IT-Dienstleister hat die Zugangsdaten: Datenschutzverstoss - Symbolbild: Photo Mix via Pixabay

Datenklau mit Zugangsdaten des IT-Dienstleisters: Schadenersatz

Wer hat eigentlich Zugangsdaten zu Ihren IT-Systemen?

Nicht gelöschte Zugangsdaten werden schnell zum teuren Risiko. Zur IT-Sicherheit im Unternehmen gehört es, Zugänge von Mitarbeitern und Dienstleistern regelmäßig zu überprüfen und bei Bedarf zu löschen.

Wenn ein Unternehmen die Zugangsdaten früherer Mitarbeiter und Dienstleister nicht deaktiviert und Unbefugte damit Daten stehlen, drohen Schadenersatzansprüche – und die können ohne Versicherung existenzbedrohend werden.

All das zeigt ein Fall, über den das Landgericht München I vor kurzem entschieden hat (LG München, 09.12.2021 – 31 O 16606/20). Das Urteil unterstreicht, warum Unternehmen unbedingt ihre Haftung für Datenschutzverstöße versichern sollten.

Haftung für Kundendaten, die über den Zugang eines Dienstleisters gestohlen wurden

Das Gericht sprach einem früheren Kunden des Finanzdienstleisters Scalable Capital 2.500 Euro Schadenersatz und einen zusätzlichen Anspruch auf Ersatz aller noch entstehenden Schäden zu.

Der Mann hatte bei dem Online-Broker ein Depotkonto eingerichtet und dazu viele personenbezogene Daten übermittelt. Diese fielen unbekannten Datendieben in die Hände: von der Post- und E-Mail-Adresse sowie der Handynummer über das Geburtsdatum und die Steuer-ID bis zu Wertpapierabrechnungen und der IBAN des Referenzkontos. Auch eine Ausweiskopie und das Porträtfoto fürs Post-Ident-Verfahren wurden entwendet.

Ausgangspunkt waren Zugangsdaten von CodeShip Inc., ein früherer Cloud- bzw. SaaS-Dienstleister von Scalable Capital („Software as a Service“, Cloud-Hosting von Anwendungen). Obwohl die Geschäftsbeziehung schon 2015 geendet hatte, funktionierte der CodeShip-Zugang zur IT von Scalable Jahre später noch immer. Mit diesen Zugangsdaten unternahmen Unbekannte drei großen Daten-Raubzüge: im April, im August und im Oktober 2020 wurden 389.000 Datensätze von insgesamt 33.200 Scalable-Kunden ausgelesen. Die Informationen wurden später für versuchten Kreditbetrug genutzt und im Darknet zum Verkauf angeboten.

Zugangsdaten beim Dienstleister, Haftung beim Auftraggeber

Scalable muss also zahlen, obwohl für den Hack bei CodeShip hinterlegte Zugangsdaten missbraucht wurden. Dabei befasste sich das Gericht gar nicht erst mit der möglichen Verantwortlichkeit von Scalable für Sicherheitsmängel beim früheren Dienstleister. Es sah entscheidende Versäumnisse bei dem Online-Broker selbst: Der hätte den Zugang des ehemaligen Geschäftspartners längst deaktivieren bzw. die Löschung des Zugangs überprüfen müssen.

Stattdessen verließ er sich fahrlässigerweise darauf, dass der frühere Geschäftspartner die Zugangsdaten schon löschen würde. In diesem Versäumnis sahen die Richter einen Datenschutzverstoß. Dieser führte zur Haftung des Finanzunternehmens. Es nützte ihm wenig, dass er nach dem Vorfall sofort Gegenmaßnahmen getroffen hatte und dem betroffenen Kunden noch kein konkreter materieller Schaden entstanden war.

Dem Unternehmen droht eine Klagewelle

Die 2.500 Euro plus Zinsen, die dem klagenden Kunden zugesprochen wurden, sollte man nicht unterschätzen. Von der Datenschutzverletzung waren wie erwähnt mehr als dreißigtausend Kunden betroffen. Sollte sich eine größere Anzahl von ihnen zur Klage entschließen, können schnell gewaltige Summen zusammenkommen.

Das Risiko von Datenschutzverletzungen lässt sich versichern!

  • Immer häufiger gestehen die Gerichte den Betroffenen einer Datenschutzverletzung Anspruch auf Schadenersatz zu.
  • Ein konkreter finanzieller Schaden muss dafür nicht vorliegen. Auch Nichtvermögensschäden begründen Entschädigungsansprüche, etwa Identitätsdiebstahl, Rufschädigung, gesellschaftliche Nachteile oder der Verlust der Vertraulichkeit (LG München I, 02.09.2021 – 23 O 10931/20).
  • Dazu kommen Bußgelder. Die sind bei Verstößen gegen die Datenschutzvorschriften oft von empfindlicher Höhe.

  • Der Verweis auf das hohe IT-Sicherheitsniveau nützte Scalable Capital vor Gericht gar nichts. Ja, die IT-Infrastruktur war gemäß ISO 27001 zertifiziert. Entscheidend war jedoch der nicht gelöschte Zugang. Das bestätigt wieder einmal: Selbst aktuelle Technik und Zertifizierungen garantieren keine IT-Sicherheit. Genau deshalb sind Versicherungen sinnvoll.

  • Die gute Nachricht: Die Haftung aus Datenschutzverstößen lässt sich versichern, solange sie nicht gerade vorsätzlich begangen werden. Auch für das Risiko der Unternehmensleitung, für solche Vorfälle persönlich zu haften, gibt es Versicherungsschutz. Das Gleiche gilt für Eigenschäden aus einer Cyber-Attacke.

acant hilft Ihnen beim Risikomanagement

Wir von acant sind Spezialversicherungsmakler für technische Unternehmensrisiken, Cyber-Bedrohungen und Manager-Haftung. Wir beraten Sie gerne dazu, wie sich das Risiko der Datenschutzhaftung in Ihrem Unternehmen betriebswirtschaftlich sinnvoll versichern lässt. Rufen Sie uns an (030 863 926 990) oder schreiben Sie uns!

Cyber-Versicherung oder Cyber-Sicherheit? Falsche Frage! Symbolbild: Andreas Lischka via Pixabay

Cyber-Versicherung oder IT-Sicherheit? Falsche Frage!

Entweder oder? So einfach ist es nicht

Vor kurzem bin ich in einem Fachbeitrag über folgende Passage gestolpert:

Eine gute Cybersecurity, die den Hackern eine aufmerksame und wirksame Verteidigung entgegenstellt, und eine Versicherung schließen sich nicht aus. Im Gegenteil: Häufig ist ein Mindestmaß an Security Voraussetzung für Versicherungen. Doch die Kosten für beides gleichzeitig sind oft sehr hoch und nicht von jedem Unternehmen zu stemmen. In diesem Fall muss ein Unternehmen besonders kosteneffizient handeln. Dabei lässt sich festhalten, dass ein Euro in eine gute Sicherheitsstruktur hier fast immer besser angelegt ist als in eine Versicherung. Sie verhindert, dass der Schaden überhaupt erst entsteht.

Frank Kölmel, „Was Cyberversicherungen leisten können – und was nicht“, Security-Insider.de

Wo sollten kluge Geschäftsleute ihr Geld besser investieren – in eine Cyber-Versicherung oder in technische IT-Sicherheitsmaßnahmen? Diese Frage, die der Autor anspricht, liegt mir am Herzen, seit ich mit Cyber-Versicherungen beschäftigte. (Und das sind mittlerweile fast zehn Jahre. acant war einer der ersten Makler in Deutschland, der sich auf Cyber-Risiken spezialisierte.)

Allerdings glaube ich nicht, dass die Frage „Cyber-Versicherung oder Cyber-Sicherheitstechnik?“ wirklich Sinn ergibt. Wer so fragt, hat ein Grundprinzip im Risikomanagement nicht verstanden.

Ganz einfach: Es braucht beides, Cyber-Versicherung und Cyber-Sicherheit

Bestimmte Maßnahmen verringern die Wahrscheinlichkeit, dass ein Schadensereignis wie die Betriebsunterbrechung durch Ransomware eintritt. Zu diesen Maßnahmen gehören technische Sicherheitsmaßnahmen, aber auch organisatorische Vorkehrungen wie Schulungen und strikt durchgesetzte Verhaltensregeln. Wenn die Kosten solcher Maßnahmen die geringere Schadenswahrscheinlichkeit rechtfertigen, ergeben sie betriebswirtschaftlich Sinn.

Diese Maßnahmen können Schäden aber nicht vollkommen ausschließen bzw. verhindern. Auch das ist schlicht eine Frage der Wahrscheinlichkeit. Schulungen können Leichtsinn nicht unterbinden. Technik kann Störungen erleiden, falsch verwendet oder bewusst missbraucht werden. Sabotage ist immer möglich.

Und deshalb erfordert ein vernünftiges IT-Sicherheitskonzept auch Versicherungen. Die können, wie Frank Kölmel richtig anmerkt, den Schadenseintritt nicht verhindern. Das ist auch nicht ihr Sinn. Sie können dafür etwas, was die Technololgie nicht schafft: Sie kompensieren den Schaden, wenn es doch zur Sicherheitsverletzung kommt.

Wer sich keine Cyber-Versicherung leisten kann, kann sich keine IT leisten

So könnte man es etwas überspitzt formulieren. Eine fachgerecht administrierte Unternehmens-IT hält das Risiko erfolgreicher Cyber-Angriffe in einem beherrschbaren Rahmen. Es sinkt aber keineswegs auf Null. Auch wenn mittlerweile jeder die Aussage kennt: Die Frage ist nicht, ob es zur IT-Sicherheitsverletzung kommt, sondern wann sie sich ereignet. Aufgabe der IT-Fachleute ist es, dieses „wann“ möglichst hinauszuzögern.

Wenn der Schaden dann doch eintritt, wird die Cyber-Versicherung wichtig. Die Versicherungsprämien, die das Unternehmen über die Jahre hinweg überwiesen (und als Betriebsausgaben geltend gemacht) hat, haben die Kosten des Cyber-Angriffs oder der Datenschutz-Panne schon im Voraus in planbarer Form bezahlt. Jetzt übernimmt die Versicherung die Kosten. Das Schadenereignis reißt also kein Loch in die Bilanz. Ebenso unvorhergesehene wie unvermeidbare Ausgaben wurden auf einen langen Zeitraum verteilt und betriebswirtschaftlich sinnvoll minimiert.

Es geht auch weniger abstrakt

Eine Cyber-Versicherung leistet viel mehr, als nur Schäden zu begleichen. Die meisten Versicherer leisten Akut-Hilfe direkt nach einer Attacke. Sie helfen bei der forensischen Analyse und dem Beseitigen der aufgetretenen Sicherheitslücke. In der Deckung sind nicht nur Eigenschäden eingeschlossen, sondern auch Schadenersatzansprüche anderer Unternehmen und Personen.

Cyberangriffe sind längst ein Teil der Unternehmensrealität. Technik und organisatorische Vorkehrungen mildern das Risiko ab. Versicherungen machen das Restrisiko betriebswirtschaftlich tragbar. Unternehmen können sich längst nicht mehr leisten, auf eine der beiden Komponenten zu verzichten.

Genauso wenig wie auf Beratung. So wie die Netzwerksicherheitslösung zum Firmennetz passen muss, hilft die Cyber-Versicherung nur, wenn sie auf das Unternehmen abgestimmt wurde. Dafür zu sorgen, ist unser Geschäftsfeld. Wir von acant sind auf Cyber-Versicherungen spezialisiert. Sie erreichen uns unter 030 863 926 990 oder über das Kontaktformular!

Cloud-Ausfall versichern, Symbolfoto: ImaArtist via Pixabay

Versicherung gegen den Ausfall der Cloud

Hängt Ihr Betrieb davon ab, dass bei Dritten die Server laufen?

Nutzt Ihr Unternehmen Cloud-Speicher oder Hosted-Service-Angebote wie SaaS, PaaS oder Iaas („Software as a Service“, „Platform as a Service“, „Infrastructure as a Service“)? Wickeln Sie zum Beispiel Payment, Downloads, Logistiksteuerung oder andere Prozesse über die Server von Dritten ab?

Dann teilen sie das Downtime-Risiko Ihrer Dienstleister: Wenn deren Server ausfallen, schmieren Ihre Geschäftsprozesse ebenfalls ab. Fällt die gemietete Cloud aus, stockt Ihr Geschäftsablauf. Das ist ärgerlich

Und noch brisanter ist das Ausfallrisiko, wenn Sie Ihren eigenen Kunden Zugang zu Dateien, Software oder Service Levels zusagen, die vom Plattform- oder Cloud-Provider abhängen. Natürlich können Sie den Anbieter in Haftung nehmen, wenn es zu einer Downtime kommt. Aber das ist umständlich und langwierig. Zunächst sind immer einmal Sie selbst mit den unzufriedenen Kunden, mit Schadenersatzforderungen, Umsatzverlusten und Betriebsunterbrechungen konfrontiert.

Cloud-Ausfallversicherung zahlt pro Downtime-Stunde

Nun gibt es ein neues Versicherungsprodukt, das genau auf diese Art Risiko ausgerichtet ist. Die Cloud-Ausfallversicherung fängt den Schaden durch die Betriebsunterbrechung nach einem Ausfall beim Dienstleister auf.

Das Ganze funktioniert so: Der Versicherungskunde gibt an, welcher Cloud-Server bzw. welcher Dienst für ihn wichtig ist. Der Versicherer überwacht den Server mit einem eigenen Monitoring-Dienst. Kommt es zu einem Ausfall, wird die Länge der Downtime automatisch erfasst und für jede Stunde Nicht-Verfügbarkeit eine vorher festgelegte Summe ausgezahlt.

Zwei positive Aspekte der Cloud-Versicherung

Die Versicherungsleistung erfolgt unabhängig von der Ausfallursache. Das ist ein klarer Vorteil: Schließlich ist es dem Shop-Betreiber egal, warum Angreifer, fehlende Wartung, Sabotage oder schlichtes Pech zu der Havarie beim Fulfillment-Partner führten. Er muss sich damit herumschlagen, dass seine Bestellungen stocken oder die Kunden ihre Downloads nicht durchführen können.

Ein weiterer Vorteil: Der Kunde muss die Downtime bei seinem Dienstleister dem Versicherer gegenüber nicht nachweisen. Durch die feste Ausfallentschädigung ist auch kein aufwändiger Nachweis seines finanziellen Schadens notwendig.

Fazit

Alle Risiken sind mit der Cloud-Ausfallversicherung nicht vom Tisch. Eine pauschale Versicherungsleistung ist schwierig, wenn die Höhe des eigenen Schadens durch den Ausfall der Cloud stark variieren kann. In manchen Fällen wird es sinnvoller sein, die Service Levels aufzustocken und sich eine höhere Uptime zusichern zu lassen.


Für Unternehmen, die kritische Daten oder Dienste hosten lassen, ist die Cloud-Ausfallversicherung aber eine gute Zusatzabsicherung. Eine große Havarie kann schließlich die Existenz des Hosting-Anbieters gefährden. Oder es gibt Streit um Haftung und Schadenersatzpflicht. Dann ist es ein Segen, wenn der Versicherer davon unabhängig die Betriebsunterbrechung zuverlässig auffängt.

Versichern Sie Ihr Risiko durch IT-Ausfälle bei Dritten: Wir beraten Sie

IT-Ausfälle beim Dienstleister als eigenes Geschäftsrisiko: Als Spezial-Versicherungsmakler für sämtliche IT-Risiken kennen wir von acant dieses Problem. Mit uns können Sie besprechen, wie Versicherungen Sie vor Betriebsunterbrechungen, Schadenersatzforderungen oder Umsatzeinbrüchen schützen, die Ausfälle bei Dritten verursacht haben. Fragen Sie uns zu Ihren Möglichkeiten!

Bitcoin versichern - geht das? Symbolbild: Icons8_team via Pixabay

Bitcoin versichern, oder andere Kryptowährungen – geht das?

Kann man Bitcoin versichern, oder Guthaben in anderen Kryptowährungen? Dieser Frage hören wir bei acant inzwischen häufiger.

Guthaben in Kryptowährungen sind gefährdet

Gerade ist es mal wieder passiert: Ein Hacker stahl in den USA Kryptowährungen im Wert von rund 600 Millionen Dollar. Betroffen war die auf den Transfer bzw. den Tausch von Kryptowährungen spezialisierte Plattform Poly Network: Der Dieb hatte die Sicherheitssysteme geknackt und kaperte Guthaben der Kryptowährungen Ethereum, BSC (Binance) und Polygon. Später gab er die Guthaben wieder zurück – im Gegenzug wurde ihm eine Belohnung in Höhe von einer halben Million Dollar versprochen.

Gleiches ist auch schon oft genug mit Bitcoin passiert. In Nordkorea gibt es Medienberichten zufolge ganze Abteilungen staatlich kontrollierter Hacker, die sich auf illegale Blockchain-Operationen – sprich Diebstahl – spezialisiert haben. So tragen sie dazu bei, das Regime zu finanzieren.

Selbst ohne Diebe kann ein Bitcoin-Guthaben verloren gehen. Wenn die Schlüssel auf einer Festplatte liegen, drohen Hardware-Schäden oder unabsichtliches Überschreiben. Besonders spektakulär ist der Fall des virtuellen Bitcoin-Millionärs Stefan Thomas: Ihm gehört eine Festplatte mit Bitcoins im Wert eines neunstelligen Dollarbetrags. Was ihm fehlt, ist das Festplatten-Passwort, denn das hat er vergessen. Noch zwei Eingabeversuche erlaubt die Sicherungssoftware der Platte. Dann ist die Höchstzahl an Fehlversuchen erreicht, das Sicherheitsprogramm löscht die Daten auf der Festplatte.

Kann man Bitcoin versichern?

Die kurze Antwort lautet: Eine Sachversicherung für Bitcoin, die den Verlust oder Diebstahl ersetzt, gibt es derzeit nicht. Das liegt schon daran, dass die Versicherer das Risiko schlecht kalkulieren können. Schließlich hängt der von der Kursentwicklung ab. Der rechtliche Status und der offizielle Wert sind unklar, da Bitcoin, Ethereum & Co. keine offiziellen Zahlungsmittel sind und anders als Devisenguthaben oder Wertpapiere keinen Bilanzierungsvorschriften unterliegen. Aus Sicht eines Sachversicherers tauchen Bitcoin-Guthaben im zu versichernden Bestand, d. h. dem Vermögen des Unternehmens, nicht als bestimmter Wert auf.

Außerdem drohen im Fall eines Massendiebstahls wie bei Poly Network sehr umfangreiche Versicherungsfälle auf einen Schlag. Solche Risiken lassen Sachversicherer ebenfalls zurückschrecken.

Das Fazit: Es gab zwar frühere Ankündigungen von Bitcoin-Versicherungsprodukten. Entsprechende Angebote kamen nicht auf den Markt.

Eine Vertrauensschadenversicherung oder Cyberversicherung kann bei der Aufklärung helfen

Besser sind die Aussichten auf eine Deckung des Schadens bei dem Verdacht, dass eigene Mitarbeiter oder Beauftragte Bitcoin-Guthaben gestohlen oder veruntreut haben. Hat das Unternehmen eine Vertrauensschadenversicherung oder eine Cyber-Versicherung, kann der Versicherer die Kosten der forensische Aufklärung übernehmen. Experten für IT-Forensik können den Weg zu den Tätern weisen, von denen man die Guthaben mit etwas Glück zurückholen kann. Natürlich hängt der Anspruch von den Versicherungsbedingungen der Police ab.

Haben Sie Fragen zum Versicherungsschutz Ihrer digitalen Werte?

Wenn es um Versicherungen für digitale Werte und Versicherungsschutz vor digitalen Risiken geht, kennen wir von acant uns aus. Wir sind schließlich Spezialmakler für Cyberrisiken aller Art.

Fragen Sie uns einfach – wir beraten Sie gerne und kostenlos. Und wenn sich etwas nicht versichern lässt, wie zum Beispiel Bitcoin, dann sagen wir Ihnen das ganz klar.

Frank Schwandt: TÜV-zertifzierter Fachberater für Cyber-Risiken.

Versicherungsmakler – und TÜV-zertifizierter Fachberater für Cyber-Risiken

Qualifikation nachgewiesen: Fachberater für Cyber-Risiken mit TÜV-Zertifikat

Vor einiger Zeit bin ich von Berlin nach Essen gefahren, um meine Qualifikation als Fachberater prüfen zu lassen. Der TÜV Rheinland hat meine Kenntnisse in Sachen Cyber-Sicherheit und digitalen Risiko-Exponierung von Unternehmen eingehend geprüft.

Es ging um die Unterthemen:

  • Täterprofile moderner Cyberkrimineller
  • Gesetzeslage und Unternehmenshaftung bei Cyber-Kriminalität
  • Leistungen und Vorteile von Cyberversicherungen
  • Lösungsorientierte Beratung statt reiner Produktverkauf
  • Identifikation, Analyse und Bewertung von Cyberrisiken
  • Anwendung eines Softwaretools zur Versicherungs-Summenermittlung
  • IT-Sicherheitskonzepte nach VdS, BSI und ISO 27001
  • Grundlagen des IT-Risk-Management nach ISO 31000

Um ehrlich zu sein: ich bin stolz, dass ich meine Qualifikation auf diesen Fachgebieten unter Beweis stellen konnte. Dafür habe ich vom TÜV Rheinland die Zertifizierung als Fachberater erhalten, als Nachweis meiner Eignung für die gezielte Beratung von Unternehmen zum digitalen Risiko-Management.

Oder wie es der TÜV selbst formuliert: „Fachberater für Cyber-Risiken mit TÜV Rheinland geprüfter Qualifikation weisen mit der Zertifizierung nach, dass sie für die fachliche Beratung gewerblicher Versicherungsnehmer umfassend vorbereitet und zur Identifikation und Kommunikation unternehmerischer Cyber- und IT-Risiken nach dem Grundsatz Lösungsorientierung statt Produktorientierung befähigt sind.“

Frank Schwandt ist TÜV-zertifizierter Fachberater für Cyber-Risiken (Urkunde)

Cyber-Versicherungen gibt’s inzwischen überall – qualifizierte Risiko-Beratung nicht

Es geht dabei nicht nur um Titel und Eitelkeiten. Ich freue mich über das TÜV-Zertifikat meiner Fachkenntnisse, weil es den besonderen Anspruch von acant bestätigt: Wir sind kompetente Fach-Versicherungsmakler zu Cyber-Risiken von Unternehmen jeder Größe und Branche.

Ransomware und/oder Datenschutzverstöße können jedes Unternehmen treffen, das ist inzwischen allgemein bekannt. Wann haben Sie das letzte Mal von Ransomware, Hackern und Datendiebstahl gehört – heute, gestern oder vorgestern?

Dass Cyber-Versicherungen Schutz bieten und zur Vorsorge genauso wichtig sind wie technische IT-Sicherheitsmaßnahmen, ist mittlerweile ebenfalls akzeptiert.

Aber: Diese Popularisierung des Themas bringt eigene Gefahren mit sich. Versicherungsschutz gegen Hacker, Trojaner und Datenschutzverletzungen gibt es inzwischen an jeder Ecke. Doch eine Cyber-Versicherung ist etwas anderes als eine Kfz-Versicherung fürs Privatauto, die man von der Stange kaufen kann. Cyber-Versicherungsschutz muss genau zum Unternehmen und seinen individuellen Risiken passen. Sonst zahlt man Prämien, steht im Ernstfall aber ohne Deckung dar. Oder man zahlt für Deckungen, die man gar nicht braucht.

Solche Fehlversicherungen kommen nicht vor, wenn acant Ihrem Unternehmen die Cyber-Versicherung vermittelt. Wir sind ein Versicherungsmakler, der sich durch Fachkompetenz und Beratung auszeichnet. Wir kennen den Versicherungsmarkt, wir wissen, welche Cyber-Policen Ihr Unternehmen wirklich schützen, und wir vermitteln nur Versicherungsprodukte, die Ihnen nützen.

Dass dies nicht nur leere Worte sind, hat mir der TÜV nun schwarz auf weiß bestätigt – mit meiner Zertifizierung als Fachberater für Cyber-Risiken. Das ist der Grund, warum ich mich darüber freue.

elektronische Patientenakte, Symbolfoto: Bokskapet via Pixabay

Elektronische Patientenakte: Ärzte als Hochrisikogruppe beim Datenschutz?

Die elektronische Patientenakte soll die Digitalisierung im Gesundheitswesen forcieren

Bundesgesundheitsminister Spahn treibt die Pläne zur raschen Digitalisierung im Gesundheitswesen voran. Das Patientendaten-Schutzgesetz ist seit kurzem in Kraft. Es bringt die elektronische Patientenakte (ePA), das E-Rezept und eine einheitliche Infrastruktur für den Datenaustausch im Gesundheitswesen (Telematik-Infrastruktur, TI).

Die Digitalisierung ist sinnvoll und überfällig. Wenn Versicherte direkten Überblick über ihre Arbeitsunfähigkeiten, Behandlungen, Impfungen, Krankenhausaufenthalte, Vorsorgetermine und Rezepte haben, ist das positiv. In anderen Ländern existieren die Voraussetzungen dafür schon längst. Es gibt keinen Grund, warum der Datenaustausch zwischen Ärzten, Kliniken, Versicherern und Apotheken nicht digital stattfinden sollte. Dass Patienten selbst kontrollieren, wer Zugriff auf Befunde, Diagnosen und andere Daten hat, ergibt Sinn.

Das Problem ist das Datenschutzrisiko. Der Bundesdatenschutzbeauftragte Ulrich Kelber rät laut „Deutschland sicher im Netz“ von der Nutzung der elektronischen Patientenakte ab. Außerdem will er die Krankenkassen verpflichtend anweisen, die ePA-Apps gesetzeskonform zu gestalten. Dummerweise ist das technisch offenbar erst ab 2022 möglich.

Ärzte müssen die elektronische Patientenakte auf Wunsch ausfüllen.

Die gesetzlichen Krankenkassen müssen seit Jahresbeginn ihren Versicherten die elektronische Patientenakte bereitstellen, zum Beispiel per App fürs Smartphone. Die privaten Krankenversicherungen sind erst ab 2022 dazu verpflichtet. Ärzte, Therapeuten, Apotheken etc. haben die ePA mit Daten zu befüllen, wenn der Patient es wünscht.

Das Problem: Bislang kann der Versicherte nicht „granular“ vorgeben, welchem Arzt er welche Informationen zugänglich macht. Das ist zwar vorgeschrieben, soll aus technischen Gründen jedoch erst nächstes Jahr kommen. Im Moment sieht damit im Zweifel auch der Zahnarzt, dass die Patientin letztes Jahr einen Schwangerschaftsabbruch hatte oder der Patient in psychiatrischer Behandlung ist.

Auch im Praxisalltag dürfte es neue datenschutzrechtliche Risiken geben – etwa dann, wenn die Mitarbeiterin an der Rezeption dem älteren Patienten hilft, die App zu bedienen. Oder wenn Hacker versuchen, an dieser Nahtstelle den Datenaustausch abzuschöpfen oder die App zu kompromittieren.

Wer trägt das Datenschutz-Risiko?

Das Risiko für die Heilberufe liegt auf der Hand. Fehler werden dem niedergelassenen Arzt und seinen Mitarbeitern angelastet werden. Das gilt auch dann, wenn der Patient missverständlich kommuniziert oder mögliche Mängel der Infrastruktur Datenverluste begünstigen.

Der Praxis-Inhaber ist dafür verantwortlich, dass das Datenschutzniveau in der Praxis sowohl technisch wie organisatorisch gewahrt bleibt. Er muss eine angemessene IT-Sicherheit gewährleisten, dafür sorgen, dass stets die notwendigen Einwilligungen vorliegen und keine unbefugten Mitarbeiter Zugriff erhalten. Dafür haften die Ärztin oder der Therapeut.

Noch ist die ePA in der Testphase – aber an die Versicherung sollten Ärzte und Therapeuten schon jetzt denken

Bis jetzt ist die ePA noch in der Testphase. Ab dem zweiten Halbjahr 2021 sollen dann alle Patienten die entsprechenden Apps nutzen können, und alle Arztpraxen die Akten auf Wunsch elektronisch ausfüllen. Ab 2022 werden weitere Nachweise digitalisiert, zum Beispiel der Mutterpass oder das Zahnarzt-Bonusheft.

Für Ärzte, Therapeuten und alle anderen, die am Austausch von Patientendaten über die Telematik-Infrastruktur im Gesundheitswesen mitwirken dürfen/müssen, gibt es eine klare Empfehlung: rechtzeitig eine passende Cyber-Versicherung für niedergelassene Praxen abschließen, die auch Datenschutzverstöße abdeckt. Fragen Sie uns nach den Einzelheiten: Wir von acant sind Spezialmakler für Cyber-Versicherungen und kennen uns mit der Deckung von Datenschutzrisiken aus.

Patientendaten sind für Datendiebe sehr, sehr wertvoll

Man kann nicht oft genug darauf hinweisen: Patientendaten sind für Hacker wie Goldstaub. Ein eindrückliches Beispiel war der Diebstahl von 40.000 digitale Patientenakten in Finnland – mit Adressdaten und den Notizen der behandelnden Psychotherapeuten.

Und selbst, wenn es nicht so schlimm kommt: Selbst ein Fehler im Praxisalltag kann direkt zu einem Datenschutzverstoß und damit zu einem Bußgeld-Verfahren führen. DSGVO-Bußgelder sind von empfindlicher Höhe – bis zu zwei Prozent vom Jahresumsatz sind möglich.

Haben Sie Fragen zur Cyber-Versicherung speziell im Gesundheitswesen? Rufen Sie uns einfach unter 030 863 926 990 an oder schreiben Sie uns eine kurze Nachricht.

Private Cyberversicherung, Symbolfoto: stokpic via Pixabay

Private Cyberversicherung: Schutz vor Cyber-Angriffen und Online-Abzocke im Privatbereich

Inzwischen gibt es auch die private Cyberversicherung. Für derzeit etwa 60 bis 120 Euro im Jahr schützten solche Versicherungen vor den Gefahren, die bei der privaten Internet-Nutzung drohen.

Davor schützt Sie eine private Cyberversicherung:

  • Abzocke beim Online-Shopping? Der Verkäufer schickt die Ware wird nicht, oder nur wertloses bzw. beschädigtes Zeug? Dann erstattet die Versicherung den Schaden.
  • Falscher Käufer, wenn Sie selbst etwas verkaufen? Der Käufer tritt mit gestohlener Identität auf, Sie versenden die Ware, aber die Bezahlung bleibt aus? Die private Cyberversicherung kommt dafür auf.
  • Kriminelle haben Ihren Bankzugang, Ihre Kreditkartendaten oder Ihr PayPal-Konto gekapert, zum Beispiel durch Phishing? Die Versicherung unterstützt sie bei der sofortigen Sperrung und übernimmt die Kosten für die Wiederbeschaffung der Karten bzw. Zugänge. Vor allem ersetzt sie Schäden durch den Missbrauch Ihrer Konten, Karten oder Zahlungszugänge.
  • Hacker attackieren bzw. Viren beschädigen Ihre Hardware, Software oder Smart-Home-Technik? Die Versicherung ersetzt den entstandenen Schaden.
  • Die Technik streikt oder es gibt eine Havarie? Eine 24-Stunden-Hotline bietet Support bei Hardware- und Software-Problemen an. Dabei helfen IT-Experten, indem sie auch durch Remote-Zugriff die Probleme direkt auf ihrem Rechner beheben.
  • Datenverlust durch Festplattenfehler oder andere Probleme? Die Versicherung zahlt Programme und Experten zur Wiederherstellung von Daten. Außerdem gehört zu den Versicherungsleistungen ein eigener Cloudspeicher zur Datensicherung. Im besten Fall macht er die Wiederherstellung überflüssig, Sie müssen nur das Backup einspielen.
  • Böse Post vom Anwalt, wegen unbefugter Nutzung fremder Fotos oder Texte? Die Forderung ist versicherbar, dafür gibt es einen Zusatzbaustein.
  • Schadenersatzforderungen, weil Sie unabsichtlich Viren oder Trojaner weitergeleitet haben? Auch für solche Ansprüche gegen Sie gibt es einen Versicherungsbaustein.
  • Identitätsdiebstahl und Rufschädigung? Jemand ist in Ihrem Namen online unterwegs und bringt Sie in Verruf? Die Versicherung kümmert sich um die Löschung oder Sperrung der Postings, Beiträge und Kommentare.
  • Cybermobbing und Belästigung übers Internet: Wenn Sie beschimpft oder belästigt werden oder böswillige Menschen sich für Sie ausgeben, ist das eine immense psychologische Belastung. Die Versicherung ermöglicht schnelle psychologische Beratung und eine Beratung vom Anwalt.

Wichtig:

Es gibt mehr als ein Angebot zur privaten Cyber-Versicherung, die Deckung und die Kosten sind unterschiedlich. Außerdem kann es sein, dass Sie für manche der Risiken bereits eine Versicherung haben, weil beispielsweise Ihre Haftpflichtversicherung oder Rechtsschutzversicherung solche Schäden abdeckt. Welches Versicherungsangebot für Sie passt, finden wir am besten gemeinsam heraus.

Zu teuer?

Als Versicherungsexperten empfehlen wir von acant die Versicherung gegen private Cyber-Gefahren.

Wenn Sie der Gedanke an die jährliche Versicherungsprämie von 60 bis 120 Euro zögern lässt: Denken Sie an die Kosten für eine einmalige Beratung beim Anwalt oder eine einmalige Unterstützung durch einen IT-Notfall-Experten. Der Schaden durch E-Commerce-Betrüger oder Passwortdiebe ist meist noch teurer. So gesehen ist das Geld schnell wieder drin.

Es geht um private Internetnutzung – nicht ums Home Office

Die Versicherung deckt nur Schäden, die im Rahmen der privaten Internetnutzung entstehen. Wenn Sie sich bei Arbeit im Home Office einen Trojaner einfangen, der dann das Firmen-Netzwerk infiziert, dann muss Ihr Arbeitgeber sich an seine Cyber-Versicherung wenden. (Hoffentlich hat er die auch.)

Fragen? Wir von acant haben Zeit für Sie

Wenn Sie Fragen zur privaten Cyber-Versicherung haben, oder wissen wollen, wie Versicherungsschutz fürs Home Office aussieht, dann nehmen wir uns gerne Zeit für Sie.

acant ist ein Versicherungsmakler speziell für Cyber-Risiken. Wir legen Wert auf ausführliche Beratung – ohne Fachchinesisch, direkt zu Ihrem Bedarf und Ihrer Situation. Rufen Sie uns an (030 863 926 990) oder schreiben Sie uns eine kurze Nachricht.

Versicherer kündigt Cyber-Versicherung oder erhöht Prämien? Symbolbild: OpenClipart-Vectors via Pixabay

Cyberversicherung: Was tun, wenn der Versicherer mehr Prämie will oder kündigt?

Wie verhindert man, dass der Versicherer die Cyber-Police kündigt? Wie reagieren, wenn er die Prämien anhebt, oder die Versicherungsbedingungen schlechter werden?

Die Situation am Cyber-Versicherungsmarkt: mehr Nachfrage, mehr Schäden = steigende Prämien

Die meisten Unternehmen sind sich des Kostenrisikos von Cyber-Angriffen, Hackern oder Datenschutzverletzungen mittlerweile bewusst. Dass eine Cyberversicherung ebenso zur betrieblichen Grundausstattung gehört wie die Feuerversicherung der Firmenimmobilie, wird von immer mehr Unternehmen akzeptiert.

Gleichzeitig werden die Versicherer zunehmend knausriger. Viele zwacken an der Deckung, während sie die Prämien anheben. Der Grund: Die Schadensfälle nehmen zu, weil Unternehmen laufend Opfer von Hackern werden (besonders von Ransomware, mit besonders teuren Folgen). Corona-Krise und Home-Office erhöhen die Risiken. Dazu kommt, dass Datenschutzverstöße konsequenter geahndet werden.

Und wenn die Schadensleistungen steigen, dann steigen auch die Prämien, das ist ein Naturgesetz auf dem Versicherungsmarkt. Was bedeutet das für die Versicherungskunden?

Je früher der Abschluss der Cyber-Versicherung, umso besser die Bedingungen

Bei Bestandsverträgen scheuen die Versicherungsgesellschaften einen sprunghaften Anstieg der Prämien oder harte Einschnitte bei der Deckung. Bei Neukunden haben sie dagegen kein Problem damit, die Daumenschrauben anzuziehen.

Diese Daumenregel (wenn man so will) gilt für alle Versicherungssparten, bei denen die Versicherer skeptischer und teurer werden: bei Cyber-Versicherungen, bei D&O-Versicherungen und generell bei Gewerbe- und Industrie-Versicherungen. Je länger man als Kunde wartet, desto ungünstiger fallen die Versicherungsbedingungen und Versicherungskosten aus.

Ein Versicherungsmakler schützt davor, den Preisanstieg über die Versicherungsbedingungen untergejubelt zu bekommen

Das Prinzip kennt man aus dem Supermarkt: Statt den Preis für die Packung Kekse zu erhöhen, packt man einfach weniger Kekse rein. Die Verpackung lässt man natürlich gleich groß. Das funktioniert auch bei betrieblichen Versicherungen: Die Prämie bleibt gleich, dafür bringt man ein paar Haftungsausschlüsse und Sublimits im Kleingedruckten unter. Kunden, die nur über den Preis kaufen, greifen trotzdem zu. Wer einen Versicherungsmakler hat, der den Markt (und das Kleingedruckte) genau im Auge behält, bekommt die Änderung mit und kann die Angebote sinnvoll vergleichen.

Die Gefahr dass der Versicherer kündigt, steigt

Wenn es zum Versicherungsfall kommt, haben beide Seiten ein Sonderkündigungsrecht. Selbst wenn der Versicherer das nicht gleich ausnutzt, wird er möglicherweise nach einem Schadensfall darauf hinweisen, dass man bei der Vertragsverlängerung doch die Prämie ein wenig anpassen sollte. Der Markt habe sich schließlich verändert. Solchen Anfragen sollte man natürlich nicht einfach nachgeben. Wer die Ohren jedoch komplett verschließt, muss unter Umständen damit rechnen, dass der Versicherer doch noch kündigt bzw. nicht mehr verlängert.

Gekündigt zu werden ist deshalb ein Problem, weil andere Versicherer ein vom Wettbewerber gekündigtes Unternehmen ebenfalls nicht gern versichern. Sie misstrauen dem Risiko. Im schlimmsten Fall steht man deshalb ganz ohne Versicherungsschutz dar.
Übrigens: Auch da helfen wir als Versicherungsmakler. Wir können Sie dazu beraten, ob es sinnvoll ist, nach einem Schaden einer maßvollen Prämien-Anhebung zuzustimmen. Alternativ suchen wir proaktiv und vor einer Kündigung eine andere Versicherungsgesellschaft. Das ist viel besser, als nach einer Kündigung suchen zu müssen.

Je enger der Versicherungsmarkt, umso wichtiger ist ein verlässlicher Versicherungsmakler

Der Markt für Cyber-Versicherungen wird enger, aber mit einem Makler wie acant befinden Sie sich trotzdem auf Augenhöhe mit den Versicherern. Wir wissen, welche Prämien angemessen sind, wie weit der Deckungsumfang jedes Versicherungsangebots wirklich reicht, und wir verhandeln für Sie mit den Versicherungsgesellschaften.

Rufen Sie einfach an – dann schauen wir gemeinsam, was wir für Ihr Unternehmen tun können: 030 863 926 990.

IT-Sicherheit im Home Office: Praxistipps

Home Office ist für Arbeitgeber nicht unproblematisch

Home Office heißt die Parole der Stunde. Die Corona-Situation ist nun einmal, wie sie ist. Allerdings sehen viele Arbeitgeber das mit gemischten Gefühlen. Ihre Skepsis betrifft nicht nur Mitarbeiter, die sich ohne den äußeren Rahmen schlecht motivieren und strukturieren. Ein mindestens ebenso großes Problem ist die Daten- und IT-Sicherheit.

Wenn die Mitarbeiter im Home Office arbeiten, steigt für den Betrieb das Risiko von IT-Sicherheitsverletzungen:

  • Ohne die soziale Kontrolle im Büro sinkt die Schwelle, neben der Arbeit mal eben auf zwielichtige Seiten zu gehen. Mit dem Risiko, sich dort Malware einfangen.
  • Ein isolierter Arbeitnehmer ist leichter angreifbar. Schließlich kann man bei Computerproblemen, unklaren E-Mail-Anhängen, verdächtigen Anfragen etc. im Büro die Kollegen um Rat fragen. Im Home Office liegt die Hürde höher.
  • Im privaten Umfeld können Außenstehende schnell Einblick oder Zugriff auf Hardware und Daten des Betriebs erhalten: beispielsweise Partner, Kinder, Besucher etc.
  • Wenn zuhause private Geräte oder das private WLAN genutzt werden, bedroht jede ihrer Sicherheitslücken das Firmennetz.

Weil auch wir von acant dazu immer wieder gefragt werden, haben wir hier einige hilfreiche Inhalte rund um „Sicherheit im Home Office“ zusammengestellt – Arbeitshilfen, kurze und lange Videos sowie Checklisten.

Mit am wichtigsten: Eine Cyber-Versicherung, die das Home Office abdeckt

Eine Cyber-Versicherung schützt vor den finanziellen Schäden durch Trojaner und Hacker, vor Datenschutzverstößen und IT-Sicherheitsverletzungen. Doch längst nicht jede Police deckt auch Schäden ab, die beim Arbeiten im heimischen Wohnzimmer entstanden sind.

Bei manchen Policen ist dieses Risiko mitversichert. Andere Versicherer verlangen zumindest eine Mitteilung über die Risikoerhöhung. Und wieder andere schließen IT-Sicherheitsverletzungen, die im Homeoffice entstehen, komplett aus der Deckung aus.

Wir von acant prüfen kostenlos, ob Home Office zum Deckungsumfang Ihrer Cyber-Versicherung gehört. Bei Bedarf kümmern wir uns auch um die Mitteilung an den Versicherer, um eine nötige Deckungserweiterung oder um eine bessere Police. Rufen Sie uns an (030 863 926 990) oder schreiben Sie uns (zum Kontaktformular).

Tipps für eine Sicherheitsrichtlinie zum Home Office

Die entscheidenden Punkte für eine betriebliche Sicherheitsrichtlinie zur Arbeit von zuhause aus hat das BSI (Bundesamt für Sicherheit in der Informationstechnik) zusammengefasst.

Die PDF-Broschüre umfasst vier Seiten: Regelungen für Telearbeiter / Sicherheitsrichtlinie für die Telearbeit.

IT-Sicherheit im Home Office: Webinar-Mitschnitt

Die IHK Oberbayern hat den Mitschnitt eines mehr als einstündigen Webinars zum Thema „IT-Sicherheit im Homeoffice“ bei Youtube eingestellt. Dozent ist der IT-Sicherheitsexperte Florian Hansemann. Dafür muss man sich natürlich Zeit nehmen. Im Gegenzug erhält einen umfassenden Einblick ins Thema.

Hier klicken, um den Inhalt von YouTube anzuzeigen.
Erfahre mehr in der Datenschutzerklärung von YouTube.

Weitere Tipps kann man in Florian Hansemanns Blog nachlesen: „3 x mehr Sicherheit im Home Office

Tipps vom Mittelstand-Kompetenzzentrum

Die „Mittelstand 4.0-Kompetenzzentren“ sollen die Digitalisierung in Deutschland voranbringen. Dafür gibt es 26 dieser Kompetenzzentren mit unterschiedlichen regionalen oder Branchen-Schwerpunkten. Viele bieten Tipps oder auch Seminare rund ums Heimbüro an. Hier einige Inhalte vom Berliner Mittelstand 4.0-Kompetenzzentrum „Gemeinsam Digital“: Arbeitsrecht und Home Office – in knapp vier Minuten die wichtigsten Grundlagen:

Tipps für Videokonferenzen prägnant zusammengefasst:

Hier klicken, um den Inhalt von YouTube anzuzeigen.
Erfahre mehr in der Datenschutzerklärung von YouTube.

Außerdem gibt es von Gemeinsam Digital zwei nützliche Checklisten:

Zum Schluss

Homeoffice-Arbeit erhöht objektiv das betriebliche Risiko. Deshalb ist betriebliches Risikomanagement gefordert. Kernstück sind Versicherungen: für Cyberschäden, Vertrauensschaden, Haftpflicht, Rechtsschutz etc.

Als Spezialmakler sorgen wir von acant dafür, dass Ihr Unternehmen den optimalen Schutz bei geringstmöglichen Kosten erhält: Sprechen Sie uns an.

IT-Sicherheitschecks zum Selbermachen - Symbolbild: Methawee Krasaeden via Pixabay,

Schnelltests mit begrenztem Nutzen: IT-Sicherheitscheck zum Selbermachen

IT-Sicherheitscheck im Internet: in wenigen Minuten die Bedrohung ausloten?

Corona-Schnelltests können zu einem falschen Gefühl der Sicherheit führen. Nur bei Wiederholung sind die Ergebnisse zuverlässig. Bei einem IT-Sicherheitscheck zum Selbermachen besteht ein ähnliches Risiko. Es gibt immer mehr davon im Internet. Als erste Orientierung sind sie in Ordnung. Eine belastbare Analyse der eigenen IT-Sicherheit innerhalb von Minuten liefern sie allerdings nicht. Das liegt in der Natur der Sache.

Natürlich kann man allgemeine Grundsätze für eine gute IT-Sicherheit abfragen: Software und Hardware auf aktuellem Stand? Profis für IT-Sicherheit zuständig? Mitarbeiter geschult? Notfallpläne vorbereitet? Sicherheitstechnologie installiert? Etc. etc. Aber ob das vor Ort wirklich umgesetzt wird und funktioniert, muss man schon genauer prüfen.

Hier vergleich ich alles … ach, wirklich?

Das Ganze erinnert mich an die Vergleichsplattformen, auf denen man neben Krediten oder DSL-Verträgen auch Versicherungen aller Art vergleichen kann. Hauptgesichtspunkt sind die Kosten. Natürlich kann man den Vertrag dann auch gleich abschließen. Der Plattformbetreiber erhält dafür Provision.

Betriebliche (und die meisten privaten!) Versicherungen kann man aber nicht sinnvoll vergleichen, indem man nur auf den Endpreis schaut. Die Versicherungsbedingungen sind wichtig. Anders als bei der privaten Kfz-Versicherung sind sie bei einer Betriebshaftpflicht-Versicherung nicht einfach standardisiert. Und das ist das Problem.

Deshalb sind auch Vergleichsplattformen nur zur ersten Orientierung sinnvoll, wenn überhaupt. Sonst hat man zwar ruckzuck eine Versicherung. Die eigene Tätigkeit ist aber möglicherweise von der Deckung ausgeschlossen. Oder die Sachversicherungsleistung ist auf den Zeitwert begrenzt. Vielleicht unterliegt das entscheidende Risiko einem Sublimit, das die Versicherung praktisch wertlos macht. Oder, oder, oder … während man sich abgesichert glaubt.

Gute Beratung ist ihr Geld wert

Natürlich ist das mehr Aufwand. Zunächst muss man jemand finden, der sich auskennt und objektiv berät. Zeit muss man ebenfalls investieren. Der Berater muss sich schließlich ein klares Bild der konkreten Gegebenheiten machen. Im Gegenzug kann man sich dafür auf die Analyse und die Handlungsempfehlungen verlassen.

Wenn es um Versicherungen geht, sind wir von acant Ihre Ansprechpartner: Wir schreiben Beratung groß und kennen den Versicherungsmarkt ganz genau. Wenn es um die IT-Sicherheit Ihres Betriebs geht, sind IT-Security-Experten die richtige Adresse. Wir können Ihnen gern gute Berater empfehlen.

IT-Sicherheitscheck: eine kleine Übersicht

Nach all den Worten der Warnung hier nun einige Tools für den IT-Sicherheits-Selbstcheck:

  • Verband der Sachversicherer: VdS-Quickchecks – diese Checks zur IT-Sicherheit, zum Datenschutz und zur Sicherheit von Produktionsanlagen sind vergleichsweise nützlich, weil sie ins Detail gehen. Außerdem spiegeln sie die Erfahrung mit Risikoeinschätzungen wieder.
  • Sicherheitstool Mittelstand: SiToM: Hier kann man ein „Projekt“ anlegen, das sich de facto als große Checkliste entpuppt. Immerhin sind die Fragen vergleichsweise detailliert.
  • Transferstelle IT-Sicherheit im Mittelstand: Sec-O-Mat. Dieses Tool soll dabei helfen, einen Aktionsplan auszuarbeiten.
  • Deutschland sicher im Netz: DsiN-Sicherheitscheck.
Der IT-Sicherheitscheck von DsiN fragt nach einer Cyber-Versicherung. (Screenshot)
Immerhin: Der IT-Sicherheitscheck von DsiN fragt nach einer Cyber-Versicherung.

Sprechen Sie uns an

Rufen Sie uns an, wenn Sie Fragen oder Anmerkungen haben: 030 863 926 990. Oder schreiben Sie uns eine Nachricht. Sie können auch gern einen Kommentar hinterlassen.