Risikomanagement

Das IT-Sicherheitsgesetz wird teuer – Versichern senkt das Kostenrisiko

von

Es wird mit großer Sicherheit teuer …

Im Sommer dürfte das IT-Sicherheitsgesetz in Kraft treten. Im Moment liegt der Gesetzesentwurf beim Bundestag. Es bringt dem „Bundesamt für Sicherheit in der Informationstechnik“ (BSI) mehr Bedeutung und für so genannte „Betreiber kritischer Infrastrukturen“ neue Pflichten und Kosten – aber auch für jeden geschäftlichen Website-Betreiber.

Unklar: Betreiber einer kritischen Infrastruktur

Noch ist völlig unklar, wer dazu zählt. Genaue Festlegungen soll es erst später per Rechtsverordnung geben.

Bislang ist die Zielgruppe nur über zwei Merkmale eingegrenzt: Zugehörigkeit zu „den Sektoren Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie Finanz- und Versicherungswesen“ und „hohe Bedeutung für das Funktionieren des Gemeinwesens“ (§ 2 Abs. 10 BSIG n. F.) – ziemlicher Gummi also.

Immerhin: Kleinst- und Kleinunternehmen sind ausgenommen. Andere Betreiber müssen …

  • innerhalb von zwei Jahren verbindliche IT-Sicherheitsstandards einführen. (Welche? Auch noch nicht klar …).
  • deren Einhaltung alle zwei Jahre zertifizieren lassen
  • eine permanent erreichbare „Kontaktstelle“ zum BSI einrichten
  • Cyber-Zwischenfälle sowie Störungen und Bedrohungen der IT-Sicherheit unverzüglich an das BSI melden – auch solche, die nicht zu Ausfällen oder Störungen führten. (Immerhin darf dann die Meldung anonym erfolgen)

Neue Sicherheitspflicht für jeden geschäftlichen Website-Betreiber

Eine Änderung im Telemediengesetz verpflichtet zudem Diensteanbieter (d. h. Website- und Webservice-Betreiber) dazu, alles an Cyber- und Datenschutzmaßnahmen zu installieren, was „technisch möglich und wirtschaftlich zumutbar“ (§ 13 TMG n. F.) ist.

Eine Cyber-Versicherung hilft

Meldepflichten, Zertifizierungspflichten, verpflichtende IT-Sicherheitsstandards – all das ist nicht nur in der Umsetzung teuer. Zusätzlich drohen bei Verstößen Bußgelder und Schadenersatzansprüche Dritter.

Genau hier hilft eine Cyber-Versicherung, die Kostenrisiken im Griff zu halten:

  • Bei einem erfolgreichen Cyberangriff, einem technischen Zwischenfall oder menschlichem Versagen im Cyberbereich sind ihr Eigenschaden sowie Ausfall– und Folgekosten versichert (Produktionsausfälle, zerstörte Hardware, Datenwiederherstellung etc.)
  • Wichtiger noch: die Schadenersatzansprüche, die andere in diesem Fall an Sie stellen, sind ebenfalls versichert (denken Sie an Kunden, deren Daten geklaut wurden)
  • Die Versicherer halten Dienstleister für den Krisenfall bereit, die schnelle Hilfe bieten (Datenrettung, Krisen-PR, Rechtsberatung etc.)
  • Und, aktuell im Zusammenhang mit dem IT-Sicherheitsgesetz wichtig: Wenn gegen Ihr Unternehmen ein Bußgeldverfahren aufgrund von IT-Sicherheitsverletzung läuft, sind Ihre Rechtsanwalts- und Gerichtskosten mitversichert.

 

Die Versicherungskosten der Dortmunder Champions-League-Versicherung

von

Borussia Dortmund ist, wie man gerade überall (z. B. in der FAZ) lesen kann, gegen das Nichterreichen der Champions League versichert.

Das  zeigt zunächst einmal, dass man wirklich für alle möglichen branchenspezifischen Risiken eine Deckung bekommt – auch in speziellen Branchen.  Als ich vor vielen Jahren in London hospitierte,  war ich zusammen mit einem Versicherungsmakler bei einer Bank, die Interesse an einer „Bilanzausgleichsversicherung“ hatte …

Interessant finde ich aber auch, was zu den Kosten dieser – vom BVB nicht bestätigten – Versicherung gegen sportlichen Misserfolg gesagt wird. Der Artikel vermutet, dass die Versicherungskosten „bei 30 Prozent der Versicherungssumme“ liegen. Ist das dann wirklich gutes Risikomanagement? Auch wenn der Vereinsvorstand jetzt sicher froh ist – wäre das Geld nicht besser renditeträchtig investiert worden?

Nein, eben nicht – denn diese Versicherung ist wie jede Police eine „Wette“, und nur auf den ersten Blick teuer. Erzielte Überschüsse muss die Borussia Dortmund GmbH & Co. KG auf Aktien versteuern. Versicherungskosten sind Betriebsausgaben. Damit reduziert sich der Aufwand betriebswirtschaftlich um die Hälfte.

Außerdem sind Versicherungskosten planbare Kosten. Und die Kosten planbarer Absicherung muss man mit dem vergleichen, was man bei einer Krise ohne Vorbereitung aufwenden müsste.

Deshalb können scheinbar hohen Versicherungskosten betriebswirtschaftlich Sinn machen. Der Zweckbetrieb des Vereins ist geschützt vor außergewöhnlichen Umständen wie Ertragsausfällen oder Bilanzverlusten bei Tabellenplatz 18 und kann auch bei sportlicher Krise seine Gläubiger weiter bedienen. Außerdem erhält er Zeit, einen Sanierungsplan zu erarbeiten. Ohne aktives Risikomanagement wäre bei einem Spitzenverein angesichts der hohen Investitionen und des Fremdmitteleinsatzes wohl spätestens nach zwei bis drei verkorksten Spielzeiten auch finanziell der Abpfiff angesagt.

Oder in Sportreporterdeutsch: Wenn man plötzlich unter Druck gerät, muss man rasch umschalten können.

Neue Cyber-Leitlinie der Versicherer: „Brandschutz des 21. Jahrhunderts“

von

Anfang der Woche war ich auf der CeBIT. Dort hat der Verband der Sachversicherer (VdS) seine neue „VdS-Cyber-Leitlinie VdS 3473“ zur Informationssicherheit in KMU vorgestellt, die voraussichtlich im Juli in Kraft tritt. Unternehmen, die diese Anforderungen an Technik, Organisation, Präventionsmaßnahmen und Managementprozesse einhalten, werden eine Cyber-Versicherung zu günstigen Standardbedingungen abschließen können. Damit sind sie vor den Folgen von Hacks, Datenverlusten, Havarien etc. geschützt, auch vor daraus resultierenden Schadenersatzforderungen.

Hintergrund der Einführung: Der Bedarf nach Cyber-Absicherung wird auch den Unternehmen immer mehr bewusst. Aber bislang fehlen – anders als beim Brandschutz oder Arbeitssicherheit – vor allem bei KMU allgemein genutzte IT-Sicherheitsstandards. Das ist für die Versicherer ein Problem. Sie wollen schnell und einfach einschätzen, woran sie bei einem neuen Kunden sind.

Deshalb will der VdS seine neue Richtlinie speziell bei KMU rasch populär machen. Dazu beitragen soll bereits jetzt ein kleines Web-Tool zur Selbsteinschätzung, der VdS-Quick-Check. Wenn dessen Ergebnisse in Ordnung sind, reicht das dem Versicherer als Risikobeurteilung bereits aus. Zeigt die Auswertung gelbe oder rote Felder, wird den Unternehmen der ein- oder zweitägige „Quick-Audit“ durch Experten empfohlen, und als große Lösung die komplette Zertifizierung.

Parallel wird eine Fortbildung zum „Informationssicherheitsbeauftragten“ angeboten.

Die neue Leitlinie bringt nicht nur für die Versicherer selbst, sondern auch für unsere Kunden, die Unternehmen mit Versicherungsbedarf, wirklich Vorteile:

  •  Der Nachweis des eigenen IT-Qualitätsstandards ist mit  der VdS-Leitlinie  viel unaufwändiger als mit dem IT-Grundschutz-Katalog des BSI.
  • Für die vielen unterschiedlichen Versicherungsangebote der Versicherer wird ein gemeinsamer Maßstab festgelegt, Deckungsinhalte und Prämien sind besser vergleichbar.
  • Das Netzwerk von Experten, das bei der Risikoaufnahme hilft, steht dann auch im Schadenfall kurzfristig bereit, um die Wiederherstellung der IT-Sicherheit zu gewährleisten.
  • Die VdS-Richtlinien machen die Haftung des Managements für IT-Sicherheit und Compliance transparent und –  mit einer Cyber-Versicherung und D&O-Lösungen – versicherbar.

Fazit: Zumindest den Quick-Check würde ich jedem Unternehmen empfehlen. Diese zwanzig Minuten sind sicher sinnvoll investiert, denn damit zeigt sich der aktuelle Stand des Unternehmens in Sachen Cyber-Sicherheit.

Versicherungsfall bei der IT-Haftpflicht: Das „Wann“ ist ganz entscheidend!

von

Frage eines Interessenten zum Thema IT-Haftpflichtversicherung: „Angenommen, unser Unternehmen schließt eine IT-Haftpflichtversicherung ab. Und dann ergibt sich auf einmal ein Schaden aus einem Projekt, das wir schon vor einem halben Jahr abgeschlossen haben – ein Programmierfehler, die falsche Hardware, irgend so etwas. Ist das dann auch gedeckt?“

Die Antwort: Es kommt darauf an. Am besten erklärt man es an einem Beispiel:

  • Nehmen wir an, Ihr Versicherungsschutz beginnt laut Vertrag am 1. Juni.
  • Bereits am 5. April  wurde beim Kunden eine mit mangelnder Sorgfalt erstellte Software installiert. Ein Fehler im Quellcode wartet darauf, Unheil anzurichten. (Der Fehler darf bei Abschluss des Versicherungsvertrags aber noch nicht bekannt gewesen sein!)
  • Am 13. Juli ist es dann soweit – das Problem wird virulent, die Datenbank des Kunden havariert, seine Produktion stockt.
  • Am 2. August erreicht sie das Einschreiben mit der Schadenersatzforderung.

Ist dieser Schaden durch Ihre IT-Haftpflicht gedeckt? Das hängt davon ab, welches von drei möglichen, branchenüblichen Prinzipien für die Definition des Versicherungsfalls bei Ihrer Police gilt:

  • Das Verstoßprinzip: Entscheidend ist der Zeitpunkt, zu dem die Pflichtverletzung passierte, die zur Haftpflicht führt.  In unserem Fall ist das im April, also vor Versicherungsbeginn, deshalb haben Sie mit dem Verstoßprinzip Pech.
  • Das Schadensereignisprinzip: Hier ist der Zeitpunkt des Schadens ausschlaggebend. Das war bei uns im Juli, im Folgemonat des Versicherungsbeginns. Hier haben Sie also Glück, die Ansprüche sind versichert.
  • Das Claims-made-Prinzip macht das Datum zum Stichtag, an dem die Schäden geltend gemacht werden, bei uns der  2. August. Auch in diesem Fall sind Sie geschützt.

Wenn der Softwarefehler allerdings beim Abschluss der Versicherung schon bekannt war, dann ist es so gut wie unmöglich, dafür eine Deckung zu erhalten – egal, wie der Versicherungsfall bei Ihrem Vertrag definiert ist.

Und daran sieht man, weshalb es wichtig ist, einen fachkundigen Versicherungsmakler zu haben. Denn der kann Ihnen sagen, welchen Schutz eine bestimmte Police Ihnen tatsächlich bietet.

 

Kurzfristige Haftpflichtversicherung für IT-Projekte?

von

Bei IT-Projekten ab einer bestimmten Größe (Honorarumsatz ab einer Million Euro – Daumenregel) lohnt es sich, über eine spezielle IT-Projektversicherung nachzudenken. Diese deckt – je nach individueller Ausgestaltung –  typische Projektrisiken:

  • Vertragsstrafen (überzogene Fristen, Verstoß gegen Datenschutz oder Vertraulichkeit),
  • außerordentliche Kündigung oder Rücktritt des Auftraggebers
  • … und natürlich projektbezogene Haftpflichten z. B. bei Mängeln oder Schäden.

Solche Projektversicherungen bieten dem Auftragnehmer Schutz  – etwa einem kleineren IT-Dienstleister, der einen großen Auftrag an Land zieht, dafür aber auch mit Personal und Hardware in Vorleistung gehen muss. Zweitens ist ein versichertes Projekt aber auch für den Finanzierer weniger riskant – deshalb lässt es sich im Bankgespräch leichter „verkaufen“.

Vielleicht liegt es an diesem Gesichtspunkt, dass ich immer wieder einmal nach kurzfristigen Projektversicherungen gefragt werde. Das macht aber ohne Betriebs- und Vermögensschadenhaftpflichtversicherung keinen Sinn. Denn diese endet nicht, wenn das Projekt abgeschlossen ist. Ein Schaden kann auch später entstehen und geltend gemacht werden. Deshalb sollte Ihre Versicherungsschutz eine ausreichende Nachhaftung umfassen. Dann sind Sie auch auf der sicheren Seite, wenn ein Programmierfehler oder ein Hardwareschaden erst nach zwei Jahren zuschlägt.

Haben Sie Fragen zum Versichern von IT-Projekten?

Ich beantworte sie gerne.

Cyber-Angriff + Kündigungsschutz = Risiko persönlicher Haftung

von

„Eine Betriebsunterbrechungsversicherung sorgt dafür, dass im Schadensfall – z. B. Betriebsausfall durch Brand – die fixen Kosten übernommen werden. Dazu gehören auch Löhne und Gehälter.

Und weil es solche Versicherungen gibt, wird es schwierig bis unmöglich, Mitarbeiter betriebsbedingt zu kündigen, nur weil  die Firma gerade abgebrannt ist. Begründung der Arbeitsrichter: „Sie, Herr Geschäftsführer, hätten ja versichern können.” Hat der Manager die Versicherung versäumt, droht ihm die persönliche Haftung für die Lohnkosten der Mitarbeiter, die jetzt unproduktiv herumsitzen.

Genau das gleiche Risiko zeichnet sich auch bei Cyber-Angriffen ab. Datenbank platt, Produktion lahmgelegt, enorme Ausfälle – aber Kündigungen gehen trotzdem nicht durch. Statt dessen muss die Geschäftsführung sich mit Fragen zur persönlichen Haftung herumschlagen – wenn es keine Cyber-Risk-Versicherung gab.

Cyber-Risiken sind eben nicht (nur) das Problem der IT-Abteilung. Eine Cyber-Versicherung auch für die Geschäftsführung wichtig.  Und eine D&O-Police zur Absicherung der persönlichen Haftpflicht ebenfalls.

AKW-Bauplan im Netz – schon denkt man über Cyber-Abwehr nach

von

In Südkorea wurden Baupläne und Betriebsanleitungen eines Kernkraftwerks durch einen Cyber-Angreifer gestohlen und veröffentlicht. Die Betreibergesellschaft sieht kein großes Risiko, hat aber immerhin Übungen zur Cyber-Abwehr anberaumt (nach der Attacke, wohlgemerkt). Persönliche Daten von rund 10 000 Angestellten sollen dabei auch erbeutet worden sein.

Quellen: Greenpeace, Deutsche Welle.

Ein leer stehendes Gebäude versichern

von

Ein leer stehendes Haus zu versichern – das ist gar nicht so einfach.

Versicherungsgesellschaften mögen Leerstand nicht, die Risiken sind ihnen zu groß. Schließlich wirkt eine unbewohntes, leer stehendes Gebäude oft wie eine Einladung – an Kinder, die gern auch mal drinnen ein Lagerfeuer machen wollen, an Obdachlose, die nachts mit Kerzen hantieren, oder an Plünderer, die nach Verwertbarem suchen und beispielsweise die Kabel aus der Wand reißen, um das Kupfer zu versilbern.

(Was dann sogar zu Personenschäden führen kann, wie in Duisburg vor einigen Jahren: Da wollte ein Kabeldieb in einer stillgelegten Fabrik eine 10.000-Volt-Leitung mit einer Säge abtrennen. Er hat es nicht überlebt.)

Der Immobilienbesitzer, der uns nach der Versicherung gefragt hatte, bekam sein leer stehendes Haus dann doch versichert. Wir haben uns Mühe gegeben. Überhaupt haben wir bisher auch bei Leerstand noch immer eine Versicherung gefunden. Auch wenn es etwas mehr Zeit kostet.

Sachbeschädigung: Wenn der Manager auf die Konkurrenz losgeht …

von

In Berlin soll ein LG-Manager in einem „Saturn“-Markt vier Waschmaschinen von Samsung beschädigt haben, was für entsprechendes Medienecho sorgte. Die Polizei ermittelt wegen Sachbeschädigung, LG verteidigt sich mit dem Hinweis, der Mitarbeiter habe die Geräte nur auf wackelnde Türen überprüfen wollen – das jedenfalls berichtete Heise vor einer Weile.

Als Versicherungsmakler frage ich mich bei solchen Geschichten natürlich immer: Zahlt da wohl eine Versicherung? Eines kann man klar sagen: Bei vorsätzlicher Sachbeschädigung zahlt die Versicherung den Schaden nicht. Sie leistet höchstens Rechtsschutz bei Einleitung eines Strafverfahrens.

Wenn der Manager aber im Zuge seiner Tätigkeit für den Arbeitgeber (also LG) die Geräte versehentlich beschädigt haben sollte, dann müsste wohl die Betriebshaftpflicht  für den Schaden einstehen. Falls LG, was theoretisch möglich ist, dafür dann seinen Manager wiederum persönlich in Anspruch nimmt, könnte wiederum dessen D&O-Versicherung eintreten, falls er eine besitzt.

Eine „Directors and Officers“-Police ist quasi eine Berufshaftpflichtversicherung speziell für Geschäftsführer, Vorstände und Aufsichtsräte – und angesichts der gesetzlichen Haftungsrisiken dieser „Organe“ unbedingt empfehlenswert. Selbst wenn man nicht gewohnheitsmäßig an den Türen der Konkurrenz rüttelt.

Nachtrag, 28. 12. 2014: Die Sache hatte jetzt in Südkorea ein juristisches Nachspiel. Wie unter anderem N-TV berichtet, wurden in Südkorea deshalb die Konzernzentrale von LG und eine Haushaltsgerätefabrik von der Polizei durchsucht. Samsung habe mehrere LG-Manager wegen „Verleumdung, Sachbeschädigung und Geschäftsbehinderung“ verklagt.
Da macht sich eine „Directors and Officers“-Police vermutlich inzwischen wirklich bezahlt. Gut, wenn man sie hat.

Cyber-Risk-Versicherungen: Wichtiger Risikoschutz – aber auch Kostenfalle

von

Die Bedrohung aus dem Internet ist für Unternehmen längst sehr real, auch für KMU. Es ist dringend geboten, diese Risiken zu versichern, entsprechend wächst der Markt an einschlägigen Versicherungsprodukten rasant. Doch beim Abschluss von Cyber-Risk-Versicherungen gilt es, genau hinzuschauen.

Was Cyber-Risk-Versicherungen leisten

„Klassische“ Firmenpolicen erfassen zwar im Regelfall u. a. Sachschäden, Haftpflichtrisiken und Vermögensschäden. Oft genug sind die „neuen“ Risiken durch Computer- und Internetkriminalität gegen Unternehmen damit aber nicht gedeckt.

Typische Beispiele: Durch einen Angriff auf das eigene Unternehmen werden auch der Datenbestand eines Geschäftspartners und damit dessen Kundendaten kompromittiert. Deshalb haben diese Kunden als Dritte einen Entschädigungsanspruch, der jedoch nicht unbedingt in einer klassischen Unternehmenspolice enthalten ist. Auch die eigenen Folgeschäden sind oft nicht abgedeckt: Die Produktion liegt zwei Wochen lahm, weil relevante Auftragsdaten bei einem Einbruch zerstört wurden? Das neue Modell kommt nicht mehr exklusiv auf den Markt, weil die Innovationen schon gestohlen und kopiert wurden? Auf solchen Kosten bleibt ein Unternehmen leicht sitzen – wenn diese Cyber-Risiken nicht versichert wurden.

Ein zusätzliches Element von Cyber-Versicherungen sind flankierende Maßnahmen zur Betreuung im Schadensfall, beispielsweise Rechtsberatung zu den Informationspflichten gegenüber Geschädigten bei Datenlecks oder eine Hotline mit IT-Expertenrat zur Schadensbegrenzung und Spurensicherung.

Der Markt an Cyber-Risk-Versicherungen wächst

Mit schöner Regelmäßigkeit berichten die Medien über spektakuläre Cybercrime-Fälle. Sony und Vodafone waren nur zwei besonders prominente Opfer von vielen. Allein in diesem Jahr gab es außerdem zwei Datenklau-Skandale, die 16 bzw. 18 Millionen Datensätze betrafen. Dazu kommt das Dauerthema NSA-Spionage oder Warnungen des Verfassungsschutzes vor Cyberangriffen aus China.

In der Folge hat sich in den Unternehmen (und auch bei den Verbrauchern und Kunden) ein Bewusstsein für die Bedrohung entwickelt. Jetzt soll dafür echtes Risikomanagement her. Für die Versicherungsunternehmen, die auf manchen Geschäftsfeldern ja ziemlich zu kämpfen haben, ist das natürlich eine gute Nachricht: Sie drängen mit neuen Produkten auf den Markt und können bei der Akquise die unbestreitbaren Gefahren als Argument nutzen.

Kaum ein Bereich an Versicherungen wächst so rasant wie Cyber-Risk-Versicherungen – gerade startete die Württembergische mit einer eigenen Cyber-Police, die auf kleine und mittelständische Unternehmen ausgelegt ist, in den nächsten Monaten werden voraussichtlich diverse weitere Assekuranzen ihre Produkte lancieren. Als ich im September letzten Jahres über branchenübergreifende Cyber-Risk-Policen für KMU berichtete, war das Angebot noch auf wenige Alternativen begrenzt.

Aber: Der unüberlegte Abschluss von Versicherungen birgt ebenfalls Risiken

Ein Unternehmen, das eine nennenswerte IT-Abteilung unterhält (so gut wie jedes also), sollte sich absichern. Das sollte  allerdings nicht unüberlegt geschehen. Nicht nur  eine fehlende, auch eine falsche Versicherung kann teuer werden.

  • Wer nicht aufpasst, erhält eine nutzlose, teure Mehrfachversicherung. Wenn die Vermögensschadenhaftpflicht bereits in der bestehenden Haftpflichtpolice enthalten ist und nun noch ein zweites Mal im hastig abgeschlossenen Cyber-Risk-Vertrag steht, dann zahlt man auch doppelt – für eine Deckung, das man nur einmal braucht. Und wenn ein IT-Unternehmen durch Fachanwälte bereits bestens betreut ist, benötigt es keine zusätzliche Rechtsberatung im Schadensfall.
  • Ein zweiter Aspekt ist die mögliche Schadenshöhe. Der Wert der Hardware in einem Rechenzentrum lässt sich recht exakt beziffern und damit im Risikomanagement auch ziemlich genau abbilden. Beim möglichen Folgeschaden eines Datendiebstahls ist das sehr viel schwieriger. Wie beziffert man den Vertrauensschaden im Markt? Welche Forderungshöhe entsteht, wenn bei den Kunden von Kunden Schäden entstehen können? Bei einem Vertrag „von der Stange“ sind Schadenshöhen pauschaliert. Dann bezahlt man leicht zu viel, oder die Deckungsumme ist zu gering. Wie hoch die Risiken sind, muss detailliert und für den Einzelfall kalkuliert werden.

Es muss genau geprüft werden, ob Ihr tatsächlich bestehendes, individuelles Unternehmensrisiko am günstigsten durch eine Deckungserweiterung der bestehenden Versicherungsverträge aufgefangen wird. Ist eine zusätzliche Cyber-Versicherung sinnvoll, müssen die vorhandenen Policen oft reduziert werden, um kein Geld zu verschwenden.

Hier komme ich ins Spiel

Als Unternehmen ab einer bestimmten Größe  – spätestens ab einem Jahresumsatz im zweistelligen Millionenbereich – benötigen Sie  eine auf Sie zugeschnittene, sorgfältig ausgewählte und individuell ausverhandelte Police. Und Sie benötigen eine auf Ihr Interesse ausgerichteten Beratung.

Dafür zu sorgen, ist genau meine Dienstleistung als Versicherungsmakler.

Sie haben eine Frage zu Cyber-Risiken oder suchen kompetente Beratung?

Sie erreichen mich über das Kontaktformular, per Telefon unter +49 030 863 926 990 oder per E-Mail an fs@acant-makler.de.