Cyber-Risiko Home Office, Symbolfoto von Free-Photos from Pixabay

Cyberrisiko Home Office – Versicherungsschutz für das Unternehmen?

Aktualisierung (24. 04. 2020)

Drei wichtige zusätzliche Hinweise zum unten Gesagten:

  • Unternehmen, die jetzt wegen Corona erstmals oder in stärkerem Maße Home-Office-Arbeit nutzen, müssen dies der Cyberversicherung melden.
    Das Mitteilen dieser sogenannten „Gefahrerhöhung“ ist Voraussetzung für den Versicherungsschutz – soweit der jeweilige Vesicherer das Home Office einschließt.
     
  • Inzwischen gibt es eine Cyber-Versicherungen, die die volle „Sachsubstanzdeckung“ für IT-Geräte ausdrücklich auch auf „ortunveränderliche Geräte“ im Home Office erweitert hat. Damit ist eine separate Außenversicherung nicht mehr nötig.
     
  • Allerdings gilt diese Deckung nicht für Mobilgeräte. Mobilgeräte sind jedoch in bestimmten Cyberversicherungsverträge ohnehin mitversichert. Bei anderen Versicherern müssen sie explizit als Sublimit mit in den Versicherungsvertrag aufgenommen werden.

Sie wollen wissen, ob in Ihren Versicherungsverträgen das Home Office eingeschlossen ist? Oder möchten Sie Ihrem Versicherer mitteilen, dass Ihre Mitarbeiter von zu Hause aus arbeiten? Wir kümmern uns darum: 030 863 926 990.

Cyberversicherung im Home-Office

Die Corona-Epidemie hat Millionen von Arbeitnehmern das Arbeiten im Home Office beschert. Und den Cyber-Kriminellen ganz neue Chancen. Was passiert, wenn die Wohnung der Mitarbeiter zum Einfallstor für Cyber-Gangster wird: Hat das Unternehmen dann Versicherungsschutz?

Dank der Pandemie sind plötzlich jede Menge gefälschter Corona-Informationen unterwegs. Die geheimen Infos über den Erreger? In Wirklichkeit Viren der digitalen Art. Die Bankfiliale hat epidemie-bedingt geschlossen, der Kunde soll sich online anmelden? Phishing zum Diebstahl der Zugangsdaten. Der Shop mit dem Wundermittel? Billiger Betrug.

Das Büro am Küchentisch als IT-Sicherheitsrisiko

Doch das ist nicht alles. Auch die Arbeit von zu Hause aus bringt neue Bedrohungen für die IT-Sicherheit.

  • Home Office erhöht grundsätzlich die Angriffsfläche des Unternehmens. Ganz besonders dann, wenn die Mitarbeiter private Laptops und Telefone verwenden. Bei denen sind weder regelmäßige Updates noch andere Schutzmaßnahmen gewährleistet. Oft stecken sie voller Spyware.
  • Selbst mit Geräten vom Arbeitgeber ist Home Office problematisch. Privates und Dienstliches geht schneller durcheinander. Wenn es IT-Sicherheitsvorschriften überhaupt gibt, werden sie gern missachtet. Die Kontrolle durch Kollegen entfällt.
  • Datenübermittlung, Fernzugriffe, Filesharing, Video-Konferenzen – alles zusätzliche Angriffspunkte.
  • Der durch Corona erforderliche Umzug ins Home Office kam überraschend. Die Mitarbeite musste in ihren Wohnzimmern schnell arbeitsfähig werden. Da fiel die IT-Sicherheit oft unter den Tisch.
  • Besonders gefährlich: Oft haben die Mitarbeiter sich in Eigeninitiative schnelle Lösungen gebastelt. Dateiaustausch über schlecht abgesicherte, kostenlose Cloud-Angebote beispielsweise. Angreifer freuen sich darüber.

Informationen und Tipps:

Zahlt die Versicherung bei einem Cyberangriff auf das Home Office?

Bleibt die Frage; Wie steht es um den Versicherungsschutz des Unternehmens, wenn Cyberattacken durch den Heimarbeitsplatz des Mitarbeiters erfolgen? Zahlt die Cyberversicherung, wenn Ransomware so das Firmennetz lahmlegt? Oder wenn die Kundendaten auf diesem Umweg ins Darknet abfließen?

Wenn der Arbeitgeber Versicherungsnehmer der Cyberversicherung ist, tritt diese für Schäden an Unternehmensdaten und -systemen ein, selbst wenn das Desaster in einem privaten Wohnzimmer ausgelöst wurde. Das gilt auch für die Haftung.

Bei Angriffen über das Home Office ist ähnlich wie bei für die Firma genutzten Privatgeräten (BYOD): Schäden an Firmengeräten durch den ins Büro mitgebrachten USB-Stick sind grundsätzlich gedeckt. Schäden fürs Unternehmensnetzwerk durch den in der heimischen Küche genutzten Firmen-Laptop ebenfalls.

Das gilt grundsätzlich sowohl für Cyber-Risiken wie für die Haftpflicht. Natürlich kommt es auf die genauen Versicherungsbedingungen an.

Außenversicherung

Nicht versichert sind dagegen die privaten Geräte der Mitarbeiter, sowie externe betriebliche Geräte. Letzteres gilt zumindest dann, wenn deren Standort im Wohnzimmer des Arbeitnehmers liegt und im Versicherungsvertrag nicht aufgeführt ist.

Abhilfe schaffen kann eine sogenannte Außenversicherung.

Oft lassen sich Versicherer mit sich reden. So konnten wir erreichen, dass die Deckung der Elektronikversicherung eines acant-Kunden von der stationären Computer-, Büro- und Kommunikationstechnik in den Büroräumen auf das Home Office der Mitarbeiter ausgedehnt wurde. Der Kunde erhielt also quasi eine Außenversicherung in Höhe der Versicherungssumme. Wohlgemerkt: ohne zusätzliche Prämie!

Was wir von acant jetzt für Sie tun können

  • Wir überprüfen für Sie, welchen Versicherungsschutz Ihr Unternehmen momentan hat. Sind Cyberangriffe auf Mitarbeiter gedeckt? Sie übermitteln uns Ihre Policen, wir geben Ihnen die Antwort. Kostenlos, versteht sich.
  • Außerdem loten wir mit Ihnen zusammen aus, wie Sie zu Cyber-Versicherungsschutz für Ihre Home-Office-Arbeiter kommen. Das kann durch Deckungserweiterung oder eine neue Police geschehen. Wir legen Ihnen sinnvolle und günstige Angebote vor, Sie wählen aus. Übrigens: acant vermittelt unabhängig von den Versicherern.

Interesse? Fragen? Sie erreichen uns unter 49 (0)30 863 926 990 oder per Kontaktformular.

Cyber-Schwachstelle Heimcomputer – selbst im Kanzleramt

„Regin”, ein NSA-/GCHQ-Trojaner, wurde auf einem Laptop im Bundeskanzleramt entdeckt. Er kam von einem infizierten Heimcomputer  per USB-Stick. Eine hochrangige Mitarbeiterin hatte sich Arbeit mit nach Hause genommen. „Die Benutzung eines privaten USB-Sticks für solche Dateitransfers sei verboten, hieß es weiter.” Tja.

„Spear fishing” heißt es, gezielt einer bestimmten Person durch eine auf sie zugeschnittene Fake-Nachricht „Malware” unterzujubeln. Hat immer wieder Erfolg. Aber eine Cyber-Risk-Versicherung hilft auch dann.

Quellen: „Bild” und z. B. auch Golem.de.

Bring your own device (BYOD): Bring Dein eigenes Gerät, die Firma haftet?

Drei Studien, ein Problem

  • Fast ein Drittel aller deutschen Unternehmen mit mehr als 1.000 Mitarbeitern hat durch BYOD bereits wichtige Daten verloren. Das besagt eine Studie, über die Heise berichtet.
  • Andererseits erlaubt mit  43 % annähernd die Hälfte der IT-Unternehmen hierzulande den Mitarbeitern, eigene Geräte für die Arbeit zu nutzen, von denen wiederum nur 60 % dafür feste Regeln aufstellen –  so eine andere Studie vom Branchenverband Bitkom.
  • Wobei Betriebsvereinbarungen etc. oft ohnehin wenig bringen: Fast die Hälfte der Arbeitnehmer bis 32 schert sich schlichtweg nicht um Verbote und Einschränkungen und nutzt die eigenen Geräte einfach trotzdem. Das ergab eine Fortinet-Umfrage zum BYOD-Verhalten der „Generation Y“.

Kaum noch ohne BYOD

Dass BYOD für  die Rechner- und Datensicherheit des Unternehmens  ein Horror ist, liegt auf der Hand. Heterogene Hardware, unterschiedliche Betriebssysteme, eine völlig uneinheitliche Ausrüstung  mit Firewalls, Virensoftware und Backup-Programmen, wenn überhaupt vorhanden. Dazu Nutzer, die das jeweilige Gerät als Teil ihrer persönlichen Ausrüstung begreifen, an allen möglichen Orten im Internet unterwegs sind, unkontrolliert herunterladen und installieren, mit weiß wem Kontakt haben und fleißig Wechseldatenträger nutzen …

Arbeitsrechtlich bzw. juristisch ist BYOD ebenfalls ein Alptraum. Arbeit und Privatsphäre, persönliche und Unternehmensdaten, Privatbesitz und Firmeneigentum – alles vermischt sich. Da freut sich der Anwalt, wenn es zu Konflikten kommt …

Dazu kommen die steuerlichen Unklarheiten, wenn Privat- und Firmeneigentum, berufliche und private Nutzung sich vermischen.

Trotzdem kann man BYOD oft kaum noch wirksam verbieten – s.o. Außerdem macht ein BYOD-VErbot die Suche nach jungen Talenten für den „Mangelberuf Anwendungsentwickler“  und ähnliche Jobs sehr viel schwieriger.  Daneben ist BYOD der Preis (und der Köder) für die erhöhte Verfügbarkeit wichtiger Leute und spart oft Anschaffungskosten.

Schutzmaßnahmen festklopfen

Ganz wichtig: Eine verbindliche und arbeitsrechtlich wirksame Richtlinie zu BYOD etablieren.

Wichtig ist aber auch, die einschlägigen Risiken klar zu erfassen und versichert zu haben. Gerade an dieser Front ist das Unternehmen abhängig vom Verhalten Dritter und anfällig für Pleiten, Pech und Pannen.

Wenn das ganz große Datenleck oder der Komplettverlust wichtiger Firmendaten da ist, hilft Ihnen auch ein Haftungsanspruch gegen den Sündenbock  nicht mehr viel.  Dann retten  Sie nur noch gute Nerven und eine ausreichende Deckung in Ihrer Versicherungspolice.

Punkte für eine BYOD-Richtlinie

Dennoch: Die arbeitsrechtliche Absicherung von  BYOD ist absolut zentral – schon deshalb, um das Bewusstsein der Mitarbeiter zu schärfen und um Rechtsstreitigkeiten mit dem eigenen Personal von vornherein den Boden zu entziehen. Welche Punkte  in Sachen BYOD im Arbeitsvertrag oder per Betriebsvereinbarung zu klären sind, haben die Rechtsanwälte Sebastian Dramburg und Matthias Sziedat in einem Gastbeitrag für Deutsche-Startups.de aufgelistet. Die von ihnen genannten Punkte kurz zusammengefasst:

  • Klare Regeln dazu, wer wie viel bezahlt für Anschaffung, Zubehör und Reparaturen
  • Haftung bei Softwarenutzung ohne Lizenz
  • Regeln für Verlust oder Beschädigung
  • Klare Abmachungen zum Umgang mit persönlichen Daten des Mitarbeiters auf dem Gerät
  • Regeln für den Fall des Ausscheidens des Mitarbeiters oder bei akuten Konflikten

Fragen an Ihren Versicherer

Zusätzlich sollten Sie sich aber bei jedem dieser Punkte auch fragen: Wie steht mein Unternehmen da, wenn die Richtlinie nicht greift?

Ist das neue iPhone, das der Marketingchef auf der Messe liegen lässt, versichert? Wenn der Entwickler im Streit geht und das Unternehmen keinen Zugriff mehr auf den bislang erstellten Code auf dessen Laptop hat, wer bezahlt dann die Vertragsstrafe an den Kunden? Wie steht es, wenn der Vertriebsmitarbeiter sich einen Trojaner einfängt und die Kunden verteilt, die dann Schadensersatz fordern? Kann man für den Schaden vorsorgen, der entsteht, wenn ein Mitarbeiter die Kundendaten auf „seinem“ Laptop für ein eigenes Unternehmen nutzt?

Wie immer gilt: Das sind zum einen Themen für Ihre IT-Sicherheit. Das alles sind aber auch Versicherungsfragen.  Sie sollten Sie Ihrem Versicherungsmakler oder Ihrem Versicherer stellen, bevor es passiert.

Fazit

BYOD ist ein Risiko, an dem Sie aber vermutlich kaum vorbeikommen. Um das Risiko zu begrenzen, müssen Sie es auf drei Ebenen angehen:

  1. auf Ebene der  IT-Sicherheit: in Bezug auf die Geräte selbst,
  2. auf arbeitsrechtlicher Ebene: in Bezug auf Ihre Mitarbeiter
  3. auf Unternehmensebene:  in Bezug auf Ihre betrieblichen Versicherungen

Außerdem sollten Sie mit dem Steuerberater über dieses Thema sprechen.

Links