Cyber-Angriffe Archive - Seite 3 von 3 - ACANT VERSICHERUNGSMAKLER

Cyber-Risk – von Sony bis zum Stahlwerk

25. Januar 201928. Dezember 2014 von Frank Schwandt

Ein bizarres Schurkenregime, gehässige Tratsch-Mails, Regierungsstäbe im Krisenmodus, jetzt auch noch der Playstation-GAU – die vielen grellen Details der Sony-Hackerstory verdrängen wichtige Aspekte in den Hintergrund:

Eigentlich nichts besonderes. Sony beherrscht die Schlagzeilen. Kaum erwähnt: Die Schäden eines deutschen Stahlwerks durch einen „Hochofen-Hack”. Oder der britische Dienstleister für Software-Entwicklung, pleite aufgrund eine Cyber-Erpressung. Oder, oder, oder: siehe BSI-Lagebericht zur IT-Sicherheit 2014, Punkt 3.3, „Vorfälle in der Wirtschaft”.
Merke: Cyber-Angriffe sind längst Gegenwart – fast schon Routine. Außer für das Opfer, natürlich. Übrigens: Eine Cyber-Police deckt auch Erpressungsgelder ab.
Mit kleinen Mitteln viel bewegt. Nordkorea ist rückständig, die Wirtschaft ein Fiasko. Trotzdem reichte es für den Mega-Treffer beim Großkonzern Sony.
Merke: Man muss nicht groß, reich und mächtig sein für erfolgreiche Cyber-Angriffe. Nur skrupellos.
Wer den Schaden hat, braucht Freunde. Es dauerte lange, bis Sony rechtlich gegen Websites vorging, die die geklaute Daten veröffentlichten, und bis die PR-Gegenreaktion lief.
Merke: Bei einem Cyber-Angriff brauchen Sie schnell gute Leute auf Ihrer Seite. Eine Cyber-Risk-Versicherung sorgt u. a. auch dafür. Denn es liegt auch im Interesse des Versicherers, die Folgeschäden gering zu halten.
Der Rufschaden ist am schlimmsten. Gehässige Bemerkungen über Angelina Jolie sind harmlos im Vergleich zum verlorenen Vertrauen des Marktes. Fast schon 13.000 Retweets bisher:

Sony has a site where you can watch The Interview for $5.99 and I can’t think of a single reason not to trust them with my credit card info.

— Guy Endore-Kaiser (@GuyEndoreKaiser) December 24, 2014

Merke: Ein Cyber-Angriff gefährdet den Ruf Ihres Unternehmens – und kostet Sie damit Kunden.

Wenn Sie Fragen zum Thema Cyber-Risk-Versicherungen haben: Ich beantworte sie gerne.

Cyber-Risk-Versicherungen: Wichtiger Risikoschutz – aber auch Kostenfalle

25. Januar 201911. Juli 2014 von Frank Schwandt

Die Bedrohung aus dem Internet ist für Unternehmen längst sehr real, auch für KMU. Es ist dringend geboten, diese Risiken zu versichern, entsprechend wächst der Markt an einschlägigen Versicherungsprodukten rasant. Doch beim Abschluss von Cyber-Risk-Versicherungen gilt es, genau hinzuschauen.

Was Cyber-Risk-Versicherungen leisten

„Klassische“ Firmenpolicen erfassen zwar im Regelfall u. a. Sachschäden, Haftpflichtrisiken und Vermögensschäden. Oft genug sind die „neuen“ Risiken durch Computer- und Internetkriminalität gegen Unternehmen damit aber nicht gedeckt.

Typische Beispiele: Durch einen Angriff auf das eigene Unternehmen werden auch der Datenbestand eines Geschäftspartners und damit dessen Kundendaten kompromittiert. Deshalb haben diese Kunden als Dritte einen Entschädigungsanspruch, der jedoch nicht unbedingt in einer klassischen Unternehmenspolice enthalten ist. Auch die eigenen Folgeschäden sind oft nicht abgedeckt: Die Produktion liegt zwei Wochen lahm, weil relevante Auftragsdaten bei einem Einbruch zerstört wurden? Das neue Modell kommt nicht mehr exklusiv auf den Markt, weil die Innovationen schon gestohlen und kopiert wurden? Auf solchen Kosten bleibt ein Unternehmen leicht sitzen – wenn diese Cyber-Risiken nicht versichert wurden.

Ein zusätzliches Element von Cyber-Versicherungen sind flankierende Maßnahmen zur Betreuung im Schadensfall, beispielsweise Rechtsberatung zu den Informationspflichten gegenüber Geschädigten bei Datenlecks oder eine Hotline mit IT-Expertenrat zur Schadensbegrenzung und Spurensicherung.

Der Markt an Cyber-Risk-Versicherungen wächst

Mit schöner Regelmäßigkeit berichten die Medien über spektakuläre Cybercrime-Fälle. Sony und Vodafone waren nur zwei besonders prominente Opfer von vielen. Allein in diesem Jahr gab es außerdem zwei Datenklau-Skandale, die 16 bzw. 18 Millionen Datensätze betrafen. Dazu kommt das Dauerthema NSA-Spionage oder Warnungen des Verfassungsschutzes vor Cyberangriffen aus China.

In der Folge hat sich in den Unternehmen (und auch bei den Verbrauchern und Kunden) ein Bewusstsein für die Bedrohung entwickelt. Jetzt soll dafür echtes Risikomanagement her. Für die Versicherungsunternehmen, die auf manchen Geschäftsfeldern ja ziemlich zu kämpfen haben, ist das natürlich eine gute Nachricht: Sie drängen mit neuen Produkten auf den Markt und können bei der Akquise die unbestreitbaren Gefahren als Argument nutzen.

Kaum ein Bereich an Versicherungen wächst so rasant wie Cyber-Risk-Versicherungen – gerade startete die Württembergische mit einer eigenen Cyber-Police, die auf kleine und mittelständische Unternehmen ausgelegt ist, in den nächsten Monaten werden voraussichtlich diverse weitere Assekuranzen ihre Produkte lancieren. Als ich im September letzten Jahres über branchenübergreifende Cyber-Risk-Policen für KMU berichtete, war das Angebot noch auf wenige Alternativen begrenzt.

Aber: Der unüberlegte Abschluss von Versicherungen birgt ebenfalls Risiken

Ein Unternehmen, das eine nennenswerte IT-Abteilung unterhält (so gut wie jedes also), sollte sich absichern. Das sollte allerdings nicht unüberlegt geschehen. Nicht nur eine fehlende, auch eine falsche Versicherung kann teuer werden.

Wer nicht aufpasst, erhält eine nutzlose, teure Mehrfachversicherung. Wenn die Vermögensschadenhaftpflicht bereits in der bestehenden Haftpflichtpolice enthalten ist und nun noch ein zweites Mal im hastig abgeschlossenen Cyber-Risk-Vertrag steht, dann zahlt man auch doppelt – für eine Deckung, das man nur einmal braucht. Und wenn ein IT-Unternehmen durch Fachanwälte bereits bestens betreut ist, benötigt es keine zusätzliche Rechtsberatung im Schadensfall.
Ein zweiter Aspekt ist die mögliche Schadenshöhe. Der Wert der Hardware in einem Rechenzentrum lässt sich recht exakt beziffern und damit im Risikomanagement auch ziemlich genau abbilden. Beim möglichen Folgeschaden eines Datendiebstahls ist das sehr viel schwieriger. Wie beziffert man den Vertrauensschaden im Markt? Welche Forderungshöhe entsteht, wenn bei den Kunden von Kunden Schäden entstehen können? Bei einem Vertrag „von der Stange“ sind Schadenshöhen pauschaliert. Dann bezahlt man leicht zu viel, oder die Deckungsumme ist zu gering. Wie hoch die Risiken sind, muss detailliert und für den Einzelfall kalkuliert werden.

Es muss genau geprüft werden, ob Ihr tatsächlich bestehendes, individuelles Unternehmensrisiko am günstigsten durch eine Deckungserweiterung der bestehenden Versicherungsverträge aufgefangen wird. Ist eine zusätzliche Cyber-Versicherung sinnvoll, müssen die vorhandenen Policen oft reduziert werden, um kein Geld zu verschwenden.

Hier komme ich ins Spiel

Als Unternehmen ab einer bestimmten Größe – spätestens ab einem Jahresumsatz im zweistelligen Millionenbereich – benötigen Sie eine auf Sie zugeschnittene, sorgfältig ausgewählte und individuell ausverhandelte Police. Und Sie benötigen eine auf Ihr Interesse ausgerichteten Beratung.

Dafür zu sorgen, ist genau meine Dienstleistung als Versicherungsmakler.

Sie haben eine Frage zu Cyber-Risiken oder suchen kompetente Beratung?

Sie erreichen mich über das Kontaktformular, per Telefon unter +49 030 863 926 990 oder per E-Mail an fs@acant-makler.de.

Bring your own device (BYOD): Bring Dein eigenes Gerät, die Firma haftet?

11. November 2013 von Frank Schwandt

Drei Studien, ein Problem

Fast ein Drittel aller deutschen Unternehmen mit mehr als 1.000 Mitarbeitern hat durch BYOD bereits wichtige Daten verloren. Das besagt eine Studie, über die Heise berichtet.
Andererseits erlaubt mit 43 % annähernd die Hälfte der IT-Unternehmen hierzulande den Mitarbeitern, eigene Geräte für die Arbeit zu nutzen, von denen wiederum nur 60 % dafür feste Regeln aufstellen – so eine andere Studie vom Branchenverband Bitkom.
Wobei Betriebsvereinbarungen etc. oft ohnehin wenig bringen: Fast die Hälfte der Arbeitnehmer bis 32 schert sich schlichtweg nicht um Verbote und Einschränkungen und nutzt die eigenen Geräte einfach trotzdem. Das ergab eine Fortinet-Umfrage zum BYOD-Verhalten der „Generation Y“.

Kaum noch ohne BYOD

Dass BYOD für die Rechner- und Datensicherheit des Unternehmens ein Horror ist, liegt auf der Hand. Heterogene Hardware, unterschiedliche Betriebssysteme, eine völlig uneinheitliche Ausrüstung mit Firewalls, Virensoftware und Backup-Programmen, wenn überhaupt vorhanden. Dazu Nutzer, die das jeweilige Gerät als Teil ihrer persönlichen Ausrüstung begreifen, an allen möglichen Orten im Internet unterwegs sind, unkontrolliert herunterladen und installieren, mit weiß wem Kontakt haben und fleißig Wechseldatenträger nutzen …

Arbeitsrechtlich bzw. juristisch ist BYOD ebenfalls ein Alptraum. Arbeit und Privatsphäre, persönliche und Unternehmensdaten, Privatbesitz und Firmeneigentum – alles vermischt sich. Da freut sich der Anwalt, wenn es zu Konflikten kommt …

Dazu kommen die steuerlichen Unklarheiten, wenn Privat- und Firmeneigentum, berufliche und private Nutzung sich vermischen.

Trotzdem kann man BYOD oft kaum noch wirksam verbieten – s.o. Außerdem macht ein BYOD-VErbot die Suche nach jungen Talenten für den „Mangelberuf Anwendungsentwickler“ und ähnliche Jobs sehr viel schwieriger. Daneben ist BYOD der Preis (und der Köder) für die erhöhte Verfügbarkeit wichtiger Leute und spart oft Anschaffungskosten.

Schutzmaßnahmen festklopfen

Ganz wichtig: Eine verbindliche und arbeitsrechtlich wirksame Richtlinie zu BYOD etablieren.

Wichtig ist aber auch, die einschlägigen Risiken klar zu erfassen und versichert zu haben. Gerade an dieser Front ist das Unternehmen abhängig vom Verhalten Dritter und anfällig für Pleiten, Pech und Pannen.

Wenn das ganz große Datenleck oder der Komplettverlust wichtiger Firmendaten da ist, hilft Ihnen auch ein Haftungsanspruch gegen den Sündenbock nicht mehr viel. Dann retten Sie nur noch gute Nerven und eine ausreichende Deckung in Ihrer Versicherungspolice.

Punkte für eine BYOD-Richtlinie

Dennoch: Die arbeitsrechtliche Absicherung von BYOD ist absolut zentral – schon deshalb, um das Bewusstsein der Mitarbeiter zu schärfen und um Rechtsstreitigkeiten mit dem eigenen Personal von vornherein den Boden zu entziehen. Welche Punkte in Sachen BYOD im Arbeitsvertrag oder per Betriebsvereinbarung zu klären sind, haben die Rechtsanwälte Sebastian Dramburg und Matthias Sziedat in einem Gastbeitrag für Deutsche-Startups.de aufgelistet. Die von ihnen genannten Punkte kurz zusammengefasst:

Klare Regeln dazu, wer wie viel bezahlt für Anschaffung, Zubehör und Reparaturen
Haftung bei Softwarenutzung ohne Lizenz
Regeln für Verlust oder Beschädigung
Klare Abmachungen zum Umgang mit persönlichen Daten des Mitarbeiters auf dem Gerät
Regeln für den Fall des Ausscheidens des Mitarbeiters oder bei akuten Konflikten

Fragen an Ihren Versicherer

Zusätzlich sollten Sie sich aber bei jedem dieser Punkte auch fragen: Wie steht mein Unternehmen da, wenn die Richtlinie nicht greift?

Ist das neue iPhone, das der Marketingchef auf der Messe liegen lässt, versichert? Wenn der Entwickler im Streit geht und das Unternehmen keinen Zugriff mehr auf den bislang erstellten Code auf dessen Laptop hat, wer bezahlt dann die Vertragsstrafe an den Kunden? Wie steht es, wenn der Vertriebsmitarbeiter sich einen Trojaner einfängt und die Kunden verteilt, die dann Schadensersatz fordern? Kann man für den Schaden vorsorgen, der entsteht, wenn ein Mitarbeiter die Kundendaten auf „seinem“ Laptop für ein eigenes Unternehmen nutzt?

Wie immer gilt: Das sind zum einen Themen für Ihre IT-Sicherheit. Das alles sind aber auch Versicherungsfragen. Sie sollten Sie Ihrem Versicherungsmakler oder Ihrem Versicherer stellen, bevor es passiert.

Fazit

BYOD ist ein Risiko, an dem Sie aber vermutlich kaum vorbeikommen. Um das Risiko zu begrenzen, müssen Sie es auf drei Ebenen angehen:

auf Ebene der IT-Sicherheit: in Bezug auf die Geräte selbst,
auf arbeitsrechtlicher Ebene: in Bezug auf Ihre Mitarbeiter
auf Unternehmensebene: in Bezug auf Ihre betrieblichen Versicherungen

Außerdem sollten Sie mit dem Steuerberater über dieses Thema sprechen.

Branchenübergreifende Cyber-Risk-Versicherung – lohnt sich das für KMU?

25. Januar 201912. September 2013 von Frank Schwandt

Das in Deutschland recht neue Konzept der branchenübergreifenden Cyber-Risk-Versicherung auch für KMU, das zur Zeit in Deutschland für Veränderungen auf dem Versicherungsmarkt sorgt, zeigt: Die Versicherungsbranche ist ein exzellenter Seismograph für wirtschaftliche und gesellschaftliche Veränderungen.

Eine Cyber-Risk-Versicherung für alle Branchen?

Das Cyber-Risiko betrifft inzwischen Unternehmen aller Branchen und Größen. Bei den Versicherern führt das zu neuen Versicherungsprodukten. Branchenübergreifende Cyber-Policen werden inzwischen z. B. von AIG oder der Allianz (AGCS) angeboten. Der Standard-Vertrag einer Cyber-Risk-Versicherung für KMU hat typischerweise etwa eine Deckung von 10 Millionen €, bildet als so genannte Multiline-Police einen allgemeinen Risiko-Querschnitt ab und umfasst mehrere Elemente:

eine Versicherung von Vermögensschäden Dritter: Der Versicherer zahlt, wenn z. B. durch Attacken auf das eigene Unternehmen Vermögensschäden bei dessen Kunden entstehen.
Ersatz für Schäden, die dem Unternehmen selbst entstehen, etwa weil Datenverlust dazu führt, dass Unternehmensteile lahmgelegt werden.
Zu den Leistungen gehört auch die Kostenübernahme von Dienstleistungen, die als Teil des Krisenmanagements die Folgen einer Cyber-Attacke abmildern. Die Palette reicht von IT-Nothilfe über Rechtsberatung bis zur Unterstützung bei der Krisen-PR.

Cyber-Risiken sind eine reelle Bedrohung – und versicherbar

Immer weitergehende Vernetzung, immer schnellere IT-Marktzyklen, direkte Anbindung an Kunden und Verbraucher, dazu wachsende Datenmengen, die verarbeitet, gespeichert und ausgetauscht werden müssen: all das hat die Risikosituation der Unternehmen komplett umgekrempelt.

Wenn Unternehmen ihre Produkte, Daten, Mitarbeiter und andere Ressourcen bei einem virtuellen Angriff nicht schützen können, drohen hohe Folgeschäden: Ausfall von Web-Services oder IT-Infrastruktur, Vermögensschäden beim Unternehmen selbst, Vermögensschäden bei Geschäftspartnern, Datenverlust bei Kunden und Verbrauchern, Verlust von geistigem Eigentum. Und nicht nur die bezifferbaren Schäden und Haftpflichten sind ein Problem. Erfolgreiche Hacker-Angriffe mit Datenverlust führen außerdem zu Image-Schäden. Kunden verlieren das Vertrauen, das Ansehen der Marke sinkt.

Für IT-Unternehmen in den USA oder in Großbritannien ist es längst Standard, Cyber-Risiken als reelle Bedrohung der eigenen Geschäftstätigkeit wahrzunehmen und zu versichern. Deshalb haben gerade englische und amerikanische Versicherer seit langem Erfahrung auf diesem Gebiet.

Vertrag von der Stange oder individuelle Anpassung?

Die Versicherer locken damit, dass für den Abschluss keine aufwändige individuelle Risikobewertung notwendig sei. Das ist aber ein zweischneidiges Schwert – die individuelle Betrachtung liefert ja oft auch Einsparpotenziale. Warum Risiken versichern, die nicht existieren? Auch die Dienstleistungen zur Krisenreaktion, die im Paket enthalten sind, sollten genau und im Einzelnen geprüft werden.

Das bedeutet aber nicht, dass Cyber-Risk-Versicherungen wenig taugen. Im Gegenteil – der Abschluss ist für viele Unternehmen sinnvoll. Es kommt nur darauf an, die Situation des einzelnen Unternehmens und die Bandbreite an Versicherungsleistungen optimal aufeinander abzustimmen. Der Versicherungsnehmer kann viel Geld einsparen, wenn Preis,Versicherungssumme sowie Selbstbehalte bzw. Sublimits (niedrigere Obergrenzen für bestimmte Einzelrisiken) auf den tatsächlichen Bedarf hin angepasst werden.

Was auch bedeutet: Meine Arbeit als Berater und Versicherungsmakler wird durch diese Entwicklung nicht gefährdet. Im Gegenteil: Fachmännische, individuelle Betreuung in Versicherungsfragen wird für meine Mandanten immer wichtiger.