrt gegen den Provider vorgehen kann, wenn es keine Warnung gab. Hätte der Provider den unnatürlichen Datenstrom erkennen müssen, den der Trojaner über die Mailserver des Kunden schickt?
  • Anbieter von „kritischen Infrastrukturen“ müssen verbindliche Sicherheitsstandards umsetzen und diese dann alle zwei Jahre zertifizieren lassen. Außerdem müssen sie eine Art „Verbindungsstelle“ zum BSI (Bundesamt für Sicherheit in der Informationstechnik) einrichten und das Amt (das bekanntlich auch den Bundestrojaner mit entwickelte …) über Cyber-Attacken, IT-Havarien und IT-Sicherheitsrisiken informieren.
    Dummerweise ist bislang nicht genau klar, für wen diese Pflichten eigentlich gelten. Das Gesetz nennt nur die Zugehörigkeit zu „den Sektoren Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie Finanz- und Versicherungswesen“ und „hohe Bedeutung für das Funktionieren des Gemeinwesens“ als Kriterien.
    Unklar ist auch, wie die verbindlichen Sicherheitsstandards genau aussehen werden. Spekuliert wird über verpflichtende ISMS-Audits auf Basis von ISO 27001. Klarheit schafft hoffentlich die Rechtsverordnung des Innenministeriums. Liegt sie vor, haben die betroffenen Unternehmen sechs Monate Zeit zur Einrichtung der „Meldestelle” und zwei Jahre zur Umsetzung der Sicherheitsanforderungen.
    Kleine und mittlere Unternehmen sind vom IT-Sicherheitsgesetz nicht direkt betroffen. Die Zertifizierungsanforderungen größerer Unternehmen werden sich aber auch auf deren Zulieferer und Dienstleister auswirken.

Neues Haftungsrisiko – für Unternehmen und Geschäftsführer / Manager

Das Gesetz verankert durchaus empfindliche Strafen bei Pflichtverletzungen.

  • Ein Online-Shop oder Website-Betreiber, der die Pflicht zum Datenschutz nach Stand der Technik missachtet, kann im schlimmsten Fall mit 50.000 € bestraft werden.
  • Dieselbe Summe kann den Betreiber einer kritischen Infrastruktur treffen, der die Meldepflichten- und -voraussetzungen nicht erfüllt.
  • Das Bußgeld für ein Unternehmen, das die Sicherheitsstandards nicht verwirklicht, kann bis zu 100.000 € betragen.

Das  hat Auswirkungen auf das rechtliche Risiko von Geschäftsführern, Managern oder Vorständen. Sie haften für die Umsetzung gesetzlicher Vorschriften im Unternehmen – im Ernstfall werden sie schnell persönlich zur Kasse gebeten. Glücklich, wer dann eine D&O-Versicherung (Manager-/Geschäftsführerhaftpflicht) hat.

Fazit: Zusätzliche Risiken, Versichern hilft

Den großen Durchbruch in Sachen Cyber-Sicherheit stellt das IT-Sicherheitsgesetz nun wirklich nicht dar. Immerhin zwingt es Unternehmen quer durch alle Branchen und ganz besonders in den betroffenen Sektoren, sich mit ihrer IT-Sicherheit zu befassen.

Befassen sollten sich Unternehmen wie Geschäftsführer aber auch mit ihrem Risikomanagement. Unternehmen brauchen den Schutz einer Cyber-Versicherung, die Geschäftsführer eine D&O-Versicherung. Dies ist durch die neue Rechtslage noch dringlicher geworden.

Haben Sie Fragen zu Cyber-Versicherung oder D&O-Versicherungen?

Ich gebe Ihnen gerne Antwort. Rufen Sie mich an oder schreiben Sie uns eine Nachricht:  Kontakt.

Cyber-Versichert – auch gegen die eigenen Mitarbeiter

von

Wer das Cyber-Risiko durch eigene Mitarbeiter versichern will, braucht eine Vertrauensschadenversicherung, die eine Computermissbrauchversicherung einschließt.

Beides ist in vielen gängigen Cyber-Policen enthalten und schützt Ihr Unternehmen vor Schäden durch unvorsichtige oder pflichtvergessene Mitarbeiter – ein Risiko, das sich grundsätzlich nicht ausschließen lässt.

Der Mitarbeiter als IT-Risiko

Das zeigt auch ein Posting vom Datenschutzblog29, das Schusseligkeit (unterwegs verlorene Laptops), schlechte Passwörter und Phisingmails beklagt. Natürlich kann man mit Mitteln der IT etwas dagegen tun.

  1. Man kann lange Passworte mit Sonderzeichen, Großbuchstaben und Zahlen erzwingen. Aber dann klebt das Ergebnis eben als gelbe Haftnotiz am Schreibtisch. (Kann sich ja keiner merken …)
  2. Man kann die Speicher sämtlicher Firmenlaptops verschlüsseln. Aber: siehe Punkt 1.
  3. Man kann und soll die Mitarbeiter über Phishing und Sicherheit informieren. Aber bleibt der E-Mail-Anhang von der jungen, charmanten, neuen Bekannten aus dem Branchenforum deshalb ungeöffnet? Eben.

Und das waren nur Sicherheitsverletzungen aus Dummheit. Ganz schwer kontrollierbar ist ein Mitarbeiter, der dem Unternehmen mit Absicht schaden will – ob aus Rachsucht oder zum eigenen Vorteil.

Die Grenzen der Technik … sind der Beginn des Versicherungsbedarfs

Fazit: Die IT-Administration kann gegen Sicherheitsverletzungen durch Mitarbeiter einiges ausrichten. Allein dadurch das Risiko unter Kontrolle zu halten, ist illusorisch. Das lässt sich jedoch durch speziellen Versicherungsschutz sicherstellen.

  • Eine Vertrauensschadenversicherung zahlt bei Schäden durch Veruntreuung, Unterschlagung, Diebstahl, Geheimnisverrat oder Betrug durch eigene Mitarbeiter – auch Straftaten Dritter lassen sich einschließen.
  • Die Computermissbrauchsversicherung erweitert diesen Schutz auf IT-bezogene Taten wie die Veränderung von Software, das unbefugte Kopieren oder Löschen von Daten oder das Zerstören von Datenspeichern.

Unvorsichtige oder böswillige Mitarbeiter mögen Laptops verlieren, die Firewall umgehen oder Ihre Daten klauen. Eine Versicherungspolice im Unternehmenssafe ist vor ihnen sicher.

Wie teuer ist eine Vertrauensschadenversicherung und/oder eine Computermissbrauchsversicherung speziell für Ihr Unternehmen? Für eine schnelle Auskunft schicken Sie mir eine kurze Nachricht oder rufen mich einfach an.