Cyberversicherung, Elektronikversicherung, Maschinenversicherung - Symbolfoto: Michal Jarmoluk via Pixabay

All in one: Cyber-Versicherung, Maschinenversicherung, Elektronikversicherung

… und dazu eine Deckung für die Betriebsunterbrechung im Schadensfall

Für Unternehmen, die sich „in einem Aufwasch“ gegen Schäden …

  • durch einen Cyberangriff
  • an ihrer Elektronik
  • an ihren Maschinen

versichern wollen, gibt es mittlerweile Cyber-Policen mit entsprechender Deckungserweiterung für das elektronische Betriebsvermögen und die Maschinen des Betriebs.

Aus Sicht des Versicherungsexperten gibt es an dem Angebot mehrere positive Details:

  • Die Deckungserweiterungen betreffen je eine pauschale Maschinenversicherung und Elektronikversicherung.
  • Mitversichert ist auch eine Betriebsunterbrechung, die sich durch Maschinen- oder Elektronikschäden ergibt. Das ist ein wichtiger Punkt, denn was nützt der Schadenersatz für das kaputte Gerät, wenn der zweiwöchige Umsatzausfall dem Unternehmen das Genick bricht?
  • Es besteht keine Gefahr, dass eine Unterversicherung zur Kürzung der Versicherungsleistung führt. Bei anderen Sachpolicen kann es passieren, dass der Versicherer nach der Schadensmeldung erst einmal den Versicherungswert ermittelt, dann eine Unterversicherung moniert und deshalb nur einen Teil des Schadens ersetzt. Bei diesen Bausteinen handelt es sich dagegen um eine Versicherung „auf erstes Risiko“ mit Auszahlung der vollen Versicherungssumme. Und zwar unabhängig davon, ob der Versicherungswert der Versicherungssumme entspricht.
    Dieser Punkt ist bei Schadensfällen in der Praxis wichtig, denn es ist gar nicht so einfach, den Wert von Maschinen sowie elektronischen Anlagen und Geräten sauber zu bestimmen. Außerdem spart man sich den Aufwand, ständig aktuelle Inventar-Listen mit den aktuellen Versicherungswerten aller Maschinen und Anlagen zu führen.
  • Dadurch, dass sowohl Elektronik wie Maschinen versichert sind, spart man sich die Abgrenzung zwischen den beiden Versicherungsarten. Das ist keineswegs banal. Bei der Überprüfung der Bestandsversicherungen von Neukunden erleben wir immer wieder, dass eine elektronische Anlage als Maschine versichert ist, oder umgekehrt. Das kann im Schadensfall den Versicherungsschutz kosten. Wenn sowieso beides versichert ist, sind solche Probleme ausgeschlossen.

Cyber-, Elektronik- und Maschinenversicherung: Lohnt sich die Drei-in-eins-Police?

Brauchen Sie denn für Ihr Unternehmen eine Versicherungspolice, die erstens vor Verletzungen Ihrer IT-Sicherheit durch Hackerangriffe schützt, zweitens eine Maschinenversicherung umfasst und drittens auch Ihre Elektronik abdeckt? Sind diese Deckungen vielleicht schon vorhanden, vielleicht als Teil anderer Versicherungen wie einer Inhaltsversicherung?

Ob die Drei-in-eins-Police sinnvoll ist, lässt sich nicht pauschal sagen. Das Versicherungsangebot besitzt klare Vorteile, aber natürlich haben jeder Baustein und jede Deckungserweiterung ihren Preis.

Wie teuer, wie wichtig und wie gefährdet sind die Maschinen in Ihrem Unternehmen? Für welche davon ist eine Maschinenversicherung sinnvoll und notwendig? Wie steht es um die elektronischen Anlagen?

Solche Fragen können wir nur im konkreten Fall beantworten. Aber wir können Sie beantworten, und zwar kompetent. Versicherungen sind unser Metier, Cyber- und andere technische Risiken sind unser Schwerpunkt.

Rufen Sie uns an. 030 863 926 990. Oder schreiben Sie uns eine Nachricht. Wir nehmen uns Zeit für Ihre Fragen. Und wir prüfen gern und kostenlos Ihre bestehenden Versicherungen. Vielleicht können Sie für weniger Geld deutlich besseren Schutz bekommen?

Trojanerangriff auf Arztpraxis Symbolfoto: Reimund Bertrams via Pixabay

Hacker-Angriff auf die Arztpraxis: Trojaner verschlüsselt Patientendaten

Alle Daten der Arztpraxis verschlüsselt? Das kann niedergelassene Ärzte ruinieren

Ein Patient, den Sie gut kennen, schickt scheinbar ein eingescanntes Dokument an Ihre Arztpraxis. Es sieht nicht außergewöhnlich aus. Ihre Sprechstundenhilfe öffnet den Datei-Anhang. Allerdings wird kein Inhalt angezeigt. Darum schließt sie das Dokument achselzuckend.

Im Hintergrund nimmt das Unheil seinen Lauf. Ihre Angestellte hat, ohne es zu bemerken einen Ransomware-Trojaner aktiviert. Der beginnt nun, sämtliche Dateien zu verschlüsseln, die er im Netzwerk ihrer Arztpraxis findet – Patientendaten, Abrechnungsunterlagen, Terminverwaltung, Ihre Praxis-Buchhaltungssoftware mit allen Zahlen – einfach alles. Auch auf Cloud-Speichern, falls Sie welche nutzen .

Irgendwann taucht dann auf dem Bildschirm eine Erpresser-Botschaft auf. Sonst geht nichts mehr – kein Zugriff auf die gespeicherten Daten und installierten Dateien mehr möglich. Weder Ihr IT-Dienstleister noch der Anruf bei einer IT-Notfallnummer bringt Abhilfe. Stattdessen erklärt man ihnen, dass der Trojaner die Daten im schlimmsten Fall nicht nur verschlüsselt, sondern zudem auf fremde Server kopiert hat.

Die Katastrophe ist da.

Die Arztpraxis gegen den Alptraum Ransomware versichern – und andere Datenschutz- und IT-Sicherheitsverletzungen

Alptraum für jede Arztpraxis: Ransomware legt die Praxis-IT und damit auch den Praxisbetrieb lahm. Zur Betriebsunterbrechung kommt das mögliche Datenschutz-Debakel. Patienten- und Gesundheitsdaten sind gemäß DSGVO eine „besondere Kategorie“ personenbezogener Daten und besonders geschützt.

Schutz vor den Folgen bietet eine Cyberversicherung, die die Schäden von Ransomware-Angriffen übernimmt. Die Deckung reicht vom nicht mehr funktionsfähigen medizinischen Gerät bis zu den Kosten für das Kontaktieren aller Personen, der Daten kompromittiert sind.

Damit die Cyber-Versicherung sinnvollen Schutz bietet, sollte sie genau auf Ihre Branche zugeschnitten sein: Arztpraxen und vergleichbare Heilberufe. Sie kann im Ernstfall die Existenz der Praxis retten. Dabei kostet sie nicht besonders viel – in der Regel nur ein paar Promille vom Jahresumsatz.

Ransomware: für niedergelassene Ärzte und Heilberufe besonders gefährlich

Verschlüsselungstrojaner, sogenannte Ransomware, sind eine der Haupt-Gefahrenquellen für die IT-Sicherheit von Unternehmen einschließlich von Arztpraxen.

  • Die Erpresser-Summe selbst ist oft der kleinste Schaden. In manchen Fällen handelt es sich um wenig mehr als 1.000 Euro. Beim gezielten Angriff auf eine als finanzstark eingeschätzte Arztpraxis einer finanzstarken Praxis gekapert haben, werden aber vielleicht auch 50.000 oder 100.000 Euro gefordert.
    Besonders ärgerlich: Die Zahlung garantiert in keiner Weise, dass Sie den Code zur Entschlüsselung seiner Daten auch wirklich bekommen.
  • Zunächst einmal steht der Praxisbetrieb still, denn Sie haben ja nicht mal mehr Zugriff auf den digitalen Terminkalender. Welche Einbuße bedeutet jeder Ausfalltag in Ihrem Fall?
    Machen Sie sich auf längere Unterbrechungen gefasst. Schließlich müssen die Systeme wohl komplett neu aufgesetzt werden müssen.
  • Teuer kann die Datenschutz-Problematik werden. Datensätze von Patienten sind bei Hackern heiß begehrt. Außerdem sieht die DSGVO enorme Bußgelder vor (bis zu 2 Prozent vom Jahresumsatz), Patientendaten sind als besonders schutzwürdig eingestuft. Nach einem Datenschutzverstoß muss Ihre Arztpraxis jeden Patienten, jeden Kollegen und alle Geschäftspartner informieren, deren Daten betroffen sind. Allein das verursacht entsprechende Kosten.
  • Schließlich gibt es noch Verluste, die nicht sofort bezifferbar, langfristig jedoch besonders schmerzhaft sind: Imageverlust, abspringende Patienten, negative Berichterstattung.

Auf zwei Arten können niedergelassene Ärzte und Zahnärzte sich schützen – und Vertreterinnen und Vertreter anderer Heilberufe, Psychotherapeuten, Physiotherapeuten, Logopäden, Ergotherapeuten und so weiter, ebenfalls:

Konsequenz: IT-Sicherheit ernst nehmen – und die Praxis versichern

  • IT-Sicherheit ernst nehmen und echten Profis anvertrauen. Auch Hardware, Verschlüsselungslösungen und die Regeln zum Umgang mit der Praxis-IT sollten von Profis stammen und geprüft werden. Das kostet Geld, aber nicht unendlich viel: Eine Datensicherungslösung lässt sich für eine normale Arztpraxis für wenige Tausend Euro installieren. Dann werden laufend Backups aller relevanten Daten angefertigt, und Ransomware verliert einen Großteil ihres Schreckens.
  • Die Praxis versichern, gegen Ransomware, Hackerangriffe und Datenschutzverstöße. Eine spezielle Cyber-Versicherung für Arztpraxen ist für wenig Geld zu haben. Gleichzeitig ist sie jeden Cent wert. Hausnummer: Eine Praxis mit einem Jahresumsatz von einer Million Euro kann sich für etwas mehr als 500 Euro mit einer Versicherungssumme von mehr als einer halben Million Euro versichern.

Wir von acant versichern Ihre Praxis – und wir beraten Sie ausführlich und sachkundig

Wenn Sie Ihre Praxis gegen Ransomware, andere IT-Risiken und mögliche Datenschutzverletzungen absichern wollen, sind wir als Spezialmakler für Cyber-Risiken genau die richtige Adresse. Sie erreichen uns unter 030 863 926 990 oder über das Kontaktformular.

Geschäftsführerhaftung für IT-Sicherheit - Symbolbild, Foto: Myriam Zilles auf Pixabay

Geschäftsführerhaftung: GmbH-Geschäftsführer haften für versäumte IT-Sicherheit. Versichern schützt.

Für IT-Sicherheitsversäumnisse im Unternehmen haften Sie als GmbH-Geschäftsführer schneller, als Ihnen lieb sein kann. Persönlich, mit Ihrem privaten Vermögen.

Dieser Beitrag fasst im Überblick zusammen:

  • warum das Gewährleisten von IT-Sicherheit zu den Pflichten von GmbH-Geschäftsführern gehört,
  • wie schnell ein Cyber-Angriff zu immensen Schäden führt und
  • warum die Haftung dafür in vielen Fällen an der Geschäftsführung der GmbH hängen bleibt.

Dagegen können Sie sich versichern. Das sollten Sie auch tun – mit einer Cyberversicherung für Ihr Unternehmen, und einer D&O-Police, die Ihre Managerhaftpflicht deckt.

Der Beitrag erklärt ausführlich, warum das nicht aus der Luft gegriffen ist. Sie können uns auch direkt nach Versicherungsschutz für Cyberangriffe und Geschäftsführer-Haftung fragen: 030 863 926 990

IT-Sicherheit – die Achillesferse der Unternehmen

Unternehmen bieten Cyberkriminellen eine große Angriffsoberfläche. Das gilt auch für mittelständische und kleinere Unternehmen. Opfer eines gezielten oder zufälligen Cyberangriffs zu werden, ist heute Betriebsrisiko.

Schließlich kommen überall Rechner und Smartphones zum Einsatz, werden E-Mails geschrieben, werden Buchungen per Software erledigt und Bestell- oder Kundendaten abgespeichert. Maschinen, Fahrzeuge und Gebäudetechnik sind zunehmend vernetzt. Mitarbeiter nutzen Firmengeräte häufig auch privat. Umgekehrt hängt in Home-Office-Zeiten das Firmennetzwerk nicht selten von der Sicherheit privater WLAN-Router ab.

Ein erfolgreicher digitaler Angriff kostet das Unternehmen viele Nerven, eine Menge Zeit und vor allem sehr viel Geld. Der Schaden kann schnell existenzbedrohend sein – das ist keine Übertreibung. Systemausfälle dauern in der Regel Tage und Wochen, oft sogar Monate – bis dahin ist nur eingeschränkter Geschäftsbetrieb möglich. Jeder Kunde, Mitarbeiter oder Außenstehende, von dem personenbezogene Daten entwendet wurden, muss benachrichtigt, gegebenenfalls auch entschädigt werden. Auch der Notfalleinsatz von IT-Spezialisten, Anwälten und Experten von Krisen-PR ist nicht umsonst. Weitere Kostenrisiken: Schadenersatzklagen, verlorene Kunden, ein beschädigtes Image.

Der IT-Branchenverband Bitkom fand heraus, dass drei von vier deutschen Unternehmen Opfer von Datendiebstahl, Industriespionage oder Sabotage wurden. Er geht von einer Schadenssumme von 100 Mrd. Euro jährlich aus.

Das Gewährleisten von IT-Sicherheit ist Chefsache

IT-Sicherheit ist ein Thema, mit dem sich die Unternehmensführung beschäftigen muss. Natürlich muss der Chef oder die Chefin nicht selbst eine Firewall installieren. Aber sie müssen den Aufgabenbereich in qualifizierte Hände legen und zudem überwachen, ob die IT-Abteilung, der Administrator oder ein externen Dienstleister sich tatsächlich um angemessene digitale Sicherheit kümmern.

Das liegt auch im Eigeninteresse der Geschäftsführung. In einer GmbH oder UG (haftungsbeschränkt) führen Pflichtverletzungen schnell in die persönliche Haftung. Zu diesen Pflichten gehört der Schutz vor Cyberangriffen. GmbH-Geschäftsführer und AG-Vorstände tragen die Verantwortung dafür, dass die Gesellschaft funktionierende Lösungen für diese Bedrohung etabliert. Das gilt unabhängig davon, ob sie persönlich Interesse an digitaler Technologie haben.

Geschäftsführerhaftung: Wurde das IT-Sicherheitsthema versäumt, haftet der GmbH-Geschäftsführer

Kann die Geschäftsführung nach einer Cyber-Attacke nicht beweisen, dass sie für angemessene Vorkehrungen gesorgt hat, dann droht ihr die persönliche Haftung gegenüber der Gesellschaft oder Dritten, unter anderem für …

  • Schäden des Unternehmens z. B. durch beschädigte Geräte oder Waren, verdorbene Vorräte und den Lohn für untätige Mitarbeiter
  • Umsatzeinbußen durch die Betriebsunterbrechung: Maschinen stehen still, der Online-Shop ist nicht erreichbar etc.
  • Schadenersatz für geschädigte Kunden, Lieferanten oder Geschäftspartner sowie Vertragsstrafen für Verzögerungen, Nichterfüllung etc.
  • Schadenersatz für den Verlust personenbezogener Daten: Unternehmen, die personenbezogene Daten verarbeiten (und das sind so gut wie alle, man denke nur an Kunden- und Arbeitnehmerdaten), haften für materielle und immaterielle Schäden aus nicht DSGVO-konformer Verarbeitung
  • Kosten für das Neuinstallieren oder Wiederhochfahren der Systeme, für Forensik, Krisenmaßnahmen und Krisenberater (wie Anwälte und PR-Fachleute)
  • Schäden durch Imageverlust oder abgewanderte Kunden, auch solche Schäden sind grundsätzlich schadenersatzpflichtig, selbst wenn sie schwerer zu beziffern sind

Fragen zur Haftung für Schäden durch Cyberangriffe

Eine schwere IT-Sicherheitsverletzung beschert der GmbH außerplanmäßige Kosten. Das senkt den Gewinn und den Wert der Anteile. Wie wahrscheinlich ist es, dass die GmbH-Gesellschafter das auf sich beruhen lassen?

Der Geschäftsführer ist von vornherein in einer ungünstigen Situation, denn er muss die Verschuldensvermutung widerlegen, die das BGB ihm aufbürdet. Ohne ordnungsgemäß dokumentierte IT-Maßnahmen wird ihm dieser Nachweis schwer gelingen.

Haftung per AGB ausschließen?

Lässt sich die Haftung der Gesellschaft gegenüber Kunden und Geschäftspartnern nicht durch Allgemeine Geschäftsbedingungen ausschließen, so dass der Rückgriff auf den Geschäftsführer gar nicht erst notwendig wird?

Leider nein: Verhindert ein Cyberangriff, dass die Lieferung nicht vollständig oder fristgerecht erfolgt oder vertrauliche Informationen verloren werden, hilft kein Verweis auf AGB-Klauseln zum Haftungsausschluss vereinbart. Kann das funktionieren? Die vertragsgemäße Lieferung stellt ebenso wie die Vertraulichkeit eine wesentliche Vertragspflicht dar und kann nicht vertraglich abbedungen werden.

Arbeitnehmer in Haftung nehmen?

Vielleicht hat ein Arbeitnehmer den verhängnisvollen Dateianhang unvorsichtigerweise geöffnet. Den Mitarbeiter für sein Fehlverhalten persönlich haftbar zu machen, ist jedcoh ebenso wenig erfolgversprechend, Die Haftung von Arbeitnehmern ist auf fahrlässiges Handeln beschränkt. Und selbst dann wird bei mittlerer Fahrlässigkeit der Schaden in der Regel quotiert – ein Teil wird also dem Arbeitgeber zugewiesen.

Bei grober Fahrlässigkeit mag der Arbeitnehmer voll haftbar sein, doch selbst dann setzt die Rechtsprechung des Bundesarbeitsgerichts enge Grenzen. Ansprüche aus Haftung über ein Jahresgehalt des Mitarbeiters hinaus sind kaum möglich. Gemessen an den Kosten eines Cyberangriffs ist das ein Tropfen auf den heißen Stein.

Externen IT-Dienstleister haftbar machen?

Selbst wenn die IT-Dienstleistungen von externen Unternehmen eingekauft wurden, ist es schwierig, nach einem Cyberangriff einen Schadenersatzanspruch gegenüber dem Dienstleister durchzusetzen. Der Dienstleister haftet für die IT-Leistung, die er als Hauptleistung erbringt. Sie muss jedoch nicht zwangsläufig dem Stand der Technik entsprechen. Selbst wenn die installierte Technik versagt, ein Virus von der Antivirensoftware nicht erkannt wurde oder Hacker eine Server-Sicherheitslücke fanden: Gehörte es zur Hauptleistung, solche Angriffsflächen auszuschließen? Das scheitert vermutlich schon am Budget, den ein derart umfassender Auftrag erfordert hätte.

Die Geschäftsführerhaftung ist die einfachste Weg zum Schadenersatz

Schadenersatzansprüche aus einem Cyberangriff bleiben daher meist am GmbH-Geschäftsführer hängen, sowohl die Haftung gegenüber dem Unternehmen als auch gegenüber Dritten.

Maßstab für die Geschäftsführerpflichten bzw. die Geschäftsführerhaftung ist auch in puncto IT die „Sorgfalt eines ordentlichen und gewissenhaften Geschäftsleiters“ (§ 43 Abs. 2 GmbHG).

Eine Pflicht ergibt sich zudem aus dem Aktiengesetz (§ 91 Abs. 2 AktG). Es verlangt vom Vorstand, „geeignete Maßnahmen“ zur Risikoerkennung und -vermeidung. Die Rechtsprechung geht von einer „Ausstrahlungswirkung“ aus und überträgt diese Leitungspflicht auf GmbH-Geschäftsführer: diese müssen ebenfalls für Organisationsstandards sorgen, die eine Bestandsgefährdung des Unternehmens vermeiden. Cyberangriffe bedeuten eine Bestandsgefährdung.

Ein Organisationsverschulden und damit eine Pflichtverletzung durch mangelnde IT-Sicherheitsvorsorge kann sich aus weiteren Vorschriften ergeben:

  • § 109 TKG schreibt für Telekommunikationsanbieter technische Schutzmaßnahmen vor
  • § 13 Abs. 7 TMG verpflichtet Anbieter von Telemedien zu Maßnahmen gegen unerlaubten Zugriff, zum Schutz personenbezogener Daten und zum Verhindern von Störungen durch äußere Angriffe.
  • § 8a BSIG enthält Vorgaben zur Sicherheit in der Informationstechnik für Betreiber Kritischer Infrastrukturen.
  • § 25a Abs. 1 Nr. 5 KWG macht Finanzdienstleistern und Kreditinstituten Auflagen zur Geschäftsorganisation und schreibt ein Risikomanagement-System vor.
  • Art. 24 DSGVO verlangt eine IT nach dem Stand der Technik. Daraus folgt zugleich die Verpflichtung, dies durch eine sorgfältige und vollständige Dokumentation nachzuweisen.

IT-Risiken als Haftungsfalle: Handlungsempfehlungen für GmbH-Geschäftsführer

  • Zunächst muss das Cyber-Risiko des Unternehmens analysiert werden. Es geht um ganz konkrete Szenarien: Mit welcher Wahrscheinlichkeit sind welche Art von Sicherheitsverletzungen möglich, welche Konsequenzen und Kosten ergeben sich?

    Für diese Aufgabe benötigen Sie Ihre IT-Verantwortlichen. Ideal ist ein Experte speziell für IT-Sicherheit mit Zertifizierung nach ISO 27001. Weil Risikomanagement weit über Technologie hinausgeht, sollen Sie auch uns einbeziehen. Wir von acant sind als Versicherungsmakler auf Cyberrisiken spezialisiert und kennen die Schadensszenarien aus der Praxis. Schließlich haben wir regelmäßig damit zu tun.

  • Ein zweiter, wichtiger Schritt zur Abwehr der persönlichen Haftung: Sie müssen eine umfassende, aussagekräftige Dokumentation sicherstellen: dazu gehört der Ist-Zustand, die relevanten Bedrohungsszenarien und die Vorsorge- und Schutzmaßnahmen, die ergriffen werden. Zu diesen Maßnahmen gehört auf jeden Fall ein professionelles Datensicherungskonzept und ein praxistauglicher Notfallplan.

  • Dritter Schritt sind betriebliche Versicherungen. Einschlägig sind Cyberversicherungen, Vertrauensschadenversicherungen, Elektronik- oder Maschinenversicherungen sowie Deckungen für Rechtsschutz und Betriebshaftpflicht. Welche dieser Versicherungen zu konkreten Risiken des Unternehmens und des Geschäftsführung passen und betriebswirtschaftlich sinnvoll sind, hängt vom Einzelfall ab.

    Das Versichern des Unternehmens ist solides Risikomanagement. Schließlich weisen Sie Sie damit die Sorgfalt der Geschäftsführung bei der Abwehr von IT-Bedrohungen nach. Nicht wenige Juristen halten den Abschluss einer Cyber-Versicherung durch die Geschäftsführung für verpflichtend.
  • Das persönliche Element der Vorsorge ist eine D&O-Versicherung: diese deckt als Absicherung für den GmbH-Geschäftsführer dessen Geschäftsführerhaftung.

Bei diesen Schritten können wir von acant Sie und Ihr Unternehmen unterstützen. Genau dafür sind wir als Spezialmakler für Cyberrisiken und Geschäftsführerhaftung da. Rufen Sie uns an (030 863 926 990) oder schreiben Sie uns eine Nachricht.

Vorbereitet auf mögliche Cyber-Angriffe? Drei Grundregeln für kleinere Unternehmen

Schon mit ein paar Grundregeln sind auch kleinere Unternehmen im Fall eines Cyber-Angriffs viel besser vorbereitet. Für Cyber-Risiken gilt nichts anderes als für das Feuer-Risiko: Es kann jeden treffen, aber nicht überall entstehen die gleichen Schäden, denn das hängt von der Vorbereitung ab. Wenige, einfache Schritte können viel ausmachen.

(Wohlgemerkt: Es geht hier nicht um Technik – Firewalls, Intrusion Detection und ähnliches mehr. Sondern um das Vorbereitet-sein des Unternehmens, als Organisation.)

Was im Brandfall gilt …

Wie viel Schaden droht, wenn in einem Betrieb Feuer ausbricht? Dafür ist entscheidend, ob der Betrieb vorbereitet ist. Funktionieren die Feuerlöscher, wurden keine Brandschutztüren zugestellt? Fühlt sich gleich der erste Mitarbeiter, der den Brand bemerkt, für den Anruf bei der Feuerwehr zuständig? Kennen alle die Fluchtwege, und wissen sie, wo die Notausknöpfe und Unterbrechungsschalter in Werkstätten und Produktionshallen sind? Solche kleinen Dinge können viel Schaden verhindern.

… ist im Cyber-Angriffsfall nicht anders

Im Fall einer Cyber-Attacke auf die Unternehmens-IT gilt das Gleiche: Ein paar Verhaltensregeln können bereits einen guten Teil des Schaden eindämmen.

  • Grundregel für alle: reagieren – nicht warten. Die Mitarbeiter müssen aktiv werden, wenn es Anzeichen für einen Cyberangriff gibt. Der komische Dateianhang führt beim Bürorechner zu eigenartigem Verhalten? Ausschalten, vom Netz trennen, umgehend Bescheid sagen!
    DIe Mitarbeiter sollten geistig auf die Möglichkeit von Cyberangriffen vorbereitet sein. Das Bewusstsein für die digitale Gefahr muss Teil der Unternehmenskultur werden.
  • Klären, wer für IT-Notfälle zuständig ist. In größeren Unternehmen ist klar, wen man bei einem möglichen Trojaner-Befall anruft. Dort gibt es eine IT-Abteilung mit – hoffentlich – fertigen Notfallplänen. In kleineren Unternehmen gibt es vielleicht keinen eigenen Administrator. Gibt es einen externen Dienstleister für IT-Notfälle, und wissen alle, wie man ihn erreicht?
  • Eine funktionierende Datensicherung einrichten. Von einem Moment zum anderen alle- Personal-, Kunden-, Buchhaltungs-, Produktionsdaten etc. weg? Dann stehen auch kleinere Unternehmen vor dem Nichts, ohne Zugriff auf ihre geschäftlichen Informationen. Für eine niedrige vierstellige Summe bekommt man ein solides Backup-System für ein kleineres Unternehmen eingerichtet. Daran zu sparen ist wie auf Feuerlöscher zu verzichten. Mehr im Beitrag „Wie kann Datensicherung vor Ransomware schützen?

Natürlich ersetzen diese Regeln nicht eine professionell gemanagte und installierte IT-Security. Aber sie ergänzen sie um einen wichtigen Aspekt.

Vorbereitet sein – und versichern!

Brandschutzmaßnahmen und eine Feuerversicherung schließen sich nicht aus. Im Gegenteil. Das Gleiche gilt für die Bedrohung durch Cyber-Risiken, denn eine Cyber-Versicherung gehört zum Vorbereitet sein dazu.

Der Unterschied ist eher, dass die Wahrscheinlichkeit für einen Cyber-Angriff deutlich höher liegt als das Risiko einer Brandkatastrophe.

Haben Sie Fragen oder Anmerkungen? Rufen Sie uns an: +49 (0)30 863 926 990

Lehrreiche Cyber-Attacke, Symbolbild: klimkin via Pixabay

Lesetipp: „Lehrreiche Attacke“

Mittelständler berichtet offen über eine Ransomware-Attacke

Ein mittelständisches Unternehmen aus dem Raum Stuttgart wird im Herbst 2019 Opfer eines Trojaners: die Erpresser-Software „Paymer“ verschlüsselt sämtliche Daten im Unternehmensnetzwerk. 2.500 Mitarbeiter haben keinen Zugriff auf ihre Rechner und Daten mehr. Die Festnetzanschlüsse sind tot. Der komplette Betrieb kommt abrupt zum Erliegen. Zwei Wochen dauert es, bis die Produktion wieder anlaufen kann. Bis das Unternehmen aus dem Gröbsten heraus ist, vergehen drei Monate. Der Geschäftsführer vergleicht die Attacke später mit einem Großbrand.

Soweit ist all das nichts Besonderes, geradezu Alltag. Dass Schadsoftware Unternehmen lahmlegt und für enorme Schäden sorgt, gehört zur Tagesordnung.

Besonders ist dieser Fall allerdings aus zwei Gründen:

  • Das betroffene Unternehmen, die Pilz GmbH & Co. KG, bietet Lösungen rund um Automatisierung und Maschinensicherheit an, einschließlich von Sensorik, Antriebs- und Steuerungstechnik. Motto: „The spirit of safety“. Da ist eine erfolgreiche Attacke natürlich besonders delikat.
  • Trotzdem: Anders als die meisten Betroffenen in solchen Fällen macht Pilz die Cyber-Erpressung öffentlich – und kooperierte sogar mit Journalisten, die über den Vorfall und die Reaktion des Unternehmens berichteten. Das Unternehmen setzt wirklich auf Transparenz, es blieb nicht beim Wording.

Eine Ransomware-Angriff aus der Innenperspektive

Herausgekommen ist der Artikel „Lehrreiche Attacke“ im Wirtschaftsmagazin brand eins. Spannende Lektüre und ein echter Lesetipp.

Aus Schaden klug werden: Beim nächsten Mal durch eine Cyber-Versicherung geschützt sein

Was im Artikel allerdings unter den Tisch fällt, ist der Aspekt der Cyber-Versicherung. Die ist genau dafür gedacht, die Folgen solcher Katastrophen abzufedern.

Eine Cyber-Versicherung bezahlt nicht nur die Schäden, die aus der Betriebsunterbrechung, durch Schadenersatzforderungen und ähnliches mehr entstehen. Die Versicherer helfen auch mit konkreten Dienstleistungen: Sie stellen und/oder bezahlen Fachpersonal, das bei der Ermittlung der Schäden, dem Aufspüren der Ursachen und der Datenrettung hilft. Berater für die Krisen-PR und Anwälte für die dringenden Rechtsfragen haben die meisten Cyber-Versicherer ebenfalls im Angebot.

Fazit: Eine Cyber-Versicherung als dritter Sicherungsring

Bei Pilz wurden die Firewalls deutlich verstärkt. Außerdem wurde das Firmennetz komplexer und kleinteiliger gestaltet. Damit der nächste Trojaner, wenn er denn doch zuschlägt, nur noch begrenzten Schaden und keinen virtuellen Flächenbrand mehr anrichten kann.

Solche Lehren sind wichtig und richtig. Organisatorische und technische Schutzmaßnahmen werden jedoch erst durch eine Cyber-Versicherung als dritten Schutzring komplett. Eine Versicherung ist weder für technische Pannen noch für menschliche Schwächen anfällig – und hilft dann, wenn die anderen Schutzvorkehrungen versagt haben.

Haben Sie Fragen? Wir sind für Sie da: +49 (0)30 863 926 990 oder info@acant.de.

Vertrauensschutz - Deckungserweiterung für Cyberversicherung - Symbolbild: heikografie/Heiko S. via Pixabay

In der Cyber-Versicherung mit abgedeckt: Goodwill-PR, Copyright-Verstöße, Sicherheits-Hinterlegungen und mehr

Deckung der Cyberversicherung erweitert

Einer der Spezialversicherer im Bereich IT-Versicherung/Cyber-Versicherung hat seine Versicherungsbedingungen gerade um eine ganze Reihe interessanter Deckungen erweitert.

Die Liste zeigt sehr gut, dass eine gute Police viele Leistungen umfasst, an die man im Zusammenhang mit Cyber-Versicherung nicht gleich denkt.

  • Auch die Haftpflicht aus Datenschutzverstößen der eigenen Dienstleister im Sinne der DSGVO ist mitversichert. Wenn beim Cloud-Provider oder beim Rechenzentrum des Lohnabrechners die Daten von Kunden oder Mitarbeitern verloren gehen, haftet man als Auftraggeber für fremde Fehler mit. Diese Haftung ist nun Teil des Versicherungsschutzes.
  • Nach Datenschutzverstößen wie z. B. Datendiebstahl durch einen Trojaner müssen alle Geschädigten schnell und umfassend informiert werden. Das verursacht regelmäßig großen Aufwand und hohe Kosten. Muss dafür ein Call-Center beauftragt oder eine spezielle Website eingerichtet werden, fällt das nun unter die Deckung.
  • Bei Datenschutzverstößen verlangen die Behörden nicht selten, dass das betroffene Unternehmen noch vor Abschluss des Verfahrens in einem sogenannten Consumer Redress Fund Geld für die Geschädigten hinterlegt. Solche Hinterlegungssummen sind mitversichert.
  • Wird nach dem Missbrauch oder dem Diebstahl von Geschäftsgeheimnissen, Urheberrechten oder Patenten eine Entschädigung fällig, dann sind solche Ausgleichszahlungen in Zukunft ein Versicherungsschaden.
  • PR-Aktionen, die nach einem Vorfall beispielsweise durch Anzeigen, Rabattaktionen, oder Gutscheine den Reputationsschaden eindämmen sollen, sind nun ebenfalls durch die Cyber-Versicherung gedeckt.

Vertrauensschaden und Forensik

Eine gute Cyberversicherung enthält zudem eine Deckung für sogenannte Vertrauensschäden: Schäden, die durch Pflichtverletzungen der eigenen Mitarbeiter entstehen. Wenn ein Mitarbeiter die Kundendaten missbraucht, Geschäftsgeheimnisse entwendet oder die eigene IT sabotiert, zahlt die Versicherung.

Zu den Services, die einige Cyber-Versicherer nach einer IT-Sicherheitsverletzung anbieten, gehört IT-Forensik: Die Gesellschaft schickt nach einem Angriff auf die IT Spezialisten, die schnellstmöglich klären, auf welche Art die Systeme attackiert wurden, wer die Urheber waren und welche Daten abgeflossen sind. Das ist wichtig, weil erst dann die Beseitigung des Schadens wirklich beginnen kann.

Die Cyber-Versicherung wird zum umfassenden Versicherungs- und Dienstleistungspaket

Die Cyber-Versicherung entfernt sich weiter vom klassischen Spartenversicherungsprodukt, hin zum umfassenden Schutzpaket aus unterschiedlichen Versicherungs- und Dienstleistungen. Freuen können sich die Versicherungskunden: Der Markt ist in Bewegung, die Konkurrenz sorgt dafür, die die Cyber-Versicherer ihr Leistungsangebot weiter entwickeln.

Wir von acant behalten den Markt genau im Auge – und werden immer die Versicherungspolice empfehlen, die Ihnen und Ihrem Unternehmen am meisten für Ihr Geld bietet. Haben Sie Fragen zur Cyber-Versicherung? Rufen Sie an 0176 1031 8791 – oder schreiben Sie eine E-Mail.

.

Online-Shop Versicherung Symbolbild: Jürgen Jester via Pixabay

Den Online-Shop versichern – weil der Online-Vertrieb zentral wird

Online-Shops verkaufen auch in Zeiten der Quarantäne

Den Online-Shop versichern: Auch das ist ein Thema für die Corona-Krise.

Der Online-Vertrieb ist für viele Unternehmen besonders wichtig geworden. Das gilt sowohl für den Absatz an Verbraucher wie für den Vertrieb an Unternehmenskunden. Schließlich gilt nach wie vor das Kontaktverbot. Die meisten stationären Points of Sale sind geschlossen, viele Vertriebler im Home Office.

Und auch nach Ende der Epidemie-Maßnahmen wird der Online-Vertriebsweg wichtig bleiben.

Den Online-Shop versichern – den Vertriebsweg schützen

Den Online-Shop versichern bedeutet, den eigenen Absatz abzusichern. Es gilt, die Gefahr einer möglichen „Krise innerhalb der Krise“ durch einen Ausfall dieses Vertriebswegs auszuschließen.

Schließlich haben Onlineshops ihre eigenen Risiken. Eine Auswahl:

  • Die klassischen Cyber-Risiken bedrohen Online-Shops besonders: Hackerangriffe, Daten-Diebstahl mit anschließendem Missbrauch von Zahlungsinformationen, versehentliches Verbreiten von Schadsoftware und so weiter.
    Solche Vorfälle erreichen schnell existenzgefährdende Ausmaße. Den besten Schutz bietet – neben den technischen Maßnahmen – eine Cyber-Versicherung. Sie hilft auch dann noch, wenn die Technik versagt.
  • Wenn Sie Ihren Online-Shop versichern, sollte Ihre Cyber-Versicherung bestimmte Deckungselemente umfassen.
    Ganz wichtig sind beispielsweise Kreditkarten-Risiken und andere Payment-Formen.
    Zentral sind außerdem Dienstleistungen Dritter (Rückwirkungsschäden). Sonst reißt ein Ausfall beim Hosting-Anbieter oder Payment-Dienstleister den Shop-Betreiber gleich mit in die Krise.
  • Für Shop-Betreiber ist individuell passender Rechtsschutz von Bedeutung. Sie werden besonders häufig zur Zielscheibe von Abmahnungen und Klagen. Beim Verkauf an Verbraucher sorgt das Fernabsatzrecht schnell für juristischen Ärger. Dazu kommen mögliche Probleme mit Marken- und Wettbewerbsrecht sowie der DSGVO, auch beim Verkauf an Unternehmenskunden.
  • Grundsätzlich ist auch die Produkthaftpflicht ein Thema. Diese Versicherung ist nicht cyber-spezifisch. Hersteller und Händler haften generell für von ihnen in Verkehr gebrachte Waren.
  • Wer im Internet verkauft, ist von seinem guten Ruf besonders abhängig. Deshalb sind Reputationsschäden, etwa durch gezielt ausgestreute Negativbewertungen, eine echte Gefahr. Auch solche Risiken sind versicherbar, z. B. durch eigene Reputationsschutzbriefe oder durch entsprechende Versicherungsbausteine in der Cyber-Versicherung.
  • Von einer Versicherung gegen Vertrauensschäden profitieren Shop-Besitzer ebenfalls. Sie deckt Schäden durch Betrug, Sabotage und ähnliches ab, wenn die Drahtzieher im eigenen Haus sitzen. Auch der Vertrauensbruch durch Kunden und Geschäftspartner ist versicherbar.

Onlineshop-Versicherung: Von der Stange ist oft für die Tonne

Es gibt zwar immer mehr Branchen-Angebote für eine Cyber-Versicherung. Längst sind auch spezielle Online-Shop-Versicherungen auf dem Markt. Sie bündeln Deckung für Cyberrisiken, die Produkthaftpflicht, eine Sachversicherung für das Warenlager und Rechtsschutz.

Trotzdem: Wer seinen Online-Shop ohne Beratung und „von der Stange“ versichert, zahlt mit großer Wahrscheinlichkeit entweder zu viel – oder er bekommt zu wenig für sein Geld.

  • Die Cyber-Versicherung ist nach wie vor kein standardisiertes Produkt. Die verschiedenen Angebote unterscheiden sich teilweise sehr.
  • Das wird man allerdings erst bemerken, wenn man „unter die Haube“ schaut. Wer allein nach Preis kauft, kauft blind. Das gilt auch bei Cyber-Versicherungen.
  • Weil eine Cyberversicherung und erst recht eine spezielle Shop-Versicherung unterschiedliche Deckungen zusammenschnürt, hat man bestimmte Risiken schnell doppelt versichert. So entstehen unnötige Kosten. Vielleicht ist das Warenlager schon in der Inhaltsversicherung des Betriebs eingeschlossen?
  • Die Auswahl passender Versicherungsangebote setzt voraus, dass man deren Deckung, den eigenen Versicherungsbedarf und die bestehenden Versicherungen des Unternehmens genau analysiert. Das ist exakt unsere Arbeit als Versicherungsmakler.

Den Online-Shop versichern: Mit uns finden Sie die optimale Versicherung

Wir von acant sind Profis und kennen den Versicherungsmarkt. Übrigens sind wir auch Profis im Beraten. Natürlich kostet Sie die Beratung nichts.

Lassen Sie sich unterstützen, bevor Sie mit irgendeiner Police aus dem Internet scheinbar Geld sparen, die im Ernstfall nicht weiterhilft. Sie erreichen uns unter 030 863 926 990 oder unter info@acant.de.

Cyber-Risiko Home Office, Symbolfoto von Free-Photos from Pixabay

Cyberrisiko Home Office – Versicherungsschutz für das Unternehmen?

Aktualisierung (24. 04. 2020)

Drei wichtige zusätzliche Hinweise zum unten Gesagten:

  • Unternehmen, die jetzt wegen Corona erstmals oder in stärkerem Maße Home-Office-Arbeit nutzen, müssen dies der Cyberversicherung melden.
    Das Mitteilen dieser sogenannten „Gefahrerhöhung“ ist Voraussetzung für den Versicherungsschutz – soweit der jeweilige Vesicherer das Home Office einschließt.
     
  • Inzwischen gibt es eine Cyber-Versicherungen, die die volle „Sachsubstanzdeckung“ für IT-Geräte ausdrücklich auch auf „ortunveränderliche Geräte“ im Home Office erweitert hat. Damit ist eine separate Außenversicherung nicht mehr nötig.
     
  • Allerdings gilt diese Deckung nicht für Mobilgeräte. Mobilgeräte sind jedoch in bestimmten Cyberversicherungsverträge ohnehin mitversichert. Bei anderen Versicherern müssen sie explizit als Sublimit mit in den Versicherungsvertrag aufgenommen werden.

Sie wollen wissen, ob in Ihren Versicherungsverträgen das Home Office eingeschlossen ist? Oder möchten Sie Ihrem Versicherer mitteilen, dass Ihre Mitarbeiter von zu Hause aus arbeiten? Wir kümmern uns darum: 030 863 926 990.

Cyberversicherung im Home-Office

Die Corona-Epidemie hat Millionen von Arbeitnehmern das Arbeiten im Home Office beschert. Und den Cyber-Kriminellen ganz neue Chancen. Was passiert, wenn die Wohnung der Mitarbeiter zum Einfallstor für Cyber-Gangster wird: Hat das Unternehmen dann Versicherungsschutz?

Dank der Pandemie sind plötzlich jede Menge gefälschter Corona-Informationen unterwegs. Die geheimen Infos über den Erreger? In Wirklichkeit Viren der digitalen Art. Die Bankfiliale hat epidemie-bedingt geschlossen, der Kunde soll sich online anmelden? Phishing zum Diebstahl der Zugangsdaten. Der Shop mit dem Wundermittel? Billiger Betrug.

Das Büro am Küchentisch als IT-Sicherheitsrisiko

Doch das ist nicht alles. Auch die Arbeit von zu Hause aus bringt neue Bedrohungen für die IT-Sicherheit.

  • Home Office erhöht grundsätzlich die Angriffsfläche des Unternehmens. Ganz besonders dann, wenn die Mitarbeiter private Laptops und Telefone verwenden. Bei denen sind weder regelmäßige Updates noch andere Schutzmaßnahmen gewährleistet. Oft stecken sie voller Spyware.
  • Selbst mit Geräten vom Arbeitgeber ist Home Office problematisch. Privates und Dienstliches geht schneller durcheinander. Wenn es IT-Sicherheitsvorschriften überhaupt gibt, werden sie gern missachtet. Die Kontrolle durch Kollegen entfällt.
  • Datenübermittlung, Fernzugriffe, Filesharing, Video-Konferenzen – alles zusätzliche Angriffspunkte.
  • Der durch Corona erforderliche Umzug ins Home Office kam überraschend. Die Mitarbeite musste in ihren Wohnzimmern schnell arbeitsfähig werden. Da fiel die IT-Sicherheit oft unter den Tisch.
  • Besonders gefährlich: Oft haben die Mitarbeiter sich in Eigeninitiative schnelle Lösungen gebastelt. Dateiaustausch über schlecht abgesicherte, kostenlose Cloud-Angebote beispielsweise. Angreifer freuen sich darüber.

Informationen und Tipps:

Zahlt die Versicherung bei einem Cyberangriff auf das Home Office?

Bleibt die Frage; Wie steht es um den Versicherungsschutz des Unternehmens, wenn Cyberattacken durch den Heimarbeitsplatz des Mitarbeiters erfolgen? Zahlt die Cyberversicherung, wenn Ransomware so das Firmennetz lahmlegt? Oder wenn die Kundendaten auf diesem Umweg ins Darknet abfließen?

Wenn der Arbeitgeber Versicherungsnehmer der Cyberversicherung ist, tritt diese für Schäden an Unternehmensdaten und -systemen ein, selbst wenn das Desaster in einem privaten Wohnzimmer ausgelöst wurde. Das gilt auch für die Haftung.

Bei Angriffen über das Home Office ist ähnlich wie bei für die Firma genutzten Privatgeräten (BYOD): Schäden an Firmengeräten durch den ins Büro mitgebrachten USB-Stick sind grundsätzlich gedeckt. Schäden fürs Unternehmensnetzwerk durch den in der heimischen Küche genutzten Firmen-Laptop ebenfalls.

Das gilt grundsätzlich sowohl für Cyber-Risiken wie für die Haftpflicht. Natürlich kommt es auf die genauen Versicherungsbedingungen an.

Außenversicherung

Nicht versichert sind dagegen die privaten Geräte der Mitarbeiter, sowie externe betriebliche Geräte. Letzteres gilt zumindest dann, wenn deren Standort im Wohnzimmer des Arbeitnehmers liegt und im Versicherungsvertrag nicht aufgeführt ist.

Abhilfe schaffen kann eine sogenannte Außenversicherung.

Oft lassen sich Versicherer mit sich reden. So konnten wir erreichen, dass die Deckung der Elektronikversicherung eines acant-Kunden von der stationären Computer-, Büro- und Kommunikationstechnik in den Büroräumen auf das Home Office der Mitarbeiter ausgedehnt wurde. Der Kunde erhielt also quasi eine Außenversicherung in Höhe der Versicherungssumme. Wohlgemerkt: ohne zusätzliche Prämie!

Was wir von acant jetzt für Sie tun können

  • Wir überprüfen für Sie, welchen Versicherungsschutz Ihr Unternehmen momentan hat. Sind Cyberangriffe auf Mitarbeiter gedeckt? Sie übermitteln uns Ihre Policen, wir geben Ihnen die Antwort. Kostenlos, versteht sich.
  • Außerdem loten wir mit Ihnen zusammen aus, wie Sie zu Cyber-Versicherungsschutz für Ihre Home-Office-Arbeiter kommen. Das kann durch Deckungserweiterung oder eine neue Police geschehen. Wir legen Ihnen sinnvolle und günstige Angebote vor, Sie wählen aus. Übrigens: acant vermittelt unabhängig von den Versicherern.

Interesse? Fragen? Sie erreichen uns unter 49 (0)30 863 926 990 oder per Kontaktformular.

Faktor Mensch in der IT-Sicherheit - Symbolbild von User 024-657-834 via Pixabay

Einfallstor Großhirnrinde: Der Faktor Mensch in der IT-Sicherheit

Technik ist prinzipiell beherrschbar, der Faktor Mensch eher nicht. Jedenfalls dann nicht, wenn sich niemand Gedanken darum gemacht hat.

Und deshalb sind die Probleme der IT-Sicherheit in der Theorie oft im Wesentlichen gelöst – und in der Praxis ein großes Desaster.

So könnte man einen Vortrag auf den Punkt bringen, den Linus Neumann, einer der Sprecher des Chaos Computer Clubs, auf dem CCC-Kongress Ende Dezember in Leipzig gehalten hat.

Die Präsentation gibt es auf Youtube. Das Anschauen kostet fast eine Dreiviertelstunde Lebenszeit. Aber es lohnt sich. Weil einige Aspekte des täglichen IT-Risikos mal aus ganz ungewohnter Perspektive geschildert werden. Außerdem ist es erstaunlich unterhaltsam und man versteht alles Wesentliche auch ohne IT-Fachwissen.

„Hirne Hacken“: Linus Neumann vom CCC zum Mensch als (Unsicherheits-)Faktor in der IT-Sicherheit

Einige der Erkenntnisse aus dem Vortrag

  • Die IT-Sicherheit liefert seit Jahren keinen wirklichen Fortschritt bei den immer gleichen Angriffsrisiken, z. B. Betrügereien oder Schad-Makros in Office-Dateien.
  • Selbst Experten werden immer wieder Opfer. (Faktor Mensch halt.)
  • Das Problem untauglicher Passwörter ist nicht dadurch auszurotten, dass man den Leuten die Verwendung möglichst langer, schwer zu erratender unterschiedlicher Passwörter predigt. Das tun die meisten trotzdem nicht.
  • Die Art und Weise, wie Microsoft Word auf die Gefahr durch bösartige Makros in zugeschickten oder heruntergeladenen Dateien hinweist, ist völlig untauglich. Gleichzeitig sind die Hinweise so gestaltet, dass sie eine unvorsichtige Reaktion leicht machen: ein großer Button, der die Makro-Ausführung ermöglicht.
  • Russischer Staatsbürger? Dann gibt es den rettenden Code nach Attacke eines Verschlüsselungstrojaners von den Cyber-Kriminellen für umsonst.
  • Kein Backup, kein Mitleid.
  • Wer Passwörter oder Zugangsdaten abfischen oder die Leute zum Installieren von Schadsoftware bringen will, muss Angst auslösen – oder eine Routine-Handlung.
  • Beim Risikomanagement auf Ebene der Unternehmensorganisation erhält das Social Engineering (gegen Menschen gerichtete Tricks) bei IT-Angriffen meistens selten genug Aufmerksamkeit.
  • Dabei gibt es Maßnahmen, um die Nutzer als IT-Sicherheitsschwachstelle weniger angreifbar zu machen. Eine solche Maßnahme sind Phishing-Scheinangriffe im Auftrag der eigenen Geschäftsführung mit anschließender Aufklärung. Hintergrund: Mitarbeiter entwickeln meist erst dann ein Bewusstsein für Phishing-Risiken, wenn sie selbst zum Opfer geworden sind.

Die Punkte sind unsere Wiedergabe, keine Zitate. Wir haben einige davon nach Hinweisen von Linus Neumann korrigiert oder zumindest präzisiert – danke für das Feedback. Und vielleicht sollte man noch hinzufügen, dass er in der Präsentation nicht nur Probleme anspricht, sondern auch Lösungen vorschlägt.

Apropos Mensch – es wird noch dieser Tweet zitiert …

Eine Cyberversicherung setzt genau beim Risiko Mensch an

Bleibt aus unserer Sicht noch der Hinweis: Genau deshalb ist eine Cyber-Versicherung gegen Schäden durch IT-Risiken ein wirklich sinnvoller Baustein für das Risikomanagement.

Der Cyber-Versicherungsschutz hängt nicht davon ab, dass Technik im Ernstfall auch funktioniert. Und er schützt selbst dann, wenn Menschen dumme Fehler machen.

Wie immer: Bei Fragen oder Anmerkungen kann man mit uns von acant einfach reden. Rufen Sie uns an: 0176 10318791.

IT-Notfall - es brennt ... Foto: Thomas Wolter via Pixabay

Verhalten bei IT-Notfällen

Die IT-Notfallkarte

Vor einigen Monaten hat das BSI (Bundesamt für Sicherheit in der Informationstechnik) eine kleine „IT-Notfallkarte“ veröffentlicht. Man kann sie dort herunterladen, ausfüllen und sie in Büros, Fertigungshallen, Werkstätten, Lagerräumen etc. aufhängen, neben den Hinweisen zum Verhalten im Brandfall oder bei Arbeitsunfällen.

„Verhalten bei IT-Notfällen“ – so sieht die IT-Notfallkarte des BSI aus.

Ganz wirkungslos ist die Kampagne offenbar nicht, denn ich bekomme das Kärtchen in letzter Zeit immer öfter zu sehen, zumindest am Bildschirm. Und das finde ich als Versicherungsmakler mit Schwerpunkt auf Versicherungen für technische und digitalen Risiken sehr gut – wie alles, das für mehr Problem- und Risikobewusstsein in Sachen Cyber-Bedrohungen sorgt.

Es ist absolut richtig, dass man IT-Notfälle als echte Bedrohung ins Bewusstsein rückt

Schließlich kann ein einziger falscher Klick dafür sorgen, dass ein Verschlüsselungstrojaner oder ein Hackerangriff die Existenz des Unternehmens gefährden, zumindest aber die Jahresbilanz verhageln.

Zur Vorbereitung auf den IT-Notfall gehört mehr als eine Notfallkarte

Trotzdem: Mit dem Aufhängen der Karte ist es nicht getan. Entscheidend ist, dass der Umgang mit IT-Risiken im Unternehmen auch gelebt wird und Vorbereitungen getroffen werden:

  • Die Mitarbeiter müssen Bewusstsein dafür entwickeln, dass Viren, Trojaner und Hacker den ganzen Betrieb lahmlegen können und eine einzige unvorsichtige Aktion dafür ausreicht.
  • Es muss tatsächlich eine Notfall-Nummer geben, die man jederzeit anrufen kann. (Existiert es eine solche Nummer bei Ihnen?)
  • Die Mitarbeiter darf keine Scheu haben, sich dort zu melden. Auch dann nicht, wenn er nicht genau weiß, ob wirklich ein Notfall vorliegt.
  • Er muss dem Administrator sofort sagen können, an welchem Gerät er gerade arbeitet. Es braucht also eine eindeutige Kennzeichnung (gibt es vermutlich), und der Mitarbeiter muss die auch sehen können (den internen Host-Namen, eine Inventarnummer etc.)
  • Außerdem sollten die Mitarbeiter wissen, was bei akutem Verdacht auf eine Virus- oder Trojaner-Infektion zu tun ist. (Das Gerät muss vom Netz: sofort LAN-Kabel ziehen und/oder WLAN-Router aus. Wenn möglich, Screenshots machen oder den Bildschirm mit dem Handy fotografieren. Dann das Gerät direkt ohne Herunterfahren ausschalten – und ausgeschaltet lassen. Notieren, was man gerade gemacht hat, in welchem Programm, mit welcher Datei, mit welchem Kommunikationspartner etc.)

Viele Cyber-Versicherer bieten eine Notfall-Hotline mit IT-Expertenrat

Gut, wenn man versichert ist: Viele Cyberversicherer haben eine Notfallnummer für ihre Versicherten, rund um die Uhr und an jedem Tag mit IT-Experten besetzt. Außerdem bieten sie in der Regel vorbereitete Notfallpläne, damit klar ist, was zu tun ist und wer informiert werden muss. Drittens haben viele Versicherungsgesellschaften Experten in Bereitschaft, die sich im Ernstfall vor Ort um Schadensbegrenzung und Notfallmaßnahmen kümmern: IT-Fachleute, Krisen-PR-Experten und Juristen. (Das macht für den Versicherer Sinn, er will ja den Schaden begrenzen, den er bezahlen muss.)

Interesse an den Leistungen und Kosten der verschiedenen Cyber-Versicherungen?

Wir bei acant sind keine Experten für Erste Hilfe bei IT-Notfällen. Aber wir wissen genau, wie man Ihr Unternehmen am besten dagegen versichert. Rufen Sie uns an oder schreiben Sie uns eine Nachricht – wir beraten Sie gern.