elektronische Patientenakte, Symbolfoto: Bokskapet via Pixabay

Elektronische Patientenakte: Ärzte als Hochrisikogruppe beim Datenschutz?

Die elektronische Patientenakte soll die Digitalisierung im Gesundheitswesen forcieren

Bundesgesundheitsminister Spahn treibt die Pläne zur raschen Digitalisierung im Gesundheitswesen voran. Das Patientendaten-Schutzgesetz ist seit kurzem in Kraft. Es bringt die elektronische Patientenakte (ePA), das E-Rezept und eine einheitliche Infrastruktur für den Datenaustausch im Gesundheitswesen (Telematik-Infrastruktur, TI).

Die Digitalisierung ist sinnvoll und überfällig. Wenn Versicherte direkten Überblick über ihre Arbeitsunfähigkeiten, Behandlungen, Impfungen, Krankenhausaufenthalte, Vorsorgetermine und Rezepte haben, ist das positiv. In anderen Ländern existieren die Voraussetzungen dafür schon längst. Es gibt keinen Grund, warum der Datenaustausch zwischen Ärzten, Kliniken, Versicherern und Apotheken nicht digital stattfinden sollte. Dass Patienten selbst kontrollieren, wer Zugriff auf Befunde, Diagnosen und andere Daten hat, ergibt Sinn.

Das Problem ist das Datenschutzrisiko. Der Bundesdatenschutzbeauftragte Ulrich Kelber rät laut „Deutschland sicher im Netz“ von der Nutzung der elektronischen Patientenakte ab. Außerdem will er die Krankenkassen verpflichtend anweisen, die ePA-Apps gesetzeskonform zu gestalten. Dummerweise ist das technisch offenbar erst ab 2022 möglich.

Ärzte müssen die elektronische Patientenakte auf Wunsch ausfüllen.

Die gesetzlichen Krankenkassen müssen seit Jahresbeginn ihren Versicherten die elektronische Patientenakte bereitstellen, zum Beispiel per App fürs Smartphone. Die privaten Krankenversicherungen sind erst ab 2022 dazu verpflichtet. Ärzte, Therapeuten, Apotheken etc. haben die ePA mit Daten zu befüllen, wenn der Patient es wünscht.

Das Problem: Bislang kann der Versicherte nicht „granular“ vorgeben, welchem Arzt er welche Informationen zugänglich macht. Das ist zwar vorgeschrieben, soll aus technischen Gründen jedoch erst nächstes Jahr kommen. Im Moment sieht damit im Zweifel auch der Zahnarzt, dass die Patientin letztes Jahr einen Schwangerschaftsabbruch hatte oder der Patient in psychiatrischer Behandlung ist.

Auch im Praxisalltag dürfte es neue datenschutzrechtliche Risiken geben – etwa dann, wenn die Mitarbeiterin an der Rezeption dem älteren Patienten hilft, die App zu bedienen. Oder wenn Hacker versuchen, an dieser Nahtstelle den Datenaustausch abzuschöpfen oder die App zu kompromittieren.

Wer trägt das Datenschutz-Risiko?

Das Risiko für die Heilberufe liegt auf der Hand. Fehler werden dem niedergelassenen Arzt und seinen Mitarbeitern angelastet werden. Das gilt auch dann, wenn der Patient missverständlich kommuniziert oder mögliche Mängel der Infrastruktur Datenverluste begünstigen.

Der Praxis-Inhaber ist dafür verantwortlich, dass das Datenschutzniveau in der Praxis sowohl technisch wie organisatorisch gewahrt bleibt. Er muss eine angemessene IT-Sicherheit gewährleisten, dafür sorgen, dass stets die notwendigen Einwilligungen vorliegen und keine unbefugten Mitarbeiter Zugriff erhalten. Dafür haften die Ärztin oder der Therapeut.

Noch ist die ePA in der Testphase – aber an die Versicherung sollten Ärzte und Therapeuten schon jetzt denken

Bis jetzt ist die ePA noch in der Testphase. Ab dem zweiten Halbjahr 2021 sollen dann alle Patienten die entsprechenden Apps nutzen können, und alle Arztpraxen die Akten auf Wunsch elektronisch ausfüllen. Ab 2022 werden weitere Nachweise digitalisiert, zum Beispiel der Mutterpass oder das Zahnarzt-Bonusheft.

Für Ärzte, Therapeuten und alle anderen, die am Austausch von Patientendaten über die Telematik-Infrastruktur im Gesundheitswesen mitwirken dürfen/müssen, gibt es eine klare Empfehlung: rechtzeitig eine passende Cyber-Versicherung für niedergelassene Praxen abschließen, die auch Datenschutzverstöße abdeckt. Fragen Sie uns nach den Einzelheiten: Wir von acant sind Spezialmakler für Cyber-Versicherungen und kennen uns mit der Deckung von Datenschutzrisiken aus.

Patientendaten sind für Datendiebe sehr, sehr wertvoll

Man kann nicht oft genug darauf hinweisen: Patientendaten sind für Hacker wie Goldstaub. Ein eindrückliches Beispiel war der Diebstahl von 40.000 digitale Patientenakten in Finnland – mit Adressdaten und den Notizen der behandelnden Psychotherapeuten.

Und selbst, wenn es nicht so schlimm kommt: Selbst ein Fehler im Praxisalltag kann direkt zu einem Datenschutzverstoß und damit zu einem Bußgeld-Verfahren führen. DSGVO-Bußgelder sind von empfindlicher Höhe – bis zu zwei Prozent vom Jahresumsatz sind möglich.

Haben Sie Fragen zur Cyber-Versicherung speziell im Gesundheitswesen? Rufen Sie uns einfach unter 030 863 926 990 an oder schreiben Sie uns eine kurze Nachricht.

Private Cyberversicherung, Symbolfoto: stokpic via Pixabay

Private Cyberversicherung: Schutz vor Cyber-Angriffen und Online-Abzocke im Privatbereich

Inzwischen gibt es auch die private Cyberversicherung. Für derzeit etwa 60 bis 120 Euro im Jahr schützten solche Versicherungen vor den Gefahren, die bei der privaten Internet-Nutzung drohen.

Davor schützt Sie eine private Cyberversicherung:

  • Abzocke beim Online-Shopping? Der Verkäufer schickt die Ware wird nicht, oder nur wertloses bzw. beschädigtes Zeug? Dann erstattet die Versicherung den Schaden.
  • Falscher Käufer, wenn Sie selbst etwas verkaufen? Der Käufer tritt mit gestohlener Identität auf, Sie versenden die Ware, aber die Bezahlung bleibt aus? Die private Cyberversicherung kommt dafür auf.
  • Kriminelle haben Ihren Bankzugang, Ihre Kreditkartendaten oder Ihr PayPal-Konto gekapert, zum Beispiel durch Phishing? Die Versicherung unterstützt sie bei der sofortigen Sperrung und übernimmt die Kosten für die Wiederbeschaffung der Karten bzw. Zugänge. Vor allem ersetzt sie Schäden durch den Missbrauch Ihrer Konten, Karten oder Zahlungszugänge.
  • Hacker attackieren bzw. Viren beschädigen Ihre Hardware, Software oder Smart-Home-Technik? Die Versicherung ersetzt den entstandenen Schaden.
  • Die Technik streikt oder es gibt eine Havarie? Eine 24-Stunden-Hotline bietet Support bei Hardware- und Software-Problemen an. Dabei helfen IT-Experten, indem sie auch durch Remote-Zugriff die Probleme direkt auf ihrem Rechner beheben.
  • Datenverlust durch Festplattenfehler oder andere Probleme? Die Versicherung zahlt Programme und Experten zur Wiederherstellung von Daten. Außerdem gehört zu den Versicherungsleistungen ein eigener Cloudspeicher zur Datensicherung. Im besten Fall macht er die Wiederherstellung überflüssig, Sie müssen nur das Backup einspielen.
  • Böse Post vom Anwalt, wegen unbefugter Nutzung fremder Fotos oder Texte? Die Forderung ist versicherbar, dafür gibt es einen Zusatzbaustein.
  • Schadenersatzforderungen, weil Sie unabsichtlich Viren oder Trojaner weitergeleitet haben? Auch für solche Ansprüche gegen Sie gibt es einen Versicherungsbaustein.
  • Identitätsdiebstahl und Rufschädigung? Jemand ist in Ihrem Namen online unterwegs und bringt Sie in Verruf? Die Versicherung kümmert sich um die Löschung oder Sperrung der Postings, Beiträge und Kommentare.
  • Cybermobbing und Belästigung übers Internet: Wenn Sie beschimpft oder belästigt werden oder böswillige Menschen sich für Sie ausgeben, ist das eine immense psychologische Belastung. Die Versicherung ermöglicht schnelle psychologische Beratung und eine Beratung vom Anwalt.

Wichtig:

Es gibt mehr als ein Angebot zur privaten Cyber-Versicherung, die Deckung und die Kosten sind unterschiedlich. Außerdem kann es sein, dass Sie für manche der Risiken bereits eine Versicherung haben, weil beispielsweise Ihre Haftpflichtversicherung oder Rechtsschutzversicherung solche Schäden abdeckt. Welches Versicherungsangebot für Sie passt, finden wir am besten gemeinsam heraus.

Zu teuer?

Als Versicherungsexperten empfehlen wir von acant die Versicherung gegen private Cyber-Gefahren.

Wenn Sie der Gedanke an die jährliche Versicherungsprämie von 60 bis 120 Euro zögern lässt: Denken Sie an die Kosten für eine einmalige Beratung beim Anwalt oder eine einmalige Unterstützung durch einen IT-Notfall-Experten. Der Schaden durch E-Commerce-Betrüger oder Passwortdiebe ist meist noch teurer. So gesehen ist das Geld schnell wieder drin.

Es geht um private Internetnutzung – nicht ums Home Office

Die Versicherung deckt nur Schäden, die im Rahmen der privaten Internetnutzung entstehen. Wenn Sie sich bei Arbeit im Home Office einen Trojaner einfangen, der dann das Firmen-Netzwerk infiziert, dann muss Ihr Arbeitgeber sich an seine Cyber-Versicherung wenden. (Hoffentlich hat er die auch.)

Fragen? Wir von acant haben Zeit für Sie

Wenn Sie Fragen zur privaten Cyber-Versicherung haben, oder wissen wollen, wie Versicherungsschutz fürs Home Office aussieht, dann nehmen wir uns gerne Zeit für Sie.

acant ist ein Versicherungsmakler speziell für Cyber-Risiken. Wir legen Wert auf ausführliche Beratung – ohne Fachchinesisch, direkt zu Ihrem Bedarf und Ihrer Situation. Rufen Sie uns an (030 863 926 990) oder schreiben Sie uns eine kurze Nachricht.

Versicherer kündigt Cyber-Versicherung oder erhöht Prämien? Symbolbild: OpenClipart-Vectors via Pixabay

Cyberversicherung: Was tun, wenn der Versicherer mehr Prämie will oder kündigt?

Wie verhindert man, dass der Versicherer die Cyber-Police kündigt? Wie reagieren, wenn er die Prämien anhebt, oder die Versicherungsbedingungen schlechter werden?

Die Situation am Cyber-Versicherungsmarkt: mehr Nachfrage, mehr Schäden = steigende Prämien

Die meisten Unternehmen sind sich des Kostenrisikos von Cyber-Angriffen, Hackern oder Datenschutzverletzungen mittlerweile bewusst. Dass eine Cyberversicherung ebenso zur betrieblichen Grundausstattung gehört wie die Feuerversicherung der Firmenimmobilie, wird von immer mehr Unternehmen akzeptiert.

Gleichzeitig werden die Versicherer zunehmend knausriger. Viele zwacken an der Deckung, während sie die Prämien anheben. Der Grund: Die Schadensfälle nehmen zu, weil Unternehmen laufend Opfer von Hackern werden (besonders von Ransomware, mit besonders teuren Folgen). Corona-Krise und Home-Office erhöhen die Risiken. Dazu kommt, dass Datenschutzverstöße konsequenter geahndet werden.

Und wenn die Schadensleistungen steigen, dann steigen auch die Prämien, das ist ein Naturgesetz auf dem Versicherungsmarkt. Was bedeutet das für die Versicherungskunden?

Je früher der Abschluss der Cyber-Versicherung, umso besser die Bedingungen

Bei Bestandsverträgen scheuen die Versicherungsgesellschaften einen sprunghaften Anstieg der Prämien oder harte Einschnitte bei der Deckung. Bei Neukunden haben sie dagegen kein Problem damit, die Daumenschrauben anzuziehen.

Diese Daumenregel (wenn man so will) gilt für alle Versicherungssparten, bei denen die Versicherer skeptischer und teurer werden: bei Cyber-Versicherungen, bei D&O-Versicherungen und generell bei Gewerbe- und Industrie-Versicherungen. Je länger man als Kunde wartet, desto ungünstiger fallen die Versicherungsbedingungen und Versicherungskosten aus.

Ein Versicherungsmakler schützt davor, den Preisanstieg über die Versicherungsbedingungen untergejubelt zu bekommen

Das Prinzip kennt man aus dem Supermarkt: Statt den Preis für die Packung Kekse zu erhöhen, packt man einfach weniger Kekse rein. Die Verpackung lässt man natürlich gleich groß. Das funktioniert auch bei betrieblichen Versicherungen: Die Prämie bleibt gleich, dafür bringt man ein paar Haftungsausschlüsse und Sublimits im Kleingedruckten unter. Kunden, die nur über den Preis kaufen, greifen trotzdem zu. Wer einen Versicherungsmakler hat, der den Markt (und das Kleingedruckte) genau im Auge behält, bekommt die Änderung mit und kann die Angebote sinnvoll vergleichen.

Die Gefahr dass der Versicherer kündigt, steigt

Wenn es zum Versicherungsfall kommt, haben beide Seiten ein Sonderkündigungsrecht. Selbst wenn der Versicherer das nicht gleich ausnutzt, wird er möglicherweise nach einem Schadensfall darauf hinweisen, dass man bei der Vertragsverlängerung doch die Prämie ein wenig anpassen sollte. Der Markt habe sich schließlich verändert. Solchen Anfragen sollte man natürlich nicht einfach nachgeben. Wer die Ohren jedoch komplett verschließt, muss unter Umständen damit rechnen, dass der Versicherer doch noch kündigt bzw. nicht mehr verlängert.

Gekündigt zu werden ist deshalb ein Problem, weil andere Versicherer ein vom Wettbewerber gekündigtes Unternehmen ebenfalls nicht gern versichern. Sie misstrauen dem Risiko. Im schlimmsten Fall steht man deshalb ganz ohne Versicherungsschutz dar.
Übrigens: Auch da helfen wir als Versicherungsmakler. Wir können Sie dazu beraten, ob es sinnvoll ist, nach einem Schaden einer maßvollen Prämien-Anhebung zuzustimmen. Alternativ suchen wir proaktiv und vor einer Kündigung eine andere Versicherungsgesellschaft. Das ist viel besser, als nach einer Kündigung suchen zu müssen.

Je enger der Versicherungsmarkt, umso wichtiger ist ein verlässlicher Versicherungsmakler

Der Markt für Cyber-Versicherungen wird enger, aber mit einem Makler wie acant befinden Sie sich trotzdem auf Augenhöhe mit den Versicherern. Wir wissen, welche Prämien angemessen sind, wie weit der Deckungsumfang jedes Versicherungsangebots wirklich reicht, und wir verhandeln für Sie mit den Versicherungsgesellschaften.

Rufen Sie einfach an – dann schauen wir gemeinsam, was wir für Ihr Unternehmen tun können: 030 863 926 990.

IT-Sicherheit im Home Office: Praxistipps

Home Office ist für Arbeitgeber nicht unproblematisch

Home Office heißt die Parole der Stunde. Die Corona-Situation ist nun einmal, wie sie ist. Allerdings sehen viele Arbeitgeber das mit gemischten Gefühlen. Ihre Skepsis betrifft nicht nur Mitarbeiter, die sich ohne den äußeren Rahmen schlecht motivieren und strukturieren. Ein mindestens ebenso großes Problem ist die Daten- und IT-Sicherheit.

Wenn die Mitarbeiter im Home Office arbeiten, steigt für den Betrieb das Risiko von IT-Sicherheitsverletzungen:

  • Ohne die soziale Kontrolle im Büro sinkt die Schwelle, neben der Arbeit mal eben auf zwielichtige Seiten zu gehen. Mit dem Risiko, sich dort Malware einfangen.
  • Ein isolierter Arbeitnehmer ist leichter angreifbar. Schließlich kann man bei Computerproblemen, unklaren E-Mail-Anhängen, verdächtigen Anfragen etc. im Büro die Kollegen um Rat fragen. Im Home Office liegt die Hürde höher.
  • Im privaten Umfeld können Außenstehende schnell Einblick oder Zugriff auf Hardware und Daten des Betriebs erhalten: beispielsweise Partner, Kinder, Besucher etc.
  • Wenn zuhause private Geräte oder das private WLAN genutzt werden, bedroht jede ihrer Sicherheitslücken das Firmennetz.

Weil auch wir von acant dazu immer wieder gefragt werden, haben wir hier einige hilfreiche Inhalte rund um „Sicherheit im Home Office“ zusammengestellt – Arbeitshilfen, kurze und lange Videos sowie Checklisten.

Mit am wichtigsten: Eine Cyber-Versicherung, die das Home Office abdeckt

Eine Cyber-Versicherung schützt vor den finanziellen Schäden durch Trojaner und Hacker, vor Datenschutzverstößen und IT-Sicherheitsverletzungen. Doch längst nicht jede Police deckt auch Schäden ab, die beim Arbeiten im heimischen Wohnzimmer entstanden sind.

Bei manchen Policen ist dieses Risiko mitversichert. Andere Versicherer verlangen zumindest eine Mitteilung über die Risikoerhöhung. Und wieder andere schließen IT-Sicherheitsverletzungen, die im Homeoffice entstehen, komplett aus der Deckung aus.

Wir von acant prüfen kostenlos, ob Home Office zum Deckungsumfang Ihrer Cyber-Versicherung gehört. Bei Bedarf kümmern wir uns auch um die Mitteilung an den Versicherer, um eine nötige Deckungserweiterung oder um eine bessere Police. Rufen Sie uns an (030 863 926 990) oder schreiben Sie uns (zum Kontaktformular).

Tipps für eine Sicherheitsrichtlinie zum Home Office

Die entscheidenden Punkte für eine betriebliche Sicherheitsrichtlinie zur Arbeit von zuhause aus hat das BSI (Bundesamt für Sicherheit in der Informationstechnik) zusammengefasst.

Die PDF-Broschüre umfasst vier Seiten: Regelungen für Telearbeiter / Sicherheitsrichtlinie für die Telearbeit.

IT-Sicherheit im Home Office: Webinar-Mitschnitt

Die IHK Oberbayern hat den Mitschnitt eines mehr als einstündigen Webinars zum Thema „IT-Sicherheit im Homeoffice“ bei Youtube eingestellt. Dozent ist der IT-Sicherheitsexperte Florian Hansemann. Dafür muss man sich natürlich Zeit nehmen. Im Gegenzug erhält einen umfassenden Einblick ins Thema.

Tipps vom Mittelstand-Kompetenzzentrum

Die „Mittelstand 4.0-Kompetenzzentren“ sollen die Digitalisierung in Deutschland voranbringen. Dafür gibt es 26 dieser Kompetenzzentren mit unterschiedlichen regionalen oder Branchen-Schwerpunkten. Viele bieten Tipps oder auch Seminare rund ums Heimbüro an. Hier einige Inhalte vom Berliner Mittelstand 4.0-Kompetenzzentrum „Gemeinsam Digital“: Arbeitsrecht und Home Office – in knapp vier Minuten die wichtigsten Grundlagen:

Tipps für Videokonferenzen prägnant zusammengefasst:

Außerdem gibt es von Gemeinsam Digital zwei nützliche Checklisten:

Zum Schluss

Homeoffice-Arbeit erhöht objektiv das betriebliche Risiko. Deshalb ist betriebliches Risikomanagement gefordert. Kernstück sind Versicherungen: für Cyberschäden, Vertrauensschaden, Haftpflicht, Rechtsschutz etc.

Als Spezialmakler sorgen wir von acant dafür, dass Ihr Unternehmen den optimalen Schutz bei geringstmöglichen Kosten erhält: Sprechen Sie uns an.

IT-Sicherheitschecks zum Selbermachen - Symbolbild: Methawee Krasaeden via Pixabay,

Schnelltests mit begrenztem Nutzen: IT-Sicherheitscheck zum Selbermachen

IT-Sicherheitscheck im Internet: in wenigen Minuten die Bedrohung ausloten?

Corona-Schnelltests können zu einem falschen Gefühl der Sicherheit führen. Nur bei Wiederholung sind die Ergebnisse zuverlässig. Bei einem IT-Sicherheitscheck zum Selbermachen besteht ein ähnliches Risiko. Es gibt immer mehr davon im Internet. Als erste Orientierung sind sie in Ordnung. Eine belastbare Analyse der eigenen IT-Sicherheit innerhalb von Minuten liefern sie allerdings nicht. Das liegt in der Natur der Sache.

Natürlich kann man allgemeine Grundsätze für eine gute IT-Sicherheit abfragen: Software und Hardware auf aktuellem Stand? Profis für IT-Sicherheit zuständig? Mitarbeiter geschult? Notfallpläne vorbereitet? Sicherheitstechnologie installiert? Etc. etc. Aber ob das vor Ort wirklich umgesetzt wird und funktioniert, muss man schon genauer prüfen.

Hier vergleich ich alles … ach, wirklich?

Das Ganze erinnert mich an die Vergleichsplattformen, auf denen man neben Krediten oder DSL-Verträgen auch Versicherungen aller Art vergleichen kann. Hauptgesichtspunkt sind die Kosten. Natürlich kann man den Vertrag dann auch gleich abschließen. Der Plattformbetreiber erhält dafür Provision.

Betriebliche (und die meisten privaten!) Versicherungen kann man aber nicht sinnvoll vergleichen, indem man nur auf den Endpreis schaut. Die Versicherungsbedingungen sind wichtig. Anders als bei der privaten Kfz-Versicherung sind sie bei einer Betriebshaftpflicht-Versicherung nicht einfach standardisiert. Und das ist das Problem.

Deshalb sind auch Vergleichsplattformen nur zur ersten Orientierung sinnvoll, wenn überhaupt. Sonst hat man zwar ruckzuck eine Versicherung. Die eigene Tätigkeit ist aber möglicherweise von der Deckung ausgeschlossen. Oder die Sachversicherungsleistung ist auf den Zeitwert begrenzt. Vielleicht unterliegt das entscheidende Risiko einem Sublimit, das die Versicherung praktisch wertlos macht. Oder, oder, oder … während man sich abgesichert glaubt.

Gute Beratung ist ihr Geld wert

Natürlich ist das mehr Aufwand. Zunächst muss man jemand finden, der sich auskennt und objektiv berät. Zeit muss man ebenfalls investieren. Der Berater muss sich schließlich ein klares Bild der konkreten Gegebenheiten machen. Im Gegenzug kann man sich dafür auf die Analyse und die Handlungsempfehlungen verlassen.

Wenn es um Versicherungen geht, sind wir von acant Ihre Ansprechpartner: Wir schreiben Beratung groß und kennen den Versicherungsmarkt ganz genau. Wenn es um die IT-Sicherheit Ihres Betriebs geht, sind IT-Security-Experten die richtige Adresse. Wir können Ihnen gern gute Berater empfehlen.

IT-Sicherheitscheck: eine kleine Übersicht

Nach all den Worten der Warnung hier nun einige Tools für den IT-Sicherheits-Selbstcheck:

  • Verband der Sachversicherer: VdS-Quickchecks – diese Checks zur IT-Sicherheit, zum Datenschutz und zur Sicherheit von Produktionsanlagen sind vergleichsweise nützlich, weil sie ins Detail gehen. Außerdem spiegeln sie die Erfahrung mit Risikoeinschätzungen wieder.
  • Sicherheitstool Mittelstand: SiToM: Hier kann man ein „Projekt“ anlegen, das sich de facto als große Checkliste entpuppt. Immerhin sind die Fragen vergleichsweise detailliert.
  • Transferstelle IT-Sicherheit im Mittelstand: Sec-O-Mat. Dieses Tool soll dabei helfen, einen Aktionsplan auszuarbeiten.
  • Deutschland sicher im Netz: DsiN-Sicherheitscheck.
Der IT-Sicherheitscheck von DsiN fragt nach einer Cyber-Versicherung. (Screenshot)
Immerhin: Der IT-Sicherheitscheck von DsiN fragt nach einer Cyber-Versicherung.

Sprechen Sie uns an

Rufen Sie uns an, wenn Sie Fragen oder Anmerkungen haben: 030 863 926 990. Oder schreiben Sie uns eine Nachricht. Sie können auch gern einen Kommentar hinterlassen.

Cyberversicherung, Elektronikversicherung, Maschinenversicherung - Symbolfoto: Michal Jarmoluk via Pixabay

All in one: Cyber-Versicherung, Maschinenversicherung, Elektronikversicherung

… und dazu eine Deckung für die Betriebsunterbrechung im Schadensfall

Für Unternehmen, die sich „in einem Aufwasch“ gegen Schäden …

  • durch einen Cyberangriff
  • an ihrer Elektronik
  • an ihren Maschinen

versichern wollen, gibt es mittlerweile Cyber-Policen mit entsprechender Deckungserweiterung für das elektronische Betriebsvermögen und die Maschinen des Betriebs.

Aus Sicht des Versicherungsexperten gibt es an dem Angebot mehrere positive Details:

  • Die Deckungserweiterungen betreffen je eine pauschale Maschinenversicherung und Elektronikversicherung.
  • Mitversichert ist auch eine Betriebsunterbrechung, die sich durch Maschinen- oder Elektronikschäden ergibt. Das ist ein wichtiger Punkt, denn was nützt der Schadenersatz für das kaputte Gerät, wenn der zweiwöchige Umsatzausfall dem Unternehmen das Genick bricht?
  • Es besteht keine Gefahr, dass eine Unterversicherung zur Kürzung der Versicherungsleistung führt. Bei anderen Sachpolicen kann es passieren, dass der Versicherer nach der Schadensmeldung erst einmal den Versicherungswert ermittelt, dann eine Unterversicherung moniert und deshalb nur einen Teil des Schadens ersetzt. Bei diesen Bausteinen handelt es sich dagegen um eine Versicherung „auf erstes Risiko“ mit Auszahlung der vollen Versicherungssumme. Und zwar unabhängig davon, ob der Versicherungswert der Versicherungssumme entspricht.
    Dieser Punkt ist bei Schadensfällen in der Praxis wichtig, denn es ist gar nicht so einfach, den Wert von Maschinen sowie elektronischen Anlagen und Geräten sauber zu bestimmen. Außerdem spart man sich den Aufwand, ständig aktuelle Inventar-Listen mit den aktuellen Versicherungswerten aller Maschinen und Anlagen zu führen.
  • Dadurch, dass sowohl Elektronik wie Maschinen versichert sind, spart man sich die Abgrenzung zwischen den beiden Versicherungsarten. Das ist keineswegs banal. Bei der Überprüfung der Bestandsversicherungen von Neukunden erleben wir immer wieder, dass eine elektronische Anlage als Maschine versichert ist, oder umgekehrt. Das kann im Schadensfall den Versicherungsschutz kosten. Wenn sowieso beides versichert ist, sind solche Probleme ausgeschlossen.

Cyber-, Elektronik- und Maschinenversicherung: Lohnt sich die Drei-in-eins-Police?

Brauchen Sie denn für Ihr Unternehmen eine Versicherungspolice, die erstens vor Verletzungen Ihrer IT-Sicherheit durch Hackerangriffe schützt, zweitens eine Maschinenversicherung umfasst und drittens auch Ihre Elektronik abdeckt? Sind diese Deckungen vielleicht schon vorhanden, vielleicht als Teil anderer Versicherungen wie einer Inhaltsversicherung?

Ob die Drei-in-eins-Police sinnvoll ist, lässt sich nicht pauschal sagen. Das Versicherungsangebot besitzt klare Vorteile, aber natürlich haben jeder Baustein und jede Deckungserweiterung ihren Preis.

Wie teuer, wie wichtig und wie gefährdet sind die Maschinen in Ihrem Unternehmen? Für welche davon ist eine Maschinenversicherung sinnvoll und notwendig? Wie steht es um die elektronischen Anlagen?

Solche Fragen können wir nur im konkreten Fall beantworten. Aber wir können Sie beantworten, und zwar kompetent. Versicherungen sind unser Metier, Cyber- und andere technische Risiken sind unser Schwerpunkt.

Rufen Sie uns an. 030 863 926 990. Oder schreiben Sie uns eine Nachricht. Wir nehmen uns Zeit für Ihre Fragen. Und wir prüfen gern und kostenlos Ihre bestehenden Versicherungen. Vielleicht können Sie für weniger Geld deutlich besseren Schutz bekommen?

Trojanerangriff auf Arztpraxis Symbolfoto: Reimund Bertrams via Pixabay

Hacker-Angriff auf die Arztpraxis: Trojaner verschlüsselt Patientendaten

Alle Daten der Arztpraxis verschlüsselt? Das kann niedergelassene Ärzte ruinieren

Ein Patient, den Sie gut kennen, schickt scheinbar ein eingescanntes Dokument an Ihre Arztpraxis. Es sieht nicht außergewöhnlich aus. Ihre Sprechstundenhilfe öffnet den Datei-Anhang. Allerdings wird kein Inhalt angezeigt. Darum schließt sie das Dokument achselzuckend.

Im Hintergrund nimmt das Unheil seinen Lauf. Ihre Angestellte hat, ohne es zu bemerken einen Ransomware-Trojaner aktiviert. Der beginnt nun, sämtliche Dateien zu verschlüsseln, die er im Netzwerk ihrer Arztpraxis findet – Patientendaten, Abrechnungsunterlagen, Terminverwaltung, Ihre Praxis-Buchhaltungssoftware mit allen Zahlen – einfach alles. Auch auf Cloud-Speichern, falls Sie welche nutzen .

Irgendwann taucht dann auf dem Bildschirm eine Erpresser-Botschaft auf. Sonst geht nichts mehr – kein Zugriff auf die gespeicherten Daten und installierten Dateien mehr möglich. Weder Ihr IT-Dienstleister noch der Anruf bei einer IT-Notfallnummer bringt Abhilfe. Stattdessen erklärt man ihnen, dass der Trojaner die Daten im schlimmsten Fall nicht nur verschlüsselt, sondern zudem auf fremde Server kopiert hat.

Die Katastrophe ist da.

Die Arztpraxis gegen den Alptraum Ransomware versichern – und andere Datenschutz- und IT-Sicherheitsverletzungen

Alptraum für jede Arztpraxis: Ransomware legt die Praxis-IT und damit auch den Praxisbetrieb lahm. Zur Betriebsunterbrechung kommt das mögliche Datenschutz-Debakel. Patienten- und Gesundheitsdaten sind gemäß DSGVO eine „besondere Kategorie“ personenbezogener Daten und besonders geschützt.

Schutz vor den Folgen bietet eine Cyberversicherung, die die Schäden von Ransomware-Angriffen übernimmt. Die Deckung reicht vom nicht mehr funktionsfähigen medizinischen Gerät bis zu den Kosten für das Kontaktieren aller Personen, der Daten kompromittiert sind.

Damit die Cyber-Versicherung sinnvollen Schutz bietet, sollte sie genau auf Ihre Branche zugeschnitten sein: Arztpraxen und vergleichbare Heilberufe. Sie kann im Ernstfall die Existenz der Praxis retten. Dabei kostet sie nicht besonders viel – in der Regel nur ein paar Promille vom Jahresumsatz.

Ransomware: für niedergelassene Ärzte und Heilberufe besonders gefährlich

Verschlüsselungstrojaner, sogenannte Ransomware, sind eine der Haupt-Gefahrenquellen für die IT-Sicherheit von Unternehmen einschließlich von Arztpraxen.

  • Die Erpresser-Summe selbst ist oft der kleinste Schaden. In manchen Fällen handelt es sich um wenig mehr als 1.000 Euro. Beim gezielten Angriff auf eine als finanzstark eingeschätzte Arztpraxis einer finanzstarken Praxis gekapert haben, werden aber vielleicht auch 50.000 oder 100.000 Euro gefordert.
    Besonders ärgerlich: Die Zahlung garantiert in keiner Weise, dass Sie den Code zur Entschlüsselung seiner Daten auch wirklich bekommen.
  • Zunächst einmal steht der Praxisbetrieb still, denn Sie haben ja nicht mal mehr Zugriff auf den digitalen Terminkalender. Welche Einbuße bedeutet jeder Ausfalltag in Ihrem Fall?
    Machen Sie sich auf längere Unterbrechungen gefasst. Schließlich müssen die Systeme wohl komplett neu aufgesetzt werden müssen.
  • Teuer kann die Datenschutz-Problematik werden. Datensätze von Patienten sind bei Hackern heiß begehrt. Außerdem sieht die DSGVO enorme Bußgelder vor (bis zu 2 Prozent vom Jahresumsatz), Patientendaten sind als besonders schutzwürdig eingestuft. Nach einem Datenschutzverstoß muss Ihre Arztpraxis jeden Patienten, jeden Kollegen und alle Geschäftspartner informieren, deren Daten betroffen sind. Allein das verursacht entsprechende Kosten.
  • Schließlich gibt es noch Verluste, die nicht sofort bezifferbar, langfristig jedoch besonders schmerzhaft sind: Imageverlust, abspringende Patienten, negative Berichterstattung.

Auf zwei Arten können niedergelassene Ärzte und Zahnärzte sich schützen – und Vertreterinnen und Vertreter anderer Heilberufe, Psychotherapeuten, Physiotherapeuten, Logopäden, Ergotherapeuten und so weiter, ebenfalls:

Konsequenz: IT-Sicherheit ernst nehmen – und die Praxis versichern

  • IT-Sicherheit ernst nehmen und echten Profis anvertrauen. Auch Hardware, Verschlüsselungslösungen und die Regeln zum Umgang mit der Praxis-IT sollten von Profis stammen und geprüft werden. Das kostet Geld, aber nicht unendlich viel: Eine Datensicherungslösung lässt sich für eine normale Arztpraxis für wenige Tausend Euro installieren. Dann werden laufend Backups aller relevanten Daten angefertigt, und Ransomware verliert einen Großteil ihres Schreckens.
  • Die Praxis versichern, gegen Ransomware, Hackerangriffe und Datenschutzverstöße. Eine spezielle Cyber-Versicherung für Arztpraxen ist für wenig Geld zu haben. Gleichzeitig ist sie jeden Cent wert. Hausnummer: Eine Praxis mit einem Jahresumsatz von einer Million Euro kann sich für etwas mehr als 500 Euro mit einer Versicherungssumme von mehr als einer halben Million Euro versichern.

Wir von acant versichern Ihre Praxis – und wir beraten Sie ausführlich und sachkundig

Wenn Sie Ihre Praxis gegen Ransomware, andere IT-Risiken und mögliche Datenschutzverletzungen absichern wollen, sind wir als Spezialmakler für Cyber-Risiken genau die richtige Adresse. Sie erreichen uns unter 030 863 926 990 oder über das Kontaktformular.

Geschäftsführerhaftung für IT-Sicherheit - Symbolbild, Foto: Myriam Zilles auf Pixabay

Geschäftsführerhaftung: GmbH-Geschäftsführer haften für versäumte IT-Sicherheit. Versichern schützt.

Für IT-Sicherheitsversäumnisse im Unternehmen haften Sie als GmbH-Geschäftsführer schneller, als Ihnen lieb sein kann. Persönlich, mit Ihrem privaten Vermögen.

Dieser Beitrag fasst im Überblick zusammen:

  • warum das Gewährleisten von IT-Sicherheit zu den Pflichten von GmbH-Geschäftsführern gehört,
  • wie schnell ein Cyber-Angriff zu immensen Schäden führt und
  • warum die Haftung dafür in vielen Fällen an der Geschäftsführung der GmbH hängen bleibt.

Dagegen können Sie sich versichern. Das sollten Sie auch tun – mit einer Cyberversicherung für Ihr Unternehmen, und einer D&O-Police, die Ihre Managerhaftpflicht deckt.

Der Beitrag erklärt ausführlich, warum das nicht aus der Luft gegriffen ist. Sie können uns auch direkt nach Versicherungsschutz für Cyberangriffe und Geschäftsführer-Haftung fragen: 030 863 926 990

IT-Sicherheit – die Achillesferse der Unternehmen

Unternehmen bieten Cyberkriminellen eine große Angriffsoberfläche. Das gilt auch für mittelständische und kleinere Unternehmen. Opfer eines gezielten oder zufälligen Cyberangriffs zu werden, ist heute Betriebsrisiko.

Schließlich kommen überall Rechner und Smartphones zum Einsatz, werden E-Mails geschrieben, werden Buchungen per Software erledigt und Bestell- oder Kundendaten abgespeichert. Maschinen, Fahrzeuge und Gebäudetechnik sind zunehmend vernetzt. Mitarbeiter nutzen Firmengeräte häufig auch privat. Umgekehrt hängt in Home-Office-Zeiten das Firmennetzwerk nicht selten von der Sicherheit privater WLAN-Router ab.

Ein erfolgreicher digitaler Angriff kostet das Unternehmen viele Nerven, eine Menge Zeit und vor allem sehr viel Geld. Der Schaden kann schnell existenzbedrohend sein – das ist keine Übertreibung. Systemausfälle dauern in der Regel Tage und Wochen, oft sogar Monate – bis dahin ist nur eingeschränkter Geschäftsbetrieb möglich. Jeder Kunde, Mitarbeiter oder Außenstehende, von dem personenbezogene Daten entwendet wurden, muss benachrichtigt, gegebenenfalls auch entschädigt werden. Auch der Notfalleinsatz von IT-Spezialisten, Anwälten und Experten von Krisen-PR ist nicht umsonst. Weitere Kostenrisiken: Schadenersatzklagen, verlorene Kunden, ein beschädigtes Image.

Der IT-Branchenverband Bitkom fand heraus, dass drei von vier deutschen Unternehmen Opfer von Datendiebstahl, Industriespionage oder Sabotage wurden. Er geht von einer Schadenssumme von 100 Mrd. Euro jährlich aus.

Das Gewährleisten von IT-Sicherheit ist Chefsache

IT-Sicherheit ist ein Thema, mit dem sich die Unternehmensführung beschäftigen muss. Natürlich muss der Chef oder die Chefin nicht selbst eine Firewall installieren. Aber sie müssen den Aufgabenbereich in qualifizierte Hände legen und zudem überwachen, ob die IT-Abteilung, der Administrator oder ein externen Dienstleister sich tatsächlich um angemessene digitale Sicherheit kümmern.

Das liegt auch im Eigeninteresse der Geschäftsführung. In einer GmbH oder UG (haftungsbeschränkt) führen Pflichtverletzungen schnell in die persönliche Haftung. Zu diesen Pflichten gehört der Schutz vor Cyberangriffen. GmbH-Geschäftsführer und AG-Vorstände tragen die Verantwortung dafür, dass die Gesellschaft funktionierende Lösungen für diese Bedrohung etabliert. Das gilt unabhängig davon, ob sie persönlich Interesse an digitaler Technologie haben.

Geschäftsführerhaftung: Wurde das IT-Sicherheitsthema versäumt, haftet der GmbH-Geschäftsführer

Kann die Geschäftsführung nach einer Cyber-Attacke nicht beweisen, dass sie für angemessene Vorkehrungen gesorgt hat, dann droht ihr die persönliche Haftung gegenüber der Gesellschaft oder Dritten, unter anderem für …

  • Schäden des Unternehmens z. B. durch beschädigte Geräte oder Waren, verdorbene Vorräte und den Lohn für untätige Mitarbeiter
  • Umsatzeinbußen durch die Betriebsunterbrechung: Maschinen stehen still, der Online-Shop ist nicht erreichbar etc.
  • Schadenersatz für geschädigte Kunden, Lieferanten oder Geschäftspartner sowie Vertragsstrafen für Verzögerungen, Nichterfüllung etc.
  • Schadenersatz für den Verlust personenbezogener Daten: Unternehmen, die personenbezogene Daten verarbeiten (und das sind so gut wie alle, man denke nur an Kunden- und Arbeitnehmerdaten), haften für materielle und immaterielle Schäden aus nicht DSGVO-konformer Verarbeitung
  • Kosten für das Neuinstallieren oder Wiederhochfahren der Systeme, für Forensik, Krisenmaßnahmen und Krisenberater (wie Anwälte und PR-Fachleute)
  • Schäden durch Imageverlust oder abgewanderte Kunden, auch solche Schäden sind grundsätzlich schadenersatzpflichtig, selbst wenn sie schwerer zu beziffern sind

Fragen zur Haftung für Schäden durch Cyberangriffe

Eine schwere IT-Sicherheitsverletzung beschert der GmbH außerplanmäßige Kosten. Das senkt den Gewinn und den Wert der Anteile. Wie wahrscheinlich ist es, dass die GmbH-Gesellschafter das auf sich beruhen lassen?

Der Geschäftsführer ist von vornherein in einer ungünstigen Situation, denn er muss die Verschuldensvermutung widerlegen, die das BGB ihm aufbürdet. Ohne ordnungsgemäß dokumentierte IT-Maßnahmen wird ihm dieser Nachweis schwer gelingen.

Haftung per AGB ausschließen?

Lässt sich die Haftung der Gesellschaft gegenüber Kunden und Geschäftspartnern nicht durch Allgemeine Geschäftsbedingungen ausschließen, so dass der Rückgriff auf den Geschäftsführer gar nicht erst notwendig wird?

Leider nein: Verhindert ein Cyberangriff, dass die Lieferung nicht vollständig oder fristgerecht erfolgt oder vertrauliche Informationen verloren werden, hilft kein Verweis auf AGB-Klauseln zum Haftungsausschluss vereinbart. Kann das funktionieren? Die vertragsgemäße Lieferung stellt ebenso wie die Vertraulichkeit eine wesentliche Vertragspflicht dar und kann nicht vertraglich abbedungen werden.

Arbeitnehmer in Haftung nehmen?

Vielleicht hat ein Arbeitnehmer den verhängnisvollen Dateianhang unvorsichtigerweise geöffnet. Den Mitarbeiter für sein Fehlverhalten persönlich haftbar zu machen, ist jedcoh ebenso wenig erfolgversprechend, Die Haftung von Arbeitnehmern ist auf fahrlässiges Handeln beschränkt. Und selbst dann wird bei mittlerer Fahrlässigkeit der Schaden in der Regel quotiert – ein Teil wird also dem Arbeitgeber zugewiesen.

Bei grober Fahrlässigkeit mag der Arbeitnehmer voll haftbar sein, doch selbst dann setzt die Rechtsprechung des Bundesarbeitsgerichts enge Grenzen. Ansprüche aus Haftung über ein Jahresgehalt des Mitarbeiters hinaus sind kaum möglich. Gemessen an den Kosten eines Cyberangriffs ist das ein Tropfen auf den heißen Stein.

Externen IT-Dienstleister haftbar machen?

Selbst wenn die IT-Dienstleistungen von externen Unternehmen eingekauft wurden, ist es schwierig, nach einem Cyberangriff einen Schadenersatzanspruch gegenüber dem Dienstleister durchzusetzen. Der Dienstleister haftet für die IT-Leistung, die er als Hauptleistung erbringt. Sie muss jedoch nicht zwangsläufig dem Stand der Technik entsprechen. Selbst wenn die installierte Technik versagt, ein Virus von der Antivirensoftware nicht erkannt wurde oder Hacker eine Server-Sicherheitslücke fanden: Gehörte es zur Hauptleistung, solche Angriffsflächen auszuschließen? Das scheitert vermutlich schon am Budget, den ein derart umfassender Auftrag erfordert hätte.

Die Geschäftsführerhaftung ist die einfachste Weg zum Schadenersatz

Schadenersatzansprüche aus einem Cyberangriff bleiben daher meist am GmbH-Geschäftsführer hängen, sowohl die Haftung gegenüber dem Unternehmen als auch gegenüber Dritten.

Maßstab für die Geschäftsführerpflichten bzw. die Geschäftsführerhaftung ist auch in puncto IT die „Sorgfalt eines ordentlichen und gewissenhaften Geschäftsleiters“ (§ 43 Abs. 2 GmbHG).

Eine Pflicht ergibt sich zudem aus dem Aktiengesetz (§ 91 Abs. 2 AktG). Es verlangt vom Vorstand, „geeignete Maßnahmen“ zur Risikoerkennung und -vermeidung. Die Rechtsprechung geht von einer „Ausstrahlungswirkung“ aus und überträgt diese Leitungspflicht auf GmbH-Geschäftsführer: diese müssen ebenfalls für Organisationsstandards sorgen, die eine Bestandsgefährdung des Unternehmens vermeiden. Cyberangriffe bedeuten eine Bestandsgefährdung.

Ein Organisationsverschulden und damit eine Pflichtverletzung durch mangelnde IT-Sicherheitsvorsorge kann sich aus weiteren Vorschriften ergeben:

  • § 109 TKG schreibt für Telekommunikationsanbieter technische Schutzmaßnahmen vor
  • § 13 Abs. 7 TMG verpflichtet Anbieter von Telemedien zu Maßnahmen gegen unerlaubten Zugriff, zum Schutz personenbezogener Daten und zum Verhindern von Störungen durch äußere Angriffe.
  • § 8a BSIG enthält Vorgaben zur Sicherheit in der Informationstechnik für Betreiber Kritischer Infrastrukturen.
  • § 25a Abs. 1 Nr. 5 KWG macht Finanzdienstleistern und Kreditinstituten Auflagen zur Geschäftsorganisation und schreibt ein Risikomanagement-System vor.
  • Art. 24 DSGVO verlangt eine IT nach dem Stand der Technik. Daraus folgt zugleich die Verpflichtung, dies durch eine sorgfältige und vollständige Dokumentation nachzuweisen.

IT-Risiken als Haftungsfalle: Handlungsempfehlungen für GmbH-Geschäftsführer

  • Zunächst muss das Cyber-Risiko des Unternehmens analysiert werden. Es geht um ganz konkrete Szenarien: Mit welcher Wahrscheinlichkeit sind welche Art von Sicherheitsverletzungen möglich, welche Konsequenzen und Kosten ergeben sich?

    Für diese Aufgabe benötigen Sie Ihre IT-Verantwortlichen. Ideal ist ein Experte speziell für IT-Sicherheit mit Zertifizierung nach ISO 27001. Weil Risikomanagement weit über Technologie hinausgeht, sollen Sie auch uns einbeziehen. Wir von acant sind als Versicherungsmakler auf Cyberrisiken spezialisiert und kennen die Schadensszenarien aus der Praxis. Schließlich haben wir regelmäßig damit zu tun.

  • Ein zweiter, wichtiger Schritt zur Abwehr der persönlichen Haftung: Sie müssen eine umfassende, aussagekräftige Dokumentation sicherstellen: dazu gehört der Ist-Zustand, die relevanten Bedrohungsszenarien und die Vorsorge- und Schutzmaßnahmen, die ergriffen werden. Zu diesen Maßnahmen gehört auf jeden Fall ein professionelles Datensicherungskonzept und ein praxistauglicher Notfallplan.

  • Dritter Schritt sind betriebliche Versicherungen. Einschlägig sind Cyberversicherungen, Vertrauensschadenversicherungen, Elektronik- oder Maschinenversicherungen sowie Deckungen für Rechtsschutz und Betriebshaftpflicht. Welche dieser Versicherungen zu konkreten Risiken des Unternehmens und des Geschäftsführung passen und betriebswirtschaftlich sinnvoll sind, hängt vom Einzelfall ab.

    Das Versichern des Unternehmens ist solides Risikomanagement. Schließlich weisen Sie Sie damit die Sorgfalt der Geschäftsführung bei der Abwehr von IT-Bedrohungen nach. Nicht wenige Juristen halten den Abschluss einer Cyber-Versicherung durch die Geschäftsführung für verpflichtend.
  • Das persönliche Element der Vorsorge ist eine D&O-Versicherung: diese deckt als Absicherung für den GmbH-Geschäftsführer dessen Geschäftsführerhaftung.

Bei diesen Schritten können wir von acant Sie und Ihr Unternehmen unterstützen. Genau dafür sind wir als Spezialmakler für Cyberrisiken und Geschäftsführerhaftung da. Rufen Sie uns an (030 863 926 990) oder schreiben Sie uns eine Nachricht.

Vorbereitet auf mögliche Cyber-Angriffe? Drei Grundregeln für kleinere Unternehmen

Schon mit ein paar Grundregeln sind auch kleinere Unternehmen im Fall eines Cyber-Angriffs viel besser vorbereitet. Für Cyber-Risiken gilt nichts anderes als für das Feuer-Risiko: Es kann jeden treffen, aber nicht überall entstehen die gleichen Schäden, denn das hängt von der Vorbereitung ab. Wenige, einfache Schritte können viel ausmachen.

(Wohlgemerkt: Es geht hier nicht um Technik – Firewalls, Intrusion Detection und ähnliches mehr. Sondern um das Vorbereitet-sein des Unternehmens, als Organisation.)

Was im Brandfall gilt …

Wie viel Schaden droht, wenn in einem Betrieb Feuer ausbricht? Dafür ist entscheidend, ob der Betrieb vorbereitet ist. Funktionieren die Feuerlöscher, wurden keine Brandschutztüren zugestellt? Fühlt sich gleich der erste Mitarbeiter, der den Brand bemerkt, für den Anruf bei der Feuerwehr zuständig? Kennen alle die Fluchtwege, und wissen sie, wo die Notausknöpfe und Unterbrechungsschalter in Werkstätten und Produktionshallen sind? Solche kleinen Dinge können viel Schaden verhindern.

… ist im Cyber-Angriffsfall nicht anders

Im Fall einer Cyber-Attacke auf die Unternehmens-IT gilt das Gleiche: Ein paar Verhaltensregeln können bereits einen guten Teil des Schaden eindämmen.

  • Grundregel für alle: reagieren – nicht warten. Die Mitarbeiter müssen aktiv werden, wenn es Anzeichen für einen Cyberangriff gibt. Der komische Dateianhang führt beim Bürorechner zu eigenartigem Verhalten? Ausschalten, vom Netz trennen, umgehend Bescheid sagen!
    DIe Mitarbeiter sollten geistig auf die Möglichkeit von Cyberangriffen vorbereitet sein. Das Bewusstsein für die digitale Gefahr muss Teil der Unternehmenskultur werden.
  • Klären, wer für IT-Notfälle zuständig ist. In größeren Unternehmen ist klar, wen man bei einem möglichen Trojaner-Befall anruft. Dort gibt es eine IT-Abteilung mit – hoffentlich – fertigen Notfallplänen. In kleineren Unternehmen gibt es vielleicht keinen eigenen Administrator. Gibt es einen externen Dienstleister für IT-Notfälle, und wissen alle, wie man ihn erreicht?
  • Eine funktionierende Datensicherung einrichten. Von einem Moment zum anderen alle- Personal-, Kunden-, Buchhaltungs-, Produktionsdaten etc. weg? Dann stehen auch kleinere Unternehmen vor dem Nichts, ohne Zugriff auf ihre geschäftlichen Informationen. Für eine niedrige vierstellige Summe bekommt man ein solides Backup-System für ein kleineres Unternehmen eingerichtet. Daran zu sparen ist wie auf Feuerlöscher zu verzichten. Mehr im Beitrag „Wie kann Datensicherung vor Ransomware schützen?

Natürlich ersetzen diese Regeln nicht eine professionell gemanagte und installierte IT-Security. Aber sie ergänzen sie um einen wichtigen Aspekt.

Vorbereitet sein – und versichern!

Brandschutzmaßnahmen und eine Feuerversicherung schließen sich nicht aus. Im Gegenteil. Das Gleiche gilt für die Bedrohung durch Cyber-Risiken, denn eine Cyber-Versicherung gehört zum Vorbereitet sein dazu.

Der Unterschied ist eher, dass die Wahrscheinlichkeit für einen Cyber-Angriff deutlich höher liegt als das Risiko einer Brandkatastrophe.

Haben Sie Fragen oder Anmerkungen? Rufen Sie uns an: +49 (0)30 863 926 990

Lehrreiche Cyber-Attacke, Symbolbild: klimkin via Pixabay

Lesetipp: „Lehrreiche Attacke“

Mittelständler berichtet offen über eine Ransomware-Attacke

Ein mittelständisches Unternehmen aus dem Raum Stuttgart wird im Herbst 2019 Opfer eines Trojaners: die Erpresser-Software „Paymer“ verschlüsselt sämtliche Daten im Unternehmensnetzwerk. 2.500 Mitarbeiter haben keinen Zugriff auf ihre Rechner und Daten mehr. Die Festnetzanschlüsse sind tot. Der komplette Betrieb kommt abrupt zum Erliegen. Zwei Wochen dauert es, bis die Produktion wieder anlaufen kann. Bis das Unternehmen aus dem Gröbsten heraus ist, vergehen drei Monate. Der Geschäftsführer vergleicht die Attacke später mit einem Großbrand.

Soweit ist all das nichts Besonderes, geradezu Alltag. Dass Schadsoftware Unternehmen lahmlegt und für enorme Schäden sorgt, gehört zur Tagesordnung.

Besonders ist dieser Fall allerdings aus zwei Gründen:

  • Das betroffene Unternehmen, die Pilz GmbH & Co. KG, bietet Lösungen rund um Automatisierung und Maschinensicherheit an, einschließlich von Sensorik, Antriebs- und Steuerungstechnik. Motto: „The spirit of safety“. Da ist eine erfolgreiche Attacke natürlich besonders delikat.
  • Trotzdem: Anders als die meisten Betroffenen in solchen Fällen macht Pilz die Cyber-Erpressung öffentlich – und kooperierte sogar mit Journalisten, die über den Vorfall und die Reaktion des Unternehmens berichteten. Das Unternehmen setzt wirklich auf Transparenz, es blieb nicht beim Wording.

Eine Ransomware-Angriff aus der Innenperspektive

Herausgekommen ist der Artikel „Lehrreiche Attacke“ im Wirtschaftsmagazin brand eins. Spannende Lektüre und ein echter Lesetipp.

Aus Schaden klug werden: Beim nächsten Mal durch eine Cyber-Versicherung geschützt sein

Was im Artikel allerdings unter den Tisch fällt, ist der Aspekt der Cyber-Versicherung. Die ist genau dafür gedacht, die Folgen solcher Katastrophen abzufedern.

Eine Cyber-Versicherung bezahlt nicht nur die Schäden, die aus der Betriebsunterbrechung, durch Schadenersatzforderungen und ähnliches mehr entstehen. Die Versicherer helfen auch mit konkreten Dienstleistungen: Sie stellen und/oder bezahlen Fachpersonal, das bei der Ermittlung der Schäden, dem Aufspüren der Ursachen und der Datenrettung hilft. Berater für die Krisen-PR und Anwälte für die dringenden Rechtsfragen haben die meisten Cyber-Versicherer ebenfalls im Angebot.

Fazit: Eine Cyber-Versicherung als dritter Sicherungsring

Bei Pilz wurden die Firewalls deutlich verstärkt. Außerdem wurde das Firmennetz komplexer und kleinteiliger gestaltet. Damit der nächste Trojaner, wenn er denn doch zuschlägt, nur noch begrenzten Schaden und keinen virtuellen Flächenbrand mehr anrichten kann.

Solche Lehren sind wichtig und richtig. Organisatorische und technische Schutzmaßnahmen werden jedoch erst durch eine Cyber-Versicherung als dritten Schutzring komplett. Eine Versicherung ist weder für technische Pannen noch für menschliche Schwächen anfällig – und hilft dann, wenn die anderen Schutzvorkehrungen versagt haben.

Haben Sie Fragen? Wir sind für Sie da: +49 (0)30 863 926 990 oder info@acant.de.