Sorglose Mitarbeiter und Ransomware - Risiko (Symbolbild) - Foto: rawpixel via Pixabay

Cyberangriffe durch Ransomware: Ihre Mitarbeiter sind das Hauptrisiko – und Ihre Präventionschance

Ransomware und kleinere Unternehmen

Heute möchte ich gern drei Erfahrungen zur Diskussion stellen, die Ransomware-Angriffe auf kleinere Unternehmen betreffen – und wie man sie erfolgreich verhindert.

Schließlich sind wir davon als Versicherungsmakler mit betroffen: Wir von acant vermitteln seit vielen Jahren Cyber-Versicherungen, die auch die Schäden durch Ransomware abedecken. Und zur Betreuung gehört es selbstverständlich, dass wir uns im Schadensfall kümmern.

Die ganz kurze Version:

  • Ransomware bedroht auch kleinere Unternehmen von überschaubarer Größe.
  • Schwachstelle Nr. 1 für solche Cyberangriffe: Ihre Mitarbeiter. Diese Sicherheitslücke lässt sich nicht dadurch schließen, dass die Technologie auf aktuellem Stand ist.
  • Ihr großer Vorteil als kleinerer Betrieb: Sie erreichen Ihre Leute und haben sie im Blick. Das lässt sich zur Prävention nutzen!

Ransomware, Erpresser-Software, verschlüsselt still und heimlich auf dem befallenen Rechner und im gesamten Netzwerk alle Dateien, auf die sie Zugriff bekommt. Dann erscheint ein Hinweisfenster mit der Aufforderung, Geld zu zahlen, wenn man den Schlüssel zum Wiederlesbarmachen der Daten haben will. In Folge von Ransomware-Angriffen fallen ganze Firmennetzwerke oft tage- und wochenlang aus. Selbst beim Bezahlen der Forderung hat man keine Garantie, dass man die Daten wiederbekommt. Und häufig werden die Daten nicht nur verschlüsselt, sondern auch entwendet, z. B. Bankzugänge und Zahlungsinformationen.

Für Ihr Unternehmen ist Ransomware kein Thema?

Selbst wenn eine Firewall installiert ist und Aktualisierungen sofort eingespielt werden, wenn regelmäßige Backups gemacht werden und überall Virenschutz läuft: Sind Sie sicher, dass keines der folgenden Szenarien bei Ihnen stattfinden kann?

  • Ein Mitarbeiter bekommt eine etwas verwirrend formulierte Nachricht geschickt. Absender ist ein langjähriger Geschäftspartner. Er öffnet die mitgeschickte Datei, um herauszufinden, was dahintersteckt – und installiert damit den Trojaner.
  • Oder: Einer Ihrer Leute flirtet seit einiger Zeit mit einer Zufallsbekanntschaft aus dem Internet. Heute schickt sie ihm endlich ein paar Fotos von sich … Rest: Siehe oben.
  • Dritte Variante: Jemand nutzt das Firmennetz für private Downloads. Leider ist die heruntergeladene Datei nicht das, was sie vorgibt …

Wenn so etwas auch bei Ihnen denkbar ist, wie übrigens in den meisten Unternehmen, dann hat Sie bisher nur Ihr Glück vor einer Infektion mit Ransomware bewahrt.

Es geht ganz schnell. Und es trifft nicht nur Idioten.

Verschärfend kommt hinzu, dass die Angriffe immer hinterhältiger werden und oft so gut getarnt sind, dass auch normal intelligente Menschen leicht ins Netz gehen. Zu den neueren Tricks gehören Mails mit dem Handy-Foto eines Dokuments. Das ist gerade etwas zu klein, um lesbar zu sein. Da klickt man doch fast automatisch auf das Bild, um es zu vergrößern, nicht wahr? Und schon ist man infiziert.

Besonders heimtückisch ist sogenannte „polymorphe“ Malware: Schadprogramme, die bei jedem neuen Angriffsziel interne Dateibezeichnungen, die Verschlüsselung, die Kompression oder andere Merkmale verändern, um unter dem Radar der Virenscanner hindurch zu fliegen. Identisch bleibt allerdings die Schadfunktion, die dann beispielsweise alle Daten im System verschlüsselt.

Ganz wichtig: Risikobewusstsein

Im Grund hilft gegen Ransomware und andere Cyber-Attacken nur das, was ältere Menschen vor Enkeltrick-Betrügern schützt: fest verwurzeltes, gesundes Misstrauen, und das Wissen um das Risiko. Das dürfte dem einen oder anderen Arbeitnehmer von Haus aus jedoch fehlen.

Deshalb tut Aufklärungsarbeit Not. Natürlich müssen nicht sämtliche Kollegen IT-Experten werden. Aber sie müssen die Gefahr im Hinterkopf haben, die hinter jeder E-Mail und jedem Dateiaustausch lauern kann. Sie müssen lernen, im Zweifel nicht zu klicken. Und dass sie jederzeit fragen können, wenn ihnen etwas merkwürdig vorkommt.

Maßnahme eins: Awareness-Schulungen

„Security Awareness“-Schulungen bringen wenig, wenn ein großer Experte eine Stunde lang unverständlich daher redet und die Mitarbeiter derweil die Gehirnwindungen baumeln lassen.

Aber es geht ja auch anders: mit Praxisbezug und eindringlichen Beispielen, damit die Zuhörer etwas für ihren Arbeitsalltag mitnehmen. Dann können Schulungen das praktische Sicherheits-Level im Betrieb wirklich erhöhen und sind allemal ihr Geld wert. (Wenn Sie niemand kennen, der solche Schulungen durchführt, kann ich gern Empfehlungen geben.)

Im Idealfall wissen Ihre Leute hinterher nicht nur, wie Ransomware verbreitet wird. Sie verstehen auch, dass man den Befall gar nicht sofort bemerkt, sondern meistens erst dann, wenn die ominöse Nachricht auf dem Bildschirm austauscht, alle Dateien verschlüsselt und erreichbare Backups gelöscht sind.

Natürlich sollte der Chef persönlich auch teilnehmen. Damit alle sehen, dass ihm das Thema wirklich wichtig ist.

Maßnahme zwei: Einfache Verhaltensregeln aufstellen

Das BSI (Bundesamt für Sicherheit in der Informationstechnik) hat gerade eine „IT-Notfallkarte für KMU“ herausgebracht. Die soll in kleineren Unternehmen neben der Notfallkarte zum Verhalten im Brandfall hängen, so die Idee. Darauf stehen Leitfragen wie „Wer meldet?“ oder „Welches IT-System ist betroffen?“

Na ja. Sinnvoller erscheint mir, dass es ein paar feste Grundsätze gibt, die jeder verstehen und umsetzen kann.

  • Einen Ansprechpartner, den man fragen kann, wenn man sich bei einem Dokument nicht sicher ist.
  • Fragen ist erlaubt – lieber einmal zu viel als einmal zu wenig.
  • Einfache Hinweise wie: „Wenn mir die Datei, die ich gerade geöffnet habe, komisch vorkommt, und ich befürchte, dass es sich um Ransomware handelt: Gerät aus, WLAN-Router aus, Netzstecker ziehen, alle informieren.“
  • Und natürlich alle üblichen Regeln zur IT-Sicherheit – angemessener Passwortschutz, systematische Datensicherung, alle Updates installieren, Rechte vergeben, damit nicht jeder überall Zugriff hat etc. etc.

Maßnahme drei: Ihre Leute im Blick behalten

Der große Vorteil in einem kleineren Unternehmen: Sie kennen Ihre Leute persönlich. Sie können einschätzen, wer unvorsichtig genug sein könnte, triebgesteuert auf angebliche scharfe Videos zuzugreifen. Oder für wen die Technik ohnehin so kompliziert ist, dass er weder Datei-Typen unterscheiden noch Header-Zeilen in einer E-Mail verstehen wird.

Sie können Ihre Mitarbeiter individuell vergattern, und dafür sorgen, dass für bestimmte Kandidaten besondere Regeln gelten. Sorgen Sie dafür, dass jedem einzelnen klar wird, wie schnell digitale Dämlichkeit zu fünf- oder sechsstelligen Einbußen führt. Alle Firmendaten weg, der Betrieb tagelang geschlossen, die Kunden vergrault – dass man sich damit keine Freunde macht, verstehen Ihre Mitarbeiter dann schon.

Maßnahme vier: Versichern

Schäden durch Ransomware und andere Cyber-Angriffe versichern ist die Sicherheitsmaßnahme überhaupt. Die Kosten für eine Cyber-Versicherung liegen in den meisten Fällen im Promillebereich des Jahresumsatzes. Gemessen am Risiko ist es das allemal wert.

Eine Cyber-Versicherung deckt als Querschnittsversicherung verschiedene Schadensfolgen ab. Der genaue Deckungsumfang hängt vom Produkt und der konkreten Police ab. In Bezug auf Ransomware wären dies beispielsweise:

  • Sachschäden (die etwa dadurch entstehen, dass im Wortsinn der Stecker gezogen und der Server nicht korrekt heruntergefahren wird.
  • Die Haftpflicht: das ist bei solchen Angriffen oft mit der teuerste Posten, denn Schadenersatz kann jeder fordern, dessen persönliche Daten entwendet wurden, aber auch Geschäftspartner und Kunden, denen gegenüber Fristen nicht eingehalten werden und dergleichen mehr
  • Rechtsschutz: Anwalts- und Gerichtskosten, die in Folge der Verschlüsselung vestehen
  • Flankierende Leistungen zur Schadensminderung: Die Versicherung bezahlt IT-Experten zur Behebung der Schäden und zur Aufklärung des Vorfalls, Anwälte und PR-Leute, die Sofortmaßnahmen ergreifen etc. In vielen Fällen vermittelt die Versicherungsgesellschaft diese Experten auch gleich selbst.

Rufen Sie einfach an, wenn Sie Fragen haben, oder schicken Sie uns eine kurze Nachricht. Bei acant gilt: Beratung ist Ehrensache. Und selbstverständlich kostenlos.

Sachschadendeckung für die IT - Image by andreas160578 from Pixabay

Sachschäden durch Bedienfehler und unbefugte IT-Nutzung der eigenen Leute? Auch dafür gibt es eine Cyber-Deckung

Klassischerweise deckt eine Cyberversicherung drei Arten von Schäden:

  • Sie übernimmt Kosten, die nach einer Cyber-Angriff entstehen, etwa für die Feststellung des Tathergang, für die schnelle Wiederherstellung der Systeme und Daten sowie für den Soforteinsatz spezialisierter Rechtsanwälten und Notfall-PR-Berater.
     
  • Sie übernimmt den Schadenersatz an Dritte, etwa weil Hacker Personendaten Dritter bei Ihnen gestohlen haben, oder weil Sie nach einer Trojanerattacke Lieferfristen nicht einhalten konnten.
     
  • Sie bezahlt für Schäden, die durch solche Betriebsunterbrechungen entstehen.

Und wenn der Schaden hausgemacht ist?

Allerdings bleibt eine weitere Art Schaden dabei außen vor: Sachschäden, die auf nicht autorisierter oder sachgerechter IT-Nutzung beruhen und deren Verursacher im eigenen Haus sitzen. Dazu gehören Saboteure aus den eigenen Reihen (ein beträchtliches Risiko!), aber auch überforderte und schusselige Mitarbeiter (ebenfalls eine handfeste Gefahr).

Fragen Sie sich selbst: Welche Sachschäden kann Ihnen durch einen bösartigen oder tollpatschigen Arbeitnehmer entstehen? Und wie leicht könnte es dazu kommen?

Cyber-Versicherung umfasst Sachschäden durch Bedienfehler und unbefugte IT-Nutzung

Bislang waren solche Eigenschäden wenn überhaupt, dann nur in der Deckung einer Elektronik- oder Maschinenversicherung enthalten. Neuerdings gibt es auch die Möglichkeit, sie als Teil einer Cyberversicherung zu versichern.

Versichert sind dabei nicht nur Sachschäden an digitalen Geräten und Maschinen selbst, die durch falsche oder unbefugte Nutzung der IT-Systeme entstehen. Dieses Schadensrisiko ist besonders hoch: Sensible digitale Technologie verträgt nicht viel an grober Fehlbedienung.

Aber der Schaden kann noch größer sein. Ganze Maschinen, Lager voller Waren oder sogar das gesamte Betriebsgebäude können beschädigt werden. Dafür genügen bereits ein falsch programmiertes Klimasystem, das zu Schimmelbildung führt, oder der dilettantische Umgang mit der Steuerung der Sprinkler-Anlage samt anschließendem Wasserschaden. Auch solche Schäden sind in der neuen Deckung grundsätzlich enthalten.

Beispiele für versicherte Cyber-Sachschäden

  • Ein Bedienfehler des zuständigen Ingenieurs legt die Systeme zur Luftreinhaltung in den Produktionsräumen lahm. Das führt zu einem Ausfall der sensiblen, extrem staubempfindlichen Maschinen.
  • Eine von Administrator falsch installierte Software bewirkt eine Fehlsteuerung der automatisierten Fertigungsanlage. Die so erzeugten Produkte sind unbrauchbar, die Maschine selbst muss aufwendig repariert werden.
  • Ein neuer Mitarbeiter ändert eigenmächtig die Einstellungen der CNC-Fräsmaschine. Prompt werden drei Tage lange Aluminiumprofile mit falschen Bohrungen versehen, bis der Fehler auffällt. Die Profile sind damit Ausschuss.

In solchen Fällen kann sich das versicherte Unternehmen die Kosten für das Material, die Neuproduktion und die Reparaturen erstatten lassen.

„Lohnt sich das für uns?“ Das lässt sich nur individuell beantworten

Ob dieses neue Cyberversicherungs-Angebot eines namhaften Versicherers für Ihr Unternehmen attraktiv ist, oder ob Sie das Risiko besser anders versichern (etwa durch eine Maschinenversicherung oder eine Elektronikversicherung), das kläre ich gern mit Ihnen gemeinsam. Vielleicht macht es für Sie auch schlicht keinen Sinn, dafür Geld auszugeben. Das hängt von Ihrem Unternehmen, Ihrer Geschäftstätigkeit und den bestehenden Versicherungen ab.

Rufen Sie mich einfach an – das kostet Sie nichts, denn als Versicherungsmakler bekomme ich erst Geld, wenn Sie sich eine Versicherung vermitteln lassen. Und dann bezahlt in der Regel der Versicherer meine Courtage.

Ransomware: Wie kann Datensicherung vor Erpresser-Programmen schützen?

In diesem Beitrag geht es um Ransomware – und was Datensicherungskonzepte zum Schutz beitragen können.

(Wenn Sie längst wissen, was es mit Ransomware auf sich hat, können Sie direkt beim Abschnitt Datensicherung weiterlesen.)

Warum ist Ransomware eine solche Bedrohung?

  • Die Schadprogramme sind weit verbreitet, und es tauchen immer neue, verbesserte Versionen auf.
  • Viele Betriebe sind trotz Virenschutz schlecht gerüstet. Ein Hauptproblem: bei den Mitarbeitern fehlt es an Problembewusstsein und damit an Vorsicht.
  • Ransomware ist besonders heimtückisch: Nach der Infektion werden Daten schleichend im Hintergrund verschlüsselt. Wenn das Problem bemerkt wird oder der Erpresserhinweis erscheint, können selbst die Sicherungskopien wertlos sein.
  • In vielen Unternehmen gibt es kein Datensicherungskonzept, oder es berücksichtigt die Gefahr von Ransomware nicht.

Deshalb, bevor wir zu Datensicherungskonzepten kommen, ein ganz grundsätzlicher Hinweis: Prävention ist viel besser, als Daten  wiederherstellen zu müssen. Und die wichtigste Form der Prävention betrifft weder Software noch Hardware, sondern das Verhalten von Menschen.

Ransomware: Schadsoftware mit Erpresser-Funktion

Infiziert Ransomware den Rechner, verschlüsselt sie sämtliche Dateien, derer sie habhaft wird – auch auf angeschlossenen USB-Sticks, Rechnern im gleichen Netzwerk oder im verbundenen Cloud-Speicher. Das damit der laufende Betrieb lahmgelegt wird, ist klar.

Die Ransomware Locky teilt ihre Erpresserbotschaft auch auf Deutsch mit.

Die Daten sind zwar noch da, aber nicht mehr nutzbar, bis sie wieder entschlüsselt werden. Dafür braucht man einen Code. Für den verlangen die Cyber-Kriminellen Geld, meist als Krypto-Währung, etwa Bitcoins. Und selbst bei Zahlung kann man Pech haben – Geld weg, kein Schlüssel da.

Zur Erpressung kommen oft Schadfunktionen hinzu. Inzwischen verschickt sich Ransomware selbst an die Kontakte weiter, als Antwort auf eingegangene Nachrichten. Und sie installiert weitere Trojaner auf dem Rechner, die dann beispielsweise Bankdaten und Passwörter ausspähen. Spätestens mit der ungewollten Weitergabe der Infektion an Kunden und Geschäftspartner drohen Auftragsverluste und Schadenersatzklagen. Aber die drohen aufgrund ohnehin, wenn nicht gearbeitet werden kann.

Datensicherung

Eine gute Backup-Strategie ist ein Element der Vorsorge, um im Fall einer Ransomware-Infektion mit einem blauen Auge davon zu kommen.

Dazu muss die Datensicherung allerdings professionell ablaufen. Betriebe, die keine eigenen IT-Fachleute beschäftigen, sollten sich Unterstützung holen. Je nach Umfang der Aufgabe dürfte das nicht mehr als eine dreistellige oder niedrige vierstellige Euro-Summe kosten. (Ich kann Ihnen bei Bedarf gern jemand empfehlen: 0176 1031 8791.)

Nicht immer nur die letzte Version speichern

Ein sinnvolles Datensicherungskonzept sollte evolutiv sein. Das bedeutet: Neben der letzten Sicherung muss auch die vorletzte, die vorvorletzte etc. verfügbar sein.

Ransomware agiert oft mit Verzögerung. Bis man sie bemerkt, sind vielleicht längst an verschiedenen Stellen Daten verschlüsselt und in diesem Zustand gesichert worden.

Man muss also bis zum Zeitpunkt vor der Erstinfizierung. Allerdings sind die Daten, die seither dazugekommen sind, wohl verloren. Datensicherung ist kein Allheilmittel.

Rotierende Bänder

Von der Speicherung auf externen Festplatten oder Bändern sollte es sinnvollerweise stets drei Versionen geben – eine, die am Arbeitssystem hängt, eine im Safe liegt, und eine, die bereitliegt, um als nächstes mit dem Rechner verbunden zu werden.

Keine dauerhafte Verbindung nach dem Backup

Egal, ob die Daten auf dem Arbeitsrechner oder -server auf ein Band, ein externes Festplattenlaufwerk oder einen Cloud-Speicher kopiert werden: Nach der Übertragung muss das Medium ausgeworfen bzw. getrennt werden.

Dokumentieren – sonst war die Mühe umsonst!

Das Set-up der Datensicherung muss genau dokumentiert sein: so genau, dass auch ein anderer Mitarbeiter oder Dienstleister im Ernstfall weiß, wie er bei der Wiederherstellung im Ernstfall vorzugehen hat. Außerdem muss die Zuständigkeit vorab geklärt sein. Das klingt banal, aber genau an diesem Punkt ist schon manche Datenrettung gescheitert.

Zu jeder Sicherung sollte dokumentiert sein, welche Daten sie umfasst (und welche nicht, idealerweise als Liste aller gespeicherten Dateien. Klar sein sollte auch, wer das Backup angestoßen hat, damit im Ernstfall der Ansprechpartner feststeht.

Falls die Backups aus Sicherheitsgründen verschlüsselt werden (sinnvoll – eine Datensicherung ist ja nichts anderes als Ihr betriebliches Know-how in leicht zu transportierender Form), dann muss im Ernstfall bekannt sein, wo sich die Recovery Keys befinden.

Datenwiederherstellung regelmäßig prüfen

Wenn die Backup-Routine erst einmal eingereichtet wurde, ist die Gefahr groß, dass man im Vertrauen auf das Funktionieren der Technik die Sache sich selbst überlässt.

Das reicht nicht. Um das Funktionieren und die Qualität der Sicherung zu prüfen und die Wiederherstellung für den Ernstfall zu testen, sollte man in regelmäßigen Abständen – zweimal im Jahr, beispielsweise – eine Datenwiederherstellung praktisch durchführen.

Beispiel für ein Backup-Konzept: Drei – Zwei – Eins

Sinnvoll ist die Drei-Zwei-Eins-Strategie für Backups:

  • mindestens drei Kopien der Daten (einmal auf dem System, auf dem gearbeitet wird, dann auf einem synchronisierten Medium wie einem Cloudspeicher und drittens auf einem vom Live-System getrennten Medium wie einem Bandgerät.
  • mindestens zwei verschiedene Speicher-Arten – wenn die Festplatte im Rechner auf eine externe Festplatte gespiegelt wird, sollte zumindest ein weiteres Medium zum Einsatz kommen, das keine Festplatte ist, etwa ein Band oder ein Cloudspeicher
  • mindestens ein externer Aufbewahrungsort für eine Sicherung – sonst ist am Ende der Rechner geklaut und das Bandgerät oder die externe Festplatte ebenfalls

Versichern: denn eine Versicherung lässt sich nicht verschlüsseln

Datensicherung mit System ist ein wichtiger Baustein der IT-Sicherheit zum Schutz vor Ransomware und anderen Cyber-Attacken. Doch auch damit kann man nur die Wahrscheinlichkeit verringern, dass es zum Datenverlust kommt.

Deshalb sollte das Fundament der IT-Sicherheitsstrategie aus Versicherungen bestehen. Eine Versicherungspolice kann weder von technischen Pannen noch von neuer Schadware ausgehebelt werden. Versichern lässt sich beispielsweise:

  • der Schaden durch die Betriebsunterbrechung
  • die Schadenersatzforderungen von Kunden, deren Daten kompromittiert wurden
  • Vertragsstrafen, weil Sie Ihre Lieferfristen nicht einhalten können
  • die Kosten, weil wichtige Planungsdaten oder Auftragsinformationen fehlen
  • etc.

Gerade in Bezug auf Bedrohung durch Ransomware ist Versichern als Auffanglösung sehr sinnvoll, denn hier drohen eine besonders aufwändige Wiederherstellung und der Verlust von Daten, die bis zur Entdeckung der Infektion hinzugekommen sind – daraus können sich sehr empfindliche Schäden ergeben.

Ob speziell für Sie eine Cyber-Versicherung am sinnvollsten ist, oder ob Ihre bestehenden Versicherungen Schutz bieten, das klären wir am besten im direkten Gespräch- rufen Sie einfach an.

Eine ganze Reihe der genannten Tipps zu Backup-Strategien verdanke ich Dr. Sybe Rispens von der IT-Sicherheitsberatung Lindemanns | Rispens.

Cyber-Versicherung als Schutz vor Internetgefahren - Foto dokumo via Pixabay

Was versichert eine Cyber-Versicherung eigentlich?

Für welche Art Schaden bezahlt eine Cyber-Versicherung eigentlich?

Konkrete Beispiele zeigen am besten, wovor eine Cyber-Versicherung Schutz bietet. (Die Details hängen vom konkreten Versicherungsprodukt ab. Nicht jede Police bietet jede Deckung der folgenden Beispiele. Man muss die verschiedenen Produkte genau ansehen und vergleichen. Genau dafür ist übrigens ein Versicherungsmakler da.)

Ganz wichtig: Die Service- und Assistance-Angebote

Eine klassische Versicherung beschränkt sich auf Geldzahlungen, wenn der Schaden eintritt. Bei Cyber-Versicherungen ist das anders. Sie bieten auch Dienstleistungen zur Prävention und zur Soforthilfe an. (Die Versicherer machen das nicht aus Freundlichkeit, sondern um den Schaden – den sie ja bezahlen müssen – zu vermeiden oder zumindest zu verringern.)

  • Vorab bieten viele Cyber-Versicherer Maßnahmen zur Prävention an – beispielsweise Mitarbeiter-Schulungen und Unterstützung bei der Ausarbeitung von Notfallplänen.
  • Wenn es zu einer IT-Sicherheitsverletzung gekommen ist, schicken Cyber-Versicherer Notfallteams mit IT-Spezialisten zur Datenrettung, System-Wiederherstellung und zur Aufklärung des Vorfalls. Dazu kommen bei Bedarf spezialisierte Rechtsanwälte und PR-Fachleute, um die Folgen der Krise in den Griff zu bekommen.

Typische Beispiele: In solchen Fällen sorgt eine Cyber-Versicherung für Schutz

  • Einer Ihrer Mitarbeiter öffnet gedankenlos einen E-Mail-Anhang. Der enthält einen Virus, der Ihr Firmennetz und die Rechner mehrerer Geschäftspartner befällt. Die Systeme müssen aufwendig desinfiziert werden. Ihre Cyber-Versicherung übernimmt die Kosten, und auch die Rechnung für die Umsatzeinbußen, die Ihre Kunden Ihnen in Rechnung stellen.
     
  • Vielleicht enthält der Mail-Anhang auch einen Trojaner. Der verschlüsselt sämtliche Datenträger im Netzwerk. Sie zahlen das geforderte Lösegeld, erhalten jedoch trotzdem keinen Schlüssel. Ihr Unternehmen ist für Tage außer Gefecht, außerdem sind wertvolle Daten unwiederbringlich dahin. Den gesamten Schaden – sogar die Bitcoins für das Lösegeld – übernimmt Ihre Cyber-Versicherung.
     
  • Ihr Unternehmen hat einen größeren Auftrag übernommen. Ein Hardware-Schaden sorgt dafür, dass Sie neue Computer-Technik benötigen. Schlimmer noch: Sie können die vereinbarten Lieferfristen nicht halten, die Vertragsstrafe frisst Ihre Gewinnmarge komplett auf. Ein Glück, dass die Cyber-Versicherung Ihnen den Wiederanschaffungswert (nicht nur den Zeitwert!) und die Vertragsstrafe ersetzt.
     
  • Eine Softwarefehler in der Steuerung Ihrer Maschinen sorgt dafür, dass Ihrem Kunden ein größerer Schaden entsteht – und Sie keine Rechnung stellen können. Für beide Schäden kommt Ihre Cyber-Versicherung auf.
     
  • Ein Hacker dringt in Ihre Datenbank ein und nimmt die Datensätze zu sämtlichen Kunden mit. Die Folge sind schlechte Presse, teure Informationspflichten gegenüber den Betroffenen, die im Gegenzug Schadenersatzforderungen stellen. Die Cyber-Versicherung übernimmt nicht nur die Kosten für die Aufklärung der betroffenen Kunden. Sie schickt vor allem umgehend ein Team an forensischen IT-Experten, die sich um die Aufklärung des Falls kümmern, an PR-Fachleuten, die sie bei der Außendarstellung beraten, und auf Online-Recht spezialisierte Anwälte, die sich um die juristische Seite kümmern. Dieser Notfallservice gehört mit zu den Versicherungsleistungen Ihrer Cyber-Versicherung.
     
  • Ihr Unternehmen schätzt eine Vorschrift der DSGVO falsch ein. Ein Wettbewerber geht mit einer datenschutzrechtlichen Abmahnung gegen Ihre Datenschutzerklärung vor und erhält vor Gericht recht. Die Cyber-Versicherung übernimmt auch diese Kosten.
     
  • Ein Konkurrent setzt miese Tricks ein und startet eine Mobbing-Kampagne gegen Ihr Unternehmen: Er lässt erfundene Horrorstories von angeblichen Kunden im Netz verbreiten und überzieht Ihre Website mit Negativ-Kommentaren unter falschem Namen. Die Cyber-Versicherung stellt auch in diesem Fall ein Experten-Team zur Verfügung, dass die Sache aufklärt, und kommt für Ihren Schaden auf.

Eine Cyber-Versicherung kostet vergleichsweise wenig

Eine Cyber-Versicherung kostet – außer in Sonderfällen und für sehr kleine Unternehmen – nur wenige Promille des Jahresumsatzes.

Damit ist sie gemessen an ihrem Potenzial zur Schadensbegrenzung ausgesprochen günstig: Schließlich vereinigt sie in einem Produkt Leistungen einer Sachversicherung, Rechtsschutzversicherung, Haftpflichtversicherung, Vertrauensschadenversicherung und Vermögensschadenversicherung.

Wenn Sie unverbindlich wissen wollen, was eine Cyber-Versicherung für Ihr Unternehmen kostet, dann rufen Sie uns einfach an: 030 863 926 990.

Praxisausfallversicherung für Ärzte und Heilberufe - Foto: DanielCubas via Pixabay

Heilberufe und Ärzte: Praxisausfall und Cyber-Attacken – beides versichert?

Praxisausfallversicherung für Heilberufe

Ob als Arzt, Zahnärztin, Physiotherapeut oder in irgendeinem anderen Heilberuf: Wer sein Geld mit einer eigenen Praxis verdient, ist darauf angewiesen, dass der Praxisbetrieb läuft.

Trotzdem kann es natürlich immer passieren, dass die Praxis aufgrund widriger Umstände vorübergehend schließen muss. Damit brechen auch Umsätze und Einnahmen weg. Vor diesen finanziellen Folgen schützt eine Praxisausfallversicherung.

Schutz vor Praxisausfall hat zwei Grundkomponenten:

  • Die eigentliche Praxisausfallversicherung zahlt, wenn der Arzt, die Therapeutin, der Logopäde oder die Zahnärztin nicht arbeitsfähig sind und deshalb sämtliche Termine verschoben werden müssen.
     
  • Das zweite Element ist eine Versicherung gegen Praxisbetriebsunterbrechung. Sie ersetzt den Verdienstausfall, wenn die Praxisräume oder wichtige Geräte nicht mehr genutzt und deshalb keine Behandlungen stattfinden können, beispielsweise durch einen Wasserschaden, einen Brand, einen Einbruchs oder andere Sachschäden .

Fragen Sie uns!

Wir von acant vermitteln diesen Versicherungsschutz natürlich – und wir beantworten Fragen dazu, selbstverständlich kostenlos: 030 863 926 990.

In vielen (nicht allen) Fällen empfehlen wir diese Deckung, weil sie das Unternehmen hinter der Praxis wirtschaftlich absichert.

Und wenn alle Computer und Daten weg sind? Auch dafür muss vorgesorgt sein

Allerdings bleibt eine Deckungslücke, selbst wenn Praxisausfall und Betriebsunterbrechung versichert sind. Sie betrifft Cyber-Schäden: Schäden an den Computersystemen oder Daten. Diese haben die Versicherungsgesellschaften bei der Deckung von Praxisausfallversicherungen nicht eingeschlossen.

Dabei kann ein Computer-Angriff oder ein Computerschaden die Praxis ganz besonders effektiv lahmlegen. Etwa dann, wenn ein Verschlüsselungstrojaner den Terminkalender unlesbar macht oder die Karten nicht mehr eingelesen werden können.

Falls gar die Patientendaten gestohlen werden, ist das ein GAU. In dem Fall droht nicht nur wirtschaftlicher Schaden durch die Praxisschließung. Dann haben die Patienten auch Schadenersatzansprüche, die sie gegenüber dem Arzt oder der Therapeutin geltend machen können.

Die Lösung ist eine Cyber-Versicherung speziell für Ärzte, für Heilberufe und Heilnebenberufe. Dieser Versicherungsschutz für die eigene Praxis sollte genauso selbstverständlich sein wie Impfschutz für Kinder. Welche Police am besten zu Ihnen und Ihrer Praxis passt, können wir für Sie und mit klären. Wir beraten Sie gern.

Cyberversicherung auswählen- Image by Pete Linforth from Pixabay

Cyber-Versicherung: Versichern Sie nur die vorhandenen Risiken

Cyber-Versicherung: Schnell abschließen, und fertig?

Dass eine Cyber-Versicherung für Unternehmen sinnvoll ist, um Versicherungsschutz gegen Trojaner, Datenpannen, Cyber-Erpressungen und ähnliche Bedrohungen zu haben, das liegt auf der Hand. Solche digitalen Katastrophen können schließlich richtig teuer werden: Betriebsunterbrechung, Umsatzeinbußen, vergraulte Kunden, die Wiederherstellung der Technik, möglicherweise Bußgelder oder Schadenersatz für gestohlene personenbezogene Daten, das alles kann sich summieren.

Kein Problem: Mittlerweile werden viele verschiedene Cyber-Versicherungspolicen für Unternehmen angeboten. Auch für kleine und mittlere Betriebe. Also los zur nächsten Vergleichsplattform, die billigste Police raussuchen, und fertig?

Ein Risikoprofil spart Versicherungskosten – und sorgt für bessere Deckung

Das kann man so machen. Aber man darf sich dann nicht wundern, wenn man unterm Strich draufzahlt. Denn auf der Vergleichsplattform gibt es nur Standard-Versicherungen von der Stange. Und die dann strikt nach Kostengesichtspunkten ausgewählt – ohne Blick dafür, ob die Versicherungsbedingungen zum eigenen Risiko passen? Da versichert man sich dann blind – mit entsprechenden Resultaten.

Das Risikoprofil des eigenen Unternehmens ist auch in Bezug auf Cyber-Gefahren ganz entscheidend dafür, welchen Versicherungsschutz man braucht – und welchen nicht. Ein wichtiger Teil meines Job als Versicherungsmakler besteht darin, das Risikoprofil für jeden Kunden festzustellen. Erst dann suche ich die passenden Cyberversicherungsprodukte heraus. Schließlich weiß ich vorher gar nicht, was genau versichert werden muss!

Das Risikoprofil bestimmen Fragen wie diese:

  • Fallen besonders sensible personenbezogene Daten nach DSGVO in dem Unternehmen an, etwa zur Gesundheit, zu den persönlichen Finanzen, zu religiösen und politischen Einstellungen ? Ein Steuerberaterbüro, ein Heilpraktiker, eine Apotheker, ein Optiker, eine Arztpraxis oder ein Marktforschungsinstitut haben in Sachen Datenschutz besondere Risiken. Ein Schreinerei-Betrieb, ein Werkzeugverleih oder ein Fahrradspezialist vermutlich nicht. (Das muss man aber prüfen.)
     
  • Welche Investitionen in Technik wurden gemacht, wie gefährdet ist diese Technik und wie wichtig ist sie für den Geschäftsbetrieb? Ein Online-Händler, für den sein Online-Shop samt Warenwirtschaft und Payment-Abwicklung unerlässlich sind, hat ein hohes Risiko. Das gilt genauso für einen Industriebetrieb, dessen zentrale Produktionsmaschinen Telemetrie-Funktionen besitzen (und damit eine Angriffsfläche bieten) oder für ein Logistik-Unternehmen, der für seine Disposition GPS-Daten und Pläne mit den Fahrzeugen austauscht.
     
  • Wie ist der aktuelle Sicherheitsstandard im Unternehmen? Ist klar definiert, wer Zugang zu bestimmten Daten, Geräten etc. hat? Gibt es Regeln zum Einsatz eigener Geräte? Gibt es Vorgaben für Geschäftspartner, vor allem solche, mit denen Daten ausgetauscht werden? Kümmern sich Fachkräfte um die IT-Sicherheit? Kurz gesagt: Hat sich das Unternehmen für seine Größe und sein Geschäftsfeld ausreichend mit Sicherheitsfragen befasst, organisatorisch und technisch?
     
  • Welche Risiken sind bereits versichert? Eine Cyber-Versicherung ist eine Querschnittsversicherung, die Haftpflicht, Eigenschäden und oft auch Rechtsschutz enthält. Manche dieser Risiken sind allerdings oft schon im Deckungsumfang von bereits bestehenden Versicherungen enthalten. Damit besteht das Risiko der Überversicherung – und das ist verlorenes Geld. DIeser Punkt wird oft vergessen, er ist aber ganz entscheidend.

Beratung spart Geld – auch beim Versichern

Natürlich kommen für kleine und mittlere Unternehmen nur fertige Versicherungsangebote in Frage. Aber auch ein kleines Unternehmen kann sicherstellen, dass die gewählte Cyberpolice passt. Zum einen, indem das richtige Proukt gewählt wird. Zum anderen lassen sich Teildeckungen durchaus auch bei „fertigen“ Cyberversicherungen anpassen, dazu buchen oder ausschließen.

Für die richtige Wahl muss man sowohl die Versicherungsbedingungen kennen wie das individuelle Risikoprofil des Kunden. Beides gehört zu meiner Aufgabe als Spezialmakler. Rufen Sie mich an, wenn Sie über eine Cyber-Versicherung für Ihr Unternehmen nachdenken. Ich sorge dafür, dass Ihre Versicherung zu Ihrer Branche, Ihrer Betriebsgröße, Ihren bestehenden Versicherungen und Ihrer Risikobereitschaft als Unternehmer passt.

Übrigens kostet Sie weder die Vermittlung noch die Beratung eigenes Geld: Meine Courtage zahlt der Versicherer, für den Sie sich entscheiden. Rufen Sie mich einfach an: 0176 10318791.

Wie bei einer Cyber-Versicherung: die richtige Wahl entscheidet.

Die richtige Cyberversicherung: wichtig, sinnvoll, nicht ganz einfach

Thema Cyberversicherung: über die Unternehmensversicherungen speziell gegen Cyber-Kriminalität und IT-Katastrophen wird immer öfter berichtet. Dabei wird – zumindest in seriösen Quellen – stets dazugesagt, dass dies ein komplexes Thema ist.

Seit Jahren meine Rede! Eine Cyberversicherung erfordert Beratung, sonst bringt sie statt Nutzen nur Kosten. Aber heute beschlossen, mal andere argumentieren zu lassen, und zitiere nur:

Leistungen und Kosten von Cyber-Policen

Die Leistungen von Cyber-Policen unterscheiden sich allerdings je nach Anbieter teilweise deutlich. Unternehmer müssen das genau prüfen. (…) Die Prämienkosten variieren stark, sie richten sich nach Risiko und Größe der Firma, der Art der Daten und der vereinbarten Leistungen. Die Spanne reicht von 500 bis über 100.000 Euro pro Jahr

U. Hottelet, „Wie können sich Unternehmen/Selbständige gegen Cyber-Risiken versichern?“ Haufe.de

Als Versicherungsmakler achte ich strikt darauf, dass Prämienkosten, Deckung und faktisches Risiko für den Kunden betriebswirtschaftlich optimal passen. Das ist eine meiner Kernleistungen.

Risikoanalyse und Versicherungsschutz prüfen

Eines der größten Hindernisse für eine stärkere Verbreitung von Cyberversicherungen ist die sehr aufwendige Risikoanalyse. (…) Wichtig ist es, den Versicherungsschutz genau zu prüfen, also in welchen Fällen gezahlt wird und in welchem Umfang.

Teresa Ritter, Arbeitskreis Öffentliche Sicherheit im Bitkom e. V., in AssCompact 1/2019

Versicherungsschutz prüfen bedeutet, alle Unter- und Teildeckungen, die Deckungsausschlüsse und die Versicherungsbedingungen genau im Blick zu haben. Das ist mein Job. Und die Risikoanalyse führe ich gemeinsam mit meinen Kunden durch.

Die Bedeutung des individuellen Geschäftsmodells

Branchen und Betriebsarten haben für die Cyberversicherung nur untergeordnete Bedeutung. So ist das Cyberrisiko einer lokalen Boutique völlig anders zu bewerten als das eines (vielleicht auch kleinen) Online-Händlers. Und das, obwohl beide Unternehmen Kundendaten sammeln, möglicherweise Kreditkartendaten verarbeiten und ihre Daten und Systeme eventuell auch beide vollständig selbst betreiben oder durch Dritte betreiben lassen. (…) Entscheidend ist, das Geschäftsmodell des Kunden zu durchdringen.

Michael Franke, Leonard Wolf (Franke und Bornberg), in AssCompact 1/2019

Jede Beratung bei acant beginnt damit, Geschäftsmodell und individuelle Situation des Kunden genau festzustellen. Nur dann kann man überhaupt anfangen, sich über Versicherungen zu unterhalten.

Am Thema Cyber-Versicherung kommt man nicht mehr vorbei

Bei der Anzahl stellen wir mittlerweile fest, dass auf jeder zehnten Police mittlerweile ein Schadensfall gemeldet worden ist. Wir sehen Cyberversicherungen von der Aufmerksamkeit her bei den Top fünf-Themen, und das wird in Zukunft sicher eines der Top drei-Themen sein.

Jens Krickhahn, Allianz – AGCS, gegenüber BR24

Für acant ist das Thema Cyber-Versicherung nicht neu. Wir vermitteln  seit 2013 Cyberversicherungen, haben entsprechende Erfahrung und kennen den Markt sehr genau.

Bei acant gibt es zu jeder vermittelten Cyber-Versicherung die nötige Beratung dazu. Neutral und kostenlos.

Wir von acant sind Versicherungsmakler. Dem Kunden das jeweils beste Versicherungsprodukt zu vermitteln und dabei nur seinen Interessen verpflichtet zu sein, schreibt uns das Gesetz vor. Es ist auch unser eigenes Interesse. Schließlich leben wir von der Qualität der Vermittlungsleistung. Und von langfristigen Geschäftsbeziehungen.

Wenn Sie mehr über mögliche Versicherungen gegen Hacker, Trojaner, Datenpannen & Co. wissen wollen, dann fragen Sie uns einfach. Wir legen Wert auf individuelle Beratung – und die ist kostenlos. Sie erreichen uns unter 0 30 863 926 990, oder per  E-Mail ah info@acant.de.

Smart car als Sicherheitsrisiko

Smart Cars im Visier der Hacker, Versicherungen für Drohnen, Vibratoren als Datenschleuder

Warum sollte man einer Versicherung gegen Cyber-Risken zumindest mal ein paar Gedanken gewidmet haben? Man muss eigentlich nur Nachrichten lesen, um die Frage zu beantworten. Das zeigen diese Fundstücke aus den letzten Tagen – alle mit einem Bezug zu Technologie, Risiko, Haftung und Versicherung. Als Versicherungsmakler sind das ja nun mal unsere Themen.

Read moreSmart Cars im Visier der Hacker, Versicherungen für Drohnen, Vibratoren als Datenschleuder

DDoS-Risiko und Haftpflicht-Falle

In den letzten Wochen waren DDoS-Angriffe aus dem Internet der Dinge (Internet of Things, IoT) ein großes Thema. Über Versicherungen hat dabei keiner gesprochen. Dabei wird Versicherungsschutz vor dem Hintergrund immer wichtiger. Zum einen wird man selbst leicht zum Angriffsziel. Und wenn Mittelständler und IT-Unternehmen selbst mit internetfähigen Steuerungen und embedded systems arbeiten, liefern sie schnell ungewollt neue Robotersoldaten für solche Attacken.

Read moreDDoS-Risiko und Haftpflicht-Falle

IT-Compliance, Teil 2: Persönliche Manager-Haftung für IT-Sicherheitsmängel

Wie fehlende IT-Compliance zu Schadenersatzforderungen gegen die Geschäftsleitung führen kann.

  • Im ersten Teil ging es um Compliance generell, und warum Compliance-Verstöße schnell zur persönlichen Haftung aus Geschäftsleiterverantwortung führen können.
  • In dieser Folge wollen wir uns speziell mit IT-Compliance als Risiko für persönliche Schadenersatzansprüche befassen.

Zur Compliance gehört die IT-Sicherheit des Unternehmens

Maßnahmen, die IT-Sicherheitsstandards und Datenschutz-Vorschriften im Unternehmen verankern, sind für die Compliance genauso wichtig wie Abläufe, die eine korrekte Buchführung garantieren oder Bestechung verhindern. Ohne solide, professionelle IT-Security lässt sich weder das vom Gesetzgeber vorgeschriebene Risikomanagement betreiben noch das von Investoren und Kapitalgebern erwartete Niveau an Corporate Governance erreichen.

Ein großer Teil der Werte des Unternehmens ist digital: Ohne Daten, Hardware, Netzwerke und Systeme sind weder Produktion noch Rechnungswesen, Vertrieb oder Marketing denkbar. Datenbestände bilden das Wissen eines Betriebs ab. Selbst so schwer fassbare Dinge wie das Vertrauen der Kunden in die Datensicherheit und das Prestige der Marke in den sozialen Netzwerken sind digital assets. Sie müssen geschützt werden, weil jede Beschädigung immer auch ein finanzieller Schaden ist.

Diese digitalen Werte sind ein Teil des Kapitals, das der Unternehmensleitung anvertraut wurde. Sie ist rechenschaftspflichtig: Der Vorstand oder die Geschäftsführer müssen ihren verantwortungsvollen Umgang nachweisen. Ein wichtiger Teil davon sind angemessene Vorsorgemaßnahmen zum Schutz und zur Erhaltung dieser Werte. All das gehört zu den Geschäftsführungspflichten.

Die Aufgaben lassen sich delegieren – die Haftung nicht

Dass bedeutet nicht, dass sich das Management selbst um technische Maßnahmen wie die Installation von Datensicherungsroutinen kümmern muss oder persönlich den Verschlüsselungsgrad des Cloud-Anbieters überprüfen sollte. Natürlich werden die fachlichen Aufgaben in aller Regel delegiert – an die IT-Abteilung, andere Fachabteilungen oder auch an externe Dienstleister. Aber die Geschäftsleitung muss Sorge tragen, dass alle Maßnahmen, die zur Herstellung von IT-Compliance nötig sind, von qualifizierten Kräften erledigt werden. Und in jedem Fall bleibt die Geschäftsleitung dafür verantwortlich, dass sie die Beauftragten sinnvoll auswählt und die Ausführung angemessen überwacht. Diese Pflicht selbst lässt sich nicht delegieren, genauso wenig wie die Haftung für Versäumnisse, die daraus folgt.

Es geht auch keineswegs nur um technische Lösungen. IT-Compliance schließt die betrieblichen Prozesse ein. Schließlich nützt die Technik wenig, wenn dann ein von Sorglosigkeit oder Unwissen geprägter Umgang damit Sicherheitslücken aufreißt. Deshalb müssen zur technischen Ausstattung und Überwachung entsprechende betriebsorganisatorische Maßnahmen kommen: Angefangen von der Fortbildung der Mitarbeiter über genau abgestufte Zugriffsmöglichkeiten bis zu klaren, arbeitsrechtlich verbindlichen Regeln zur IT-Nutzung: Dürfen Mitarbeiter das Internet auch für private Zwecke nutzen? Können private Geräte für Arbeitszwecke gebraucht werden? Wer ist für Passwortsicherheit verantwortlich? Wer hat Zutritt zum Serverraum? Was muss wie archiviert werden? Nur wenn auch solche Punkte verbindlich geregelt sind, und alle Mitarbeiter wissen, dass diese Regeln durchgesetzt werden, kann man von IT-Compliance sprechen.

Im Umkehrschluss bedeutet das: Wenn die Geschäftsleitung es versäumt hat, für ausreichende technische und organisatorische Sicherheitsmaßnahmen zu sorgen, dann kann ihr das als Pflichtverletzung ausgelegt werden – und dann drohen Regressansprüche im Schadensfall.

Ein wichtiger Teil der Risikomanagements: IT-Risiken versichern

IT-Risiken lassen sich wie andere betriebliche Risiken in vielen Fällen durch eine Versicherung in den Griff bekommen. Soweit Rechner, Software und Daten betroffen sind, schützen Cyber-Versicherungen vor den finanziellen Folgen von Angriffen, Computer-Sabotage, mangelnder Vorsicht oder Havarien. Weitere einschlägige Versicherungen sind Maschinen- und Elektronikversicherungen. Cyber-Versicherungen bieten den Vorteil, dass sie nicht nur den Wert der betroffenen Geräten und Daten selbst in der Deckung enthalten, sondern auch Bausteine für andere Schadensfolgen wie Ansprüche von Geschädigten, Lieferverzögerungen, Rechtskosten und Kosten für Notfall- und Aufklärungsmaßnahmen.

Vor allem machen Versicherungen das Risiko bilanziell beherrschbar. Anstatt im Schadensfall schlagartig und unvorhergesehen den gesamten Schaden finanzieren zu müssen, lassen sich die Kosten des Schadens in planbare Prämien umwandeln – die zudem als Betriebsausgaben die Steuerlast senken. Ohne Versicherung muss der Schaden dagegen aus dem – versteuerten – Eigenkapital bezahlt oder teuer durch Fremdkapitalaufnahme finanziert werden.

Sinnvoller, angepasster Versicherungsschutz ist ein wichtiger Baustein für IT-Compliance.

Ein Haftungsrisiko: Datenschutzrecht

Datenschutzbestimmungen können besonders leicht zur Stolperfalle für Führungskräfte werden und zu persönlicher Haftung führen. In vielen Fällen übertragen die Gesetze die Verantwortung für die Einhaltung sogar explizit an die Geschäftsführung. Allerdings gibt es viele Regelungen: Einschlägig sind Bundesdatenschutzgesetz (BDSG) , das Telemediengesetz (TMG) , das Telekommunikationsgesetz (TKG) das Signaturgesetz (SigG) und das IT-Sicherheitsgesetz samt der zugehörigen KRITIS-Verordnung, die die Bereiche Energie, Informationstechnik, Telekommunikation, Wasser und Ernährung betrifft. Für 2017 steht die KRITIS-Regelung der Bereiche Finanzen, Transport, Verkehr und Gesundheit an. Und ab 2018 wird die europäische Datenschutzgrundverordnung (EU-DSGVO) zur Anwendung kommen.

Die Strafen, mit denen Unternehmen bei Datenschutzverstößen belegt werden können, haben es in sich. Das BDSG sieht Geldbußen von bis 50.000 Euro vor, für schwere Verstöße bis 300.000 Euro. Das IT-Sicherheitsgesetz ermöglicht Bußgelder bis zu 100.000 Euro. Die EU-DSGVO legt sogar Bußgelder von bis zu 10 Millionen Euro oder bis zu zwei Prozent des weltweiten Jahresumsatzes fest.

Ein Kostentreiber neben Bußgeldern ist die gesetzliche Pflicht, nach einem Datenschutzverstoß alle Betroffenen zu informieren. Das muss, rasch, individuell und in rechtlich angemessener Form geschehen – und führt zu entsprechenden Ausgaben. Kopiert hat ein Hacker die Daten von zehntausend Kunden und Interessenten schnell. An jeden ein juristisch stichhaltiges Schreiben aufzusetzen, kostet dagegen viel Zeit und noch mehr Geld.

Und da die Verantwortung für die Einhaltung der Datenschutzvorschriften bei der Geschäftsführung liegt, können aus den Kosten von Versäumnissen sehr schnell Schadenersatzforderungen gegen das Führungspersonal werden.

Ein weiteres Haftungsrisiko: Digitale Buchhaltung

Buchführungspflichten waren schon immer mit Haftungsrisiken belastet. Seitdem die Bücher elektronisch geführt werden, gilt das noch mehr. Zum einen stellt das Handelsgesetzbuch Anforderungen an digitale Handelsbücher (§§ 238, 239, 257 HGB). Zum anderen hat das Bundesfinanzministerium die GoBD veröffentlicht, Grundsätze zur Führung und Aufbewahrung von Unterlagen in elektronischer Form. Sie verlangen, dass digital geführte Bücher vollständig, richtig, übersichtlich und zeitgerecht sein müssen. Jede nachträgliche Änderung, etwa nach einer Fehlbuchung, muss erkennbar sein. Für jede Buchung müssen Belege existieren. Außerdem gilt die Pflicht zur Archivierung: sämtliche Dokumente, auch E-Mails, müssen abrufbereit vorgehalten werden, solange für sie die gesetzliche Aufbewahrungsfrist gilt.

Versäumnisse können sogar ein Straftatbestand sein (§ 283b StGB). In jedem Fall drohen jedoch teure Folgen, denn wenn das Finanzamt Grund hat, an dem Aufzeichnung zu zweifeln oder keine mehr vorliegen, dann wird die steuerliche Bemessungsgrundlage einfach geschätzt.

Noch ein Haftungsrisiko: Vertragsvereinbarungen

Inzwischen sind Vereinbarungen zur IT-Sicherheit und zum Datenschutz Teil vieler Verträge, direkt oder über Liefer- und Geschäftsbedingungen. Der Lieferant kann etwa dazu verpflichtet werden, die IT-Sicherheitsnorm ISO 27001 oder einen BSI-Grundschutzlevel einzuhalten. An Verstöße gegen diese Pflicht kann eine Vertragsstrafe gebunden sein. In anderen Fällen führt das Fehlen oder der Verlust der Zertifizierung zu einer außerordentlichen Kündigung. Auch hier können die resultierenden Einbußen wiederum die persönliche Haftung eines verantwortlichen Geschäftsführers oder Vorstands aktivieren.

Die möglichen Folgen von IT-Sicherheitslücken

Eine mangelhafte oder komplett versäumte IT-Compliance hat teure Folgen. Neben rein wirtschaftlichen Folgen wie Reputationsverlust und entgangenen Aufträgen etwa:

  • Den verantwortlichen Organmitgliedern drohen wegen Organisationsverschulden Bußgelder, im Extremfall sogar Freiheitsstrafen.
  • Dem Unternehmen stehen Schadenersatzforderungen gegen die Organe zu (§§ 91, 93, 116 AktG).
  • Im Raum steht die Abschöpfung des „gesamten wirtschaftlichen Vorteils“ durch Verfall, § 73 StGB, § 29a OWiG
  • Schmerzhaft können Schadenersatzansprüche von Wettbewerbern gemäß § 33 GWB werden.
  • Von Seiten des Finanzamts drohen ein Abzugsverbot, eine Schätzung und die Weiterleitung des Vorgangs an die Staatsanwaltschaft.
  • Gefährdet ist auch das Unternehmens-Rating.
  • Für öffentliche Aufträge kann national eine Sperre die Folge von Compliance-Verstößen sein, international droht die Aufnahme in die „Black List“.