Cyber-Risk

Cyber-Attacken in den Medien – und in der Realität

von

„Erst die ganzen NSA-Geschichten, dann der Sony-Hack aus Nordkorea, dann  werden Millionen Datensätze von US-Regierungsangestellten geklaut und jetzt ist das komplette IT-Netz des Bundestags im Eimer. Ständig Cyber-Attacken in den Nachrichten, eine unglaublicher als die andere – beste Werbung für Sie, stimmt’s?“

Das glauben viele. Stimmt aber nicht.

Solche Meldungen bestärken den Irrglauben, dass Cyber-Attacken vor allem Regierungsstellen und internationale Multis gefährden. IT-Sicherheitsverletzungen sind auch für KMU ein großes und wachsendes Problem. Aber es steht halt nicht in der Zeitung, wenn beim Mittelständler nebenan ein Notebook mit Kundendaten oder vertraulichen Projektbeschreibungen verloren geht.

Dass hinter IT-Sicherheitsverletzungen  meist hochspezialisierte Geheimdienstprofis stecken, ist ebenfalls ein Mythos. In Wirklichkeit sind es meist schlampige Mitarbeiter, kleine Kriminelle, technische Pannen und dumme Zufälle, die für Schaden sorgen. Der ist dann trotzdem oft enorm. Aber man kann sich ja Gott sei Dank dagegen versichern, für relativ geringe Kosten.

Wenn Sie mehr wissen wollen oder auch einfach nur Fragen haben, freue ich mich über Ihren Anruf – 030 863 926 990 oder Ihre Nachricht.

Warum Ihr Unternehmen eine Cyber-Police braucht

von

Ganz einfach: Ihr Unternehmen braucht eine Cyber-Police, damit bei einem Cyber-Angriff oder IT-Zwischenfall …

  1. Ihre Datenbestände versichert sind.
    Kunden-, Buchhaltungs- und Produktdaten sind, anders als Maschinen und Inventar, nicht in den klassischen betrieblichen Versicherungen enthalten.
  2. … Ansprüche Dritter an Sie versichert sind
    Ansprüche, die Kunden im Fall verlorener Kundendaten gegen Sie stellen, sind im Regelfall ohne Cyber-Police nicht abgedeckt. Schadenersatzforderungen aufgrund von im Internet verletzter Urheber- und Persönlichkeitsrechte auch nicht.
  3. … sämtliche Folgeschäden versichert sind
    Betriebsunterbrechung als Teil der Deckung klassischern Unternehmensversicherungen. Aber ohne Zusatz- und Folgekosten wie entgangener Umsatz, Datenrettungskosten, Aufwand für Krisen-PR, anwaltliche Beratung, Information aller Betroffener, Reputationsverlust, Rechtsstreitigkeiten etc.
  4. … Spezialisten für den Ernstfall bereitstehen, die Ihrem Unternehmen schnell helfen.
    Weil auch den Versicherungsgesellschaften daran gelegen ist, den Schaden gering zu halten, vermittelt man Ihnen im Schadensfall schnell Hilfe, z. B.  IT-Sicherheits- und Datenrettungsexperten, Anwälte und PR-Berater.

Übrigens: Der Zusatzgewinn an Unternehmens- und Planungssicherheit durch eine Cyber-Police kostet Ihr Unternehmen im Normalfall kaum ein Zehntel vom Jahresumsatz. Natürlich sind die konkreten Kosten abhängig vom Einzelfall. Aber selbst kleine Unternehmen mit weniger als einer Mio. Euro Jahresumsatz zahlen für die Cyber-Police nur sehr selten mehr als ein halbes Prozent davon.

Fragen?

Gerne – bitte an fs@acant-makler.de oder 030 863 926 990 oder per Kontaktformular

Das IT-Sicherheitsgesetz wird teuer – Versichern senkt das Kostenrisiko

von

Es wird mit großer Sicherheit teuer …

Im Sommer dürfte das IT-Sicherheitsgesetz in Kraft treten. Im Moment liegt der Gesetzesentwurf beim Bundestag. Es bringt dem „Bundesamt für Sicherheit in der Informationstechnik“ (BSI) mehr Bedeutung und für so genannte „Betreiber kritischer Infrastrukturen“ neue Pflichten und Kosten – aber auch für jeden geschäftlichen Website-Betreiber.

Unklar: Betreiber einer kritischen Infrastruktur

Noch ist völlig unklar, wer dazu zählt. Genaue Festlegungen soll es erst später per Rechtsverordnung geben.

Bislang ist die Zielgruppe nur über zwei Merkmale eingegrenzt: Zugehörigkeit zu „den Sektoren Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie Finanz- und Versicherungswesen“ und „hohe Bedeutung für das Funktionieren des Gemeinwesens“ (§ 2 Abs. 10 BSIG n. F.) – ziemlicher Gummi also.

Immerhin: Kleinst- und Kleinunternehmen sind ausgenommen. Andere Betreiber müssen …

  • innerhalb von zwei Jahren verbindliche IT-Sicherheitsstandards einführen. (Welche? Auch noch nicht klar …).
  • deren Einhaltung alle zwei Jahre zertifizieren lassen
  • eine permanent erreichbare „Kontaktstelle“ zum BSI einrichten
  • Cyber-Zwischenfälle sowie Störungen und Bedrohungen der IT-Sicherheit unverzüglich an das BSI melden – auch solche, die nicht zu Ausfällen oder Störungen führten. (Immerhin darf dann die Meldung anonym erfolgen)

Neue Sicherheitspflicht für jeden geschäftlichen Website-Betreiber

Eine Änderung im Telemediengesetz verpflichtet zudem Diensteanbieter (d. h. Website- und Webservice-Betreiber) dazu, alles an Cyber- und Datenschutzmaßnahmen zu installieren, was „technisch möglich und wirtschaftlich zumutbar“ (§ 13 TMG n. F.) ist.

Eine Cyber-Versicherung hilft

Meldepflichten, Zertifizierungspflichten, verpflichtende IT-Sicherheitsstandards – all das ist nicht nur in der Umsetzung teuer. Zusätzlich drohen bei Verstößen Bußgelder und Schadenersatzansprüche Dritter.

Genau hier hilft eine Cyber-Versicherung, die Kostenrisiken im Griff zu halten:

  • Bei einem erfolgreichen Cyberangriff, einem technischen Zwischenfall oder menschlichem Versagen im Cyberbereich sind ihr Eigenschaden sowie Ausfall– und Folgekosten versichert (Produktionsausfälle, zerstörte Hardware, Datenwiederherstellung etc.)
  • Wichtiger noch: die Schadenersatzansprüche, die andere in diesem Fall an Sie stellen, sind ebenfalls versichert (denken Sie an Kunden, deren Daten geklaut wurden)
  • Die Versicherer halten Dienstleister für den Krisenfall bereit, die schnelle Hilfe bieten (Datenrettung, Krisen-PR, Rechtsberatung etc.)
  • Und, aktuell im Zusammenhang mit dem IT-Sicherheitsgesetz wichtig: Wenn gegen Ihr Unternehmen ein Bußgeldverfahren aufgrund von IT-Sicherheitsverletzung läuft, sind Ihre Rechtsanwalts- und Gerichtskosten mitversichert.

 

Cookie-Monster und die Rechtsunsicherheit

von

In einer idealen Welt würde das Online-Recht klar umsetzbare Vorgaben für Website-Betreiber liefern. Die Wirklichkeit ist weit davon entfernt.

Ein Beispiel von vielen: Ob deutschen Seitenbetreiber jedes Mal vorher um Erlaubnis fragen müssen, bevor sie Cookies setzen, ist höchst umstritten. Die Konferenz der Datenschutzbeauftragten von Bund und Ländern neigt natürlich zur restriktiven Sicht. Ob der BGH zustimmen würde, weiß keiner, jedenfalls bis jetzt. Die Folge ist wieder einmal Rechtsunsicherheit.

Versicherungen sind kein Allheilmittel dagegen – aber sie können das Risiko durchaus begrenzen, auch wenn das nicht allgemein bekannt ist. Die Versicherer bieten entsprechende Produkte unter ganz unterschiedlichen Namen an (Cyber-Versicherung, Media-Police, IT-Safe Care – um ein paar Beispiel zu nennen.) Die genauen Deckungsvereinbarungen muss man sich im Einzelfall anschauen. Aber grundsätzlich lässt sich der Schaden versichern, der entsteht, wenn Ihnen jemand aus den  Cookies Ihrer Unternehmenswebsite einen Strick drehen bzw. einen Verstoß gegen Datenschutzrecht konstruieren will. Zumindest solange, wie die Cookie-Zustimmung noch nicht allgemeiner Standard in Deutschland ist und die fehlende Abfrage nicht als grob fahrlässig ausgelegt werden kann.

Man könnte fast sagen: Auch Rechtsunsicherheit ist ein Stück weit versicherbar.

Cyber-Risiken und Haftungsansprüche in den USA versichern

von

Gregg Steinhafel, Ex-CEO des US-Einzelhandelsriesen Target, ist ein besonders prominentes Beispiel dafür, wie drastisch die persönlichen Folgen von IT-Sicherheitsmängeln für Manager ausfallen können: Erst verdarben Hacker ihm  die Weihnachtsfeiertage 2013 – mit dem Diebstahl von Kundendaten in großem Stil. Ein halbes Jahr später kostete ihn der Vorfall dann auch noch den Vorstandsposten. Oder wie das  Handelsblatt schrieb: „Daten weg, Kunden weg, Chef weg“.

Und was, wenn ein deutsches Unternehmen Geschäfte in den USA macht und dort für Cyber-Schäden haftbar gemacht werden soll? In Amerika sind Schadenersatzsummen bekanntlich oft (alp-)traumhaft hoch. Sind solche Ansprüche durch die Cyber-Versicherung mit abgedeckt?

Hier muss man ein wenig ins Detail gehen: Grundsätzlich sind Auslandsrisiken durch Haftungsansprüche Dritter im Normalfall mitversichert. Eine Cyber-Versicherung bzw. Haftpflicht-Police bietet Deckung also auch im Ausland.

Es gibt aber Länder, die ausgeschlossen sind – zum Beispiel solche, die nur die Regulierung durch vor Ort registrierte Versicherungen zulassen. Und praktisch alle großen Versicherer schließen Ansprüche in den USA und Kanada durch Standardklauseln aus – das „litigation law“ dort ist einfach zu hemmungslos für eine pauschale Deckung. Trotzdem ist es oft möglich,  Haftpflichtansprüche in den USA auch ohne teure Zusatzdeckungen mitversichert zu bekommen, vor allem bei auf weltweiten Schutz spezialisierte Gesellschaften wie z. B. ACE. Die Versicherer wollen das Risiko aber vorher einzelfallbezogen in Augenschein nehmen.

Deutsche Unternehmen, die ihr USA-Geschäft mit in ihre Cyber-Versicherung einschließen wollen, sollten also dafür sorgen, dass die Deckung ihrer Police entsprechend erweitert wird, möglichst ohne Kosten. Und auf zwei weitere Dinge gilt es aufzupassen:

  • Die Mitarbeiter sollten mitversichert sein. Denn auch in den USA kann schnell eine persönliche Haftung entstehen.
  • Und zweitens: Manche Versicherer verfügen über ein eigenes Data Breach Team in den USA, das im Schadensfall als schnelle Eingreiftruppe fungiert – ein entscheidender Vorteil.

Übrigens: Auf solche Details zu achten, ist Teil meiner Aufgabe als Versicherungsmakler. Haben Sie Fragen dazu? Rufen Sie mich an: 030 863926 990.

Stockfotos als Abmahnrisiko – aber eine Cyber-Versicherung schützt

von

Nehmen wir an, irgendein schlechter Mensch lädt fremde Fotos bei einer Stockfoto-Datenbank hoch, um sie dort zu verkaufen. Oder eine unzuverlässige Werbeagentur dreht dem Kunden Bilder ohne Lizenz an. Der gutgläubige Kunde baut die Fotos auf der eigenen Website ein – und erhält etwas später vom  Fotografen eine Schadenersatzforderung.

Dann sind die Chancen groß, dass bezahlt werden muss. Wer fremde Fotos im Internet nutzt, muss selbst nachprüfen, ob eine lückenlose „Rechtekette“ bis hin zum Fotografen existiert. Er darf sich nicht auf die Zusicherung eines „Zwischenhändlers” verlassen, dass urheberrechtlich schon alles okay sei. Das hat das OLG München vor einiger Zeit ausdrücklich bestätigt (Beschl. v. 15.01.2015 – 29 W 2554/14).

Das man solche „Sorgfaltspflichten” im Geschäftsalltag gar nicht immer umsetzen kann, liegt auf der Hand. Wie soll man  alle Verträge der beauftragten Werbeagentur oder einer Bilddatenbank (vermutlich mit Sitz im Ausland) und aller weiterer Beteiligten kontrollieren?  Zum Glück hilft eine Cyber-Versicherung  auch gegen dieses Rechts- und Abmahnrisiko. Eine Cyber-Police schließt im Regelfall auch Schäden durch Urheberrechtsverletzungen ein. Wenn der Verstoß nicht gerade sehenden Auges begangen wurde, wäre eine solche Schadenersatzforderung also regulierbar.

 

Britischer Minister für mehr Cyber-Versicherungsschutz

von

Ein Regierungsbericht aus Großbritannien beklagt den eklatanten Mangel an Cyber-Versicherungsschutz, meldet die BBC. Obwohl 81 Prozent der britischen Unternehmen in den zurückliegenden zwölf Monaten Opfer einer Sicherheitsverletzung wurden, seien nur zwei Prozent angemessen gegen Cyber-Risiken versichert, so der Minister für Kabinettsangelegenheiten, Francis Meade.

Die Hälfte der befragten Firmenchefs wusste nicht einmal von der Möglichkeit, sich gegen Cyber-Risiken zu versichern.

Als Konsequenz will die Regierung in London die Unternehmen nun verstärkt zum Abschluss von Cyber-Versicherungen motivieren. Bleibt aus deutscher Sicht hinzuzufügen: Die Cyber-Versicherungslücke ist bei uns kaum weniger groß und die Cyber-Risiken sowieso nicht. Der Unterschied ist, dass hier die Politik bislang noch nicht so recht verstanden hat, wie sinnvoll Cyber-Versicherungsschutz als Mittel gegen dieses Risiko ist.

Nicht nur aufgrund der finanziellen Unterstützung. Wenn der Schadensfall eintritt, ist die ebenfalls in der Police enthaltene, schnelle Unterstützung durch Berater und Spezialisten genau so wichtig, wie der Regierungsbericht unterstreicht.

 

Das schmutzige kleine Geheimnis der Cyber-Security

von

„Here’s the dirty little secret of cyber security, though: nothing is 100 per cent secure.“

„Hier ist das schmutzige kleine Geheimnis der Cyber-Sicherheit: Nichts ist zu 100 Prozent sicher.“ Das ist die zentrale Aussage in einem Beitrag der britischen IT-News-Website The Register.

Eigentlich will der Artikel erklären, dass ein Viren- und Malware-Scanner zwar unverzichtbar ist, aber keineswegs ausreicht, um die Rechner im Firmennetzwerk gegen Angriffe zu sichern. Man braucht vielmehr „layered security“, d.h. mehrere Schichten von Sicherheitsmaßnahmen. Es geht darum, weitere Löcher stopfen, durch Zugangsfilter für zwielichtige Websites, durch Viren- und Spamfilter auf dem Mailserver und durch pflichtbewusstes Installieren von  Updates und Patches.

Das ist alles richtig. Ansonsten ist der Artikel sicher nicht der beste Ratgeber zur Cyber-Security, den es je gab. Von Firewalls und mobilen Datenträgern zum Beispiel spricht er  gar nicht erst. Und das Konzept der „layered security“ ist ja nicht gerade neu. ABER: Der Satz oben ist entscheidend. Es gibt keine hundertprozentige IT-Sicherheit.

Ich füge hinzu: Dafür gibt es Cyber-Versicherungen. Denn das ist eine Sicherheitsmaßnahme, die auch der hinterhältigste Hacker der Welt nicht löschen, deaktivieren, zum Absturz bringen oder überschreiben kann.

 

Cyber-Angriff + Kündigungsschutz = Risiko persönlicher Haftung

von

„Eine Betriebsunterbrechungsversicherung sorgt dafür, dass im Schadensfall – z. B. Betriebsausfall durch Brand – die fixen Kosten übernommen werden. Dazu gehören auch Löhne und Gehälter.

Und weil es solche Versicherungen gibt, wird es schwierig bis unmöglich, Mitarbeiter betriebsbedingt zu kündigen, nur weil  die Firma gerade abgebrannt ist. Begründung der Arbeitsrichter: „Sie, Herr Geschäftsführer, hätten ja versichern können.” Hat der Manager die Versicherung versäumt, droht ihm die persönliche Haftung für die Lohnkosten der Mitarbeiter, die jetzt unproduktiv herumsitzen.

Genau das gleiche Risiko zeichnet sich auch bei Cyber-Angriffen ab. Datenbank platt, Produktion lahmgelegt, enorme Ausfälle – aber Kündigungen gehen trotzdem nicht durch. Statt dessen muss die Geschäftsführung sich mit Fragen zur persönlichen Haftung herumschlagen – wenn es keine Cyber-Risk-Versicherung gab.

Cyber-Risiken sind eben nicht (nur) das Problem der IT-Abteilung. Eine Cyber-Versicherung auch für die Geschäftsführung wichtig.  Und eine D&O-Police zur Absicherung der persönlichen Haftpflicht ebenfalls.

Cyber-Schwachstelle Heimcomputer – selbst im Kanzleramt

von

„Regin”, ein NSA-/GCHQ-Trojaner, wurde auf einem Laptop im Bundeskanzleramt entdeckt. Er kam von einem infizierten Heimcomputer  per USB-Stick. Eine hochrangige Mitarbeiterin hatte sich Arbeit mit nach Hause genommen. „Die Benutzung eines privaten USB-Sticks für solche Dateitransfers sei verboten, hieß es weiter.” Tja.

„Spear fishing” heißt es, gezielt einer bestimmten Person durch eine auf sie zugeschnittene Fake-Nachricht „Malware” unterzujubeln. Hat immer wieder Erfolg. Aber eine Cyber-Risk-Versicherung hilft auch dann.

Quellen: „Bild” und z. B. auch Golem.de.