Cyber-Attacken in den Medien – und in der Realität

„Erst die ganzen NSA-Geschichten, dann der Sony-Hack aus Nordkorea, dann  werden Millionen Datensätze von US-Regierungsangestellten geklaut und jetzt ist das komplette IT-Netz des Bundestags im Eimer. Ständig Cyber-Attacken in den Nachrichten, eine unglaublicher als die andere – beste Werbung für Sie, stimmt’s?“

Das glauben viele. Stimmt aber nicht.

Solche Meldungen bestärken den Irrglauben, dass Cyber-Attacken vor allem Regierungsstellen und internationale Multis gefährden. IT-Sicherheitsverletzungen sind auch für KMU ein großes und wachsendes Problem. Aber es steht halt nicht in der Zeitung, wenn beim Mittelständler nebenan ein Notebook mit Kundendaten oder vertraulichen Projektbeschreibungen verloren geht.

Dass hinter IT-Sicherheitsverletzungen  meist hochspezialisierte Geheimdienstprofis stecken, ist ebenfalls ein Mythos. In Wirklichkeit sind es meist schlampige Mitarbeiter, kleine Kriminelle, technische Pannen und dumme Zufälle, die für Schaden sorgen. Der ist dann trotzdem oft enorm. Aber man kann sich ja Gott sei Dank dagegen versichern, für relativ geringe Kosten.

Wenn Sie mehr wissen wollen oder auch einfach nur Fragen haben, freue ich mich über Ihren Anruf – 030 863 926 990 oder Ihre Nachricht.

Warum Ihr Unternehmen eine Cyber-Police braucht

Ganz einfach: Ihr Unternehmen braucht eine Cyber-Police, damit bei einem Cyber-Angriff oder IT-Zwischenfall …

  1. Ihre Datenbestände versichert sind.
    Kunden-, Buchhaltungs- und Produktdaten sind, anders als Maschinen und Inventar, nicht in den klassischen betrieblichen Versicherungen enthalten.
  2. … Ansprüche Dritter an Sie versichert sind
    Ansprüche, die Kunden im Fall verlorener Kundendaten gegen Sie stellen, sind im Regelfall ohne Cyber-Police nicht abgedeckt. Schadenersatzforderungen aufgrund von im Internet verletzter Urheber- und Persönlichkeitsrechte auch nicht.
  3. … sämtliche Folgeschäden versichert sind
    Betriebsunterbrechung als Teil der Deckung klassischern Unternehmensversicherungen. Aber ohne Zusatz- und Folgekosten wie entgangener Umsatz, Datenrettungskosten, Aufwand für Krisen-PR, anwaltliche Beratung, Information aller Betroffener, Reputationsverlust, Rechtsstreitigkeiten etc.
  4. … Spezialisten für den Ernstfall bereitstehen, die Ihrem Unternehmen schnell helfen.
    Weil auch den Versicherungsgesellschaften daran gelegen ist, den Schaden gering zu halten, vermittelt man Ihnen im Schadensfall schnell Hilfe, z. B.  IT-Sicherheits- und Datenrettungsexperten, Anwälte und PR-Berater.

Übrigens: Der Zusatzgewinn an Unternehmens- und Planungssicherheit durch eine Cyber-Police kostet Ihr Unternehmen im Normalfall kaum ein Zehntel vom Jahresumsatz. Natürlich sind die konkreten Kosten abhängig vom Einzelfall. Aber selbst kleine Unternehmen mit weniger als einer Mio. Euro Jahresumsatz zahlen für die Cyber-Police nur sehr selten mehr als ein halbes Prozent davon.

Fragen?

Gerne – bitte an fs@acant-makler.de oder 030 863 926 990 oder per Kontaktformular

Das IT-Sicherheitsgesetz wird teuer – Versichern senkt das Kostenrisiko

Es wird mit großer Sicherheit teuer …

Im Sommer dürfte das IT-Sicherheitsgesetz in Kraft treten. Im Moment liegt der Gesetzesentwurf beim Bundestag. Es bringt dem „Bundesamt für Sicherheit in der Informationstechnik“ (BSI) mehr Bedeutung und für so genannte „Betreiber kritischer Infrastrukturen“ neue Pflichten und Kosten – aber auch für jeden geschäftlichen Website-Betreiber.

Unklar: Betreiber einer kritischen Infrastruktur

Noch ist völlig unklar, wer dazu zählt. Genaue Festlegungen soll es erst später per Rechtsverordnung geben.

Bislang ist die Zielgruppe nur über zwei Merkmale eingegrenzt: Zugehörigkeit zu „den Sektoren Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie Finanz- und Versicherungswesen“ und „hohe Bedeutung für das Funktionieren des Gemeinwesens“ (§ 2 Abs. 10 BSIG n. F.) – ziemlicher Gummi also.

Immerhin: Kleinst- und Kleinunternehmen sind ausgenommen. Andere Betreiber müssen …

  • innerhalb von zwei Jahren verbindliche IT-Sicherheitsstandards einführen. (Welche? Auch noch nicht klar …).
  • deren Einhaltung alle zwei Jahre zertifizieren lassen
  • eine permanent erreichbare „Kontaktstelle“ zum BSI einrichten
  • Cyber-Zwischenfälle sowie Störungen und Bedrohungen der IT-Sicherheit unverzüglich an das BSI melden – auch solche, die nicht zu Ausfällen oder Störungen führten. (Immerhin darf dann die Meldung anonym erfolgen)

Neue Sicherheitspflicht für jeden geschäftlichen Website-Betreiber

Eine Änderung im Telemediengesetz verpflichtet zudem Diensteanbieter (d. h. Website- und Webservice-Betreiber) dazu, alles an Cyber- und Datenschutzmaßnahmen zu installieren, was „technisch möglich und wirtschaftlich zumutbar“ (§ 13 TMG n. F.) ist.

Eine Cyber-Versicherung hilft

Meldepflichten, Zertifizierungspflichten, verpflichtende IT-Sicherheitsstandards – all das ist nicht nur in der Umsetzung teuer. Zusätzlich drohen bei Verstößen Bußgelder und Schadenersatzansprüche Dritter.

Genau hier hilft eine Cyber-Versicherung, die Kostenrisiken im Griff zu halten:

  • Bei einem erfolgreichen Cyberangriff, einem technischen Zwischenfall oder menschlichem Versagen im Cyberbereich sind ihr Eigenschaden sowie Ausfall– und Folgekosten versichert (Produktionsausfälle, zerstörte Hardware, Datenwiederherstellung etc.)
  • Wichtiger noch: die Schadenersatzansprüche, die andere in diesem Fall an Sie stellen, sind ebenfalls versichert (denken Sie an Kunden, deren Daten geklaut wurden)
  • Die Versicherer halten Dienstleister für den Krisenfall bereit, die schnelle Hilfe bieten (Datenrettung, Krisen-PR, Rechtsberatung etc.)
  • Und, aktuell im Zusammenhang mit dem IT-Sicherheitsgesetz wichtig: Wenn gegen Ihr Unternehmen ein Bußgeldverfahren aufgrund von IT-Sicherheitsverletzung läuft, sind Ihre Rechtsanwalts- und Gerichtskosten mitversichert.

 

Britischer Minister für mehr Cyber-Versicherungsschutz

Ein Regierungsbericht aus Großbritannien beklagt den eklatanten Mangel an Cyber-Versicherungsschutz, meldet die BBC. Obwohl 81 Prozent der britischen Unternehmen in den zurückliegenden zwölf Monaten Opfer einer Sicherheitsverletzung wurden, seien nur zwei Prozent angemessen gegen Cyber-Risiken versichert, so der Minister für Kabinettsangelegenheiten, Francis Meade.

Die Hälfte der befragten Firmenchefs wusste nicht einmal von der Möglichkeit, sich gegen Cyber-Risiken zu versichern.

Als Konsequenz will die Regierung in London die Unternehmen nun verstärkt zum Abschluss von Cyber-Versicherungen motivieren. Bleibt aus deutscher Sicht hinzuzufügen: Die Cyber-Versicherungslücke ist bei uns kaum weniger groß und die Cyber-Risiken sowieso nicht. Der Unterschied ist, dass hier die Politik bislang noch nicht so recht verstanden hat, wie sinnvoll Cyber-Versicherungsschutz als Mittel gegen dieses Risiko ist.

Nicht nur aufgrund der finanziellen Unterstützung. Wenn der Schadensfall eintritt, ist die ebenfalls in der Police enthaltene, schnelle Unterstützung durch Berater und Spezialisten genau so wichtig, wie der Regierungsbericht unterstreicht.

 

Acant ist Mitglied im Cyber-Sicherheitsrat

Cyber-Sicherheitsrat Deutschland e. V.Der Cyber-Sicherheitsrat Deutschland e. V. ist ein politisch neutraler Verein, sein Vereinsziel besteht darin, das Thema Cyber-Sicherheit in die Öffentlichkeit zu bringen, das Bewusstsein für Cyber-Risiken zu schärfen und Unternehmen, Behörden sowie die Politik zu beraten.

Eine gute Sache, finde ich. Deshalb bin ich seit letztem Monat Mitglied.

Das schmutzige kleine Geheimnis der Cyber-Security

„Here’s the dirty little secret of cyber security, though: nothing is 100 per cent secure.“

„Hier ist das schmutzige kleine Geheimnis der Cyber-Sicherheit: Nichts ist zu 100 Prozent sicher.“ Das ist die zentrale Aussage in einem Beitrag der britischen IT-News-Website The Register.

Eigentlich will der Artikel erklären, dass ein Viren- und Malware-Scanner zwar unverzichtbar ist, aber keineswegs ausreicht, um die Rechner im Firmennetzwerk gegen Angriffe zu sichern. Man braucht vielmehr „layered security“, d.h. mehrere Schichten von Sicherheitsmaßnahmen. Es geht darum, weitere Löcher stopfen, durch Zugangsfilter für zwielichtige Websites, durch Viren- und Spamfilter auf dem Mailserver und durch pflichtbewusstes Installieren von  Updates und Patches.

Das ist alles richtig. Ansonsten ist der Artikel sicher nicht der beste Ratgeber zur Cyber-Security, den es je gab. Von Firewalls und mobilen Datenträgern zum Beispiel spricht er  gar nicht erst. Und das Konzept der „layered security“ ist ja nicht gerade neu. ABER: Der Satz oben ist entscheidend. Es gibt keine hundertprozentige IT-Sicherheit.

Ich füge hinzu: Dafür gibt es Cyber-Versicherungen. Denn das ist eine Sicherheitsmaßnahme, die auch der hinterhältigste Hacker der Welt nicht löschen, deaktivieren, zum Absturz bringen oder überschreiben kann.

 

Cyber-Schwachstelle Heimcomputer – selbst im Kanzleramt

„Regin”, ein NSA-/GCHQ-Trojaner, wurde auf einem Laptop im Bundeskanzleramt entdeckt. Er kam von einem infizierten Heimcomputer  per USB-Stick. Eine hochrangige Mitarbeiterin hatte sich Arbeit mit nach Hause genommen. „Die Benutzung eines privaten USB-Sticks für solche Dateitransfers sei verboten, hieß es weiter.” Tja.

„Spear fishing” heißt es, gezielt einer bestimmten Person durch eine auf sie zugeschnittene Fake-Nachricht „Malware” unterzujubeln. Hat immer wieder Erfolg. Aber eine Cyber-Risk-Versicherung hilft auch dann.

Quellen: „Bild” und z. B. auch Golem.de.

AKW-Bauplan im Netz – schon denkt man über Cyber-Abwehr nach

In Südkorea wurden Baupläne und Betriebsanleitungen eines Kernkraftwerks durch einen Cyber-Angreifer gestohlen und veröffentlicht. Die Betreibergesellschaft sieht kein großes Risiko, hat aber immerhin Übungen zur Cyber-Abwehr anberaumt (nach der Attacke, wohlgemerkt). Persönliche Daten von rund 10 000 Angestellten sollen dabei auch erbeutet worden sein.

Quellen: Greenpeace, Deutsche Welle.

Cyber-Risk – von Sony bis zum Stahlwerk

Ein bizarres Schurkenregime, gehässige Tratsch-Mails, Regierungsstäbe im Krisenmodus, jetzt auch noch der Playstation-GAU –  die vielen grellen Details der Sony-Hackerstory verdrängen wichtige Aspekte in den Hintergrund:

  • Eigentlich nichts besonderes. Sony beherrscht die Schlagzeilen. Kaum erwähnt: Die Schäden eines deutschen Stahlwerks durch einen „Hochofen-Hack”. Oder der britische Dienstleister für Software-Entwicklung, pleite aufgrund eine Cyber-Erpressung. Oder, oder, oder: siehe BSI-Lagebericht zur IT-Sicherheit 2014, Punkt 3.3, „Vorfälle in der Wirtschaft”.
    Merke: Cyber-Angriffe sind längst Gegenwart – fast schon Routine. Außer für das Opfer, natürlich. Übrigens: Eine Cyber-Police deckt auch Erpressungsgelder ab.
  • Mit kleinen Mitteln viel bewegt. Nordkorea ist rückständig, die Wirtschaft ein Fiasko. Trotzdem reichte es für den Mega-Treffer beim Großkonzern Sony.
    Merke: Man muss nicht groß, reich und mächtig sein für erfolgreiche Cyber-Angriffe. Nur skrupellos.
  • Wer den Schaden hat, braucht Freunde. Es dauerte lange, bis Sony rechtlich gegen Websites vorging, die die geklaute Daten veröffentlichten, und bis die PR-Gegenreaktion lief.
    Merke: Bei einem Cyber-Angriff brauchen Sie schnell gute Leute auf Ihrer Seite. Eine Cyber-Risk-Versicherung sorgt u. a. auch dafür. Denn es liegt auch im Interesse des Versicherers, die Folgeschäden gering zu halten.
  • Der Rufschaden ist am schlimmsten. Gehässige Bemerkungen über Angelina Jolie sind harmlos im Vergleich zum verlorenen Vertrauen des Marktes. Fast schon 13.000 Retweets bisher:

    Merke: Ein Cyber-Angriff gefährdet den Ruf Ihres Unternehmens – und kostet Sie damit Kunden.

Wenn Sie Fragen zum Thema Cyber-Risk-Versicherungen haben: Ich beantworte sie gerne.

Cyber-Risk-Versicherungen: Wichtiger Risikoschutz – aber auch Kostenfalle

Die Bedrohung aus dem Internet ist für Unternehmen längst sehr real, auch für KMU. Es ist dringend geboten, diese Risiken zu versichern, entsprechend wächst der Markt an einschlägigen Versicherungsprodukten rasant. Doch beim Abschluss von Cyber-Risk-Versicherungen gilt es, genau hinzuschauen.

Was Cyber-Risk-Versicherungen leisten

„Klassische“ Firmenpolicen erfassen zwar im Regelfall u. a. Sachschäden, Haftpflichtrisiken und Vermögensschäden. Oft genug sind die „neuen“ Risiken durch Computer- und Internetkriminalität gegen Unternehmen damit aber nicht gedeckt.

Typische Beispiele: Durch einen Angriff auf das eigene Unternehmen werden auch der Datenbestand eines Geschäftspartners und damit dessen Kundendaten kompromittiert. Deshalb haben diese Kunden als Dritte einen Entschädigungsanspruch, der jedoch nicht unbedingt in einer klassischen Unternehmenspolice enthalten ist. Auch die eigenen Folgeschäden sind oft nicht abgedeckt: Die Produktion liegt zwei Wochen lahm, weil relevante Auftragsdaten bei einem Einbruch zerstört wurden? Das neue Modell kommt nicht mehr exklusiv auf den Markt, weil die Innovationen schon gestohlen und kopiert wurden? Auf solchen Kosten bleibt ein Unternehmen leicht sitzen – wenn diese Cyber-Risiken nicht versichert wurden.

Ein zusätzliches Element von Cyber-Versicherungen sind flankierende Maßnahmen zur Betreuung im Schadensfall, beispielsweise Rechtsberatung zu den Informationspflichten gegenüber Geschädigten bei Datenlecks oder eine Hotline mit IT-Expertenrat zur Schadensbegrenzung und Spurensicherung.

Der Markt an Cyber-Risk-Versicherungen wächst

Mit schöner Regelmäßigkeit berichten die Medien über spektakuläre Cybercrime-Fälle. Sony und Vodafone waren nur zwei besonders prominente Opfer von vielen. Allein in diesem Jahr gab es außerdem zwei Datenklau-Skandale, die 16 bzw. 18 Millionen Datensätze betrafen. Dazu kommt das Dauerthema NSA-Spionage oder Warnungen des Verfassungsschutzes vor Cyberangriffen aus China.

In der Folge hat sich in den Unternehmen (und auch bei den Verbrauchern und Kunden) ein Bewusstsein für die Bedrohung entwickelt. Jetzt soll dafür echtes Risikomanagement her. Für die Versicherungsunternehmen, die auf manchen Geschäftsfeldern ja ziemlich zu kämpfen haben, ist das natürlich eine gute Nachricht: Sie drängen mit neuen Produkten auf den Markt und können bei der Akquise die unbestreitbaren Gefahren als Argument nutzen.

Kaum ein Bereich an Versicherungen wächst so rasant wie Cyber-Risk-Versicherungen – gerade startete die Württembergische mit einer eigenen Cyber-Police, die auf kleine und mittelständische Unternehmen ausgelegt ist, in den nächsten Monaten werden voraussichtlich diverse weitere Assekuranzen ihre Produkte lancieren. Als ich im September letzten Jahres über branchenübergreifende Cyber-Risk-Policen für KMU berichtete, war das Angebot noch auf wenige Alternativen begrenzt.

Aber: Der unüberlegte Abschluss von Versicherungen birgt ebenfalls Risiken

Ein Unternehmen, das eine nennenswerte IT-Abteilung unterhält (so gut wie jedes also), sollte sich absichern. Das sollte  allerdings nicht unüberlegt geschehen. Nicht nur  eine fehlende, auch eine falsche Versicherung kann teuer werden.

  • Wer nicht aufpasst, erhält eine nutzlose, teure Mehrfachversicherung. Wenn die Vermögensschadenhaftpflicht bereits in der bestehenden Haftpflichtpolice enthalten ist und nun noch ein zweites Mal im hastig abgeschlossenen Cyber-Risk-Vertrag steht, dann zahlt man auch doppelt – für eine Deckung, das man nur einmal braucht. Und wenn ein IT-Unternehmen durch Fachanwälte bereits bestens betreut ist, benötigt es keine zusätzliche Rechtsberatung im Schadensfall.
  • Ein zweiter Aspekt ist die mögliche Schadenshöhe. Der Wert der Hardware in einem Rechenzentrum lässt sich recht exakt beziffern und damit im Risikomanagement auch ziemlich genau abbilden. Beim möglichen Folgeschaden eines Datendiebstahls ist das sehr viel schwieriger. Wie beziffert man den Vertrauensschaden im Markt? Welche Forderungshöhe entsteht, wenn bei den Kunden von Kunden Schäden entstehen können? Bei einem Vertrag „von der Stange“ sind Schadenshöhen pauschaliert. Dann bezahlt man leicht zu viel, oder die Deckungsumme ist zu gering. Wie hoch die Risiken sind, muss detailliert und für den Einzelfall kalkuliert werden.

Es muss genau geprüft werden, ob Ihr tatsächlich bestehendes, individuelles Unternehmensrisiko am günstigsten durch eine Deckungserweiterung der bestehenden Versicherungsverträge aufgefangen wird. Ist eine zusätzliche Cyber-Versicherung sinnvoll, müssen die vorhandenen Policen oft reduziert werden, um kein Geld zu verschwenden.

Hier komme ich ins Spiel

Als Unternehmen ab einer bestimmten Größe  – spätestens ab einem Jahresumsatz im zweistelligen Millionenbereich – benötigen Sie  eine auf Sie zugeschnittene, sorgfältig ausgewählte und individuell ausverhandelte Police. Und Sie benötigen eine auf Ihr Interesse ausgerichteten Beratung.

Dafür zu sorgen, ist genau meine Dienstleistung als Versicherungsmakler.

Sie haben eine Frage zu Cyber-Risiken oder suchen kompetente Beratung?

Sie erreichen mich über das Kontaktformular, per Telefon unter +49 030 863 926 990 oder per E-Mail an fs@acant-makler.de.