Urteil - Cyberversicherung muss zahlen trotz veralteter Serversysteme, Symbolfoto: dokumol via Pixabay

Software-Updates versäumt, Cyber-Versicherung muss nach Hackerangriff trotzdem zahlen

Urteil zur Cyber-Versicherung: Leistungspflicht trotz veralteter Server-Betriebssysteme

Ein Unternehmen wird Opfer eines Hacker-Angriffs mit Ransomware. Die Betriebsunterbrechung verursacht Millionenschäden. Manche Server des Betriebs liefen mit längst veralteten Betriebssystem-Versionen. Trotzdem wurde die Cyber-Versicherung dazu verurteilt, den Schaden zu übernehmen.

Das Urteil gibt Versicherern noch mehr Anlass, auf die IT-Sicherheit ihrer Versicherungsnehmern zu achten. Unternehmen sollten den Abschluss einer Cyber-Versicherung und die Optimierung ihrer Sicherheitsmaßnahmen aufeinander abstimmen.

Cyber-Versicherung abgeschlossen – und gleich Opfer eines Cyber-Angriffs

Bei einem Unternehmen aus Baden-Württemberg hatten nur 10 von 21 Servern aktuelle Betriebssystem-Versionen. Andere liefen selbst 2020 noch mit „Windows Server 2003“. Für dieses Betriebssystem gab es seit 2015 keine Updates mehr.

Trotzdem konnte der Betrieb eine Cyber-Versicherung abschließen. Die kam zum richtigen Zeitpunkt: Zwei Monate später verschlüsselte ein Ransomware-Angriff die Daten im gesamten Firmennetzwerk. Eine fünfmonatige Betriebsunterbrechung war die Folge. Sie führte zu Ausfällen in Millionenhöhe.

Die Versicherungsgesellschaft weigerte sich, den Schaden zu übernehmen. Sie verwies auf die fehlenden Software-Updates und darauf, dass das Unternehmen weder Zwei-Faktor-Authentifizierung noch ein Monitoring-System installiert hatte. Außerdem habe es Kontrollfragen zur Unternehmens-IT falsch beantwortet, die ihm vor Vertragsabschluss vorgelegt wurden.

Keine „Kausalität“, keine „Arglist“: die Versicherung muss bezahlen.

Das Landgericht Tübingen verurteilte den Versicherer trotzdem zur Zahlung. Er musste Schäden von mehr als 2,8 Millionen Euro übernehmen. Allein die Betriebsunterbrechung schlug mit rund 2,5 Millionen Euro zu Buche.

Das Unternehmen hatte einem Vertreter der Versicherungsgesellschaft vor Vertragsunterzeichnung mitgeteilt, dass es noch „Windows Server 2003“ und „Windows Server 2008“ einsetzte. Selbst wenn die – unklar formulierten – Risikofragen falsch beantwortet wurden, lag für das Gericht somit keine Arglist vor.

Außerdem war der Trojaner durch eine Phishing-Mail auf das Notebook eines Administrators gelangt. Von dort verbreitete er sich als Pass-the-Hash-Angriff weiter. Die veraltete Server-Software war deshalb nach Ansicht des Gerichts nicht kausal für den erfolgreichen Ransomware-Angriff.

Wichtig für die Richter: die Unternehmensvertreter hatten den Eindruck gewonnen, der Versicherer stelle keine hohen Anforderungen an die IT-Sicherheit. Sein Repräsentant hatte erklärt, dass „jede Fritzbox“ als Firewall ausreichen würde (AZ: LG Tübingen, 26.05.2023 – 4 O 193/21).

Das Urteil macht es den Unternehmen nicht leichter: Sie sollten IT-Sicherheit und Versicherungsschutz klug kombinieren

Noch vor einigen Jahren verlangten Versicherer zum Abschluss einer Cyber-Versicherung kaum mehr als die symbolische Bestätigung, dass dem Betrieb die Cyber-Risiken bewusst waren. Das hat sich in wenigen Jahren grundlegend geändert. Die Zahl der Cyber-Angriffe und die Höhe der Schäden sind explodiert. Besonders Betriebsunterbrechungen und Schadenersatzforderungen verursachen hohe Kosten. Deshalb sind Cyberversicherungen inzwischen deutlich teurer – und wesentlich schwerer zu bekommen. Die Versicherer schauen mittlerweile genauer hin, wie es um die IT-Sicherheit bei Versicherungsnehmern bestellt ist.

Für die Unternehmen wird es wichtig, zwei Aufgaben aufeinander abzustimmen. Die eine besteht darin, ein professionelles IT-Sicherheitsniveau zu erreichen. Die andere Aufgabe ist es, das Risikomanagement durch eine belastbare Cyber-Police zu ergänzen. Die Geschäftsführung ist gefordert: Nur Investitionen in die IT-Sicherheit ermöglichen adäquaten Versicherungsschutz. Umgekehrt gilt es, die Cyberversicherung präzise auf die Bedrohungslage des Unternehmens auszurichten.

Entscheidend ist dafür die Unterstützung durch einen erfahrenen Fachmakler. Wir von acant haben 2013 als einer der ersten Versicherungsmakler in Deutschland die Vermittlung von Cyberpolicen begonnen. Inzwischen haben wir mehr als zehn Jahre Erfahrung damit. Wir kennen den Markt für Cyberversicherungs-Produkte, haben direkte Kontakte zu den einschlägigen Versicherern und wissen wie man auch in einem schwierigen Markt optimalen Cyber-Versicherungsschutz und individuelle Lösungen sicherstellt. Rufen Sie uns an oder schreiben Sie uns eine Nachricht!

Geschäftsführerhaftung für IT-Sicherheit - Symbolbild, Foto: Myriam Zilles auf Pixabay

Geschäftsführerhaftung: GmbH-Geschäftsführer haften für versäumte IT-Sicherheit. Versichern schützt.

Für IT-Sicherheitsversäumnisse im Unternehmen haften Sie als GmbH-Geschäftsführer schneller, als Ihnen lieb sein kann. Persönlich, mit Ihrem privaten Vermögen.

Dieser Beitrag fasst im Überblick zusammen:

  • warum das Gewährleisten von IT-Sicherheit zu den Pflichten von GmbH-Geschäftsführern gehört,
  • wie schnell ein Cyber-Angriff zu immensen Schäden führt und
  • warum die Haftung dafür in vielen Fällen an der Geschäftsführung der GmbH hängen bleibt.

Dagegen können Sie sich versichern. Das sollten Sie auch tun – mit einer Cyberversicherung für Ihr Unternehmen, und einer D&O-Police, die Ihre Managerhaftpflicht deckt.

Der Beitrag erklärt ausführlich, warum das nicht aus der Luft gegriffen ist. Sie können uns auch direkt nach Versicherungsschutz für Cyberangriffe und Geschäftsführer-Haftung fragen: 030 863 926 990

IT-Sicherheit – die Achillesferse der Unternehmen

Unternehmen bieten Cyberkriminellen eine große Angriffsoberfläche. Das gilt auch für mittelständische und kleinere Unternehmen. Opfer eines gezielten oder zufälligen Cyberangriffs zu werden, ist heute Betriebsrisiko.

Schließlich kommen überall Rechner und Smartphones zum Einsatz, werden E-Mails geschrieben, werden Buchungen per Software erledigt und Bestell- oder Kundendaten abgespeichert. Maschinen, Fahrzeuge und Gebäudetechnik sind zunehmend vernetzt. Mitarbeiter nutzen Firmengeräte häufig auch privat. Umgekehrt hängt in Home-Office-Zeiten das Firmennetzwerk nicht selten von der Sicherheit privater WLAN-Router ab.

Ein erfolgreicher digitaler Angriff kostet das Unternehmen viele Nerven, eine Menge Zeit und vor allem sehr viel Geld. Der Schaden kann schnell existenzbedrohend sein – das ist keine Übertreibung. Systemausfälle dauern in der Regel Tage und Wochen, oft sogar Monate – bis dahin ist nur eingeschränkter Geschäftsbetrieb möglich. Jeder Kunde, Mitarbeiter oder Außenstehende, von dem personenbezogene Daten entwendet wurden, muss benachrichtigt, gegebenenfalls auch entschädigt werden. Auch der Notfalleinsatz von IT-Spezialisten, Anwälten und Experten von Krisen-PR ist nicht umsonst. Weitere Kostenrisiken: Schadenersatzklagen, verlorene Kunden, ein beschädigtes Image.

Der IT-Branchenverband Bitkom fand heraus, dass drei von vier deutschen Unternehmen Opfer von Datendiebstahl, Industriespionage oder Sabotage wurden. Er geht von einer Schadenssumme von 100 Mrd. Euro jährlich aus.

Das Gewährleisten von IT-Sicherheit ist Chefsache

IT-Sicherheit ist ein Thema, mit dem sich die Unternehmensführung beschäftigen muss. Natürlich muss der Chef oder die Chefin nicht selbst eine Firewall installieren. Aber sie müssen den Aufgabenbereich in qualifizierte Hände legen und zudem überwachen, ob die IT-Abteilung, der Administrator oder ein externen Dienstleister sich tatsächlich um angemessene digitale Sicherheit kümmern.

Das liegt auch im Eigeninteresse der Geschäftsführung. In einer GmbH oder UG (haftungsbeschränkt) führen Pflichtverletzungen schnell in die persönliche Haftung. Zu diesen Pflichten gehört der Schutz vor Cyberangriffen. GmbH-Geschäftsführer und AG-Vorstände tragen die Verantwortung dafür, dass die Gesellschaft funktionierende Lösungen für diese Bedrohung etabliert. Das gilt unabhängig davon, ob sie persönlich Interesse an digitaler Technologie haben.

Geschäftsführerhaftung: Wurde das IT-Sicherheitsthema versäumt, haftet der GmbH-Geschäftsführer

Kann die Geschäftsführung nach einer Cyber-Attacke nicht beweisen, dass sie für angemessene Vorkehrungen gesorgt hat, dann droht ihr die persönliche Haftung gegenüber der Gesellschaft oder Dritten, unter anderem für …

  • Schäden des Unternehmens z. B. durch beschädigte Geräte oder Waren, verdorbene Vorräte und den Lohn für untätige Mitarbeiter
  • Umsatzeinbußen durch die Betriebsunterbrechung: Maschinen stehen still, der Online-Shop ist nicht erreichbar etc.
  • Schadenersatz für geschädigte Kunden, Lieferanten oder Geschäftspartner sowie Vertragsstrafen für Verzögerungen, Nichterfüllung etc.
  • Schadenersatz für den Verlust personenbezogener Daten: Unternehmen, die personenbezogene Daten verarbeiten (und das sind so gut wie alle, man denke nur an Kunden- und Arbeitnehmerdaten), haften für materielle und immaterielle Schäden aus nicht DSGVO-konformer Verarbeitung
  • Kosten für das Neuinstallieren oder Wiederhochfahren der Systeme, für Forensik, Krisenmaßnahmen und Krisenberater (wie Anwälte und PR-Fachleute)
  • Schäden durch Imageverlust oder abgewanderte Kunden, auch solche Schäden sind grundsätzlich schadenersatzpflichtig, selbst wenn sie schwerer zu beziffern sind

Fragen zur Haftung für Schäden durch Cyberangriffe

Eine schwere IT-Sicherheitsverletzung beschert der GmbH außerplanmäßige Kosten. Das senkt den Gewinn und den Wert der Anteile. Wie wahrscheinlich ist es, dass die GmbH-Gesellschafter das auf sich beruhen lassen?

Der Geschäftsführer ist von vornherein in einer ungünstigen Situation, denn er muss die Verschuldensvermutung widerlegen, die das BGB ihm aufbürdet. Ohne ordnungsgemäß dokumentierte IT-Maßnahmen wird ihm dieser Nachweis schwer gelingen.

Haftung per AGB ausschließen?

Lässt sich die Haftung der Gesellschaft gegenüber Kunden und Geschäftspartnern nicht durch Allgemeine Geschäftsbedingungen ausschließen, so dass der Rückgriff auf den Geschäftsführer gar nicht erst notwendig wird?

Leider nein: Verhindert ein Cyberangriff, dass die Lieferung nicht vollständig oder fristgerecht erfolgt oder vertrauliche Informationen verloren werden, hilft kein Verweis auf AGB-Klauseln zum Haftungsausschluss vereinbart. Kann das funktionieren? Die vertragsgemäße Lieferung stellt ebenso wie die Vertraulichkeit eine wesentliche Vertragspflicht dar und kann nicht vertraglich abbedungen werden.

Arbeitnehmer in Haftung nehmen?

Vielleicht hat ein Arbeitnehmer den verhängnisvollen Dateianhang unvorsichtigerweise geöffnet. Den Mitarbeiter für sein Fehlverhalten persönlich haftbar zu machen, ist jedcoh ebenso wenig erfolgversprechend, Die Haftung von Arbeitnehmern ist auf fahrlässiges Handeln beschränkt. Und selbst dann wird bei mittlerer Fahrlässigkeit der Schaden in der Regel quotiert – ein Teil wird also dem Arbeitgeber zugewiesen.

Bei grober Fahrlässigkeit mag der Arbeitnehmer voll haftbar sein, doch selbst dann setzt die Rechtsprechung des Bundesarbeitsgerichts enge Grenzen. Ansprüche aus Haftung über ein Jahresgehalt des Mitarbeiters hinaus sind kaum möglich. Gemessen an den Kosten eines Cyberangriffs ist das ein Tropfen auf den heißen Stein.

Externen IT-Dienstleister haftbar machen?

Selbst wenn die IT-Dienstleistungen von externen Unternehmen eingekauft wurden, ist es schwierig, nach einem Cyberangriff einen Schadenersatzanspruch gegenüber dem Dienstleister durchzusetzen. Der Dienstleister haftet für die IT-Leistung, die er als Hauptleistung erbringt. Sie muss jedoch nicht zwangsläufig dem Stand der Technik entsprechen. Selbst wenn die installierte Technik versagt, ein Virus von der Antivirensoftware nicht erkannt wurde oder Hacker eine Server-Sicherheitslücke fanden: Gehörte es zur Hauptleistung, solche Angriffsflächen auszuschließen? Das scheitert vermutlich schon am Budget, den ein derart umfassender Auftrag erfordert hätte.

Die Geschäftsführerhaftung ist die einfachste Weg zum Schadenersatz

Schadenersatzansprüche aus einem Cyberangriff bleiben daher meist am GmbH-Geschäftsführer hängen, sowohl die Haftung gegenüber dem Unternehmen als auch gegenüber Dritten.

Maßstab für die Geschäftsführerpflichten bzw. die Geschäftsführerhaftung ist auch in puncto IT die „Sorgfalt eines ordentlichen und gewissenhaften Geschäftsleiters“ (§ 43 Abs. 2 GmbHG).

Eine Pflicht ergibt sich zudem aus dem Aktiengesetz (§ 91 Abs. 2 AktG). Es verlangt vom Vorstand, „geeignete Maßnahmen“ zur Risikoerkennung und -vermeidung. Die Rechtsprechung geht von einer „Ausstrahlungswirkung“ aus und überträgt diese Leitungspflicht auf GmbH-Geschäftsführer: diese müssen ebenfalls für Organisationsstandards sorgen, die eine Bestandsgefährdung des Unternehmens vermeiden. Cyberangriffe bedeuten eine Bestandsgefährdung.

Ein Organisationsverschulden und damit eine Pflichtverletzung durch mangelnde IT-Sicherheitsvorsorge kann sich aus weiteren Vorschriften ergeben:

  • § 109 TKG schreibt für Telekommunikationsanbieter technische Schutzmaßnahmen vor
  • § 13 Abs. 7 TMG verpflichtet Anbieter von Telemedien zu Maßnahmen gegen unerlaubten Zugriff, zum Schutz personenbezogener Daten und zum Verhindern von Störungen durch äußere Angriffe.
  • § 8a BSIG enthält Vorgaben zur Sicherheit in der Informationstechnik für Betreiber Kritischer Infrastrukturen.
  • § 25a Abs. 1 Nr. 5 KWG macht Finanzdienstleistern und Kreditinstituten Auflagen zur Geschäftsorganisation und schreibt ein Risikomanagement-System vor.
  • Art. 24 DSGVO verlangt eine IT nach dem Stand der Technik. Daraus folgt zugleich die Verpflichtung, dies durch eine sorgfältige und vollständige Dokumentation nachzuweisen.

IT-Risiken als Haftungsfalle: Handlungsempfehlungen für GmbH-Geschäftsführer

  • Zunächst muss das Cyber-Risiko des Unternehmens analysiert werden. Es geht um ganz konkrete Szenarien: Mit welcher Wahrscheinlichkeit sind welche Art von Sicherheitsverletzungen möglich, welche Konsequenzen und Kosten ergeben sich?

    Für diese Aufgabe benötigen Sie Ihre IT-Verantwortlichen. Ideal ist ein Experte speziell für IT-Sicherheit mit Zertifizierung nach ISO 27001. Weil Risikomanagement weit über Technologie hinausgeht, sollen Sie auch uns einbeziehen. Wir von acant sind als Versicherungsmakler auf Cyberrisiken spezialisiert und kennen die Schadensszenarien aus der Praxis. Schließlich haben wir regelmäßig damit zu tun.

  • Ein zweiter, wichtiger Schritt zur Abwehr der persönlichen Haftung: Sie müssen eine umfassende, aussagekräftige Dokumentation sicherstellen: dazu gehört der Ist-Zustand, die relevanten Bedrohungsszenarien und die Vorsorge- und Schutzmaßnahmen, die ergriffen werden. Zu diesen Maßnahmen gehört auf jeden Fall ein professionelles Datensicherungskonzept und ein praxistauglicher Notfallplan.

  • Dritter Schritt sind betriebliche Versicherungen. Einschlägig sind Cyberversicherungen, Vertrauensschadenversicherungen, Elektronik- oder Maschinenversicherungen sowie Deckungen für Rechtsschutz und Betriebshaftpflicht. Welche dieser Versicherungen zu konkreten Risiken des Unternehmens und des Geschäftsführung passen und betriebswirtschaftlich sinnvoll sind, hängt vom Einzelfall ab.

    Das Versichern des Unternehmens ist solides Risikomanagement. Schließlich weisen Sie Sie damit die Sorgfalt der Geschäftsführung bei der Abwehr von IT-Bedrohungen nach. Nicht wenige Juristen halten den Abschluss einer Cyber-Versicherung durch die Geschäftsführung für verpflichtend.
  • Das persönliche Element der Vorsorge ist eine D&O-Versicherung: diese deckt als Absicherung für den GmbH-Geschäftsführer dessen Geschäftsführerhaftung.

Bei diesen Schritten können wir von acant Sie und Ihr Unternehmen unterstützen. Genau dafür sind wir als Spezialmakler für Cyberrisiken und Geschäftsführerhaftung da. Rufen Sie uns an (030 863 926 990) oder schreiben Sie uns eine Nachricht.

Cyber-Risiko Home Office, Symbolfoto von Free-Photos from Pixabay

Cyberrisiko Home Office – Versicherungsschutz für das Unternehmen?

Aktualisierung (24. 04. 2020)

Drei wichtige zusätzliche Hinweise zum unten Gesagten:

  • Unternehmen, die jetzt wegen Corona erstmals oder in stärkerem Maße Home-Office-Arbeit nutzen, müssen dies der Cyberversicherung melden.
    Das Mitteilen dieser sogenannten „Gefahrerhöhung“ ist Voraussetzung für den Versicherungsschutz – soweit der jeweilige Vesicherer das Home Office einschließt.
     
  • Inzwischen gibt es eine Cyber-Versicherungen, die die volle „Sachsubstanzdeckung“ für IT-Geräte ausdrücklich auch auf „ortunveränderliche Geräte“ im Home Office erweitert hat. Damit ist eine separate Außenversicherung nicht mehr nötig.
     
  • Allerdings gilt diese Deckung nicht für Mobilgeräte. Mobilgeräte sind jedoch in bestimmten Cyberversicherungsverträge ohnehin mitversichert. Bei anderen Versicherern müssen sie explizit als Sublimit mit in den Versicherungsvertrag aufgenommen werden.

Sie wollen wissen, ob in Ihren Versicherungsverträgen das Home Office eingeschlossen ist? Oder möchten Sie Ihrem Versicherer mitteilen, dass Ihre Mitarbeiter von zu Hause aus arbeiten? Wir kümmern uns darum: 030 863 926 990.

Cyberversicherung im Home-Office

Die Corona-Epidemie hat Millionen von Arbeitnehmern das Arbeiten im Home Office beschert. Und den Cyber-Kriminellen ganz neue Chancen. Was passiert, wenn die Wohnung der Mitarbeiter zum Einfallstor für Cyber-Gangster wird: Hat das Unternehmen dann Versicherungsschutz?

Dank der Pandemie sind plötzlich jede Menge gefälschter Corona-Informationen unterwegs. Die geheimen Infos über den Erreger? In Wirklichkeit Viren der digitalen Art. Die Bankfiliale hat epidemie-bedingt geschlossen, der Kunde soll sich online anmelden? Phishing zum Diebstahl der Zugangsdaten. Der Shop mit dem Wundermittel? Billiger Betrug.

Das Büro am Küchentisch als IT-Sicherheitsrisiko

Doch das ist nicht alles. Auch die Arbeit von zu Hause aus bringt neue Bedrohungen für die IT-Sicherheit.

  • Home Office erhöht grundsätzlich die Angriffsfläche des Unternehmens. Ganz besonders dann, wenn die Mitarbeiter private Laptops und Telefone verwenden. Bei denen sind weder regelmäßige Updates noch andere Schutzmaßnahmen gewährleistet. Oft stecken sie voller Spyware.
  • Selbst mit Geräten vom Arbeitgeber ist Home Office problematisch. Privates und Dienstliches geht schneller durcheinander. Wenn es IT-Sicherheitsvorschriften überhaupt gibt, werden sie gern missachtet. Die Kontrolle durch Kollegen entfällt.
  • Datenübermittlung, Fernzugriffe, Filesharing, Video-Konferenzen – alles zusätzliche Angriffspunkte.
  • Der durch Corona erforderliche Umzug ins Home Office kam überraschend. Die Mitarbeite musste in ihren Wohnzimmern schnell arbeitsfähig werden. Da fiel die IT-Sicherheit oft unter den Tisch.
  • Besonders gefährlich: Oft haben die Mitarbeiter sich in Eigeninitiative schnelle Lösungen gebastelt. Dateiaustausch über schlecht abgesicherte, kostenlose Cloud-Angebote beispielsweise. Angreifer freuen sich darüber.

Informationen und Tipps:

Zahlt die Versicherung bei einem Cyberangriff auf das Home Office?

Bleibt die Frage; Wie steht es um den Versicherungsschutz des Unternehmens, wenn Cyberattacken durch den Heimarbeitsplatz des Mitarbeiters erfolgen? Zahlt die Cyberversicherung, wenn Ransomware so das Firmennetz lahmlegt? Oder wenn die Kundendaten auf diesem Umweg ins Darknet abfließen?

Wenn der Arbeitgeber Versicherungsnehmer der Cyberversicherung ist, tritt diese für Schäden an Unternehmensdaten und -systemen ein, selbst wenn das Desaster in einem privaten Wohnzimmer ausgelöst wurde. Das gilt auch für die Haftung.

Bei Angriffen über das Home Office ist ähnlich wie bei für die Firma genutzten Privatgeräten (BYOD): Schäden an Firmengeräten durch den ins Büro mitgebrachten USB-Stick sind grundsätzlich gedeckt. Schäden fürs Unternehmensnetzwerk durch den in der heimischen Küche genutzten Firmen-Laptop ebenfalls.

Das gilt grundsätzlich sowohl für Cyber-Risiken wie für die Haftpflicht. Natürlich kommt es auf die genauen Versicherungsbedingungen an.

Außenversicherung

Nicht versichert sind dagegen die privaten Geräte der Mitarbeiter, sowie externe betriebliche Geräte. Letzteres gilt zumindest dann, wenn deren Standort im Wohnzimmer des Arbeitnehmers liegt und im Versicherungsvertrag nicht aufgeführt ist.

Abhilfe schaffen kann eine sogenannte Außenversicherung.

Oft lassen sich Versicherer mit sich reden. So konnten wir erreichen, dass die Deckung der Elektronikversicherung eines acant-Kunden von der stationären Computer-, Büro- und Kommunikationstechnik in den Büroräumen auf das Home Office der Mitarbeiter ausgedehnt wurde. Der Kunde erhielt also quasi eine Außenversicherung in Höhe der Versicherungssumme. Wohlgemerkt: ohne zusätzliche Prämie!

Was wir von acant jetzt für Sie tun können

  • Wir überprüfen für Sie, welchen Versicherungsschutz Ihr Unternehmen momentan hat. Sind Cyberangriffe auf Mitarbeiter gedeckt? Sie übermitteln uns Ihre Policen, wir geben Ihnen die Antwort. Kostenlos, versteht sich.
  • Außerdem loten wir mit Ihnen zusammen aus, wie Sie zu Cyber-Versicherungsschutz für Ihre Home-Office-Arbeiter kommen. Das kann durch Deckungserweiterung oder eine neue Police geschehen. Wir legen Ihnen sinnvolle und günstige Angebote vor, Sie wählen aus. Übrigens: acant vermittelt unabhängig von den Versicherern.

Interesse? Fragen? Sie erreichen uns unter 49 (0)30 863 926 990 oder per Kontaktformular.

Sorglose Mitarbeiter und Ransomware - Risiko (Symbolbild) - Foto: rawpixel via Pixabay

Cyberangriffe durch Ransomware: Ihre Mitarbeiter sind das Hauptrisiko – und Ihre Präventionschance

Ransomware und kleinere Unternehmen

Heute möchte ich gern drei Erfahrungen zur Diskussion stellen, die Ransomware-Angriffe auf kleinere Unternehmen betreffen – und wie man sie erfolgreich verhindert.

Schließlich sind wir davon als Versicherungsmakler mit betroffen: Wir von acant vermitteln seit vielen Jahren Cyber-Versicherungen, die auch die Schäden durch Ransomware abedecken. Und zur Betreuung gehört es selbstverständlich, dass wir uns im Schadensfall kümmern.

Die ganz kurze Version:

  • Ransomware bedroht auch kleinere Unternehmen von überschaubarer Größe.
  • Schwachstelle Nr. 1 für solche Cyberangriffe: Ihre Mitarbeiter. Diese Sicherheitslücke lässt sich nicht dadurch schließen, dass die Technologie auf aktuellem Stand ist.
  • Ihr großer Vorteil als kleinerer Betrieb: Sie erreichen Ihre Leute und haben sie im Blick. Das lässt sich zur Prävention nutzen!

Ransomware, Erpresser-Software, verschlüsselt still und heimlich auf dem befallenen Rechner und im gesamten Netzwerk alle Dateien, auf die sie Zugriff bekommt. Dann erscheint ein Hinweisfenster mit der Aufforderung, Geld zu zahlen, wenn man den Schlüssel zum Wiederlesbarmachen der Daten haben will. In Folge von Ransomware-Angriffen fallen ganze Firmennetzwerke oft tage- und wochenlang aus. Selbst beim Bezahlen der Forderung hat man keine Garantie, dass man die Daten wiederbekommt. Und häufig werden die Daten nicht nur verschlüsselt, sondern auch entwendet, z. B. Bankzugänge und Zahlungsinformationen.

Für Ihr Unternehmen ist Ransomware kein Thema?

Selbst wenn eine Firewall installiert ist und Aktualisierungen sofort eingespielt werden, wenn regelmäßige Backups gemacht werden und überall Virenschutz läuft: Sind Sie sicher, dass keines der folgenden Szenarien bei Ihnen stattfinden kann?

  • Ein Mitarbeiter bekommt eine etwas verwirrend formulierte Nachricht geschickt. Absender ist ein langjähriger Geschäftspartner. Er öffnet die mitgeschickte Datei, um herauszufinden, was dahintersteckt – und installiert damit den Trojaner.
  • Oder: Einer Ihrer Leute flirtet seit einiger Zeit mit einer Zufallsbekanntschaft aus dem Internet. Heute schickt sie ihm endlich ein paar Fotos von sich … Rest: Siehe oben.
  • Dritte Variante: Jemand nutzt das Firmennetz für private Downloads. Leider ist die heruntergeladene Datei nicht das, was sie vorgibt …

Wenn so etwas auch bei Ihnen denkbar ist, wie übrigens in den meisten Unternehmen, dann hat Sie bisher nur Ihr Glück vor einer Infektion mit Ransomware bewahrt.

Es geht ganz schnell. Und es trifft nicht nur Idioten.

Verschärfend kommt hinzu, dass die Angriffe immer hinterhältiger werden und oft so gut getarnt sind, dass auch normal intelligente Menschen leicht ins Netz gehen. Zu den neueren Tricks gehören Mails mit dem Handy-Foto eines Dokuments. Das ist gerade etwas zu klein, um lesbar zu sein. Da klickt man doch fast automatisch auf das Bild, um es zu vergrößern, nicht wahr? Und schon ist man infiziert.

Besonders heimtückisch ist sogenannte „polymorphe“ Malware: Schadprogramme, die bei jedem neuen Angriffsziel interne Dateibezeichnungen, die Verschlüsselung, die Kompression oder andere Merkmale verändern, um unter dem Radar der Virenscanner hindurch zu fliegen. Identisch bleibt allerdings die Schadfunktion, die dann beispielsweise alle Daten im System verschlüsselt.

Ganz wichtig: Risikobewusstsein

Im Grund hilft gegen Ransomware und andere Cyber-Attacken nur das, was ältere Menschen vor Enkeltrick-Betrügern schützt: fest verwurzeltes, gesundes Misstrauen, und das Wissen um das Risiko. Das dürfte dem einen oder anderen Arbeitnehmer von Haus aus jedoch fehlen.

Deshalb tut Aufklärungsarbeit Not. Natürlich müssen nicht sämtliche Kollegen IT-Experten werden. Aber sie müssen die Gefahr im Hinterkopf haben, die hinter jeder E-Mail und jedem Dateiaustausch lauern kann. Sie müssen lernen, im Zweifel nicht zu klicken. Und dass sie jederzeit fragen können, wenn ihnen etwas merkwürdig vorkommt.

Maßnahme eins: Awareness-Schulungen

„Security Awareness“-Schulungen bringen wenig, wenn ein großer Experte eine Stunde lang unverständlich daher redet und die Mitarbeiter derweil die Gehirnwindungen baumeln lassen.

Aber es geht ja auch anders: mit Praxisbezug und eindringlichen Beispielen, damit die Zuhörer etwas für ihren Arbeitsalltag mitnehmen. Dann können Schulungen das praktische Sicherheits-Level im Betrieb wirklich erhöhen und sind allemal ihr Geld wert. (Wenn Sie niemand kennen, der solche Schulungen durchführt, kann ich gern Empfehlungen geben.)

Im Idealfall wissen Ihre Leute hinterher nicht nur, wie Ransomware verbreitet wird. Sie verstehen auch, dass man den Befall gar nicht sofort bemerkt, sondern meistens erst dann, wenn die ominöse Nachricht auf dem Bildschirm austauscht, alle Dateien verschlüsselt und erreichbare Backups gelöscht sind.

Natürlich sollte der Chef persönlich auch teilnehmen. Damit alle sehen, dass ihm das Thema wirklich wichtig ist.

Maßnahme zwei: Einfache Verhaltensregeln aufstellen

Das BSI (Bundesamt für Sicherheit in der Informationstechnik) hat gerade eine „IT-Notfallkarte für KMU“ herausgebracht. Die soll in kleineren Unternehmen neben der Notfallkarte zum Verhalten im Brandfall hängen, so die Idee. Darauf stehen Leitfragen wie „Wer meldet?“ oder „Welches IT-System ist betroffen?“

Na ja. Sinnvoller erscheint mir, dass es ein paar feste Grundsätze gibt, die jeder verstehen und umsetzen kann.

  • Einen Ansprechpartner, den man fragen kann, wenn man sich bei einem Dokument nicht sicher ist.
  • Fragen ist erlaubt – lieber einmal zu viel als einmal zu wenig.
  • Einfache Hinweise wie: „Wenn mir die Datei, die ich gerade geöffnet habe, komisch vorkommt, und ich befürchte, dass es sich um Ransomware handelt: Gerät aus, WLAN-Router aus, Netzstecker ziehen, alle informieren.“
  • Und natürlich alle üblichen Regeln zur IT-Sicherheit – angemessener Passwortschutz, systematische Datensicherung, alle Updates installieren, Rechte vergeben, damit nicht jeder überall Zugriff hat etc. etc.

Maßnahme drei: Ihre Leute im Blick behalten

Der große Vorteil in einem kleineren Unternehmen: Sie kennen Ihre Leute persönlich. Sie können einschätzen, wer unvorsichtig genug sein könnte, triebgesteuert auf angebliche scharfe Videos zuzugreifen. Oder für wen die Technik ohnehin so kompliziert ist, dass er weder Datei-Typen unterscheiden noch Header-Zeilen in einer E-Mail verstehen wird.

Sie können Ihre Mitarbeiter individuell vergattern, und dafür sorgen, dass für bestimmte Kandidaten besondere Regeln gelten. Sorgen Sie dafür, dass jedem einzelnen klar wird, wie schnell digitale Dämlichkeit zu fünf- oder sechsstelligen Einbußen führt. Alle Firmendaten weg, der Betrieb tagelang geschlossen, die Kunden vergrault – dass man sich damit keine Freunde macht, verstehen Ihre Mitarbeiter dann schon.

Maßnahme vier: Versichern

Schäden durch Ransomware und andere Cyber-Angriffe versichern ist die Sicherheitsmaßnahme überhaupt. Die Kosten für eine Cyber-Versicherung liegen in den meisten Fällen im Promillebereich des Jahresumsatzes. Gemessen am Risiko ist es das allemal wert.

Eine Cyber-Versicherung deckt als Querschnittsversicherung verschiedene Schadensfolgen ab. Der genaue Deckungsumfang hängt vom Produkt und der konkreten Police ab. In Bezug auf Ransomware wären dies beispielsweise:

  • Sachschäden (die etwa dadurch entstehen, dass im Wortsinn der Stecker gezogen und der Server nicht korrekt heruntergefahren wird.
  • Die Haftpflicht: das ist bei solchen Angriffen oft mit der teuerste Posten, denn Schadenersatz kann jeder fordern, dessen persönliche Daten entwendet wurden, aber auch Geschäftspartner und Kunden, denen gegenüber Fristen nicht eingehalten werden und dergleichen mehr
  • Rechtsschutz: Anwalts- und Gerichtskosten, die in Folge der Verschlüsselung vestehen
  • Flankierende Leistungen zur Schadensminderung: Die Versicherung bezahlt IT-Experten zur Behebung der Schäden und zur Aufklärung des Vorfalls, Anwälte und PR-Leute, die Sofortmaßnahmen ergreifen etc. In vielen Fällen vermittelt die Versicherungsgesellschaft diese Experten auch gleich selbst.

Rufen Sie einfach an, wenn Sie Fragen haben, oder schicken Sie uns eine kurze Nachricht. Bei acant gilt: Beratung ist Ehrensache. Und selbstverständlich kostenlos.

DDoS-Risiko und Haftpflicht-Falle

In den letzten Wochen waren DDoS-Angriffe aus dem Internet der Dinge (Internet of Things, IoT) ein großes Thema. Über Versicherungen hat dabei keiner gesprochen. Dabei wird Versicherungsschutz vor dem Hintergrund immer wichtiger. Zum einen wird man selbst leicht zum Angriffsziel. Und wenn Mittelständler und IT-Unternehmen selbst mit internetfähigen Steuerungen und embedded systems arbeiten, liefern sie schnell ungewollt neue Robotersoldaten für solche Attacken.

Read more

IT-Compliance, Teil 2: Persönliche Manager-Haftung für IT-Sicherheitsmängel

Wie fehlende IT-Compliance zu Schadenersatzforderungen gegen die Geschäftsleitung führen kann.

  • Im ersten Teil ging es um Compliance generell, und warum Compliance-Verstöße schnell zur persönlichen Haftung aus Geschäftsleiterverantwortung führen können.
  • In dieser Folge wollen wir uns speziell mit IT-Compliance als Risiko für persönliche Schadenersatzansprüche befassen.

Zur Compliance gehört die IT-Sicherheit des Unternehmens

Maßnahmen, die IT-Sicherheitsstandards und Datenschutz-Vorschriften im Unternehmen verankern, sind für die Compliance genauso wichtig wie Abläufe, die eine korrekte Buchführung garantieren oder Bestechung verhindern. Ohne solide, professionelle IT-Security lässt sich weder das vom Gesetzgeber vorgeschriebene Risikomanagement betreiben noch das von Investoren und Kapitalgebern erwartete Niveau an Corporate Governance erreichen.

Ein großer Teil der Werte des Unternehmens ist digital: Ohne Daten, Hardware, Netzwerke und Systeme sind weder Produktion noch Rechnungswesen, Vertrieb oder Marketing denkbar. Datenbestände bilden das Wissen eines Betriebs ab. Selbst so schwer fassbare Dinge wie das Vertrauen der Kunden in die Datensicherheit und das Prestige der Marke in den sozialen Netzwerken sind digital assets. Sie müssen geschützt werden, weil jede Beschädigung immer auch ein finanzieller Schaden ist.

Diese digitalen Werte sind ein Teil des Kapitals, das der Unternehmensleitung anvertraut wurde. Sie ist rechenschaftspflichtig: Der Vorstand oder die Geschäftsführer müssen ihren verantwortungsvollen Umgang nachweisen. Ein wichtiger Teil davon sind angemessene Vorsorgemaßnahmen zum Schutz und zur Erhaltung dieser Werte. All das gehört zu den Geschäftsführungspflichten.

Die Aufgaben lassen sich delegieren – die Haftung nicht

Dass bedeutet nicht, dass sich das Management selbst um technische Maßnahmen wie die Installation von Datensicherungsroutinen kümmern muss oder persönlich den Verschlüsselungsgrad des Cloud-Anbieters überprüfen sollte. Natürlich werden die fachlichen Aufgaben in aller Regel delegiert – an die IT-Abteilung, andere Fachabteilungen oder auch an externe Dienstleister. Aber die Geschäftsleitung muss Sorge tragen, dass alle Maßnahmen, die zur Herstellung von IT-Compliance nötig sind, von qualifizierten Kräften erledigt werden. Und in jedem Fall bleibt die Geschäftsleitung dafür verantwortlich, dass sie die Beauftragten sinnvoll auswählt und die Ausführung angemessen überwacht. Diese Pflicht selbst lässt sich nicht delegieren, genauso wenig wie die Haftung für Versäumnisse, die daraus folgt.

Es geht auch keineswegs nur um technische Lösungen. IT-Compliance schließt die betrieblichen Prozesse ein. Schließlich nützt die Technik wenig, wenn dann ein von Sorglosigkeit oder Unwissen geprägter Umgang damit Sicherheitslücken aufreißt. Deshalb müssen zur technischen Ausstattung und Überwachung entsprechende betriebsorganisatorische Maßnahmen kommen: Angefangen von der Fortbildung der Mitarbeiter über genau abgestufte Zugriffsmöglichkeiten bis zu klaren, arbeitsrechtlich verbindlichen Regeln zur IT-Nutzung: Dürfen Mitarbeiter das Internet auch für private Zwecke nutzen? Können private Geräte für Arbeitszwecke gebraucht werden? Wer ist für Passwortsicherheit verantwortlich? Wer hat Zutritt zum Serverraum? Was muss wie archiviert werden? Nur wenn auch solche Punkte verbindlich geregelt sind, und alle Mitarbeiter wissen, dass diese Regeln durchgesetzt werden, kann man von IT-Compliance sprechen.

Im Umkehrschluss bedeutet das: Wenn die Geschäftsleitung es versäumt hat, für ausreichende technische und organisatorische Sicherheitsmaßnahmen zu sorgen, dann kann ihr das als Pflichtverletzung ausgelegt werden – und dann drohen Regressansprüche im Schadensfall.

Ein wichtiger Teil der Risikomanagements: IT-Risiken versichern

IT-Risiken lassen sich wie andere betriebliche Risiken in vielen Fällen durch eine Versicherung in den Griff bekommen. Soweit Rechner, Software und Daten betroffen sind, schützen Cyber-Versicherungen vor den finanziellen Folgen von Angriffen, Computer-Sabotage, mangelnder Vorsicht oder Havarien. Weitere einschlägige Versicherungen sind Maschinen- und Elektronikversicherungen. Cyber-Versicherungen bieten den Vorteil, dass sie nicht nur den Wert der betroffenen Geräten und Daten selbst in der Deckung enthalten, sondern auch Bausteine für andere Schadensfolgen wie Ansprüche von Geschädigten, Lieferverzögerungen, Rechtskosten und Kosten für Notfall- und Aufklärungsmaßnahmen.

Vor allem machen Versicherungen das Risiko bilanziell beherrschbar. Anstatt im Schadensfall schlagartig und unvorhergesehen den gesamten Schaden finanzieren zu müssen, lassen sich die Kosten des Schadens in planbare Prämien umwandeln – die zudem als Betriebsausgaben die Steuerlast senken. Ohne Versicherung muss der Schaden dagegen aus dem – versteuerten – Eigenkapital bezahlt oder teuer durch Fremdkapitalaufnahme finanziert werden.

Sinnvoller, angepasster Versicherungsschutz ist ein wichtiger Baustein für IT-Compliance.

Ein Haftungsrisiko: Datenschutzrecht

Datenschutzbestimmungen können besonders leicht zur Stolperfalle für Führungskräfte werden und zu persönlicher Haftung führen. In vielen Fällen übertragen die Gesetze die Verantwortung für die Einhaltung sogar explizit an die Geschäftsführung. Allerdings gibt es viele Regelungen: Einschlägig sind Bundesdatenschutzgesetz (BDSG) , das Telemediengesetz (TMG) , das Telekommunikationsgesetz (TKG) das Signaturgesetz (SigG) und das IT-Sicherheitsgesetz samt der zugehörigen KRITIS-Verordnung, die die Bereiche Energie, Informationstechnik, Telekommunikation, Wasser und Ernährung betrifft. Für 2017 steht die KRITIS-Regelung der Bereiche Finanzen, Transport, Verkehr und Gesundheit an. Und ab 2018 wird die europäische Datenschutzgrundverordnung (EU-DSGVO) zur Anwendung kommen.

Die Strafen, mit denen Unternehmen bei Datenschutzverstößen belegt werden können, haben es in sich. Das BDSG sieht Geldbußen von bis 50.000 Euro vor, für schwere Verstöße bis 300.000 Euro. Das IT-Sicherheitsgesetz ermöglicht Bußgelder bis zu 100.000 Euro. Die EU-DSGVO legt sogar Bußgelder von bis zu 10 Millionen Euro oder bis zu zwei Prozent des weltweiten Jahresumsatzes fest.

Ein Kostentreiber neben Bußgeldern ist die gesetzliche Pflicht, nach einem Datenschutzverstoß alle Betroffenen zu informieren. Das muss, rasch, individuell und in rechtlich angemessener Form geschehen – und führt zu entsprechenden Ausgaben. Kopiert hat ein Hacker die Daten von zehntausend Kunden und Interessenten schnell. An jeden ein juristisch stichhaltiges Schreiben aufzusetzen, kostet dagegen viel Zeit und noch mehr Geld.

Und da die Verantwortung für die Einhaltung der Datenschutzvorschriften bei der Geschäftsführung liegt, können aus den Kosten von Versäumnissen sehr schnell Schadenersatzforderungen gegen das Führungspersonal werden.

Ein weiteres Haftungsrisiko: Digitale Buchhaltung

Buchführungspflichten waren schon immer mit Haftungsrisiken belastet. Seitdem die Bücher elektronisch geführt werden, gilt das noch mehr. Zum einen stellt das Handelsgesetzbuch Anforderungen an digitale Handelsbücher (§§ 238, 239, 257 HGB). Zum anderen hat das Bundesfinanzministerium die GoBD veröffentlicht, Grundsätze zur Führung und Aufbewahrung von Unterlagen in elektronischer Form. Sie verlangen, dass digital geführte Bücher vollständig, richtig, übersichtlich und zeitgerecht sein müssen. Jede nachträgliche Änderung, etwa nach einer Fehlbuchung, muss erkennbar sein. Für jede Buchung müssen Belege existieren. Außerdem gilt die Pflicht zur Archivierung: sämtliche Dokumente, auch E-Mails, müssen abrufbereit vorgehalten werden, solange für sie die gesetzliche Aufbewahrungsfrist gilt.

Versäumnisse können sogar ein Straftatbestand sein (§ 283b StGB). In jedem Fall drohen jedoch teure Folgen, denn wenn das Finanzamt Grund hat, an dem Aufzeichnung zu zweifeln oder keine mehr vorliegen, dann wird die steuerliche Bemessungsgrundlage einfach geschätzt.

Noch ein Haftungsrisiko: Vertragsvereinbarungen

Inzwischen sind Vereinbarungen zur IT-Sicherheit und zum Datenschutz Teil vieler Verträge, direkt oder über Liefer- und Geschäftsbedingungen. Der Lieferant kann etwa dazu verpflichtet werden, die IT-Sicherheitsnorm ISO 27001 oder einen BSI-Grundschutzlevel einzuhalten. An Verstöße gegen diese Pflicht kann eine Vertragsstrafe gebunden sein. In anderen Fällen führt das Fehlen oder der Verlust der Zertifizierung zu einer außerordentlichen Kündigung. Auch hier können die resultierenden Einbußen wiederum die persönliche Haftung eines verantwortlichen Geschäftsführers oder Vorstands aktivieren.

Die möglichen Folgen von IT-Sicherheitslücken

Eine mangelhafte oder komplett versäumte IT-Compliance hat teure Folgen. Neben rein wirtschaftlichen Folgen wie Reputationsverlust und entgangenen Aufträgen etwa:

  • Den verantwortlichen Organmitgliedern drohen wegen Organisationsverschulden Bußgelder, im Extremfall sogar Freiheitsstrafen.
  • Dem Unternehmen stehen Schadenersatzforderungen gegen die Organe zu (§§ 91, 93, 116 AktG).
  • Im Raum steht die Abschöpfung des „gesamten wirtschaftlichen Vorteils“ durch Verfall, § 73 StGB, § 29a OWiG
  • Schmerzhaft können Schadenersatzansprüche von Wettbewerbern gemäß § 33 GWB werden.
  • Von Seiten des Finanzamts drohen ein Abzugsverbot, eine Schätzung und die Weiterleitung des Vorgangs an die Staatsanwaltschaft.
  • Gefährdet ist auch das Unternehmens-Rating.
  • Für öffentliche Aufträge kann national eine Sperre die Folge von Compliance-Verstößen sein, international droht die Aufnahme in die „Black List“.

 

Schäden und Kosten bei einem Cyber-Angriff

Welche Kosten entstehen bei einem Cyberangriff? Welche Art Schäden wird verursacht? Diesen Fragen geht der Bitkom-Leitfaden „Kosten eines Cyber-Schadensfalles“ nach.

Es lohnt sich sehr, die rund 40 Seiten des Papiers durchzulesen. Es zeigt nicht nur prägnant, wie bedrohlich die Folgekosten eine Cyber-Attacke ausfallen können, man lernt auch, wie sich die verschiedenen Schadensaspekte aufschlüsseln lassen: eine anschauliche Lektion in praktischem Risikomanagement.

Dabei ist das Ganze aufgrund zahlreicher Beispiele zudem gut lesbar. Außerdem gibt es einen Fragenkatalog zur Selbstdiagnose der eigenen Risikosituation.

Konkrete Beispiele für Schäden – in Euro

Besonders frappierend sind die Summen aus den diversen Beispielen für — keineswegs außergewöhnlichen — Cyberzwischenfälle. Ich habe mal ein paar dieser Zahlen notiert:

  • Verschlüsselungstrojaner beim einem deutschen Mittelständler: 150.000 Euro Schaden
  • Kreditkarten-Trojaner im Kassensystem eines gehobenen Restaurants: 115.000 Euro Schaden
  • Denial-of-Service-Attacke auf einen Online-Shop mit 23stündiger Downtime: 185.000 Euro Schaden
  • Datenklau im Vertreib eines Mittelständler: 2.423.000 Euro Schaden
  • Eingeschleuste Fremdsoftware in Verbindung mit CEO-Betrug bei einem Pumpenhersteller: 6.625.000 Euro Schaden

Eigenschäden und Fremdschäden

Die Folgeschäden nach einem Cyber-Angriff zerfallen in zwei verschiedene Arten: Eigenschäden und Fremdschäden. Beide Arten von Schäden tun weh – die einen direkt, die anderen auf dem Umweg über Rechtsanwälte und Schadenersatzklagen sowie durch Reputationsverlust.

Typische Eigenschäden

  • Betriebsunterbrechung oder Betriebsbeeinträchtigungen: Die Produktion steht still, oder die Dienstleistungen können nicht mehr erbracht werden, weil wichtige IT-Ressourcen fehlen. Fehlersuche, Wiederherstellung von Daten und das Wiederanfahren von Systemen kosten viel Geld. Verzögerungen und Qualitätseinbußen führen zu weiteren Kosten.
  • Krisenbewältigungskosten: Wenn nach einem desaströsen IT-Angriff Krisenstäbe tagen und Überstunden ansammeln, externe IT-Spezialisten eilig herbeigeholt werden.
  • Wiederherstellungskosten: Um die IT wieder in arbeitsfähigen Zustand zu versetzen, benötigt man IT-Spezialisten, Arbeitszeit, neue Hardware …
  • Ermittlungskosten: Bevor man einen Schaden reparieren kann, muss man ihn erstmal genau verorten. Außerdem muss die Schwachstelle, die den Angriff ermöglicht hat, dringend geschlossen werden. Drittens muss sichergestellt sein, dass nicht noch weitere Probleme unentdeckt geblieben sind – etwa beim Angriff installierte Schadroutinen. Diese sogenannte IT-Forensik erfordert Zeit und Spezialisten mit beneidenswerten Tagessätzen. Außerdem sind die betroffenen IT-Systeme während der Untersuchungen oft weiterhin nicht verfügbar: noch mehr Ausfallzeit.
  • Rechtsberatungskosten: Anwälte verdienen natürlich auch an Cyberangriffen, denn es gibt einige juristische Fragen zu klären: Haftungsfragen, arbeitsrechtliche und Datenschutzprobleme, Compliance- und Vertragsfragen, Prüfung von Informationspflichten, …
  • Informationskosten: dieser Kostenpunkt wird regelmäßig unterschätzt. Dabei ergeben sich bei einem Cyber-Angriff schnell eine ganze Reihe juristischer Informationspflichten: Das Datenschutzrecht verpflichtet zur Information Betroffener bei Datenklau, das Kapitalmarktrecht kann zu einer Ad-hoc-Mitteilung führen, das IT-Sicherheitsgesetz schreibt Meldungen an das BSI vor, Kreditinstitute müssen die BaFin informieren, etc. All das bindet Arbeitszeit und erfordert Aufwand, vor allem wenn – wie bei massenhaftem Kundendatenklau – viele Geschädigte angesprochen werden müssen.
  • Lösegeldzahlungen: Unternehmen werden schon lange von Cyber-Kriminellen erpresst.
  • Reputationsschäden sind eine weiteres bedrohliches Risiko – sie reichen von erhöhtem Werbe- und PR-Aufwand über sinkenden Umsatz bis zu steigenden Versicherungsprämien.
  • Vertragsstrafen: weil Liefer- oder Dienstverträge nicht eingehalten werden

Fremdschäden

Die Schäden, die der Angriff auf das eigene Unternehmen für Dritte nach sich zieht, sind oft besonders bedrohlich. Das führt der Leitfaden sehr anschaulich aus.

Zum einen kommen solche Schäden ja zu einem zurück – in Form von Ansprüchen aufgrund von Haftpflicht. Wenn die Daten der Kunden aus der zentralen Kundendatenbank gestohlen und später missbraucht werden, kann das gehackte Unternehmen mit einer Klagewelle rechnen.

Zum anderen sind Fremdschäden, anders als Eigenschäden, nur sehr schwer abschätzbar. Man weiß ja nicht, wieviel Geld mit den Kundendaten auf fremde Kosten ergaunert werden kann. Ähnlich ist es mit Trojanern oder Viren, die aus dem eigenen Unternehmen ins Netz von Geschäftspartnern eingeschleust werden und dort den Geschäftsbetrieb lahmlegen.

Gegenmaßnahmen und Präventionskosten

Das Bitkom-Papier zählt eine ganze Reihe von Präventions- und Gegenmaßnahmen auf:
  • ein Notfallkonzept entwickeln (mit Notfall- und Wiederanlaufplanung)
  • Krisenstab organisieren, Krisenübungen durchführen
  • eine Business-Impact-Analyse (BIA) durchführen, um kritische IT-Systeme, deren Abhängigkeiten untereinander und deren maximal tolerierbaren Ausfallzeiten genau zu kennen.
  • sichere IT-Infrastruktur aufbauen
  • Ausweich-Infrastrukturen vorhalten (etwa Verträge mit Ersatzrechenzentren)

Das alles kostet auch Geld. Dem müssen aber die Summen entgegengestellt werden, die ansonsten als Notfallreaktion fällig werden.

Auch der Bitkom sagt: Versichern!

Als Quintessenz aus all diesen Informationen empfiehlt auch der Bitkom: Versichern. Ich beschränke mich auf Zitate:

„Vor dem Hintergrund der in diesem Leitfaden skizzierten Herausforderungen, und im Sinne eines Risikomanagements, kann es für ein Unternehmen eine sinnvolle Entscheidung sein, bestehende Restrisiken abzusichern. Angebote mit entsprechender Versicherungspolice sind am Markt zwischenzeitlich verfügbar und runden das Konzept eines ganzheitlichen Sicherheitsmanagements ab.
Obwohl fast drei Viertel aller deutschen Unternehmen Angriffe auf ihre Computer und Datennetze durch Cyberkriminelle oder ausländische Geheimdienste als reale Gefahr sehen, haben sich bisher nur wenige Firmen gegen Cyber-Risiken versichert. Gut die Hälfte aller Unternehmen in Deutschland ist in den vergangenen zwei Jahren Opfer von digitaler Wirtschaftsspionage, Sabotage oder Datendiebstahl geworden (aktuellste Bitkom Studie). Die Unkenntnis über die vorhandenen Versicherungskonzepte oder die Sorge vor vermeintlich hohen Prämien können ein Gründe dafür sein.

Es gibt bereits mehr als ein Dutzend deutsche Versicherungsgesellschaften, die Absicherungslösungen gegen Schäden durch Cyberangriffe anbieten. Selbst der physische Datenverlust durch einfaches Liegenlassen oder durch den Klau einer Festplatte mit Firmendaten gilt dabei ebenso versichert wie das gehackte Firmenkonto oder die Betriebsunterbrechung durch Virenbefall. Zusätzlich bieten viele Versicherer Präventionsmaßnahmen und Krisenübungen an, damit ihre Kunden im Fall der Fälle vorbereitet sind.

Aber selbst wenn sich ein Unternehmen nicht gegen die aufgezeigten finanziellen Schäden absichern möchte, kann die vor Versicherungsvertragsschluss durchgeführte Prüfung einer Versicherungsgesellschaft über die Versicherbarkeit der Risiken durchaus Aufschluss über die Gefährdungslage bieten.
Cyber-Risk-Versicherungen bieten Schutz vor Risiken wie Hacking, Virenattacken, operative Fehler, Datenrechtsverletzungen sowie das Risiko, Dritte durch die Nutzung elektronischer Medien zu schädigen.“

Das Schadenspotenzial einer Cyber-Attacke ist enorm. Aber das gilt auch für die Schutzfunktion einer Cyber-Versicherung.

Haben Sie Fragen dazu? Rufen Sie mich an: 030 863 926 990

IT-Sicherheitsgesetz: Die neue Kritis-Verordnung

Erst das IT-Sicherheitsgesetz, jetzt erste Kritis-Details

Als im letzten Juli das IT-Sicherheitsgesetz in Kraft trat, blieben entscheidende Fragen offen. Das Gesetz gibt nur einen Rahmen an zusätzlichen IT-Sicherheitspflichten für Betreiber Kritischer Infrastrukturen (Kritis) vor. Diese sind unter anderem dazu verpflichtet, Cyber-Angriffe zu melden und ein IT-Sicherheitsmanagementsystem einzuführen. Unklar war bislang jedoch nicht nur, wie die Mindestsicherheitsstandards im Einzelnen aussehen sollten, sondern auch, wer eigentlich als Kritis-Anlagenbetreiber gilt.

Dazu werden nach und nach in Form von Verordnungen erlassen. Die erste davon ist jetzt da, die „Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz“ (BSI-KritisV). Sie regelt zunächst für die Sektoren Energie, Informationstechnik und Telekommunikation, Wasser sowie Ernährung, welche Dienstleistungen, Anlagen und Versorgungsgrade als kritisch eingestuft werden. Die noch fehlenden Sektoren aus dem Gesetz – Sektoren Transport und Verkehr,
Gesundheit und Finanz- und Versicherungswesen – werden dann in einer zweiten Verordnung geregelt werden.

730 Anlagen betroffen

Dem Bundesinnenministerium zufolge sind deutschlandweit 730 Anlagen aus den genannten vier Sektoren betroffen. Deren Betreiber müssen nun aktiv werden: Wenn die Verordnung in Kürze im Bundesgesetzblatt verkündet wird, beginnen wichtige Fristen zu laufen: Zwei Jahre später müssen die vom Gesetz geforderten Informationssicherheitsmanagementsysteme (ISMS) zum Schutz der jeweiligen kritischen Infrastruktur installiert sein. Und schon innerhalb von sechs Monaten muss eine Kontaktstelle zum BSI eingerichtet sein.

Allerdings sind nur Anbieter ab einer gewissen Bedeutung direkt im Visier der Verordnung. Eine dezentrale Energieerzeugungsanlage etwa gilt erst dann als Kritis-Infrastruktur, wenn sie 420 MW Nennleistung erzeugt. Ein Wasserwerk muss ein Aufkommen von 22 Mio. Kubikmeter pro Jahr haben, um betroffen zu sein, ein Lebensmittelhändler fast eine halbe Million Tonnen Ware verkaufen. Salopper ausgedrückt: die Fotovoltaik-Anlage auf dem Dach des Gewerbebaus, der Trinkwasserbrunnen im Garten oder die Currywurst-Bude um die Ecke sind nicht betroffen. Einige mittelständische und auch kommunale Versorgungsbetriebe allerdings durchaus.

und ihre Zulieferer, Dienstleister und Auftragnehmer

Überhaupt ändert sich nicht nur für die direkt betroffenen Anbieter und Betreiber etwas, die nun ein ISMS auf Basis von ISO/IEC 27001 installieren müssen. Denn damit werden ja auch die Qualifikationsanforderungen an Dienstleister, Zulieferer und Geschäftspartner verschärft. In der Liefer- beziehungsweise Vertragskette eines Kritis-Unternehmens werden die ISMS-Anforderunge alle Beteiligten direkt oder indirekt betreffen.

Vorteil: Mit der Zertifizierung sind die Hausaufgaben auch fürs Versichern gemacht

Ein Vorteil der Zertifzierung der eigenen IT-Sicherheit besteht darin, dass damit

  1. der Nachweis eines profesionellen Sicherheitsniveaus im Betrieb vorliegt und
  2. eine genaue Analyse der relevanten (Rest-)Risiken deutlich einfacher wird.

Oder mit anderen Worten: Wer eine Zertifizierung durchführt, hat damit beste Voraussetzung, um sich schnell und zu günstigen Prämien versichern, und zwar sowohl das Cyberrisiko wie auch das Haftpflichtrisiko des Unternehmens wie des Managements. Mit einer Zertifizierung hat man die Grundvoraussetzungen für Versicherungsschutz erfüllt.

Mit der ihrer Richtlinie VdS RL 3473 zur Cyber-Security für kleine und mittlere Unternehmen bieten die Versicherer allerdings ein Zertifizierungslevel an, das sich an der ISO 27001 orientiert, aber nicht die Umsetzung sämtlicher Teilaspekte verlangt. Diese kleine Lösung ist ein sinnvolles Instrument für alle „Nicht“-KRITIS Unternehmen, die einerseits ihren Verpflichtungen als Geschäftspartner nachkommen und zugleich die Voraussetzungen für eine Cyber-Versicherung schaffen wollen, ohne dabei einen für KMU unangemessenen Aufwand in Kauf zu nehmen.

Kommunale IT-Dienstleister, Cyber-Risiken und Haftungsrisiko

Technik ist immer nur ein Teil der Absicherung

Das Bewusstsein für Cyber-Gefahren wächst, auch und gerade in Verwaltungen und öffentlichen Einrichtungen. Neue Gesetze, Maßnahmen und Initiativen sollen Sicherheit schaffen. Das ist natürlich grundsätzlich positiv. Allerdings werden kommunale IT-Dienstleister, die für Kommunen und ihre Verwaltungseinrichtungen und Versorgungsbetriebe tätig werden, dadurch vor neue Anforderungen gestellt. Parallel dazu steigt durch die juristische Entwicklung ihr Risiko, mit Haftungsansprüchen konfrontiert zu werden.

Deshalb sollten auch kommunale IT-Dienstleister ihr Interesse nicht nur auf Technologien und Strategien für Intrusion Detection, Disaster Recovery, Data Loss Prevention und ähnliches mehr legen. Technische und organisatorische Standards sind natürlich ein zentraler Teil der IT-Sicherheit. Eine wichtige Rolle können aber auch Versicherungen spielen, die vor den finanziellen Schäden und Haftungsansprüche nach einem Cyber-Angriff oder einer IT-Panne schützen, sowohl im eigenen Haus als auch beim Kunden.

Risikomanagement durch Versichern kommt in der IT-Sicherheitsdebatte oft sehr kurz. Dabei kann ein zusätzlicher Schutzring aus einer geeigneten Cyber-Police sowie aus Haftpflichtversicherungen für den IT-Betrieb und seine Geschäftsführung existenziell wichtig werden. Und zwar schon deshalb, weil eine Versicherung weder durch neue Angriffstechniken noch durch dumme Zufälle ausgehebelt werden kann – ein großer Unterschied zu jeder Technologie.

Das Risiko ist nicht mehr zu ignorieren

Auch bei Kommunal- und Stadtverwaltungen, städtischen Versorgern und anderen Verwaltungseinrichtungen entwickelt sich spätestens jetzt ein Bewusstsein dafür, wie gefährlich Cyber-Angriffe und IT-Havarien sind. Schließlich reagieren Bürger auf leichtsinnigen Umgang mit ihren Daten eben so allergisch wie auf den Ausfall öffentlicher Dienste.

Die Presse dagegen freut sich über solche Fälle: Dass die Berliner Bürgerämter durch eine neue Meldewesen-Software im Februar zunächst nicht entlastet, sondern erst recht lahmgelegt wurden, war wochenlang Medienthema: Selbst die ordnungsgemäße Durchführung der Wahlen sei bedroht, war zu lesen. Für die Politiker der Hauptstadt, das Berliner kommunale IT-Dienstleistungszentrum ITDZ oder den namentlich erwähnten Software-Hersteller keine angenehme Lektüre.

Ein anderes Beispiel liefert der Erpressungstrojaner Locky, der in Nordrhein-Westfalen auch in sechs Kliniken Dokumente und Verzeichnisse verschlüsselte und so den Klinikablauf massiv störte. Das war dann nicht nur Thema in den Abendnachrichten im Fernsehen, es rief auch das Landeskriminalamt auf den Plan, das in einer Pressemitteilung zu mehr Sicherheitsbewusstsein aufrief.

Dabei ist das Problem ja längst bekannt, und es tut sich auch etwas. Schon 2014 hat der Deutsche Städtetag einen Leitfaden zur Ausgestaltung der Informationssicherheitsleitlinie in Kommunalverwaltungen veröffentlicht, den die Arbeitsgemeinschaft kommunaler IT-Dienstleister (Vitako) erarbeitet hat. Die IT-Sicherheitsbeauftragten von Ländern und Kommunen arbeiten seit geraumer Zeit in einem eigenen Arbeitsforum bundesweit zusammen. Und in Hessen wurde vor kurzem ein Kommunales Dienstleistungszentrum Cybersicherheit initiiert, das die Kommunen beraten soll.

Dazu kommt das IT-Sicherheitsgesetz

Und natürlich ist da auch das neue IT-Sicherheitsgesetz. Die Kommunalverwaltungen selbst fallen zwar nicht unter die darin erfassten Betreiber kritischer Infrastrukturen, sie sind jedoch ausdrückliche Adressaten des KRITIS-Projekts. Und von den kommunalen Versorgungsbetrieben werden viele zum Kreis der KRITIS- Unternehmen zählen, die auf ein Informations-Sicherheits-Management-System (ISMS) nach Maßgabe von ISO 27001 verpflichtet werden.

Die genaue Abgrenzung der KRITIS-Unternehmen ist noch nicht vollständig,  die gerade beschlossene erste Kritis-Verordnung betrifft zunächst nur die Teilbereiche Energie, IT /TK, sowie Wasser und Ernährung. Nicht für die Betreiber entsprechender Anlagen liegt die Latte damit höher, auch für ihre Dienstleister und Auftragnehmer im IT-Sektor.

Für die IT-Dienstleister wächst das Haftungsrisiko – in mehrfacher Hinsicht

Von der Verwaltung beauftragte IT-Dienstleister der öffentlichen Hand stehen damit vor neuen Herausforderungen und neuen Haftungsrisiken. Das Gleiche gilt für öffentlich-rechtliche Kommunal- und Eigenbetriebe im IT-Bereich.

  • Zum einen steigt mit jedem neuen Cyber-Angriff die Gefahr, in Haftung genommen zu werden, und das um so mehr, je unverzichtbar die IT-Systeme sind, die der Anbieter liefert, installiert oder betreut. Wenn ein Hacker zuschlägt oder es zu einer Datenpanne kommt, kann daran auch ein bislang vertrauensvolles Verhältnis zum öffentlichen Kunden zerbrechen – um so mehr, wenn zum wirtschaftlichen  noch politischer Druck kommt.
    Aus einem echten oder vermeintlichen Programmierfehler oder einer mangelhaft implementierten Sicherheitsfunktion werden dann schnell Schadenersatzforderungen, die die Anwälte beschäftigt halten und dem Dienstleister große Kosten und viel Ärger einbringen können.
  • Neue verpflichtende Zertifizierungen und IT-Sicherheitslevel erhöhen das Haftungsrisiko für die Dienstleister auch schon per se. Wenn Kommunen und ihre Versorgungsbetriebe IT-Sicherheitsleitlinien erlassen, ISO 27001-Zertifizierungen oder IT-Grundschutzlevel fordern, ergeben sich für die Dienstleister, Systemhäuser sowie Software- und Hardware-Zulieferer ja nicht nur inhaltlich neue Anforderungen. Für sie entsteht auch ein zusätzliches Risiko, Pflichtverletzungen zu begehen, denn sie werden ja gesetzlich oder vertraglich auf das entsprechende Sicherheitsniveau verpflichtet.
  • Und dabei geht es nicht nur um die Haftung des Unternehmens oder Betriebs, sondern auch um eine persönliche Haftung der Verantwortlichen. Wenn ein Unternehmen von Gesetzes wegen, durch verbindliche Leitlinien für Informationssicherheit oder durch Verträge auf besondere Standards in der IT-Sicherheit festgelegt ist und diese nicht einhält, dann muss sich sehr schnell auch die Geschäftsführung verantworten.
    Eine solche Inanspruchnahme kann Existenzen vernichten: 2013 verurteilte das Landgericht München einen ehemaligen Siemens-Manager dazu, seinem früheren Arbeitgeber 15 Mio Euro Schadensersatz zu zahlen, weil er nicht für Compliance in den Geschäftsabläufen gesorgt hatte.

Gegenmittel: Unternehmen und Geschäftsführung gezielt versichern

  • Persönliche Haftung:Um die mögliche persönliche Haftung abzudecken, die schnell in existenzgefährdende Bereiche gehen kann, sollte der Vorstand oder die Geschäftsführung durch eine sogenannte D&O- Police (Managerhaftpflichtversicherung) und gegebenenfalls eine Managerrechtsschutzversicherung geschützt sein.
  • Unternehmensrisiken:Aber natürlich benötigt auch der Betrieb selbst Versicherungsschutz für den Fall einer Cyber-Attacke oder IT-Havarie – schließlich ist diese immer mit Kosten verbunden. Da diese Kosten nicht planbar und auch nicht aus Rückstellungen finanzierbar sind, bleibt nur, sie im Schadensfalls aus dem Budget, d. h. aus dem Cash Flow heraus zu bezahlen – oder aber man fängt das Risiko durch planbare Versicherungsbeiträge für eine Cyber-Versicherung auf, die zudem die Steuerlast senken. Aus betriebswirtschaftlicher Sicht und im Hinblick auf den Bilanzschutz ist das natürlich vorteilhafter.Dabei ist das Schadenspotenzial beträchtlich: Es umfasst Eigenschäden wie die Forensik zur Aufklärung des Vorfalls, die Kosten für die Wiederherstellung von Daten und Systemen, Maßnahmen zur Wiederherstellung der beschädigten Reputation und Anwaltskosten. Dazu kommen Schadenersatzforderungen und Haftungsansprüche, wenn Daten Dritter kompromittiert oder vertragliche Verpflichtungen nicht eingehalten werden.

Wenn die Versicherung nicht zur individuellen Situation passt, bietet sie keinen Schutz

Natürlich haben Betriebe im Regelfall bereits typische betriebliche Versicherungen abgeschlossen. Bestehende Sachversicherungen wie Feuer-, Elektronik- oder Maschinenversicherungen sowie die vorhandenen Betriebshaftpflichtversicherungen decken Schäden aus Cyber-Risiken jedoch nur unzureichend oder gar nicht ab. Haftpflichtpolicen beispielsweise greifen nicht, wenn der Schaden ohne eigenes Verschulden eintrat. Maschinen- und Elektronikversicherungen versichern im Regelfall keine Schadensersatzansprüche Dritter. Genau deshalb ist seit einigen Jahren das Produktspektrum der Cyber-Versicherungen entstanden, dass die Folgen digitaler Angriffe im Querschnitt abdeckt – eigene Schäden, Schadensersatzforderungen Dritter und eigene Rechtskosten.
Allerdings ist der Absicherungsbedarf immer sehr individuell. Einer der Gründe dafür, dass Unternehmen wie Kommunen sich für die Cyber-Versicherung nur allmählich erwärmen, liegt sicher im Misstrauen gegenüber Standard-Lösungen begründet. Wer gut beraten wird, muss sich darum allerdings nicht sorgen – schließlich gehört es zur Verantwortung eines Fach-Versicherungsmaklers, die Bausteine einer Police genau zum Risikoprofil des Kunden passend zu kombinieren und kritische Punkte mit den Versicherern individuell nachzuverhandeln. Dabei sollte der Makler auch dafür sorgen, dass bereits durch vorhandene Versicherungen abgedeckte Teilrisiken nicht ein zweites Mal versichert werden.

Was eine gute Cyber-Versicherung leisten sollte: Deckungen und Leistungen im Überblick

So lassen sich aus einem ganzen Spektrum einzelner Bausteine Risiken gezielt abdecken. Eine gute Police umfasst etwa folgende Punkte, soweit diese für den Versicherungsnehmer relevant sind:

Kriminalitätsrisiken, etwa

  • Angriffe durch Viren, Würmer oder Hacker
  • unautorisierter Zugriff durch Mitarbeitern auf das Finanz- und Sachvermögensschäden
  • Erpressungen und Lösegeldforderungen
  • „Kapern“ von EDV-Systemen zur Durchführung krimineller Handlungen

Schädigungen Dritter, z. B.

  • Diebstahl und Manipulation von Daten Dritter
  • Diebstahl von Know-how Dritter
  • Schadenersatzansprüche Dritter wegen Urheberrechtsverletzungen

Vermögensschäden, etwa durch

  • Betriebsunterbrechung durch Hardware-Schäden oder DoS-Attacken
  • Nichtverfügbarkeit des Cloud-Service bzw. des fremden Server-Dienstleisters
  • Mehrkosten durch veränderte Betriebsabläufe
  • Wiederherstellung des Unternehmensimage
  • Ermittlungen durch Datenschutzbehörden

Folgende Kosten sollte eine Cyber-Versicherung für kommunale IT-Dienstleister abdecken, soweit das Risiko in Ihrem Fall relevant ist:

  • Kosten für forensische Untersuchungen
  • Benachrichtigungen aller Betroffenen bei Datenschutzverletzungen (gesetzlich vorgeschrieben)
  • Öffentlichkeitsarbeit, Maßnahmen zur Wiederherstellung der Reputation
  • Kosten bei Erpressung
  • Beauftragung einer Sicherheitsfirma
  • Erstattung von Lösegeldzahlungen
  • Vermögensschaden-Haftpflicht aufgrund von Datenrechtsverletzung (z. B. Markteinbußen des Kunden)
  • Inanspruchnahme durch einen Dritten
  • Verletzung der Persönlichkeitsrechte Dritter durch Online-Inhalte
  • Ersatz und Wiederherstellung von Daten
  • Absicherung des Ertragsausfalls

Fazit: Risikomanagement für kommunale IT-Dienstleister

Die stark steigende Zahl von Cyber-Angriffen übt auch auf kommunale IT-Dienstleister Druck aus. Die Anbieter müssen sich nicht nur mit dem wachsenden Bedrohungsrisiko auseinandersetzen, sondern auch mit einem zunehmend stärker reglementierten Umfeld. In dieser Situation kann Versicherungsschutz ein wichtiger Teil des Risikomanagements sein. Allerdings bringen Versicherungen nur dann ein Plus an Sicherheit, wenn sie sich wirklich an der individuellen Situation des Betriebs ausrichten.

Falls Sie Fragen haben:

Haben Sie Interesse an Cyber-Versicherungen oder konkrete Nachfragen? Wir von der acant.service GmbH sind Spezialmakler für Cyber-Policen und D&O-Versicherungen. Sprechen Sie uns einfach an – wir stehen zu Ihrer Verfügung. Telefon: 030 863 926 990

Online-Erpressung: Eine Cyber-Versicherung hilft auch dann

Fälle von Online-Erpressung häufen sich: Ransomware macht sämtliche Dateien unbenutzbar und fordert Geld, um sie wieder freizugeben. Das kann den Geschäftsbetrieb schnell zum Erliegen bringen – und dann ist das Lösegeld oft noch der geringste Schaden. Aber die Kosten sind versicherbar.

Online-Erpressung liegt im Trend

Gegen Erpressung, Entführung und Lösegeldforderungen können Unternehmen sich schon lange versichern. Inzwischen werden immer häufiger die Datenbestände oder die IT-Systeme zum Entführungsopfer. Aber auch dafür gibt es Versicherungslösungen.

  • Online-Erpressung existiert in verschiedenen Formen. Es gibt die Variante, in der ein Hacker sich Zugang zu Mitarbeiter- oder Kundendaten verschafft. Personenbezogene Daten sind viel Geld wert, zumal wenn sie Zahlungsinformationen umfassen. Sie an das Unternehmen zurückverkaufen ist oft einfacher, als andere Käufer zu suchen (die die Datensätzen dann für Identitätsdiebstahl oder zum gezielten Verbreiten von Trojanern nutzen). Oder man kassiert doppelt.
  • Eine andere Methode ist Ransomware. Das ist Schadsoftware, die durch getarnte Downloads oder E-Mail-Anhänge ins Firmennetz gerät. Nach dem Befall verschlüsselt sie alle Dateien, derer sie habhaft wird. Buchhaltungsdokumente, Projektberichte oder Textvorlagen können nicht mehr geöffnet werden. Für die Entschlüsselung muss das Unternehmen einen Schlüssel kaufen – ohne jede Garantie, dass er funktioniert.

Während Ransomware-Verbreiter oft nur einige hundert Euro (oder Dollars) fordern, sind die Summen bei gezielter Online-Erpressung viel höher. Schlagzeilen machte gerade eine Klinik in Los Angeles, die umgerechnet mehr als drei Millionen Euro für die Entschlüsselung ihrer Daten zahlen sollte. Dort mussten Operationen verschoben und Notfälle an andere Krankenhäuser weitergeschickt werden. Am Ende sollen rund 15.00o Euro geflossen sein.

Opfer von Ransomware wurden in letzter Zeit aber auch sechs Krankenhäuser in Deutschland. Dazu kam eine Infektionswelle durch den Trojaner Locky, der bundesweit allein an einem Tag 17.000 Rechner infiziert hat.

Cyber-Versicherungen decken auch diese Schäden ab

Ransomware wie auch direkte Online-Erpressung fallen mit unter den Breitband-Schutz einer Cyber-Versicherung gegen digitale Unternehmensrisiken. Viele Versicherer bieten einen optionalen Baustein zum Schutz vor Cyber-Erpressung an. Dann übernimmt der Versicherer im Ernstfall die Zahlung des Lösegelds, aber auch von Belohnungen.

Wichtiger ist in den meisten Fällen jedoch, dass die weiteren Eigenschäden des Unternehmens auch bei einem solchen Cyber-Angriff gedeckt sind (Umsatzverluste durch Ausfallzeiten etc.) . Auch mögliche Schadenersatzansprüche Dritter (z. B. Vertragsstrafen oder Schadenersatzforderungen) werden von der Versicherung abgewehrt oder beglichen.

Außerdem sorgen viele Versicherungsgesellschaften zusätzlich für schnelle Beratung durch IT-Spezialisten, aber auch Rechts- oder PR-Experten. Der Versicherer hat ja selbst Interesse an der Begrenzung der Schäden.

Wo gibt es Details zum Versicherungsschutz, zu Kosten und Bedingungen?

Ganz einfach: Fragen Sie uns. Die acant service GmbH ist ein auf Cyber-Risiken spezialisierter Fach-Versicherungsmakler. Wir loten mit Ihnen gemeinsam die individuelle Risikosituation Ihres Unternehmens aus, überprüfen, welche Risiken bereits versichert sind und suchen für noch unversicherte Risiken die beste auf dem Markt verfügbare Deckung. Rufen Sie uns an: 030 863 926 990.