Lehrreiche Cyber-Attacke, Symbolbild: klimkin via Pixabay

Lesetipp: „Lehrreiche Attacke“

Mittelständler berichtet offen über eine Ransomware-Attacke

Ein mittelständisches Unternehmen aus dem Raum Stuttgart wird im Herbst 2019 Opfer eines Trojaners: die Erpresser-Software „Paymer“ verschlüsselt sämtliche Daten im Unternehmensnetzwerk. 2.500 Mitarbeiter haben keinen Zugriff auf ihre Rechner und Daten mehr. Die Festnetzanschlüsse sind tot. Der komplette Betrieb kommt abrupt zum Erliegen. Zwei Wochen dauert es, bis die Produktion wieder anlaufen kann. Bis das Unternehmen aus dem Gröbsten heraus ist, vergehen drei Monate. Der Geschäftsführer vergleicht die Attacke später mit einem Großbrand.

Soweit ist all das nichts Besonderes, geradezu Alltag. Dass Schadsoftware Unternehmen lahmlegt und für enorme Schäden sorgt, gehört zur Tagesordnung.

Besonders ist dieser Fall allerdings aus zwei Gründen:

  • Das betroffene Unternehmen, die Pilz GmbH & Co. KG, bietet Lösungen rund um Automatisierung und Maschinensicherheit an, einschließlich von Sensorik, Antriebs- und Steuerungstechnik. Motto: „The spirit of safety“. Da ist eine erfolgreiche Attacke natürlich besonders delikat.
  • Trotzdem: Anders als die meisten Betroffenen in solchen Fällen macht Pilz die Cyber-Erpressung öffentlich – und kooperierte sogar mit Journalisten, die über den Vorfall und die Reaktion des Unternehmens berichteten. Das Unternehmen setzt wirklich auf Transparenz, es blieb nicht beim Wording.

Eine Ransomware-Angriff aus der Innenperspektive

Herausgekommen ist der Artikel „Lehrreiche Attacke“ im Wirtschaftsmagazin brand eins. Spannende Lektüre und ein echter Lesetipp.

Aus Schaden klug werden: Beim nächsten Mal durch eine Cyber-Versicherung geschützt sein

Was im Artikel allerdings unter den Tisch fällt, ist der Aspekt der Cyber-Versicherung. Die ist genau dafür gedacht, die Folgen solcher Katastrophen abzufedern.

Eine Cyber-Versicherung bezahlt nicht nur die Schäden, die aus der Betriebsunterbrechung, durch Schadenersatzforderungen und ähnliches mehr entstehen. Die Versicherer helfen auch mit konkreten Dienstleistungen: Sie stellen und/oder bezahlen Fachpersonal, das bei der Ermittlung der Schäden, dem Aufspüren der Ursachen und der Datenrettung hilft. Berater für die Krisen-PR und Anwälte für die dringenden Rechtsfragen haben die meisten Cyber-Versicherer ebenfalls im Angebot.

Fazit: Eine Cyber-Versicherung als dritter Sicherungsring

Bei Pilz wurden die Firewalls deutlich verstärkt. Außerdem wurde das Firmennetz komplexer und kleinteiliger gestaltet. Damit der nächste Trojaner, wenn er denn doch zuschlägt, nur noch begrenzten Schaden und keinen virtuellen Flächenbrand mehr anrichten kann.

Solche Lehren sind wichtig und richtig. Organisatorische und technische Schutzmaßnahmen werden jedoch erst durch eine Cyber-Versicherung als dritten Schutzring komplett. Eine Versicherung ist weder für technische Pannen noch für menschliche Schwächen anfällig – und hilft dann, wenn die anderen Schutzvorkehrungen versagt haben.

Haben Sie Fragen? Wir sind für Sie da: +49 (0)30 863 926 990 oder info@acant.de.

Vertrauensschutz - Deckungserweiterung für Cyberversicherung - Symbolbild: heikografie/Heiko S. via Pixabay

In der Cyber-Versicherung mit abgedeckt: Goodwill-PR, Copyright-Verstöße, Sicherheits-Hinterlegungen und mehr

Deckung der Cyberversicherung erweitert

Einer der Spezialversicherer im Bereich IT-Versicherung/Cyber-Versicherung hat seine Versicherungsbedingungen gerade um eine ganze Reihe interessanter Deckungen erweitert.

Die Liste zeigt sehr gut, dass eine gute Police viele Leistungen umfasst, an die man im Zusammenhang mit Cyber-Versicherung nicht gleich denkt.

  • Auch die Haftpflicht aus Datenschutzverstößen der eigenen Dienstleister im Sinne der DSGVO ist mitversichert. Wenn beim Cloud-Provider oder beim Rechenzentrum des Lohnabrechners die Daten von Kunden oder Mitarbeitern verloren gehen, haftet man als Auftraggeber für fremde Fehler mit. Diese Haftung ist nun Teil des Versicherungsschutzes.
  • Nach Datenschutzverstößen wie z. B. Datendiebstahl durch einen Trojaner müssen alle Geschädigten schnell und umfassend informiert werden. Das verursacht regelmäßig großen Aufwand und hohe Kosten. Muss dafür ein Call-Center beauftragt oder eine spezielle Website eingerichtet werden, fällt das nun unter die Deckung.
  • Bei Datenschutzverstößen verlangen die Behörden nicht selten, dass das betroffene Unternehmen noch vor Abschluss des Verfahrens in einem sogenannten Consumer Redress Fund Geld für die Geschädigten hinterlegt. Solche Hinterlegungssummen sind mitversichert.
  • Wird nach dem Missbrauch oder dem Diebstahl von Geschäftsgeheimnissen, Urheberrechten oder Patenten eine Entschädigung fällig, dann sind solche Ausgleichszahlungen in Zukunft ein Versicherungsschaden.
  • PR-Aktionen, die nach einem Vorfall beispielsweise durch Anzeigen, Rabattaktionen, oder Gutscheine den Reputationsschaden eindämmen sollen, sind nun ebenfalls durch die Cyber-Versicherung gedeckt.

Vertrauensschaden und Forensik

Eine gute Cyberversicherung enthält zudem eine Deckung für sogenannte Vertrauensschäden: Schäden, die durch Pflichtverletzungen der eigenen Mitarbeiter entstehen. Wenn ein Mitarbeiter die Kundendaten missbraucht, Geschäftsgeheimnisse entwendet oder die eigene IT sabotiert, zahlt die Versicherung.

Zu den Services, die einige Cyber-Versicherer nach einer IT-Sicherheitsverletzung anbieten, gehört IT-Forensik: Die Gesellschaft schickt nach einem Angriff auf die IT Spezialisten, die schnellstmöglich klären, auf welche Art die Systeme attackiert wurden, wer die Urheber waren und welche Daten abgeflossen sind. Das ist wichtig, weil erst dann die Beseitigung des Schadens wirklich beginnen kann.

Die Cyber-Versicherung wird zum umfassenden Versicherungs- und Dienstleistungspaket

Die Cyber-Versicherung entfernt sich weiter vom klassischen Spartenversicherungsprodukt, hin zum umfassenden Schutzpaket aus unterschiedlichen Versicherungs- und Dienstleistungen. Freuen können sich die Versicherungskunden: Der Markt ist in Bewegung, die Konkurrenz sorgt dafür, die die Cyber-Versicherer ihr Leistungsangebot weiter entwickeln.

Wir von acant behalten den Markt genau im Auge – und werden immer die Versicherungspolice empfehlen, die Ihnen und Ihrem Unternehmen am meisten für Ihr Geld bietet. Haben Sie Fragen zur Cyber-Versicherung? Rufen Sie an 0176 1031 8791 – oder schreiben Sie eine E-Mail.

.

Stundung von Versicherungskosten bei Liquditätsproblemen, Symbolbild Ralph Klein via Pixabay

Akute Liquiditätsprobleme? Zahlungsaufschub ist auch für Versicherungsprämien möglich

Liquiditätsprobleme wegen Corona

Die Corona-Krise stellt viele Unternehmen vor enorme Liquiditätsprobleme. Die Kunden bleiben aus. Zahlungen verzögern sich. Bestellungen, Aufträge und Buchungen werden storniert. Rohmaterial oder Ware werden nicht geliefert.

Darauf hat auch die Politik reagiert. Neben Steuerstundung, Liquiditätsbeihilfen und Soforthilfe-Zuschüssen wurde auch ein gesetzlich verbrieftes, befristetes Moratorium für Dauerschuldverhältnisse erlassen. Es gilt für Verbraucher und für „Kleinstunternehmen“ nach Definition der EU.

Zahlungsmoratorium gilt auch für Versicherungsverträge

Um nach dieser Definition Kleinstunternehmer zu sein, darf das Unternehmen nicht mehr als neun Mitarbeiter beschäftigen, der Jahresumsatz darf zwei Millionen Euro nicht überschreiten.

Solche Betriebe haben ein „Leistungsverweigerungsrecht für Dauerschuldverhältnisse“, wenn diese vor dem 8. März 2020 abgeschlossen wurden.

Damit sind Verträge gemeint, die sich nicht auf eine einmalige Lieferung oder Leistung beziehen, sondern für einen Zeitraum gelten. Typischerweise gilt das bei Verträgen für Strom, Internet und private Müllentsorgung, aber eben auch für Versicherungsverträge.

Im Rahmen solcher Verträge dürfen Kleinstunternehmen gemäß dem neuen Art. 280 § 2 BGBEG die Zahlung aufschieben, und zwar bis 30. Juni 2020. Ab Juli gilt dann wieder die Pflicht zu zahlen, natürlich auch für die Monate des Moratoriums.

Voraussetzung ist, dass der Geschäftsbetrieb auf die Leistung oder Lieferung angewiesen ist und der Geschäftspartner durch den gesetzlich verordneten Zahlungsaufschub nicht selbst in wirtschaftliche Bedrängnis gerät.

Es gibt noch weitere Bedingungen: Die Zahlungsprobleme müssen durch die Corona-Pandemie ausgelöst worden sein. Miet- und Pachtverträge sind ebenso wie Arbeitsverträge explizit ausgenommen.

Auch viele Versicherer stunden die Prämien

Auch einige Versicherungsgesellschaften stunden Versicherungsnehmern mit akuten Zahlungsschwierigkeiten die Prämienzahlungen. Viele sind auch bereit, außerplanmäßig Deckungen zu reduzieren oder Versicherungssummen zu verringern, damit die Belastung geringer wird.

Natürlich ist das Entgegenkommen nicht bei allen Versicherern gleich groß ausgeprägt. Außerdem wird in der Regel erwartet, dass es bis zur Corona-Krise keine Zahlungsausfälle oder Verzögerungen gab. Und natürlich hängt die Bereitschaft zur Stundung immer von Umfang und Art der Versicherung ab.

Sprechen Sie mit uns. Wir sprechen mit den Versicherern.

Wir von acant betrachten uns als Partner unserer Kunden und setzten auf langfristige Zusammenarbeit. Ganz klar, dass wir auch in schwierigen Zeiten für Sie da sind.

Sprechen Sie mit uns, wenn Sie Versicherungszahlungen nicht begleichen können oder Ihre Versicherungskosten reduzieren wollen. Sie erreichen uns unter 030 863 926 999.

Cyber-Risiko Home Office, Symbolfoto von Free-Photos from Pixabay

Cyberrisiko Home Office – Versicherungsschutz für das Unternehmen?

Aktualisierung (24. 04. 2020)

Drei wichtige zusätzliche Hinweise zum unten Gesagten:

  • Unternehmen, die jetzt wegen Corona erstmals oder in stärkerem Maße Home-Office-Arbeit nutzen, müssen dies der Cyberversicherung melden.
    Das Mitteilen dieser sogenannten „Gefahrerhöhung“ ist Voraussetzung für den Versicherungsschutz – soweit der jeweilige Vesicherer das Home Office einschließt.
     
  • Inzwischen gibt es eine Cyber-Versicherungen, die die volle „Sachsubstanzdeckung“ für IT-Geräte ausdrücklich auch auf „ortunveränderliche Geräte“ im Home Office erweitert hat. Damit ist eine separate Außenversicherung nicht mehr nötig.
     
  • Allerdings gilt diese Deckung nicht für Mobilgeräte. Mobilgeräte sind jedoch in bestimmten Cyberversicherungsverträge ohnehin mitversichert. Bei anderen Versicherern müssen sie explizit als Sublimit mit in den Versicherungsvertrag aufgenommen werden.

Sie wollen wissen, ob in Ihren Versicherungsverträgen das Home Office eingeschlossen ist? Oder möchten Sie Ihrem Versicherer mitteilen, dass Ihre Mitarbeiter von zu Hause aus arbeiten? Wir kümmern uns darum: 030 863 926 990.

Cyberversicherung im Home-Office

Die Corona-Epidemie hat Millionen von Arbeitnehmern das Arbeiten im Home Office beschert. Und den Cyber-Kriminellen ganz neue Chancen. Was passiert, wenn die Wohnung der Mitarbeiter zum Einfallstor für Cyber-Gangster wird: Hat das Unternehmen dann Versicherungsschutz?

Dank der Pandemie sind plötzlich jede Menge gefälschter Corona-Informationen unterwegs. Die geheimen Infos über den Erreger? In Wirklichkeit Viren der digitalen Art. Die Bankfiliale hat epidemie-bedingt geschlossen, der Kunde soll sich online anmelden? Phishing zum Diebstahl der Zugangsdaten. Der Shop mit dem Wundermittel? Billiger Betrug.

Das Büro am Küchentisch als IT-Sicherheitsrisiko

Doch das ist nicht alles. Auch die Arbeit von zu Hause aus bringt neue Bedrohungen für die IT-Sicherheit.

  • Home Office erhöht grundsätzlich die Angriffsfläche des Unternehmens. Ganz besonders dann, wenn die Mitarbeiter private Laptops und Telefone verwenden. Bei denen sind weder regelmäßige Updates noch andere Schutzmaßnahmen gewährleistet. Oft stecken sie voller Spyware.
  • Selbst mit Geräten vom Arbeitgeber ist Home Office problematisch. Privates und Dienstliches geht schneller durcheinander. Wenn es IT-Sicherheitsvorschriften überhaupt gibt, werden sie gern missachtet. Die Kontrolle durch Kollegen entfällt.
  • Datenübermittlung, Fernzugriffe, Filesharing, Video-Konferenzen – alles zusätzliche Angriffspunkte.
  • Der durch Corona erforderliche Umzug ins Home Office kam überraschend. Die Mitarbeite musste in ihren Wohnzimmern schnell arbeitsfähig werden. Da fiel die IT-Sicherheit oft unter den Tisch.
  • Besonders gefährlich: Oft haben die Mitarbeiter sich in Eigeninitiative schnelle Lösungen gebastelt. Dateiaustausch über schlecht abgesicherte, kostenlose Cloud-Angebote beispielsweise. Angreifer freuen sich darüber.

Informationen und Tipps:

Zahlt die Versicherung bei einem Cyberangriff auf das Home Office?

Bleibt die Frage; Wie steht es um den Versicherungsschutz des Unternehmens, wenn Cyberattacken durch den Heimarbeitsplatz des Mitarbeiters erfolgen? Zahlt die Cyberversicherung, wenn Ransomware so das Firmennetz lahmlegt? Oder wenn die Kundendaten auf diesem Umweg ins Darknet abfließen?

Wenn der Arbeitgeber Versicherungsnehmer der Cyberversicherung ist, tritt diese für Schäden an Unternehmensdaten und -systemen ein, selbst wenn das Desaster in einem privaten Wohnzimmer ausgelöst wurde. Das gilt auch für die Haftung.

Bei Angriffen über das Home Office ist ähnlich wie bei für die Firma genutzten Privatgeräten (BYOD): Schäden an Firmengeräten durch den ins Büro mitgebrachten USB-Stick sind grundsätzlich gedeckt. Schäden fürs Unternehmensnetzwerk durch den in der heimischen Küche genutzten Firmen-Laptop ebenfalls.

Das gilt grundsätzlich sowohl für Cyber-Risiken wie für die Haftpflicht. Natürlich kommt es auf die genauen Versicherungsbedingungen an.

Außenversicherung

Nicht versichert sind dagegen die privaten Geräte der Mitarbeiter, sowie externe betriebliche Geräte. Letzteres gilt zumindest dann, wenn deren Standort im Wohnzimmer des Arbeitnehmers liegt und im Versicherungsvertrag nicht aufgeführt ist.

Abhilfe schaffen kann eine sogenannte Außenversicherung.

Oft lassen sich Versicherer mit sich reden. So konnten wir erreichen, dass die Deckung der Elektronikversicherung eines acant-Kunden von der stationären Computer-, Büro- und Kommunikationstechnik in den Büroräumen auf das Home Office der Mitarbeiter ausgedehnt wurde. Der Kunde erhielt also quasi eine Außenversicherung in Höhe der Versicherungssumme. Wohlgemerkt: ohne zusätzliche Prämie!

Was wir von acant jetzt für Sie tun können

  • Wir überprüfen für Sie, welchen Versicherungsschutz Ihr Unternehmen momentan hat. Sind Cyberangriffe auf Mitarbeiter gedeckt? Sie übermitteln uns Ihre Policen, wir geben Ihnen die Antwort. Kostenlos, versteht sich.
  • Außerdem loten wir mit Ihnen zusammen aus, wie Sie zu Cyber-Versicherungsschutz für Ihre Home-Office-Arbeiter kommen. Das kann durch Deckungserweiterung oder eine neue Police geschehen. Wir legen Ihnen sinnvolle und günstige Angebote vor, Sie wählen aus. Übrigens: acant vermittelt unabhängig von den Versicherern.

Interesse? Fragen? Sie erreichen uns unter 49 (0)30 863 926 990 oder per Kontaktformular.

Betriebsschließung und Quarantäne wegen Corona? Symbolfoto: Eduardo Davad via Pixabay

Betriebsschließung, Quarantäne, Tätigkeitsverbot: Ein paar Hinweise für den betrieblichen Infektionsfall

Betriebsschließung Quarantäne und die wirtschaftlichen Folgen – hier lesen Sie Antworten aus Versicherungssicht.

Thema Betriebsschließung wegen Corona.

Alle reden vom Corona-Virus – wir auch. Natürlich sind wir Versicherungsmakler für Unternehmen und keine Experten für Infektionsbekämpfung – da empfehlen wir das Robert-Koch-Institut. Aber wir haben Hinweise zu Pandemie-Aspekten, die für Arbeitgeber und Unternehmensleitungen wichtig sind:

  • Besteht Versicherungsschutz, wenn es durch das Virus zu einer Betriebsunterbrechung oder Betriebsschließung kommt?
  • Zahlt die Berufsunfähigkeitsversicherung, wenn Sie aufgrund von Quarantäne nicht arbeiten können?
  • Wie ist das mit der Lohnfortzahlung für Mitarbeiter?

Können die Behörden den Betrieb wegen der Infektionsgefahr schließen oder Arbeitnehmer in Quarantäne schicken?

Ja. Aufgrund von Ansteckungsgefahr können die Gesundheitsbehörden anordnen, dass bestimmte Orte nicht mehr betreten werden dürfen. Das können auch Ihre Firmenräume, Verkaufsräume etc. sein.

Die Behörden können ebenfalls anordnen, dass Erkrankte zu Hause oder in einer medizinischen Einrichtung bleiben müssen. Das Gleiche gilt für Menschen ohne Krankheitssymptome, die Kontakt mit Infizierten hatten.

Für Berufe wie ärztliche Tätigkeiten, bei denen ein besonderes Infektionsrisiko besteht, kann auch ein berufliches Tätigkeitsverbot angeordnet werden.

Im Extremfall können auch in Deutschland ganze Regionen abgeriegelt werden, so wie es in Italien angeordnet wurde.

Bezahlt die Betriebsunterbrechungsversicherung bei Betriebsschließung wegen Quarantäne?

Die Betriebsunterbrechungsversicherung zahlt bei Betriebsunterbrechungen durch Infektionsschutzmaßnahmen in der Regel nicht. Das gilt übrigens auch für Betriebsunterbrechung durch epidemiebedingte Störungen der Lieferkette, etwa durch Produktionsengpässe in China.

Auch eine Ertragsausfallversicherung wird dann in der Regel nicht leisten.

Ein Sonderfall ist die Existenz-Betriebsunterbrechungsversicherung. Dabei ist die Arbeitsunfähigkeit des Inhabers als Unterbrechungsursache mitversichert. Im Zweifel kommt es jedoch immer auf die genauen Versicherungsbedingungen an. Für Ärzte, Zahnärzte und andere Freiberufler gibt es Praxisausfallversicherungen, die je nach Versicherungsbedingungen ebenfalls leisten.

Betriebsschließungsversicherung

Außerdem gibt es spezielle Betriebsschließungsversichungen. Sie decken auch die Betriebsschließung aus Infektionsschutzgründen ab. Sie werden vor allem für lebensmittelverarbeitende Unternehmen sowie Betriebe im Bereich Gastronomie und Hotellerie angeboten. Hier kommt es dann darauf an, ob sämtliche vom Infektionsschutzgesetz erfassten Krankheiten gedeckt sind oder nur die, die schon zum Abschluss des Versicherungsvertrags dazu zählten.

Leider gilt: Wenn Sie jetzt schnell noch eine solche Police abschließen möchten, müssen wir Sie enttäuschen. Diese Versicherungen werden entweder nicht mehr angeboten. Oder Sie werden das Coronavirus vergeblich unter den möglichen Versicherungsfällen suchen.

Ganze Region abgeriegelt?

Übrigens: Wenn statt einzelner Patienten oder Firmen komplette Regionen unter Quarantäne gestellt werden, liegt normalerweise kein Versicherungsfall mehr vor. Das gilt als höhere Gewalt, und die Versicherung zahlt nicht. Ob und wann Ihre Versicherung leisten muss, kann ich Ihnen sagen, wenn Sie mir Ihren Versicherungsvertrag schicken. (Dieser Service kostet Sie nichts.)

Zahlt meine Berufsunfähigkeitsversicherung?

Wenn Sie persönlich in Folge eine Corona-Infektion berufsunfähig werden, wird Ihre private Berufsunfähigkeitspolice grundsätzlich zahlen. Dafür muss normalerweise die Berufsunfähigkeit 50 Prozent betragen, und zwar für eine Frist von mindestens sechs Monaten.

Je nach Versicherungsbedingungen kann die Leistungspflicht auch dann gelten, wenn Sie Ihren Beruf aufgrund eines Tätigkeitsverbot gemäß Infektionsschutzgesetz nicht ausüben können. Solche Infektionsklauseln gibt es vor allem in Berufsunfähigkeitsversicherungen für Medizinberufe. Auch dann ist meist eine Mindestdauer von sechs Monaten Voraussetzung , damit die Versicherung zahlt.

Was passiert, wenn meine Arbeitnehmer am Coronavirus erkranken?

Ob Corona oder Beinbruch, das macht keinen Unterschied: In der Regel erhält der Mitarbeiter zunächst sechs Wochen Lohnfortzahlung, dann Krankengeld von der Krankenkasse.

Und wenn Mitarbeiter aufgrund von Quarantäne nicht arbeiten können?

Zunächst müssen Sie als Arbeitgeber bei einer vom Gesundheitsamt verhängten Quarantäne den Lohn oder das Gehalt für sechs Wochen fortzahlen. Die Lohnkosten können Sie sich  jedoch später in aller Regel vom Gesundheitsamt erstatten lassen. Das gilt übrigens auch im Fall eines Tätigkeitsverbots.

Versicherungsfragen zur Betriebsschließung? Bei uns gibt es Antworten

Wenn Sie Fragen zu Versicherungen und Versicherungsschutz haben – bei uns bekommen Sie Antworten und Beratung. Rufen Sie uns einfach an: 030  863  926  990.

Faktor Mensch in der IT-Sicherheit - Symbolbild von User 024-657-834 via Pixabay

Einfallstor Großhirnrinde: Der Faktor Mensch in der IT-Sicherheit

Technik ist prinzipiell beherrschbar, der Faktor Mensch eher nicht. Jedenfalls dann nicht, wenn sich niemand Gedanken darum gemacht hat.

Und deshalb sind die Probleme der IT-Sicherheit in der Theorie oft im Wesentlichen gelöst – und in der Praxis ein großes Desaster.

So könnte man einen Vortrag auf den Punkt bringen, den Linus Neumann, einer der Sprecher des Chaos Computer Clubs, auf dem CCC-Kongress Ende Dezember in Leipzig gehalten hat.

Die Präsentation gibt es auf Youtube. Das Anschauen kostet fast eine Dreiviertelstunde Lebenszeit. Aber es lohnt sich. Weil einige Aspekte des täglichen IT-Risikos mal aus ganz ungewohnter Perspektive geschildert werden. Außerdem ist es erstaunlich unterhaltsam und man versteht alles Wesentliche auch ohne IT-Fachwissen.

„Hirne Hacken“: Linus Neumann vom CCC zum Mensch als (Unsicherheits-)Faktor in der IT-Sicherheit

Einige der Erkenntnisse aus dem Vortrag

  • Die IT-Sicherheit liefert seit Jahren keinen wirklichen Fortschritt bei den immer gleichen Angriffsrisiken, z. B. Betrügereien oder Schad-Makros in Office-Dateien.
  • Selbst Experten werden immer wieder Opfer. (Faktor Mensch halt.)
  • Das Problem untauglicher Passwörter ist nicht dadurch auszurotten, dass man den Leuten die Verwendung möglichst langer, schwer zu erratender unterschiedlicher Passwörter predigt. Das tun die meisten trotzdem nicht.
  • Die Art und Weise, wie Microsoft Word auf die Gefahr durch bösartige Makros in zugeschickten oder heruntergeladenen Dateien hinweist, ist völlig untauglich. Gleichzeitig sind die Hinweise so gestaltet, dass sie eine unvorsichtige Reaktion leicht machen: ein großer Button, der die Makro-Ausführung ermöglicht.
  • Russischer Staatsbürger? Dann gibt es den rettenden Code nach Attacke eines Verschlüsselungstrojaners von den Cyber-Kriminellen für umsonst.
  • Kein Backup, kein Mitleid.
  • Wer Passwörter oder Zugangsdaten abfischen oder die Leute zum Installieren von Schadsoftware bringen will, muss Angst auslösen – oder eine Routine-Handlung.
  • Beim Risikomanagement auf Ebene der Unternehmensorganisation erhält das Social Engineering (gegen Menschen gerichtete Tricks) bei IT-Angriffen meistens selten genug Aufmerksamkeit.
  • Dabei gibt es Maßnahmen, um die Nutzer als IT-Sicherheitsschwachstelle weniger angreifbar zu machen. Eine solche Maßnahme sind Phishing-Scheinangriffe im Auftrag der eigenen Geschäftsführung mit anschließender Aufklärung. Hintergrund: Mitarbeiter entwickeln meist erst dann ein Bewusstsein für Phishing-Risiken, wenn sie selbst zum Opfer geworden sind.

Die Punkte sind unsere Wiedergabe, keine Zitate. Wir haben einige davon nach Hinweisen von Linus Neumann korrigiert oder zumindest präzisiert – danke für das Feedback. Und vielleicht sollte man noch hinzufügen, dass er in der Präsentation nicht nur Probleme anspricht, sondern auch Lösungen vorschlägt.

Apropos Mensch – es wird noch dieser Tweet zitiert …

Eine Cyberversicherung setzt genau beim Risiko Mensch an

Bleibt aus unserer Sicht noch der Hinweis: Genau deshalb ist eine Cyber-Versicherung gegen Schäden durch IT-Risiken ein wirklich sinnvoller Baustein für das Risikomanagement.

Der Cyber-Versicherungsschutz hängt nicht davon ab, dass Technik im Ernstfall auch funktioniert. Und er schützt selbst dann, wenn Menschen dumme Fehler machen.

Wie immer: Bei Fragen oder Anmerkungen kann man mit uns von acant einfach reden. Rufen Sie uns an: 0176 10318791.

Eine IT-Versicherung ist sinnvoll - Symbolbild, Foto Michal Jarmoluk via Pixabay

38 Prozent: diese Zahl belegt, dass sich eine IT-Versicherung lohnt

Mehr als ein Drittel der Unternehmen nimmt ihre IT-Versicherung auch in Anspruch

38 Prozent aller deutschen IT-Dienstleister mit einer IT-Versicherung haben diese schon einmal genutzt. Mit anderen Worten: Bei mehr als einem Drittel ist der Versicherungsfall eingetreten, und die Unternehmen haben davon profitiert, versichert zu sein.

Das Ergebnis beruht auf einer Umfrage, die Bitkom Research 2019 bei 305 mittelständischen IT-Dienstleistern durchgeführt hat.

Eine IT-Versicherung ist sinnvolles Risikomanagement

Eindrücklicher kann lässt es sich wohl kaum untermauern: IT-Risiken zu versichern ist betriebswirtschaftlich sinnvoll.

Es ist wie bei Kfz-Versicherungen: Selbst wenn diese nicht vorgeschrieben wären, sollte man sie trotzdem haben. Aus Sicht des Risikomanagements ist das Risiko eines Unfalls einfach zu hoch, um auf diesen Versicherungsschutz zu verzichten.

Beim Risiko eines Cyberangriffs, einer IT-Panne oder eines Datenverlusts gilt das heute genauso. Diese Bedrohung ist Teil der Unternehmensrealität. Zum Glück gibt es Cyberversicherungen, die Unternehmen vor den finanziellen Folgen effektiv schützen.

Wir beraten Sie gern – ausführlich und kostenlos

Interesse an einer IT-Versicherung? Bei acant wird individuelle Beratung großgeschrieben. Wir nehmen uns Zeit für Ihre Fragen. Rufen Sie uns an (030 863 926 990) oder schreiben Sie uns eine Nachricht.

Cyber-Versicherung - für wenn es brennt in der IT. Foto: Myriam Zilles via Pixabay

„Brauchen wir eine Cyber-Versicherung?“

Die Fragen hören wir oft. Doch die Fakten sprechen für sich.

„Braucht mein Unternehmen wirklich eine Cyber-Versicherung?“

Ja. Genau, wie jedes Holzhaus eine Feuerversicherung braucht.

 Dieser Vergleich ist nicht übertrieben. E-Mail, Buchhaltung, Warenwirtschaft, Steuerung – praktisch alles ist heute digital. Das schafft gewaltige Angriffsflächen, in so gut wie jedem Unternehmen. Ein Funke genügt, um das Holzhaus zu vernichten. Ein unvorsichtiger Klick eines Mitarbeiters, eine unentdeckte Sicherheitslücke genügt, um Ihr komplettes Unternehmen lahmzulegen.

  • Wie lange ist bei Ihnen der Betrieb unterbrochen, wenn sämtliche Daten im gesamten Unternehmen plötzlich verschlüsselt und nicht mehr lesbar sind? Alle E-Mails, alle Zahlungsvorgänge, alle Personaldaten, alle Kundenadressen etc. etc.? Wenn alle Informationen wiederbeschafft, alle Systeme neu installiert werden müssen?
  • Geraten personenbezogene Daten in die falschen Hände, muss jeder einzelne Betroffene benachrichtig werden – und jeder kann Schadenersatz fordern – ehemalige Kunden, Interessenten, frühere Geschäftspartner und Mitarbeiter, alle, deren Namen, Adressen oder Zahlungsdaten gestohlen wurden. Von Bußgeldern und dem Imageschaden haben wir da noch gar nicht gesprochen. Genauso wenig wie von den Kosten für IT-Notfallexperten, PR-Krisenberater und spezialisierten Anwälten.
  • Schließlich sind da noch die Eigenschäden nach IT-Fehlfunktionen und Cyberangriffen: Sachschäden durch Fehlsteuerung zum Beispiel oder Vertragsstrafen durch Software-Fehlfunktionen.

Diese Schäden lassen sich allesamt versichern. Angesichts des Risikos eine sehr sinnvolle Option.


„Schutz vor Cyber-Angriffen? Unsere IT-Leute sind da Experten“

Eine Brandschutzversicherung ist auch dann sinnvoll, wenn man Feuerlöscher hat (und umgekehrt).

Technische Schutzmaßnahmen (Virenschutz, Firewall, regelmäßige Aktualisierungen etc.) sind unverzichtbar. Aber Technik kann das Risiko nie auf null absenken – schon weil der Mensch bei vielen Cyberangriffen die entscheidende Schwachstelle darstellt. Im Gegenteil. Versicherung und konkrete Schutzmaßnahmen sind keine Alternativen, sie ergänzen sich gegenseitig.

Eine Cyber-Versicherung fängt das unvermeidliche Restrisiko auf.

„Gemessen am Risiko ist eine Cyber-Versicherung doch viel zu teuer“

Nein, im Gegenteil: Die Versicherungskosten liegen in der Regel bei maximal einem Promille des Jahresumsatzes.

Im Verhältnis zu den Versicherungskosten und dem Schadensrisiko ist es betriebswirtschaftlich absolut sinnvoll, Cyber-Risiken zu versichern. Es gibt unterschiedliche Policen mit unterschiedlichen Versicherungsbedingungen. Doch in aller Regel beträgt die Versicherungsprämie nicht mehr als maximal ein Promille des Jahresumsatzes. Nur bei Kleinunternehmen oder besonders gefährdeten Unternehmen liegen die Versicherungskosten regelmäßig etwas höher.

Im Gegenzug bietet die Cyber-Police einen breiten Querschnitt an Versicherungsleistungen: Sie deckt Personen- und Sachschäden ab, die durch IT-Sicherheitsverletzungen entstehen, aber auch die Schadenersatzpflicht, die daraus resultiert. Zudem ist in vielen Policen Rechtsschutz enthalten. Außerdem stellen die Versicherer im Schadensfall oft eine Art schnelle Eingreiftruppe bereit: IT-Experten, spezialisierte Rechtsanwälte und Leute für Krisen-PR, die dann sofort helfen.

Cyber-Versicherungsschutz ist nicht teuer. Jedenfalls dann nicht, wenn der Versicherungsvertrag zum Unternehmen passt.

„Wer sich gegen Cyber-Angriffe versichert, kümmert sich automatisch weniger um IT-Sicherheit, oder nicht?“

Wird ein Holzhausbesitzer mit Feuerversicherung automatisch nachlässiger im Umgang mit offenen Flammen?

Wer eine Cyber-Versicherung abschließt und dann die Vorsicht im Internet aufgibt, schadet vor allem sich selbst. Eine Cyber-Versicherung abschließen und dann auf vernünftige Passwörter verzichten, das ist wie die Haustür offen lassen, weil man gegen Einbruchschäden versichert ist. Die Versicherungsgesellschaft stört das weniger – sie leistet dann einfach nicht.

Der Abschluss einer Cyber-Versicherung zeigt gerade, dass man sich der digitalen Bedrohungen bewusst ist.

Die Cyber-Versicherung ist eine sinnvolle Antwort auf ein akutes Risiko

Die Bedrohung durch Hacker, Viren und Trojaner lässt sich nicht mehr ignorieren: Die Frage ist nicht ob, sondern wann ein Unternehmen betroffen ist.

Gleichzeitig werden Datenschutz- und Compliance-Anforderungen immer strenger.

Eine Cyber-Versicherung bietet in dieser Situation auf ähnliche Art Schutz wie eine Krankentagegeld-Versicherung für die Arbeitsfähigkeit von Selbstständigen: Sie kann den Ausfall nicht verhindern. Aber sie sorgt dafür, dass die wirtschaftlichen Folgen beherrschbar bleiben.

Wir von acant sind Experten für Cyber-Versicherungsschutz. Rufen Sie uns an: Wir beantworten Ihre Fragen. Kostenlos und ausführlich.

Geschäftsführerhaftung - Symbolbild Foto: Lena Lindell via Pixabay

GmbH-Geschäftsführerhaftung? Da gibt es doch was vom … Versicherungsmakler

Die Haftung der Gesellschaft ist beschränkt. Nicht die des GmbH-Geschäftsführers.

Sind Sie Geschäftsführer einer GmbH oder auch einer UG (haftungsbeschränkt)? Oder planen Sie die Gründung einer GmbH oder UG, bei der Sie auch selbst die Geschäftsführung übernehmen wollen?

Dann sollten Sie über die GmbH-Geschäftsführerhaftung Bescheid wissen, zumindest in Grundzügen. Und Sie sollten wissen, dass Sie das Risiko persönlicher Haftung durch eine D&O-Versicherung ein gutes Stück weit entschärfen können. (Im Regelfall zahlt die Gesellschaft die Versicherungsprämie.)

Fiktives, aber realistisches Beispiel: Trojaner ruiniert GmbH-Geschäftsführer

Wenn keine Manager-Haftpflichtversicherung vorhanden ist, kann die GmbH-Geschäftsführerhaftung das komplette private Vermögen aufzehren, bis zur Pfändungsgrenze. Und dazu kommt es schneller als gedacht.

Nehmen wir ein (fiktives, aber realistisches) Beispiel: Einer Ihrer Mitarbeiter infiziert mit einem einzigen unvorsichtigen Klick Ihr Firmennetzwerk mit Ransomware. Der Verschlüsselungstrojaner macht im Hintergrund sämtliche Dateien unlesbar. Dann erscheint eine Erpresserbotschaft: 10 Bitcoin für den Code, der die Daten wieder entschlüsselt.

Im Unternehmen geht aufgrund der Verschlüsselung nichts mehr. Sie suchen erst einmal jemand, der weiß, wie man Bitcoin erwirbt und an die Erpresser transferiert. Leider ist die fünfstellige Euro-Summe für den Eintausch der Kryptowährung umsonst, sie erhalten keinen Dateischlüssel. Damit liegen Buchhaltung, Vertrieb und alle anderen Abteilungen lahm, weil kein Zugriff auf Kundendaten, Bestellungen, Abrechnungsprogramme und dergleichen mehr besteht. Betriebsunterbrechung und Lieferverzögerungen sorgen für Auftragsstornierungen und Umsatzverluste. Kunden springen ab, der Ruf des Unternehmens ist schwer beschädigt.

Und dafür macht man Sie verantwortlich, als Geschäftsführer der GmbH. Sie haben sich auf Ihren IT-Administrator verlassen, dessen System zur Datensicherung war jedoch der Aufgabe nicht gewachsen. Die Gesellschafter fordern von Ihnen Schadenersatz für sämtliche Schäden, die der Trojaner angerichtet hat: eine siebenstellige Summe.

Bei jeder Sorgfaltspflichtverletzung droht Haftung

Auch wenn dieser Irrglaube kaum auszurotten ist: Die Haftung mit Ihrem gesamten persönlichen Vermögen droht Ihnen als GmbH-Geschäftsführer keineswegs nur bei Insolvenz der Gesellschaft oder klarem Fehlverhalten in der Geschäftsführung.

Auch durch sogenannte Sorgfaltspflichtverletzungen können Sie sich schadenersatzpflichtig machen, weil Sie Ihre Aufgaben nicht mit der „Sorgfalt eines ordentlichen Kaufmanns“ versehen haben. (Diese Formulierung stammt direkt aus § 43 GmbH-Gesetz.)

Ob im konkreten Fall eine Verletzung der Sorgfaltspflicht vorliegt, ist eine Ermessensfrage. Eine völlig risikofreie Geschäftsführung ist schließlich nicht möglich. Als Sorgfaltspflichtverletzung kann es beispielsweise gelten, wenn …

  • Sie ein offensichtliches Risiko nicht versichert haben, obwohl das möglich gewesen wäre (z. B. Überschwemmungsschäden auf einem Grundstück in Ufernähe, aber auch die Folgen eines Ransomware-Angriffs)
  • nach einem Arbeitsunfall mit hohem Personenschaden der Vorwurf mangelhafter Sicherheitsvorkehrungen erhoben wird
  • ein Rechtsmittel nicht eingelegt wurde, etwa eine Klage, die dem Unternehmen unter Umständen Geld eingebracht hätte.

Im Zweifel entscheidet am Ende ein Richter darüber, ob Sie die konkrete Entscheidung zum Wohle der GmbH und frei von Interessenkonflikten getroffen haben, sich dabei ausreichend informiert hatten und kein unangemessenes Risiko eingegangen sind – also die nötige Sorgfalt an den Tag gelegt haben. Von seinem Urteil kann Ihr persönliches, finanzielles Schicksal abhängen.

In der Praxis besonders gefährlich: Überschuldung, Zahlungsunfähigkeit, Insolvenz

Zu Schadenersatzansprüchen gegen GmbH-Geschäftsführer kommt es besonders häufig in Folge von Überschuldung, Zahlungsunfähigkeit und Insolvenz der Gesellschaft. Nur zwei der damit verbundenen Hauptrisiken für den Geschäftsführer:

  • Er haftet mit seinem Privatvermögen für jede Zahlung, die trotz Insolvenzreife angewiesen wurde und nicht mit der „Sorgfalt eines ordentlichen Geschäftsmanns“ vereinbar ist. (Leitender Gesichtspunkt dafür ist das Interesse der Gläubiger, nicht die Perspektive der Geschäftsführung.)
  • Der Geschäftsführer haftet außerdem, wenn die Gesellschaft zu einem bestimmten Termin rechnerisch überschuldet oder zahlungsunfähig ist und er nicht unverzüglich, spätestens jedoch innerhalb von drei Wochen, Insolvenzantrag stellt. Mit jedem Tag, den die GmbH sich ab dann weiterschleppt, Ausgaben hat und neue Verträge abschließt, wächst die Liste der potenziellen Schadenersatzforderungen. Deshalb folgt aus der Insolvenz der Gesellschaft schnell der private Ruin des Geschäftsführers.

Das ist längst noch nicht alles in Sachen GmbH-Geschäftsführerhaftung

Wohlgemerkt: Das sind längst nicht alle Haftungsrisiken, mit denen ein GmbH-Geschäftsführer konfrontiert ist. Die Liste könnte noch lange fortgesetzt werden, etwa um die Haftung für Fehler von Mitgeschäftsführern, die Haftung für die Forderungsausfälle von Lieferanten, die besonderen Haftungsrisiken für nicht abgeführte Steuern und Sozialversicherungsbeiträge, die Haftung für mangelhafte Compliance etc. etc.

Anders gesagt: Die Haftungsmaterie ist ein komplexes Thema im GmbH-Recht, zu dem es viele Regalmeter an Literatur gibt. Die praktischen Auswirkungen der Rechtslage sind jedoch alles andere als abstrakt.

Und dazu kommt noch ein Punkt: Viele dieser Haftungstatbestände stehen mit Straftatbeständen in Verbindung. Das bedeutet: Erst drohen ein Strafverfahren mit Strafprozess und Verurteilung – und in der Folge noch eine existenzvernichtende Schadenersatzforderung.

„So etwas passiert mit unserer GmbH ja nicht.“

Trotzdem erlebe ich es häufig, dass GmbH-Geschäftsführern das Bewusstsein für ihr persönliches Risiko fehlt. Natürlich kann man darauf setzen, dass schon nichts passieren wird. Aber das ist dann eben Vogel-Strauß-Politik. Denn zu einer Insolvenz oder zum Vorwurf einer Sorgfaltspflichtverletzung kommt es keineswegs nur bei unfähigen Geschäftsführern – das ist schlicht ein allgemeines Berufsrisiko.

Die GmbH-Geschäftsführerhaftung lässt sich versichern. Fragen Sie uns einfach!

Zum Glück kann man vorbauen: durch eine D&O-Versicherung, die Schadenersatzforderungen aus der GmbH-Geschäftsführerhaftung abdeckt. Weil die Haftungsfragen rechtlich so komplex sind, kommt es bei einer Geschäftsführer-Haftpflichtpolice sehr auf die Versicherungsbedingungen an.

acant ist auf D&O-Versicherungen spezialisiert. Haben Sie Fragen? Wir beraten Sie gern, und selbstverständlich kostenlos.

Sorglose Mitarbeiter und Ransomware - Risiko (Symbolbild) - Foto: rawpixel via Pixabay

Cyberangriffe durch Ransomware: Ihre Mitarbeiter sind das Hauptrisiko – und Ihre Präventionschance

Ransomware und kleinere Unternehmen

Heute möchte ich gern drei Erfahrungen zur Diskussion stellen, die Ransomware-Angriffe auf kleinere Unternehmen betreffen – und wie man sie erfolgreich verhindert.

Schließlich sind wir davon als Versicherungsmakler mit betroffen: Wir von acant vermitteln seit vielen Jahren Cyber-Versicherungen, die auch die Schäden durch Ransomware abedecken. Und zur Betreuung gehört es selbstverständlich, dass wir uns im Schadensfall kümmern.

Die ganz kurze Version:

  • Ransomware bedroht auch kleinere Unternehmen von überschaubarer Größe.
  • Schwachstelle Nr. 1 für solche Cyberangriffe: Ihre Mitarbeiter. Diese Sicherheitslücke lässt sich nicht dadurch schließen, dass die Technologie auf aktuellem Stand ist.
  • Ihr großer Vorteil als kleinerer Betrieb: Sie erreichen Ihre Leute und haben sie im Blick. Das lässt sich zur Prävention nutzen!

Ransomware, Erpresser-Software, verschlüsselt still und heimlich auf dem befallenen Rechner und im gesamten Netzwerk alle Dateien, auf die sie Zugriff bekommt. Dann erscheint ein Hinweisfenster mit der Aufforderung, Geld zu zahlen, wenn man den Schlüssel zum Wiederlesbarmachen der Daten haben will. In Folge von Ransomware-Angriffen fallen ganze Firmennetzwerke oft tage- und wochenlang aus. Selbst beim Bezahlen der Forderung hat man keine Garantie, dass man die Daten wiederbekommt. Und häufig werden die Daten nicht nur verschlüsselt, sondern auch entwendet, z. B. Bankzugänge und Zahlungsinformationen.

Für Ihr Unternehmen ist Ransomware kein Thema?

Selbst wenn eine Firewall installiert ist und Aktualisierungen sofort eingespielt werden, wenn regelmäßige Backups gemacht werden und überall Virenschutz läuft: Sind Sie sicher, dass keines der folgenden Szenarien bei Ihnen stattfinden kann?

  • Ein Mitarbeiter bekommt eine etwas verwirrend formulierte Nachricht geschickt. Absender ist ein langjähriger Geschäftspartner. Er öffnet die mitgeschickte Datei, um herauszufinden, was dahintersteckt – und installiert damit den Trojaner.
  • Oder: Einer Ihrer Leute flirtet seit einiger Zeit mit einer Zufallsbekanntschaft aus dem Internet. Heute schickt sie ihm endlich ein paar Fotos von sich … Rest: Siehe oben.
  • Dritte Variante: Jemand nutzt das Firmennetz für private Downloads. Leider ist die heruntergeladene Datei nicht das, was sie vorgibt …

Wenn so etwas auch bei Ihnen denkbar ist, wie übrigens in den meisten Unternehmen, dann hat Sie bisher nur Ihr Glück vor einer Infektion mit Ransomware bewahrt.

Es geht ganz schnell. Und es trifft nicht nur Idioten.

Verschärfend kommt hinzu, dass die Angriffe immer hinterhältiger werden und oft so gut getarnt sind, dass auch normal intelligente Menschen leicht ins Netz gehen. Zu den neueren Tricks gehören Mails mit dem Handy-Foto eines Dokuments. Das ist gerade etwas zu klein, um lesbar zu sein. Da klickt man doch fast automatisch auf das Bild, um es zu vergrößern, nicht wahr? Und schon ist man infiziert.

Besonders heimtückisch ist sogenannte „polymorphe“ Malware: Schadprogramme, die bei jedem neuen Angriffsziel interne Dateibezeichnungen, die Verschlüsselung, die Kompression oder andere Merkmale verändern, um unter dem Radar der Virenscanner hindurch zu fliegen. Identisch bleibt allerdings die Schadfunktion, die dann beispielsweise alle Daten im System verschlüsselt.

Ganz wichtig: Risikobewusstsein

Im Grund hilft gegen Ransomware und andere Cyber-Attacken nur das, was ältere Menschen vor Enkeltrick-Betrügern schützt: fest verwurzeltes, gesundes Misstrauen, und das Wissen um das Risiko. Das dürfte dem einen oder anderen Arbeitnehmer von Haus aus jedoch fehlen.

Deshalb tut Aufklärungsarbeit Not. Natürlich müssen nicht sämtliche Kollegen IT-Experten werden. Aber sie müssen die Gefahr im Hinterkopf haben, die hinter jeder E-Mail und jedem Dateiaustausch lauern kann. Sie müssen lernen, im Zweifel nicht zu klicken. Und dass sie jederzeit fragen können, wenn ihnen etwas merkwürdig vorkommt.

Maßnahme eins: Awareness-Schulungen

„Security Awareness“-Schulungen bringen wenig, wenn ein großer Experte eine Stunde lang unverständlich daher redet und die Mitarbeiter derweil die Gehirnwindungen baumeln lassen.

Aber es geht ja auch anders: mit Praxisbezug und eindringlichen Beispielen, damit die Zuhörer etwas für ihren Arbeitsalltag mitnehmen. Dann können Schulungen das praktische Sicherheits-Level im Betrieb wirklich erhöhen und sind allemal ihr Geld wert. (Wenn Sie niemand kennen, der solche Schulungen durchführt, kann ich gern Empfehlungen geben.)

Im Idealfall wissen Ihre Leute hinterher nicht nur, wie Ransomware verbreitet wird. Sie verstehen auch, dass man den Befall gar nicht sofort bemerkt, sondern meistens erst dann, wenn die ominöse Nachricht auf dem Bildschirm austauscht, alle Dateien verschlüsselt und erreichbare Backups gelöscht sind.

Natürlich sollte der Chef persönlich auch teilnehmen. Damit alle sehen, dass ihm das Thema wirklich wichtig ist.

Maßnahme zwei: Einfache Verhaltensregeln aufstellen

Das BSI (Bundesamt für Sicherheit in der Informationstechnik) hat gerade eine „IT-Notfallkarte für KMU“ herausgebracht. Die soll in kleineren Unternehmen neben der Notfallkarte zum Verhalten im Brandfall hängen, so die Idee. Darauf stehen Leitfragen wie „Wer meldet?“ oder „Welches IT-System ist betroffen?“

Na ja. Sinnvoller erscheint mir, dass es ein paar feste Grundsätze gibt, die jeder verstehen und umsetzen kann.

  • Einen Ansprechpartner, den man fragen kann, wenn man sich bei einem Dokument nicht sicher ist.
  • Fragen ist erlaubt – lieber einmal zu viel als einmal zu wenig.
  • Einfache Hinweise wie: „Wenn mir die Datei, die ich gerade geöffnet habe, komisch vorkommt, und ich befürchte, dass es sich um Ransomware handelt: Gerät aus, WLAN-Router aus, Netzstecker ziehen, alle informieren.“
  • Und natürlich alle üblichen Regeln zur IT-Sicherheit – angemessener Passwortschutz, systematische Datensicherung, alle Updates installieren, Rechte vergeben, damit nicht jeder überall Zugriff hat etc. etc.

Maßnahme drei: Ihre Leute im Blick behalten

Der große Vorteil in einem kleineren Unternehmen: Sie kennen Ihre Leute persönlich. Sie können einschätzen, wer unvorsichtig genug sein könnte, triebgesteuert auf angebliche scharfe Videos zuzugreifen. Oder für wen die Technik ohnehin so kompliziert ist, dass er weder Datei-Typen unterscheiden noch Header-Zeilen in einer E-Mail verstehen wird.

Sie können Ihre Mitarbeiter individuell vergattern, und dafür sorgen, dass für bestimmte Kandidaten besondere Regeln gelten. Sorgen Sie dafür, dass jedem einzelnen klar wird, wie schnell digitale Dämlichkeit zu fünf- oder sechsstelligen Einbußen führt. Alle Firmendaten weg, der Betrieb tagelang geschlossen, die Kunden vergrault – dass man sich damit keine Freunde macht, verstehen Ihre Mitarbeiter dann schon.

Maßnahme vier: Versichern

Schäden durch Ransomware und andere Cyber-Angriffe versichern ist die Sicherheitsmaßnahme überhaupt. Die Kosten für eine Cyber-Versicherung liegen in den meisten Fällen im Promillebereich des Jahresumsatzes. Gemessen am Risiko ist es das allemal wert.

Eine Cyber-Versicherung deckt als Querschnittsversicherung verschiedene Schadensfolgen ab. Der genaue Deckungsumfang hängt vom Produkt und der konkreten Police ab. In Bezug auf Ransomware wären dies beispielsweise:

  • Sachschäden (die etwa dadurch entstehen, dass im Wortsinn der Stecker gezogen und der Server nicht korrekt heruntergefahren wird.
  • Die Haftpflicht: das ist bei solchen Angriffen oft mit der teuerste Posten, denn Schadenersatz kann jeder fordern, dessen persönliche Daten entwendet wurden, aber auch Geschäftspartner und Kunden, denen gegenüber Fristen nicht eingehalten werden und dergleichen mehr
  • Rechtsschutz: Anwalts- und Gerichtskosten, die in Folge der Verschlüsselung vestehen
  • Flankierende Leistungen zur Schadensminderung: Die Versicherung bezahlt IT-Experten zur Behebung der Schäden und zur Aufklärung des Vorfalls, Anwälte und PR-Leute, die Sofortmaßnahmen ergreifen etc. In vielen Fällen vermittelt die Versicherungsgesellschaft diese Experten auch gleich selbst.

Rufen Sie einfach an, wenn Sie Fragen haben, oder schicken Sie uns eine kurze Nachricht. Bei acant gilt: Beratung ist Ehrensache. Und selbstverständlich kostenlos.