Betriebsschließung und Quarantäne wegen Corona? Symbolfoto: Eduardo Davad via Pixabay

Quarantäne, Tätigkeitsverbot, Betriebsschließung: Ein paar Hinweise für den betrieblichen Infektionsfall

Alle reden über das Corona-Virus. Wir auch.

Natürlich sind wir Versicherungsmakler für Unternehmen und keine Experten für Infektionsbekämpfung – da empfehlen wir das Robert-Koch-Institut. Aber wir haben Hinweise zu Pandemie-Aspekten, die für Arbeitgeber und Unternehmensleitungen wichtig sind:

  • Besteht Versicherungsschutz, wenn es durch das Virus zu einer Betriebsunterbrechung oder Betriebsschließung kommt?
  • Zahlt die Berufsunfähigkeitsversicherung, wenn Sie aufgrund von Quarantäne nicht arbeiten können?
  • Wie ist das mit der Lohnfortzahlung für Mitarbeiter?

Können die Behörden den Betrieb wegen der Infektionsgefahr schließen oder Arbeitnehmer in Quarantäne schicken?

Ja. Aufgrund von Ansteckungsgefahr können die Gesundheitsbehörden anordnen, dass bestimmte Orte nicht mehr betreten werden dürfen. Das können auch Ihre Firmenräume, Verkaufsräume etc. sein.

Die Behörden können ebenfalls anordnen, dass Erkrankte zu Hause oder in einer medizinischen Einrichtung bleiben müssen. Das Gleiche gilt für Menschen ohne Krankheitssymptome, die Kontakt mit Infizierten hatten.

Für Berufe wie ärztliche Tätigkeiten, bei denen ein besonderes Infektionsrisiko besteht, kann auch ein berufliches Tätigkeitsverbot angeordnet werden.

Im Extremfall können auch in Deutschland ganze Regionen abgeriegelt werden, so wie es in Italien angeordnet wurde.

Bezahlt die Betriebsunterbrechungsversicherung bei Schließung wegen Quarantäne?

Die Betriebsunterbrechungsversicherung zahlt bei Betriebsunterbrechungen durch Infektionsschutzmaßnahmen in der Regel nicht. Das gilt übrigens auch für Betriebsunterbrechung durch epidemiebedingte Störungen der Lieferkette, etwa durch Produktionsengpässe in China.

Auch eine Ertragsausfallversicherung wird dann in der Regel nicht leisten.

Ein Sonderfall ist die Existenz-Betriebsunterbrechungsversicherung. Dabei ist die Arbeitsunfähigkeit des Inhabers als Unterbrechungsursache mitversichert. Im Zweifel kommt es jedoch immer auf die genauen Versicherungsbedingungen an. Für Ärzte, Zahnärzte und andere Freiberufler gibt es Praxisausfallversicherungen, die je nach Versicherungsbedingungen ebenfalls leisten.

Betriebsschließungsversicherung

Außerdem gibt es spezielle Betriebsschließungsversichungen, die auch die Schließung zu Infektionsschutzmaßnahmen abdecken. Sie werden vor allem für lebensmittelverarbeitende Unternehmen sowie Betriebe im Bereich Gastronomie und Hotellerie angeboten. Hier kommt es dann darauf an, ob sämtliche vom Infektionsschutzgesetz erfassten Krankheiten gedeckt sind oder nur die, die schon zum Abschluss des Versicherungsvertrags dazu zählten.

Leider gilt: Wenn Sie jetzt schnell noch eine solche Police abschließen möchten, müssen wir Sie enttäuschen. Diese Versicherungen werden entweder nicht mehr angeboten. Oder Sie werden das Coronavirus vergeblich unter den möglichen Versicherungsfällen suchen.

Ganze Region abgeriegelt?

Übrigens: Wenn statt einzelner Patienten oder Firmen komplette Regionen unter Quarantäne gestellt werden, liegt normalerweise kein Versicherungsfall mehr vor. Das gilt als höhere Gewalt, und die Versicherung zahlt nicht. Ob und wann Ihre Versicherung leisten muss, kann ich Ihnen sagen, wenn Sie mir Ihren Versicherungsvertrag schicken. (Dieser Service kostet Sie nichts.)

Zahlt meine Berufsunfähigkeitsversicherung?

Wenn Sie persönlich in Folge eine Corona-Infektion berufsunfähig werden, wird Ihre private Berufsunfähigkeitspolice grundsätzlich zahlen. Dafür muss normalerweise die Berufsunfähigkeit 50 Prozent betragen, und zwar für eine Frist von mindestens sechs Monaten.

Je nach Versicherungsbedingungen kann die Leistungspflicht auch dann gelten, wenn Sie Ihren Beruf aufgrund eines Tätigkeitsverbot gemäß Infektionsschutzgesetz nicht ausüben können. Solche Infektionsklauseln gibt es vor allem in Berufsunfähigkeitsversicherungen für Medizinberufe. Auch dann ist meist eine Mindestdauer von sechs Monaten Voraussetzung , damit die Versicherung zahlt.

Was passiert, wenn meine Arbeitnehmer am Coronavirus erkranken?

Ob Corona oder Beinbruch, das macht keinen Unterschied: In der Regel erhält der Mitarbeiter zunächst sechs Wochen Lohnfortzahlung, dann Krankengeld von der Krankenkasse.

Und wenn Mitarbeiter aufgrund von Quarantäne nicht arbeiten können?

Zunächst müssen Sie als Arbeitgeber bei einer vom Gesundheitsamt verhängten Quarantäne den Lohn oder das Gehalt für sechs Wochen fortzahlen. Die Lohnkosten können Sie sich  jedoch später in aller Regel vom Gesundheitsamt erstatten lassen. Das gilt übrigens auch im Fall eines Tätigkeitsverbots.

Versicherungsfragen? Bei uns gibt es Antworten

Wenn Sie Fragen zu Versicherungen und Versicherungsschutz haben – bei uns bekommen Sie Antworten und Beratung. Rufen Sie uns einfach an: 030  863  926  990.

Eine IT-Versicherung ist sinnvoll - Symbolbild, Foto Michal Jarmoluk via Pixabay

38 Prozent: diese Zahl belegt, dass sich eine IT-Versicherung lohnt

Mehr als ein Drittel der Unternehmen nimmt ihre IT-Versicherung auch in Anspruch

38 Prozent aller deutschen IT-Dienstleister mit einer IT-Versicherung haben diese schon einmal genutzt. Mit anderen Worten: Bei mehr als einem Drittel ist der Versicherungsfall eingetreten, und die Unternehmen haben davon profitiert, versichert zu sein.

Das Ergebnis beruht auf einer Umfrage, die Bitkom Research 2019 bei 305 mittelständischen IT-Dienstleistern durchgeführt hat.

Eine IT-Versicherung ist sinnvolles Risikomanagement

Eindrücklicher kann lässt es sich wohl kaum untermauern: IT-Risiken zu versichern ist betriebswirtschaftlich sinnvoll.

Es ist wie bei Kfz-Versicherungen: Selbst wenn diese nicht vorgeschrieben wären, sollte man sie trotzdem haben. Aus Sicht des Risikomanagements ist das Risiko eines Unfalls einfach zu hoch, um auf diesen Versicherungsschutz zu verzichten.

Beim Risiko eines Cyberangriffs, einer IT-Panne oder eines Datenverlusts gilt das heute genauso. Diese Bedrohung ist Teil der Unternehmensrealität. Zum Glück gibt es Cyberversicherungen, die Unternehmen vor den finanziellen Folgen effektiv schützen.

Wir beraten Sie gern – ausführlich und kostenlos

Interesse an einer IT-Versicherung? Bei acant wird individuelle Beratung großgeschrieben. Wir nehmen uns Zeit für Ihre Fragen. Rufen Sie uns an (030 863 926 990) oder schreiben Sie uns eine Nachricht.

Windows 7 - Support-Ende - Bild von daosorio via Pixabay

Noch bei Windows 7? Dann muss es jetzt fix gehen: Das können Sie tun

Noch immer mit Windows 7 unterwegs?

Wenn bei Ihnen noch ein Rechner mit Windows 7 läuft, dann sind Sie nicht der letzte mit dem Uralt-Windows. Das ist zwar 2009 erschienen, vor mehr als zehn Jahren. In Berliner Verwaltungen laufen dem RBB zufolge noch mehr als 20.000 Computer damit. Und wenn man den Online-Datensammlern von Netmarketshare glaubt, waren es weltweit zum Jahreswechsel noch etwa ein Viertel aller Windows-Rechner.

Nun war Windows 7 eine der stabileren Versionen und machte nicht allzu viele Probleme – ein Grund für viele Nutzer, nichts daran zu ändern. Außerdem gibt es gerade in Firmen oft irgendeine alte Software, die mal jemand für eine ganz bestimmte Aufgabe geschrieben oder angepasst oder installiert hat und die anschließend nie mehr angefasst wird. Genau wie der Rechner, auf dem sie läuft.

Und dann ist plötzlich der Lebenszyklus des Betriebssystems vorbei.

Windows 7: Am Dienstag, 14. 01. 2020, endet der Support

Am 14. Januar, so hat Microsoft schon lange angekündigt, gibt es ein letztes Mal Updates für Windows 7. Dann ist Schluss.

Das bezieht sich nicht nur auf das Reparieren von Bugs, sondern auch und vor allem auf Sicherheitsupdates.

Sicherheitslücken, die danach entdeckt werden, bleiben also offen. Das macht den alten Rechner zum Einfallstor für Schädlinge und die Sache gefährlich.

Was tun? Aktualisieren oder ESU-Lizenz!

Wenn Sie noch einen Computer mit Windows 7 irgendwo haben, dann müssen Sie jetzt aktiv werden. Es gibt zwei Möglichkeiten:

  • Sie können einfach auf Windows 10 aktualisieren. Das ist die sinnvollste Lösung. Vor Jahren hatte Microsoft im Rahmen einer befristeten Aktion den kostenlosen Upgrade angeboten. Obwohl die Aktion längst beendet ist, funktioniert das immer noch, so eine Chip-Umstiegsanleitung, für die das vor kurzem überprüft wurde. Sie brauchen dazu nur Ihren Lizenzcode für Windows 7.
  • Wenn der alter Rechner mit Windows 10 nicht mehr zurechtkommt, können Sie eine sogenannte ESU-Lizenz kaufen. ESU steht für „Extended Security Updates“ und bedeutet: Es gibt noch für ein Jahr kritische Sicherheitsupdates. Das hat allerdings einen stolzen Preis: 70 Euro für ESU bis 13. Januar 2021 laut Software-Express, wo die ESU-Lizenzen verkauft werden.

Keine Panik – aber aktiv werden

Es besteht kein Anlass zu Panikreaktionen, wenn Ihnen jetzt siedend heiß einfällt, dass auf dem alten Computer für die Lüftungssteuerung noch Windows 7 läuft. Aber Sie sollten aktiv werden. Auch wenn ein Windows-Update kaum zu einem lustigen Wochenende gehört.

Aber wenn Sie sich über ein veraltetes Betriebssystem einen Virus oder Trojaner ins Haus holen, dann wird das garantiert noch unangenehmer. (Sogar dann, wenn Sie eine Cyber-Versicherung haben. Und ohne ganz besonders.)

IT-Notfall - es brennt ... Foto: Thomas Wolter via Pixabay

Verhalten bei IT-Notfällen

Die IT-Notfallkarte

Vor einigen Monaten hat das BSI (Bundesamt für Sicherheit in der Informationstechnik) eine kleine „IT-Notfallkarte“ veröffentlicht. Man kann sie dort herunterladen, ausfüllen und sie in Büros, Fertigungshallen, Werkstätten, Lagerräumen etc. aufhängen, neben den Hinweisen zum Verhalten im Brandfall oder bei Arbeitsunfällen.

„Verhalten bei IT-Notfällen“ – so sieht die IT-Notfallkarte des BSI aus.

Ganz wirkungslos ist die Kampagne offenbar nicht, denn ich bekomme das Kärtchen in letzter Zeit immer öfter zu sehen, zumindest am Bildschirm. Und das finde ich als Versicherungsmakler mit Schwerpunkt auf Versicherungen für technische und digitalen Risiken sehr gut – wie alles, das für mehr Problem- und Risikobewusstsein in Sachen Cyber-Bedrohungen sorgt.

Es ist absolut richtig, dass man IT-Notfälle als echte Bedrohung ins Bewusstsein rückt

Schließlich kann ein einziger falscher Klick dafür sorgen, dass ein Verschlüsselungstrojaner oder ein Hackerangriff die Existenz des Unternehmens gefährden, zumindest aber die Jahresbilanz verhageln.

Zur Vorbereitung auf den IT-Notfall gehört mehr als eine Notfallkarte

Trotzdem: Mit dem Aufhängen der Karte ist es nicht getan. Entscheidend ist, dass der Umgang mit IT-Risiken im Unternehmen auch gelebt wird und Vorbereitungen getroffen werden:

  • Die Mitarbeiter müssen Bewusstsein dafür entwickeln, dass Viren, Trojaner und Hacker den ganzen Betrieb lahmlegen können und eine einzige unvorsichtige Aktion dafür ausreicht.
  • Es muss tatsächlich eine Notfall-Nummer geben, die man jederzeit anrufen kann. (Existiert es eine solche Nummer bei Ihnen?)
  • Die Mitarbeiter darf keine Scheu haben, sich dort zu melden. Auch dann nicht, wenn er nicht genau weiß, ob wirklich ein Notfall vorliegt.
  • Er muss dem Administrator sofort sagen können, an welchem Gerät er gerade arbeitet. Es braucht also eine eindeutige Kennzeichnung (gibt es vermutlich), und der Mitarbeiter muss die auch sehen können (den internen Host-Namen, eine Inventarnummer etc.)
  • Außerdem sollten die Mitarbeiter wissen, was bei akutem Verdacht auf eine Virus- oder Trojaner-Infektion zu tun ist. (Das Gerät muss vom Netz: sofort LAN-Kabel ziehen und/oder WLAN-Router aus. Wenn möglich, Screenshots machen oder den Bildschirm mit dem Handy fotografieren. Dann das Gerät direkt ohne Herunterfahren ausschalten – und ausgeschaltet lassen. Notieren, was man gerade gemacht hat, in welchem Programm, mit welcher Datei, mit welchem Kommunikationspartner etc.)

Viele Cyber-Versicherer bieten eine Notfall-Hotline mit IT-Expertenrat

Gut, wenn man versichert ist: Viele Cyberversicherer haben eine Notfallnummer für ihre Versicherten, rund um die Uhr und an jedem Tag mit IT-Experten besetzt. Außerdem bieten sie in der Regel vorbereitete Notfallpläne, damit klar ist, was zu tun ist und wer informiert werden muss. Drittens haben viele Versicherungsgesellschaften Experten in Bereitschaft, die sich im Ernstfall vor Ort um Schadensbegrenzung und Notfallmaßnahmen kümmern: IT-Fachleute, Krisen-PR-Experten und Juristen. (Das macht für den Versicherer Sinn, er will ja den Schaden begrenzen, den er bezahlen muss.)

Interesse an den Leistungen und Kosten der verschiedenen Cyber-Versicherungen?

Wir bei acant sind keine Experten für Erste Hilfe bei IT-Notfällen. Aber wir wissen genau, wie man Ihr Unternehmen am besten dagegen versichert. Rufen Sie uns an oder schreiben Sie uns eine Nachricht – wir beraten Sie gern.

Fotos auf der Betriebsfeier? Einwilligung nötig - Foto: Matan Vizel via Pixabay

Muster-Datenschutzhinweis Foto/Video für Ihre Betriebsfeier

Die Zeit der weihnachtlichen Betriebsfeiern, Vereinsfeste etc. bricht an.

Wenn der Veranstalter (z. B. das Unternehmen) dabei Fotos und Videos machen lässt und die vielleicht auch veröffentlichen will, sollte er die Rechtslage im Auge haben: Er muss die Teilnehmer, Mitarbeiter, Mitglieder oder Gäste vorher darauf hinweisen und sich deren Einverständnis sichern. Sonst droht ein Verstoß gegen Datenschutzvorschriften und Persönlichkeitsrechte.

Praktischerweise hat der Berliner Rechtsanwalt Thomas Schwenke einen Online-Gererator für Datenschutzhinweise zu Foto- und Videoaufnahmen bei Veranstaltungen parat: Datenschutzhinweise zu Foto- und Videoaufnahmen bei Veranstaltungen

In diesem Sinne: frohes Fest und schöne Bilder!

Schwachstelle Fenster Versicherungsfall - - Foto von Анастасия Гепп via Pixabay

Ausgesperrt? Aber nicht lange …

Ausgesperrt – und der Schlüssel ist in der Wohnung? Eine vertrackte Situation. All oft leichter lösen lässt als gedacht – zu leicht, aus Sicht der Versicherungsbedingungen.

Und schon ist man drin

Sie gehen aus der Wohnung und ziehen die Tür zu. Dann fällt es Ihnen ein: Der Schlüssel ist noch drin. Ärgerlich, nicht wahr?
Aber vielleicht haben sie ja Glück, und irgendwo ist ein Fenster oder die Balkontür gekippt. Das reicht schon:

Oder Sie ersparen sich die Kletterei. Wenn Sie nicht gerade eine selbstverriegelnde Tür haben, reicht in der Regel eine Fahrradspeiche, ein fester Draht, oder ein krummes, aber festes Stück Plastik, z. B. von einer Cola-Flasche. Damit kriegt man eine Tür auf, die nur zugezogen wurde. Sehen Sie selbst:

Und wo ist das Problem?

Das Problem besteht darin, dass auf die Art auch Einbrecher schnell drin sind. Und wenn Sie es denen zu einfach machen, dann droht doppelter Schaden: Dann kommt die Versicherung nicht für die Einbruchsschäden auf. Wegen Fahrlässigkeit. Das gilt auch für die altbekannte Sache mit dem Schlüssel unter dem Fußabtreter oder unter dem Blumentopf neben der Tür.

Und am Rechner?

Aussperren kann man sich bekanntlich auch vom Computer, oder Smartphone, oder aus der Banking-App, oder all den anderen digitalen Dingen, für die man ein Passwort oder eine PIN braucht. Deshalb gibt es dort das Gegenstück zum Schlüssel unterm Blumentopf: den Klebezettels am Schreibtisch.

Aber damit ist im Falle eines Falles der Versicherungsschutz ebenfalls dahin.

Lieber einmal fürs Öffnen zahlen als auf dem Einbruchsschaden sitzen bleiben

  • Mit den Tipps oben sparen Sie sich den Schlüsseldienst. Wenn Sie jedoch beim Gehen Fenster gekippt lassen und die Tür nur zuziehen, sparen Sie Ihrer Versicherungsgesellschaft Geld. Die muss ja dann nicht leisten, falls jemand einbricht.
  • Ganz ähnlich ist es mit Passwörtern, die auf PostIt-Zetteln notiert neben dem Gerät kleben. Weg damit!
  • Und schließlich: Solche Fahrlässigkeit ist auch bei Unternehmensversicherungen nicht gedeckt. Deshalb: Sind Sie sicher, dass niemand von Ihren Mitarbeiterinnen und Mitarbeitern leichtsinnig ist?

Übrigens: Wenn Sie wissen wollen, was Ihre Versicherungsbedingungen sonst noch ein- bzw. ausschließen, dann fragen Sie uns. Wir von acant verstehen das Kleingedruckte, und übersetzen es gern für Sie in normales Deutsch.

Smart car als Sicherheitsrisiko

Smart Cars im Visier der Hacker, Versicherungen für Drohnen, Vibratoren als Datenschleuder

Warum sollte man einer Versicherung gegen Cyber-Risken zumindest mal ein paar Gedanken gewidmet haben? Man muss eigentlich nur Nachrichten lesen, um die Frage zu beantworten. Das zeigen diese Fundstücke aus den letzten Tagen – alle mit einem Bezug zu Technologie, Risiko, Haftung und Versicherung. Als Versicherungsmakler sind das ja nun mal unsere Themen.

Read moreSmart Cars im Visier der Hacker, Versicherungen für Drohnen, Vibratoren als Datenschleuder

Lesetipps und Seitenblicke: Doppelt verkaufte Nutzer, schlaue Container, weniger riskante Links

Wieder mal eine kleine Sammlung von Lektüretipps – Beiträge und Informationen, die ich spannend fand. Natürlich haben alle irgendwie mir Risiko, Versicherungen und meist auch mit IT zu tun … das liegt in der Natur der Sache.

  • Eine Geschichte, die zeigt, welchen Wert Nutzerdaten für Kriminelle haben: Ein Amerikaner namens David Kent gründet im Jahr 2000 Rigzone.com, quasi eine Mischung aus Branchen-Website und sozialem Netzwerk speziell für die Ölförderbranche. 2010 verkauft er den Dienst für – je nach Angabe – 39 bis 51 Mio. US-$. Dann macht er sich daran, mit Oilpro.com ein neue, ganz ähnliche Plattform aufzubauen, die er demselben Käufer anbietet, für 20 Mio. US-$. Der Haken an der Sache: Die Mitglieder der zweiten Plattform hat Kent sich besorgt, indem er nachträglich die Nutzerdatenbank der ersten Plattform gehackt hat. Jetzt sitzt er in Untersuchungshaft und könnte bis zu 25 Jahre Haft bekommen. Bei Quartz.com gibt es die Datenklau-Geschichte zum Nachlesen (auf Englisch).
  • Falls Sie, was hoffentlich nicht geschieht, Opfer eines Erpressungstrojaners wie Locky werden, können Sie den virtuellen Erpresserbrief oder eine der verschlüsselten Dateien bei ID Ransomware hochladen und erfahren dann, welcher Verschlüsselungsschädling in Ihrem Fall am Werk war und ob ein Gegenmittel existiert.
  • Vielleicht haben Sie ja von dem Trojaner gehört, der einen Computer im Atomkraftwerk Grundremmingen befallen hatte. Der Rechner diente zur Steuerung der Brennelementelademaschine und war 2008 installiert worden. Befremdlich ist aber nicht nur der Vorfall, sondern auch der Wortlaut der Pressemitteilung des Kernkraftwerkbetreibers: Die jetzt gefundene „so genannte Büro-Schadsoftware“ (sabotiert die Kaffeeautomaten oder sorgt für Papierstau im Drucker?) sei „der Fachwelt bereits einige Jahre bekannt“ – was die Sache ja nicht besser macht. Das Fazit: „Das Vorkommnis wurde gemäß den deutschen Meldekriterien in die Kategorie N (Normal) eingestuft.“ Na dann …
  • Im Rahmen von Industrie 4.0 sollen Fertigungsanlagen, Logistik-Einheiten, die Produkte selbst und andere Elemente der Lieferkette intelligent gemacht und miteinander vernetzt werden. Unter dem Namen Industrial Data Space entwickelt die Fraunhofer-Gesellschaft dafür den Rahmen einer dezentralen und möglichst abhörsicheren Kommunikations-Infrastruktur. Ein konkretes Beispiel ist der intelligente Luftfrachtcontainer I-Con, der mit GPS-Empfänger sowie Bewegungs- und Temperatursensoren ausgestattet ist und seine eigenen Fracht- und Zollpapiere in digitaler Form mit sich führt. Natürlich kann er auch kommunizieren, beispielsweise um dem Frachtführer seinen Standort mitzuteilen oder bei einem Unfall von sich aus Spediteur, Empfänger und Versicherung zu informieren.
  • Normalerweise gehören die Worte „Haftungsrisiken“ und „steigen” ja untrennbar zusammen. Aber ein Haftungsrisiko für Website-Betreiber könnte nun bald entfallen: Das für Website-Betreiber, die Seiten mit unrechtmäßigen Inhalten verlinken. Seit vielen Jahren gilt in Deutschland, dass man verlinkte rechtswidrige Inhalte haftet, wenn man sie sich „zu eigen macht“. Diese Formulierung des BGH brachte in der Praxis viel Unsicherheit, übervorsichtige Link-Policies in vielen Unternehmen und auf privaten Seiten den juristisch sinnfreien Disclaimer „… distanziere ich mich pauschal von allen Links”. Nun aber entscheidet der EuGH bald über die Haftung für Links. Und er könnte die Websites-Betreiber selbst beim bewussten Verlinken illegaler Inhalte von der Haftung freistellen, wie Rechtsanwalt Dr H. M. Wulf aus Hamburg berichtet.
    Falls es tatsächlich so kommt, kann man allerdings auch schwerer dagegen vorgehen, wenn beispielsweise Verstöße gegen eigene Marken- oder Urheberrechte im Netz verbreitet werden.
  • IT-Sicherheit ist ein Thema, das längst weit über die Branchen und die IT-Abteilungen selbst hinaus ausstrahlt. Das zeigt auch ein aktuelles Interview mit dem Sprecher der Pilotenvereinigung Cockpit: Die Piloten wollen, dass Flugzeughersteller, Fluglinien und Behörden mögliche Angriffen auf die Bordcomputersysteme ernster nehmen als bisher.
  • Hier ist ein Ratgeber, den Sie hoffentlich nie nötig haben: In der Washington Post erschien gerade eine illustrierte Anleitung zur richtigen Reaktion, wenn ein Amokschütze im Gebäude ist. Die drei Optionen lauten: „run” – „hide” – „fight”. In dieser Reihenfolge. (Auf Englisch – aber die Grafiken versteht man auch so.)
  • Und zum Schluss noch ein weiteres unangenehmes Thema: Am Ostermontag brannte ein großer Geflügelschlachtbetrieb in Lohne ab. Der Eigentümer Wiesenhof war offenbar unterversichert: Die Betriebsausfallversicherung reicht nicht aus, um die Lohnkosten zu decken. Deshalb soll Personal abgebaut werden. Was der Pressebericht nicht erwähnt: Dieser Schritt kann auch für das Management gefährlich werden. Denn das Bundesarbeitsgericht hat bereits 1972 einem Arbeitgeber untersagt, die Fixkosten nach einem Brand durch Entlassungen aufzufangen – er hätte sich eben versichern müssen. Andererseits kann bei einem Versicherungsversäumnis der Unternehmensschaden zur persönlichen Haftung des Managements führen. Das droht übrigens nicht nur nach einem Brand, sondern auch bei einem desaströsen Cyber-Angriff.

Das geplante Kassengesetz: Haftung trotz Zertifikat?

Wer mit Kassen-EDV bzw. Registrierkassen zu tun hat, muss sich auf neue Herausforderungen einstellen. Und auch sonst kann man hier etwas lernen, und zwar: Wenn eine Software oder ein System für einen haftungskritischen Bereich gedacht ist, verringert selbst ein Zertifikat das eigene Haftungsrisiko nicht unbedingt.

Doch der Reihe nach …

Kassensysteme bald nur noch mit BSI-Zertifikat?

Das Bundesfinanzministerium möchte durch neue gesetzliche Vorschriften verhindern, dass in Bargeld-Branchen wie der Gastronomie manipulierte Kassensysteme den Staat um Steuereinnahmen bringen. Es will deshalb verschiedene Dinge ändern:

  • Steuerprüfer sollen jederzeit eine „Kassen-Nachschau” durchführen können, und der Einsatz fehlerhafter Kassensysteme oder fehlende Kassendaten können bis zu 25.000 Euro Bußgeld kosten.
  • Außerdem sollen Kassensysteme manipulationssicher sein und alle relevanten Kassen- und Transaktionsdaten für Berechtigte – wie den Prüfer vom Finanzamt – digital abfragbar machen. Eine „technische Sicherheitseinrichtung” wird Pflicht, bestehend aus einem Sicherheitsmodul, einem Speicher für Kassendaten und einer digitalen Schnittstelle. Und das Ganze muss ein BSI-Zertifikat besitzen.

So steht es im Entwurf zum geplanten „Kassengesetz“. Leider bringt das den Betreibern und Einrichtern von Kassensystemen wohl kaum mehr Rechtssicherheit. Im Gegenteil, es erscheint schwer umsetzbar.

Zertifikat gleich ordnungsgemäß? Von wegen.

Diese Kritik an dem Projekt formuliert ein interessanter Kommentar zu dem Gesetzentwurf von Gerhard Schmidt, Diplom-Informatiker und Chefredakteur beim Forum Elektronische Steuerprüfung.

Schmidt wundert sich über die geplante Einführung vorgeschriebener Positiv-Zertifikate. Ein kurzer Seitenblick auf Buchhaltungssoftware zeigt, warum. Bislang hat die Finanzverwaltung es nämlich rundheraus abgelehnt, für Buchführungssoftware eine belastbare Positiv-Zertifizierung auszustellen, etwa in Form einer so genannten verbindlichen Auskunft. Eine solche Zertifizierung würde dem Betreiber des Programms bescheinigen, dass sein System ordnungsgemäß arbeitet, und ihn damit im Effekt von der Haftung freistellen, wenn es dann doch zu Beanstandungen kommt. Diesen Schutz will das Finanzamt aber nicht gewähren.

Statt solcher Positiv-Zertifikate der Finanzverwaltung gibt es bisher nur „Negativ-Negativ-Zertifikate” der Hersteller von Buchhaltungssoftware: So nennt Schmidt Bescheinigungen der Software-Anbieter, dass mit ihrem Programm etwa GoBD-konform gearbeitet werden kann – was aber nicht ausschließt, dass auch missbräuchliche Anwendungsweisen möglich sind. Es liegt auf der Hand, dass solche Dokumente im Zweifelsfall das Unternehmen kaum vor Ordnungswidrigkeitsverfahren und die Verantwortlichen nicht vor der persönlichen Haftung schützen (Motto: „Sie haben nicht für eine ordnungsgemäße Buchführung in Ihrem Unternehmen gesorgt, Sie haften!”).

Zurück zu den Kassensystemen: Ein BSI-Zertifikat macht bei ihnen nur Sinn, wenn es sich um ein Positiv-Zertifikat handelt, demzufolge das zertifizierte System gar nicht missbräuchlich benutzt werden kann. Diese Prüfung wäre aber praktisch kaum machbar, zumal dann nicht nur ein bestimmtes Produkt, sondern auch jede einzelne Installation überprüft oder geeicht werden müsste. Und ob das BSI für von ihm begutachtete Systeme die volle Haftung übernehmen würde? Daran meldet Schmidt Zweifel an – mit Recht.

Die Haftung wird da bleiben, wo sie jetzt schon ist … bei Ihnen

Im Endeffekt wird bei digitalen Kassensystemen zumindest aus Sicht der Haftungsfrage wohl alles so bleiben, wie es ist: Dafür, dass die Kassen ordnungsgemäß betrieben werden, haftet das Unternehmen und im Durchgriff auch dessen Organe, sprich Geschäftsführer oder Vorstände. Dafür, dass die Kassen ordnungsgemäß funktionieren und nicht beispielsweise von außen manipuliert werden, haftet aber natürlich auch derjenige, der die Systeme herstellt, plant, liefert und /oder einrichtet – und im Zweifel auch dessen Führungspersonal.

Deshalb bleibt Absicherung der Haftung weiterhin zentral. Vor Schadenersatzforderungen und Haftung schützen Elektronik- und Maschinenversicherungen, Cyber-Policen, D&O-Versicherungen (Managerhaftpflicht) sowie persönliche und betriebliche Rechtsschutzversicherungen.

Welche dieser Elemente in welcher Form für Ihren Fall relevant sind und auf welche Sie verzichten können, erfahren Sie vom Versicherungsmakler Ihres Vertrauens. Zum Beispiel von uns – rufen Sie uns an unter 30 863 926 990.

Trojaner im Krankenhaus, Datenschutz im Katalog, Internet in allen Dingen: Lesetipps im Februar

  • In der Februar-Ausgabe von Com! professional sind Cyberversicherungen ein großes Thema. Der Artikel ist als Leseprobe kostenlos abrufbar – und bietet einen sehr guten einführenden Überblick über das Produkt und den Markt.
  • SDM, das Standard-Datenschutzmodell, liegt seit einiger Zeit in der Version 0.9 vor. Hinter dem Kürzel verbirgt sich ein Katalog an Maßnahmen, um einen Standard für  die Datenschutz-Compliance in Unternehmen und Behörden zu gewährleisten. Bei Projekt29.de gibt es eine gute Zusammenfassung zu SDM. Das Handbuch dazu kann man beim Landesdatenschutzbeauftragen Nordrhein-Westfalen als PDF herunterladen.
  • Dauerthema IoT und Sicherheit: Die US-Handelsaufsicht FTC hat dem Internet of Things und seinen Risiken einen umfassenden neuen Bericht (Englisch) gewidmet. Wenn Geräte und Dinge von der Industriemaschine bis hin zum tragbaren Pulsmesser miteinander in einem riesigen Netzwerk verbunden sind, Daten erheben, auswerten und austauschen, dann sind die Chancen und Möglichkeiten zwar riesig. Eine McKinsey-Studie sprach letztes Jahr von 11 Billionen  Mehrwert weltweit bis 2025. Die potenziellen Probleme – Störungen, Manipulationen, Datendiebstahl etc. –  sind aber nicht weniger gigantisch.Die FTC empfiehlt trotzdem vorerst keine gesetzlichen Maßnahmen, sie beschränkt sich darauf, an die Unternehmen zu appellieren: Die sollen sich an Best-Practice halten. Aber wer in irgendeiner Weise mit den USA Geschäfte macht, kann sich sicher sein, dass die liability lawyers, sprich auf Schadenersatz spezialisierte Anwälte, zu denjenigen gehören, die sich mit am meisten auf das Internet am Dinge freuen …
  • A propos IoT: Vereinfacht könnte man sagen, dass Industrie 4.0 das Stichwort ist, unter dem das Internet der Dinge in die Industrieproduktion und Logistik Einzug hält. Es soll für enormes Rationalisierungspotenzial sorgen und beispielsweise Fertigung in Kleinstserien rentabel machen.In letzter Zeit wurden die diesbezügliche Euphorie zwar durch manche Stimmen gedämpft, jetzt malt eine neue Studie jedoch wieder große Perspektiven aus: Bis zu 12 Prozent mehr Produktivität soll diese Entwicklung in Deutschland bringen – nachdem die Produktivitätsentwicklung jahrelang mehr als mau verlaufen ist. Das erwarten zumindest die Analysten der DZ-Bank, wie die FAZ berichtet.(Dass eine Industrieproduktion, in der jedes Element der Liefer- und Fertigungskette steuerbar wird, Daten verarbeitet und weitergibt, ganz neue Risiken eröffnet, muss ich jetzt dazu sagen. Das ist schließlich mein Beruf – ich sorge dafür, dass Unternehmens solche Risiken sinnvoll versichern können.)
  • In manchen Branchen sind Cyber-Versicherungen fast komplett angekommen. Ich glaube nicht, dass es noch viele deutsche Geschäftsbanken gibt, die  keine solche Police haben. Und das zusätzlich zum hohen Niveau ihrer technischen und organisatorischen IT-Sicherheit.In anderen Branchen ist dagegen noch wenig passiert. Krankenhäuser, Public Health und Gesundheitsversorger gehören nach meinem Gefühl dazu. Und das, obwohl die Cyber-Bedrohung gerade dort ebenfalls hoch ist. Das gilt für die gesamte Palette an Cyber-Risiken, von der Software-Fehlfunktion eines Behandlungsgeräts über den Hacker, der Patientendaten stiehlt bis hin zum (Computer-) Virus, der den Betrieb lahmlegt.  Letzteres ist gerade in einer Klinik in Los Angeles passiert. Presseberichten zufolge musste sie Bitcoins im Wert von rund 15.000 € an Erpresser bezahlen, um den Trojaner wieder loszuwerden. Gleichzeitig gab es laut WDR  allein in sechs Krankenhäuser in Nordrhein-Westfalen ebenfalls Trojanerattacken, die zu verschlüsselten Dateien führten. Gegen biologische Krankenhauskeime sind die Kliniken versichert. Aber was ist mit den virtuellen Schädlingen?
  • Nicht nur Krankenhäuser, sondern die breite Bevölkerung sucht ein Trojaner mit dem schönen Namen Locky heim. Ein Fraunhofer-Institut hat er auch schon befallen. Auch er verschlüsselt sämtliche Dateien auf dem Rechner, auch auf Cloud-Speicherplatz im Internet. Den Schlüssel zum Wiederlesbarmachen soll man dann teuer kaufen, ohne Garantie, dass der einem die Dokumente wieder zurückgibt.Einfallstor sind Microsoft-Office-Dokumente. Da hilft als Sofortmaßnahme vor allem: Alle per E-Mail zugesandte Dokumente mit ausgeprägtem Misstrauen behandeln. Gegebenenfalls beim Versender nachfragen. Wenn man die Anhänge doch öffnen muss, dann mit Libre Office oder OpenOffice.org. Und: Microsoft Office so einstellen, das die Ausführung von Makros in jedem Fall gesondert bestätigt werden muss. Außerdem dafür sorgen, dass das alle im Unternehmen bzw. Netzwerk so machen.
  • IT-Sicherheitsdienstleister Gemalto hat seinen Breach Level Index (englisch, auf Deutsch findet man die Meldung bei Industrial-Internet.de) für das Jahr 2015 vorlegt. Diese Auswertung der IT-Sicherheitsverletzungen weltweit verzeichnet, dass es in 53 Prozent der Fälle und bei 40 Prozent der betroffenen Datensätze um Identitätsdiebstahl ging. Interessanter Trend: 43 Prozent aller Verletzungen ereigneten sich im Bereich der öffentlichen Verwaltung. Ebenfalls stark betroffen war der Gesundheitssektor, auf den sich 23 Prozent der Angriffe richtete. Der Anteil des Einzelhandels und der Finanzbranche an den Fallzahlen ging dagegen zurück. (Nachtrag, 23.02.)