Cyber-Risk

Typisch: Cyber-Attacke auf Dieter Hallervorden

von

Cyber-Attacke auf Theater

Schlagzeile im Tagesspiegel: „Ärger für Dieter Hallervorden in Berlin  – Datendieb erpresst Schlossparktheater”. Mehrere tausend Datensätze seien bei der Cyber-Attacke aus dem Online-Zahlungssystem gestohlen worden: „Kundennamen, Adressen, Passwörter, Telefon-, Konto- und Kreditkartennummern.“ Dann wurde das  Theater am Steglitzer Kreisel erpresst. Sechs Bitcoins, also einen Gegenwert von knapp 1.3oo Euro, soll der Datendieb gefordert haben, damit er die persönlichen Daten nicht veröffentlicht.

Nicht viel, das stimmt. Das Geld wurde auch gar nicht bezahlt. Aber alle Betroffenen mussten informiert werden. Das kostet bestimmt nicht viel weniger. Wenn es doch noch zu Schädigungen kommt, folgen bestimmt Schadenersatzforderungen. Und dann ist da noch der Vertrauensverlust – der sich direkt auf die Zahl der online verkauften Tickets niederschlagen kann. Das ist der Schaden. Ob Didi, Geschäftsführer des Theaters, eine Cyber-Versicherung abgeschlossen hat? Dann sind solche Schäden nämlich gedeckt.

Typisch!

Das Außergewöhnliche an dem Vorgang ist jedenfalls nicht, dass eine Cyber-Attacke mit Erpressungsversuch auch ein kleines Theater treffen kann  – sondern dass jeder davon weiß. Solche Vorfälle sind in Deutschland nämlich längst an der Tagesordnung. Man hört nur selten davon.

Nachtrag (2. 10.): Dass man heute nun wieder von 15 Mio. bei T-Mobile gestohlenen Datensätzen  liest, rundet das Bild ab: Cyber-Risiken betreffen heutzutage zumindest in der ersten Welt einfach jedes Unternehmen – Punkt.

Fragen zur Cyber-Versicherung?

Bei uns gibt es Antworten:  030 863 926 990

Schritt für Schritt zur IT-Sicherheit

von

Unternehmen im IT-Sicherheitsdilemma

Trotz steigender Bedrohungslage ist das Thema IT-Sicherheit in weiten Teilen der deutschen Wirtschaft noch nicht bis in die Chefetagen vorgedrungen., so eine aktuelle Bitkom-Studie von 2015. Dabei ist der Schaden durch Cyberattacken und Produktpiraterie enorm hoch: 51 Milliarden Euro Gesamtschaden. Ganz neue Dimensionen entstehen durch beauftragbare Internetpiraten („Crime as a service“) und fortschreitende Digitalisierung (Web 4.0). Erste Insolvenzen durch hackerbedingte Betriebsunterbrechung gab es bereits.

Eine eindrucksvolle Online-Darstellung der zur Sekunde laufenden Angriffe erhalten sie beim Sicherheitstacho der Telekom- Werfen Sie ruhig auch einen Blick auf die verfügbaren Statistiken.

Doch mangels gesetzlicher Grundlagen und aus falscher Scham werden diese Ereignisse nicht öffentlich gemacht. Es ist grotesk: Der Bundestag beschließt das IT-Sicherheitsgesetz, während eine Cyber-Attacke seine IT-Infrastruktur schwer beschädigt. Deutlicher kann man nicht zeigen, welches Risiko mit der der Digitalisierung der Arbeitsprozesse verbunden ist.

Was ist zu tun, um die IT Sicherheit zu verbessern und das Restrisiko abzusichern?

Schritt 1: Die eigene Risikosituation einschätzen

Frage: Welcher Angreifer interessiert sich für mein Unternehmen?

  • Außentäter Die Angreifer schauen weder auf den Ruf noch auf den Namen Ihres Unternehmens, sie suchen nur offene Zugänge in Ihr IT-System. Arbeitet ihr Unternehmen mit elektronischer Datenverarbeitung? Haben Sie IP-Adressen und Schnittstellen ins Internet? Dann sind sie potentielles Opfer.
  • Allerdings sind Außentäter nicht etwa nur Täter mit Sitz im Ausland. Eine Bitkom-Studie von 2014 ermittelte, dass die kriminellen Handlungen oft innerhalb der Grenzen stattfinden: Bis zu 45 % der Cyber-Kriminalität geht von Deutschland aus.
  • Innentäter sind das unterschätzte Risiko. Der Täterkreis ist oft in den eigenen Reihen zu suchen: Gemessen an den kriminellen Handlungen sind die Täter mit bis zu 66 % unter (ehemaligen) Mitarbeitern zu suchen

Frage: Was kostet mich eine digitale Betriebsunterbrechung und die Wiederherstellung meiner infizierten IT -Infrastruktur?

Das hängt natürlich vom Einzelfall ab. Aber: Unternehmen sind von existentiell bedrohlichen Angriffen betroffen. Berichte hierüber gibt es allerdings nur von Konzernen. Der Mittelstand vermeidet aus verständlichen Gründen bei solchen Ereignissen die Publizität.

Zwei Beispiele aus der Realität

  • Ein entlassener Mitarbeiter zerstört Produktionsparameter, Kundenanpassungen und Planungsunterlagen – das kann passieren, weil eine Zugangsberechtigung vergessen wurde. Kosten für Umsatzausfall und Wiederherstellung/ Rettung der Daten: € 450.000,00
  • Ein Unternehmen der chemischen Industrie fängt sich über eine infizierte  E-Mail eine Schadsoftware ein. Kontodaten werden manipuliert, Zahlungen in Höhe  € 100.000,00 von einem Kunden werden umgeleitet und gehen dem Unternehmen verloren. Die Schadsoftware verbreitet sich auf dem Produktionssystem, die Produktion fährt unkontrolliert herunter, die Produktionsanlage wird beschädigt. Kosten für Umsatzausfall, Forensik, Wiederherstellung der Systeme: € 1,3 Millionen

Schritt zwei: Den eigenen IT-Sicherheitsstatus feststellen

Ein einfaches webbasiertes Selbst-Audit kann einen ersten Überblick über die Technik, Organisation und ihre Prozesse geben. Eine gute Basis, um gemeinsam mit der IT-Abteilung die Anforderungen abzuleiten.

Der Quick-Check der Versicherer liefert anhand von  39 Fragen für eine solide Einschätzung der Risikosituation. Das Ergebnis ist eine Art Risikolandkarte,  als Grundlage der weiteren Diskussion.

Maßgeschneiderte Testierung von Cyber-Security in Unternehmen:  Mit Tools wie dem Selbst-Audit durch den VdS-Quick-Check, vor allem aber mit der neuen VdS-Richtlinie 3473 können Unternehmen und Kommunen einen neuen Standard zur Bewertung ihrer IT-Sicherheit entwickeln.  Ein VdS-Zertifikat schafft Vertrauen bei Kunden und Lieferanten, entspricht dem IT-Sicherheitsgesetz und unterstützt gleichzeitig Versicherer bei der Einschätzung des Cyberrisikos.

Schritt 3: Das Restrisiko absichern – durch eine Cyber-Versicherung

Damit eine Versicherung abgeschlossen werden kann, muss das Risiko genau definiert werden. Dazu bieten sich folgende Schritte an, die wir als Versicherungsmakler mit unseren Kunden gemeinsam durchgehen:

  • Anhand aktueller Schadenerfahrung lässt sich das Schadenpotenzial darstellen: Die Bedrohung kann durch die Einschätzung des IT-Leiters konkretisiert werden, wie viele Tage er oder externe Fachleute für das Aufspüren einer Schadsoftware auf dem System benötigen.
  • Folgekosten berechnen: Die schrittweise Ermittlung der Wiederherstellungskosten, Kosten für Kundeninformation und Anwaltskosten macht die (oft existenzbedrohenden) Auswirkungen deutlich.
  • Weitere Bedrohungsszenarien ausloten: Betriebsunterbrechungen, Erpressungssituation und Geld-Umleitung z. B. Besonders gefährdet sind außerdem Branchen, bei denen das Risiko eines Kreditkarten- oder Patientendatenverlusts besteht.
  • Den potenziellen Schaden ermitteln: Auf Basis der erworbenen Erkenntnisse lässt sich der potentielle Schaden und damit die Versicherungssumme leicht ermitteln.
  • Ausschlüsse aufspüren: Die bestehenden Versicherungspolicen müssen immer mit der Cyber-Police abgeglichen werden, um Ausschlüsse zu erkennen, die ‚vor der digitalen Revolution’ formuliert wurden und für den Cyber-Fall relevant sind.
  • Angebote zur Cyber-Versicherung einholen: Die Cyber-Versicherung muss auf das Unternehmensrisiko abgestimmt sein.
  • Notfallplan erstellen: Der Notfallplan ist der mit dem Versicherer abgestimmte Fahrplan für alle Beteiligten im Schadenfall. Eine schnelle und abgestimmte Reaktion verhindert weitere Folgeschäden.

 Welche Kosten übernimmt die Cyber-Versicherung?

  • Schadenersatzansprüche Dritter (Abwehr unberechtigter Ansprüche, Ausgleich berechtigter Ansprüche)
  • Ertragsausfall infolge Unterbrechung des Betriebs
  • Kosten für forensische Untersuchungen
  • Kosten für externe Unterstützung bei Aufklärung
  • Kosten für Einschaltung PR-Berater
  • Wiederherstellungskosten bei Verlust/Zerstörung eigener Daten und Netzwerke
  • Erpressungsforderungen durch Hacker
  • Benachrichtigungskosten bei Verstößen gegen Datenschutz-Vorschriften

Über den Autor: Achim Fischer-Erdsiek ist Geschäftsführer der ProRisk Gesellschaft für Risikomanagement mbH in Hannover.

Cyber-Versichert – auch gegen die eigenen Mitarbeiter

von

Wer das Cyber-Risiko durch eigene Mitarbeiter versichern will, braucht eine Vertrauensschadenversicherung, die eine Computermissbrauchversicherung einschließt.

Beides ist in vielen gängigen Cyber-Policen enthalten und schützt Ihr Unternehmen vor Schäden durch unvorsichtige oder pflichtvergessene Mitarbeiter – ein Risiko, das sich grundsätzlich nicht ausschließen lässt.

Der Mitarbeiter als IT-Risiko

Das zeigt auch ein Posting vom Datenschutzblog29, das Schusseligkeit (unterwegs verlorene Laptops), schlechte Passwörter und Phisingmails beklagt. Natürlich kann man mit Mitteln der IT etwas dagegen tun.

  1. Man kann lange Passworte mit Sonderzeichen, Großbuchstaben und Zahlen erzwingen. Aber dann klebt das Ergebnis eben als gelbe Haftnotiz am Schreibtisch. (Kann sich ja keiner merken …)
  2. Man kann die Speicher sämtlicher Firmenlaptops verschlüsseln. Aber: siehe Punkt 1.
  3. Man kann und soll die Mitarbeiter über Phishing und Sicherheit informieren. Aber bleibt der E-Mail-Anhang von der jungen, charmanten, neuen Bekannten aus dem Branchenforum deshalb ungeöffnet? Eben.

Und das waren nur Sicherheitsverletzungen aus Dummheit. Ganz schwer kontrollierbar ist ein Mitarbeiter, der dem Unternehmen mit Absicht schaden will – ob aus Rachsucht oder zum eigenen Vorteil.

Die Grenzen der Technik … sind der Beginn des Versicherungsbedarfs

Fazit: Die IT-Administration kann gegen Sicherheitsverletzungen durch Mitarbeiter einiges ausrichten. Allein dadurch das Risiko unter Kontrolle zu halten, ist illusorisch. Das lässt sich jedoch durch speziellen Versicherungsschutz sicherstellen.

  • Eine Vertrauensschadenversicherung zahlt bei Schäden durch Veruntreuung, Unterschlagung, Diebstahl, Geheimnisverrat oder Betrug durch eigene Mitarbeiter – auch Straftaten Dritter lassen sich einschließen.
  • Die Computermissbrauchsversicherung erweitert diesen Schutz auf IT-bezogene Taten wie die Veränderung von Software, das unbefugte Kopieren oder Löschen von Daten oder das Zerstören von Datenspeichern.

Unvorsichtige oder böswillige Mitarbeiter mögen Laptops verlieren, die Firewall umgehen oder Ihre Daten klauen. Eine Versicherungspolice im Unternehmenssafe ist vor ihnen sicher.

Wie teuer ist eine Vertrauensschadenversicherung und/oder eine Computermissbrauchsversicherung speziell für Ihr Unternehmen? Für eine schnelle Auskunft schicken Sie mir eine kurze Nachricht oder rufen mich einfach an.

Cyber-Versicherung für Rechtsanwälte: Deckungslücke trotz Deckungserweiterung

von

Cyber-Versicherungsschutz für Rechtsanwälte per Zusatzbaustein?

Vor kurzem rief ein Rechtsanwalt an, der um eine zweite Meinung bat. Der Versicherungsmakler seiner Kanzlei hatte ihm vorgeschlagen, die Deckung seiner Berufshaftpflichtversicherung um einen Cyberversicherungs-Baustein zu erweitern. Der Anwalt war sich nicht recht sicher und fragte uns nach einer zweiten Meinung.

Die Cyber-Deckungserweiterung der AXA

Diesen Baustein bietet AXA seit einiger Zeit speziell für Rechtsanwälte und Notare an.  Die Idee ist eigentlich gut: Statt einer teuren, kompletten Cyber-Police wird die ohnehin vorhandene Berufshaftpflicht quasi durch ein „Plugin” aufgerüstet – und die Kanzlei gegen die finanziellen Folgen von Datenschutzverletzungen und Cyber-Kriminalität geschützt.

Der AXA-Baustein umfasst IT-bedingte Vermögenseigenschäden wie die Datenwiederherstellung und das Reputationsmanagement nach einem Hackerangriff mit Datenverlust. Kosten für die Informations- und Kreditüberwachung, Sachverständige, für internetbezogenen Strafrechtsschutz, Erpressungsgelder und weitere Mehrkosten sind auch „mit drin“.

Haftpflicht ohne Selbstverschulden

Die Beschränkung auf Eigenschäden scheint sinnvoll, denn die Haftpflicht ist bei einem Rechtsanwalt oder Notar ja ohnehin pflichtversichert. Aber: Die Berufshaftpflichtversicherung leistet in aller Regel nur bei einer Pflichtverletzung.  So war es auch bei diesem Anwalt.

Eine Cyber-Attacke oder eine IT-Panne kann dagegen auch ohne eigenes Verschulden eintreten. Ein Trojaner, der eine bislang unbekannte Sicherheitslücke ausnutzt, kann auch bei völlig adäquater IT-Sicherheit zuschlagen. Dann sind möglicherweise Mandantendaten und vertrauliche Informationen kompromittiert. Die Haftungsansprüche der Mandanten an die Kanzlei sind aber nicht versichert – ohne Fahrlässigkeit kein Versicherungsfall!

Deckungserweiterung: Günstige Option – aber nur, wenn es passt

Bei einer großen Kanzlei mit einer individuellen Police hätte sich auch die dafür nötige Deckung zusätzlich aushandeln lassen. Bei einem Einzelanwalt blieb nur die Wahl zwischen der Deckungslücke oder einer kompletten Cyber-Versicherung (die zu einer teilweisen Überdeckung führt). Er hat sich für letzteres entschieden.

Deckungserweiterungen gibt es  übrigens nicht nur für Rechtsanwälte, sondern auch für andere Branchen und Berufsgruppen, etwa Ärzte, Ingenieure und Architekten. Und sie sind auch keineswegs immer sinnlos, im Gegenteil. Man muss nur – wie immer bei Versicherungen – zwei Dinge genau unter die Lupe nehmen: die angebotene Deckung und das eigene Risiko.

Ist  eine Erweiterung Ihrer bestehenden Versicherungen um Cyber-Versicherungsschutz für Sie sinnvoll? Das kann ich für Sie und mit Ihnen klären – rufen Sie mich einfach an: 030 863 926 990.

Druck auf das Kredit-Rating durch einen Cyber-Angriff

von

„Sollte ein Angriff so schwerwiegend sein, dass er sich etwa auf Umsätze und Rentabilität auswirkt und damit die Kreditkennzahlen beeinträchtigt, kann das Kreditrating des Unternehmens potenziell unter Druck geraten. Kosten infolge einer Cyber-Attacke können auf verschiedene Art und Weise auftreten. Umsatzeinbußen, Reparaturen, Ersatzansprüche, Strafzahlungen wegen regulatorischer Verstöße, Rechtsstreitigkeiten und zusätzliche Marketingkosten zur Wiederherstellung der Reputation sind nur Beispiele dafür. Daraus könnten gigantische Summen erwachsen, und sollten sich die Vorfälle häufen, würden sich die Kosten und die Reputationsprobleme zweifellos vervielfachen.“

Das schreibt Gareth Williams, Analyst bei der Rating-Agentur Standard & Poors, in einem (auch sonst lesenwerten) Gastbeitrag auf finanzen.net. Demgegenüber habe der Kostenaufwand für IT-Sicherheit und Cyber-Versicherung nach Einschätzung seines Hauses keine direkte Auswirkung das Kredit-Rating.

Das ist auch leicht einzusehen, denn Cyber-Versicherungen sind nicht teuer. Natürlich hängen die Kosten immer vom individuellen Unternehmensrisiko und vom konkreten Versicherungsvertrag ab, aber häufig bewegen sich die Prämien im Promillebereich des Jahresumsatzes, und auch kleine Unternehmen (Jahresumsatz < 1 Mio. € ) zahlen meist nicht mehr als ein halbes Prozent.

Deckungslücken aufspüren und stopfen

Ich prüfe Ihre Risiken, sichte Ihre vorhandenen Policen und sage Ihnen, wie viel es Sie kostet, mögliche Deckungslücken mit zu versichern.  Rufen Sie mich an: 030 863 926 990. Oder schreiben Sie mir eine Nachricht.

Eine Cyber-Versicherung schützt auch Ihre Bilanz

von

Vor knapp einem Jahr hat sich der Elektronik- und Technologiekonzern Bosch gegen Cyber-Angriffe versichert – mit einer Deckung in Höhe von 100 Mio. Euro. Damals, vor dem Sony-Hack und dem gekaperten Bundestagsnetzwerk, war das eine Schlagzeile wert. Inzwischen kann man davon ausgehen, dass sehr viele DAX-Unternehmen ähnliche Policen besitzen, in vergleichbarer Größenordnung.

Und zwar nicht einfach nur, weil das Cyber-Risiko mittlerweile  auch die Vorstandesetagen aufschreckt. Dahinter stehen Bilanzschutz und angewandtes Risikomanagement.

  • Planbarkeit: Ein Cyber-Angriff oder eine größere IT-Havarie ist ein nicht vorhersehbarer Schaden – mit riesigem Schadenspotenzial (von der unangenehmen Pflicht zu Ad-hoc-Meldungen ganz abgesehen). Die Versicherungsprämie ist dagegen eine feste, bekannte und kalkulierbare Größe. Sie wird normales Element der gesamten betrieblichen Planung, vom Cash Flow bis zur Ergebnisprognose.
  • Kostenvorteil: Ist das Unternehmen nicht versichert, muss es die Kosten für den Schaden nicht nur mit einem Schlag tragen, sondern auch aus dem bereits versteuerten Gewinn oder durch kurzfristig beschafftes Kapital finanzieren. Diese Aufwendungen sind damit sehr teuer. Wird der Schaden durch die Versicherungsprämien gewissermaßen vorfinanziert, stellen diese Kosten dagegen Betriebsausgaben dar. Allein das senkt den Aufwand grob veranschlagt um die Hälfte.

Deshalb ist eine Versicherung praktizierter Bilanzschutz. Sie macht das Risiko betriebswirtschaftlich beherrschbar und sorgt dafür, dass ein Schadensfall zwar vielleicht ihr Netzwerk, aber nicht die Bilanz zum Kippen bringt.

Dafür muss das tatsächliche Cyber-Risiko Ihres Unternehmens exakt ausgelotet und die Versicherungspolice genau auf Ihre Situation angepasst werden. Es sollte weder zu einer Über- noch zu einer Unterdeckung kommen. Sonst sind entweder die laufenden Kosten zu hoch – oder die Kosten im Schadensfall. Der Versicherungsmarkt bietet jedoch inzwischen die passenden Produkte. Und für Auswahl, Anpassung und Vermittlung Ihrer Cyber-Versicherung bin ich als Ihr Versicherungsmakler zuständig.

Cyber-Attacken in den Medien – und in der Realität

von

„Erst die ganzen NSA-Geschichten, dann der Sony-Hack aus Nordkorea, dann  werden Millionen Datensätze von US-Regierungsangestellten geklaut und jetzt ist das komplette IT-Netz des Bundestags im Eimer. Ständig Cyber-Attacken in den Nachrichten, eine unglaublicher als die andere – beste Werbung für Sie, stimmt’s?“

Das glauben viele. Stimmt aber nicht.

Solche Meldungen bestärken den Irrglauben, dass Cyber-Attacken vor allem Regierungsstellen und internationale Multis gefährden. IT-Sicherheitsverletzungen sind auch für KMU ein großes und wachsendes Problem. Aber es steht halt nicht in der Zeitung, wenn beim Mittelständler nebenan ein Notebook mit Kundendaten oder vertraulichen Projektbeschreibungen verloren geht.

Dass hinter IT-Sicherheitsverletzungen  meist hochspezialisierte Geheimdienstprofis stecken, ist ebenfalls ein Mythos. In Wirklichkeit sind es meist schlampige Mitarbeiter, kleine Kriminelle, technische Pannen und dumme Zufälle, die für Schaden sorgen. Der ist dann trotzdem oft enorm. Aber man kann sich ja Gott sei Dank dagegen versichern, für relativ geringe Kosten.

Wenn Sie mehr wissen wollen oder auch einfach nur Fragen haben, freue ich mich über Ihren Anruf – 030 863 926 990 oder Ihre Nachricht.

Die Sicherheitslücke überhaupt …

von

Wer die Website von Mark Semmler besucht, wird dort so begrüßt:

Das größte Sicherheitslücke sind leider Sie: Screenshot der Header-Grafik von Mark-Semmler.de

Nicht sehr schmeichelhaft. Aber der Mann leitet das Entwicklerteam für die Cyber-Leitlinie des Sachversicherer-Verbands. Er weiß, wovon er redet.

Wenn nicht Sie selbst die Sicherheitslücke sind, dann eben Ihr Praktikant, der mit seinen wichtigen Arbeitsabläufen angibt. Der frustrierte Kollege, der nicht befördert wurde. Oder der Faulpelz aus dem Marketing, der stets dasselbe Passwort nutzt und seinen Laptop am Tisch liegen lässt, wenn er noch einen Kaffee holt.

IT-Sicherheit lässt sich nicht einfach fertig installieren. Es gibt auch keine Rundum-Lösung zu kaufen. Wenn alles nur eine Frage der Technik wäre, gäbe es längst nur noch verschüsselte E-Mails – den meisten Leuten ist Verschlüsseln aber zu umständlich.

Für die Sicherheitslücke Mensch gibt es keinen Patch. Aber man kann sie versichern.

Warum Ihr Unternehmen eine Cyber-Police braucht

von

Ganz einfach: Ihr Unternehmen braucht eine Cyber-Police, damit bei einem Cyber-Angriff oder IT-Zwischenfall …

  1. Ihre Datenbestände versichert sind.
    Kunden-, Buchhaltungs- und Produktdaten sind, anders als Maschinen und Inventar, nicht in den klassischen betrieblichen Versicherungen enthalten.
  2. … Ansprüche Dritter an Sie versichert sind
    Ansprüche, die Kunden im Fall verlorener Kundendaten gegen Sie stellen, sind im Regelfall ohne Cyber-Police nicht abgedeckt. Schadenersatzforderungen aufgrund von im Internet verletzter Urheber- und Persönlichkeitsrechte auch nicht.
  3. … sämtliche Folgeschäden versichert sind
    Betriebsunterbrechung als Teil der Deckung klassischern Unternehmensversicherungen. Aber ohne Zusatz- und Folgekosten wie entgangener Umsatz, Datenrettungskosten, Aufwand für Krisen-PR, anwaltliche Beratung, Information aller Betroffener, Reputationsverlust, Rechtsstreitigkeiten etc.
  4. … Spezialisten für den Ernstfall bereitstehen, die Ihrem Unternehmen schnell helfen.
    Weil auch den Versicherungsgesellschaften daran gelegen ist, den Schaden gering zu halten, vermittelt man Ihnen im Schadensfall schnell Hilfe, z. B.  IT-Sicherheits- und Datenrettungsexperten, Anwälte und PR-Berater.

Übrigens: Der Zusatzgewinn an Unternehmens- und Planungssicherheit durch eine Cyber-Police kostet Ihr Unternehmen im Normalfall kaum ein Zehntel vom Jahresumsatz. Natürlich sind die konkreten Kosten abhängig vom Einzelfall. Aber selbst kleine Unternehmen mit weniger als einer Mio. Euro Jahresumsatz zahlen für die Cyber-Police nur sehr selten mehr als ein halbes Prozent davon.

Fragen?

Gerne – bitte an fs@acant-makler.de oder 030 863 926 990 oder per Kontaktformular

Das IT-Sicherheitsgesetz wird teuer – Versichern senkt das Kostenrisiko

von

Es wird mit großer Sicherheit teuer …

Im Sommer dürfte das IT-Sicherheitsgesetz in Kraft treten. Im Moment liegt der Gesetzesentwurf beim Bundestag. Es bringt dem „Bundesamt für Sicherheit in der Informationstechnik“ (BSI) mehr Bedeutung und für so genannte „Betreiber kritischer Infrastrukturen“ neue Pflichten und Kosten – aber auch für jeden geschäftlichen Website-Betreiber.

Unklar: Betreiber einer kritischen Infrastruktur

Noch ist völlig unklar, wer dazu zählt. Genaue Festlegungen soll es erst später per Rechtsverordnung geben.

Bislang ist die Zielgruppe nur über zwei Merkmale eingegrenzt: Zugehörigkeit zu „den Sektoren Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie Finanz- und Versicherungswesen“ und „hohe Bedeutung für das Funktionieren des Gemeinwesens“ (§ 2 Abs. 10 BSIG n. F.) – ziemlicher Gummi also.

Immerhin: Kleinst- und Kleinunternehmen sind ausgenommen. Andere Betreiber müssen …

  • innerhalb von zwei Jahren verbindliche IT-Sicherheitsstandards einführen. (Welche? Auch noch nicht klar …).
  • deren Einhaltung alle zwei Jahre zertifizieren lassen
  • eine permanent erreichbare „Kontaktstelle“ zum BSI einrichten
  • Cyber-Zwischenfälle sowie Störungen und Bedrohungen der IT-Sicherheit unverzüglich an das BSI melden – auch solche, die nicht zu Ausfällen oder Störungen führten. (Immerhin darf dann die Meldung anonym erfolgen)

Neue Sicherheitspflicht für jeden geschäftlichen Website-Betreiber

Eine Änderung im Telemediengesetz verpflichtet zudem Diensteanbieter (d. h. Website- und Webservice-Betreiber) dazu, alles an Cyber- und Datenschutzmaßnahmen zu installieren, was „technisch möglich und wirtschaftlich zumutbar“ (§ 13 TMG n. F.) ist.

Eine Cyber-Versicherung hilft

Meldepflichten, Zertifizierungspflichten, verpflichtende IT-Sicherheitsstandards – all das ist nicht nur in der Umsetzung teuer. Zusätzlich drohen bei Verstößen Bußgelder und Schadenersatzansprüche Dritter.

Genau hier hilft eine Cyber-Versicherung, die Kostenrisiken im Griff zu halten:

  • Bei einem erfolgreichen Cyberangriff, einem technischen Zwischenfall oder menschlichem Versagen im Cyberbereich sind ihr Eigenschaden sowie Ausfall– und Folgekosten versichert (Produktionsausfälle, zerstörte Hardware, Datenwiederherstellung etc.)
  • Wichtiger noch: die Schadenersatzansprüche, die andere in diesem Fall an Sie stellen, sind ebenfalls versichert (denken Sie an Kunden, deren Daten geklaut wurden)
  • Die Versicherer halten Dienstleister für den Krisenfall bereit, die schnelle Hilfe bieten (Datenrettung, Krisen-PR, Rechtsberatung etc.)
  • Und, aktuell im Zusammenhang mit dem IT-Sicherheitsgesetz wichtig: Wenn gegen Ihr Unternehmen ein Bußgeldverfahren aufgrund von IT-Sicherheitsverletzung läuft, sind Ihre Rechtsanwalts- und Gerichtskosten mitversichert.