Cyber-Versicherung

IT-Chaos, falsch dargestellte IT-Sicherheit, keine Cyber-Versicherungsschutz, Symbolfoto von PawinG via Pixabay

IT-Chaos verschwiegen – Cyber-Versicherung muss nicht zahlen

von

Keine Versicherungsleistung nach Hacker-Angriff: falsche Antworten zur IT-Sicherheit wegen Chaos in der Abteilung rächen sich. Geschäftsführer haften für IT-Sicherheitsversäumnisse.

400.000 Euro Schaden durch Hacker – die Cyber-Versicherung zahlt nicht

Eine Cyberversicherung schützt Unternehmen vor Schäden durch Hacker und Trojaner. Wird bei Vertragsabschluss jedoch der Stand der IT-Sicherheit falsch dargestellt, muss die Versicherung im Ernstfall nicht zahlen. Das bestätigt eine Entscheidung des Landgerichts Kiel. Ein Großhändler aus Schleswig-Holstein blieb deshalb nach einem Trojanerangriff auf rund 400.000 Euro Schaden sitzen. So viel kostete die komplette Neuinstallation der Firmen-Systeme, nachdem dort ein Backdoor installiert worden war.

Anders als gegenüber dem Versicherer dargestellt, war die IT-Sicherheit des Großhändlers mangelhaft. So lief der Datenbank-Server des Online-Shops ohne Firewall, mehrere Rechner hatten keinen Virenscanner. Einige Server wurden mit längst veralteter Software wie Windows 2003 betrieben. Im Unternehmen gab es nicht weniger als 77 Nutzerkonten mit Administrationsrechten. Ihnen waren teilweise einfachste Passwörter wie „anna“ zugeordnet, obwohl eine Passwort-Richtlinie komplexere Passphrasen verlangte.

Chaos in der IT-Abteilung ist genauso schlimm wie böser Wille

Die falschen Angaben bei Versicherungsabschluss wertete das Gericht als arglistige Täuschung. Damit war der Versicherungsvertrag nichtig (LG Kiel 23.05.2024 – 5 O 128/21). Hinter den Fehlinformationen verbarg sich offenbar eher internes Chaos als böse Absicht. Der für IT-Sicherheit zuständige Mitarbeiter war schwer erkrankt und dann verstorben, ein externer Dienstleister hatte nicht genug Einblick, dasselbe galt für den Leiter der IT-Abteilung, der die Risikofragen des Versicherers beantwortet hatte. Abgeschlossen wurde der Vertrag zwischen einem Makler und einem Assekuradeur, die die wahren Gegebenheiten vor Ort wohl nicht weiter prüften.

Für Versäumnisse in der IT-Sicherheit haftet die Unternehmensleitung

Das Fehlen einer bösen Absicht änderte nichts am Schaden. Und spätestens seit Inkrafttreten der EU-Cybersicherheits-Richtlinie NIS2 führen solche Versäumnisse für die Geschäftsführung schnell in die Haftung. Vor diesem Hintergrund wird es wichtig, sich als Chef ein objektives Bild der IT-Sicherheitslage im eigenen Haus zu verschaffen. Spezielle Dienstleister simulieren realistische Angriffe und decken damit mögliche Schwachstellen auf, bevor Cyber-Kriminelle dies tun. Der auf Cyber-Versicherungen spezialisierte Spezialmakler acant vermittelt seinen Kunden diesen Service.

Geschäftsführer haben damit einen objektiven Maßstab für die eigene „preparedness“. Mehr noch: Kommt es zu einer Auseinandersetzung mit der Cyber-Versicherung wie im beschriebenen Fall, wird der erfolgreich absolvierte IT-Sicherheitstest durch einen unabhängigen Experten vor Gericht zum wichtigen Argument. Er zeigt, dass die IT-Sicherheit nicht vernachlässigt wurde.

Im Berlin Capital Club: Business-Talk-Frühstück mit dem Ethical Hacker Immanuel Bär

Im Berlin Capital Club findet am Dienstag, den 10. September 2024  von 09:00 bis 10:30 ein Business-Talk-Frühstück mit Immanuel Bär statt, Mitgründer der Prosec GmbH. Als Experte für Sicherheits-Scans und Penetration Testing prüft er auf realistische, aber gefahrlose Art, ob die IT-Systeme eines Unternehmens Angreifern gewachsen sind. acant, Berliner Fachmakler für Cyber-Versicherungsschutz, arbeitet regelmäßig mit Prosec zusammen, um bei den Kunden mögliche Schwachstellen aufzudecken und ein optimales Sicherheitsniveau  zu gewährleisten.

Beim Business-Talk-Frühstück wird Bär seine Arbeit vorstellen und auf die besondere Herausforderung eingehen, die sich für Geschäftsführer aus der EU-Richlinie zur Cyber-Sicherheit NIS2 ergibt: Sie schreibt die persönliche Haftung der Geschäftsleitung für eine angemessene IT-Sicherheit fest.

Die Anmeldung zum Business-Talk-Frühstück mit Immanuel Bär und acant-Geschäftsführer Frank Schwandt ist unter events@berlincapitalclub.de oder unter +49 30 2062976 möglich.

Fragen zur Cyber-Versicherung beantworten Frank Schwandt und seine Mitarbeiter unter info@acant.de oder unter 030 863 926 990.

Versicherungsbedingungen bei der Cyber-Versicherung Symbolfoto: Arek Socha via Pixabay

Versicherungsschutz bei mobilem Zugriff und für Cloud-Speicher – aber nicht bei staatlichen Cyberattacken

von

Neue Musterbedingungen zur Cyber-Versicherung

Der GDV, Verband der deutschen Versicherer, hat neue Musterbedingungen zur Cyber-Versicherer vorgelegt. Als Fachmakler für Cyber-Versicherungen begrüßen wir von acant viele der neuen Regelungen. Allerdings sind damit längst nicht alle Stolperfallen beseitigt. Entscheidend bleibt die genaue Prüfung der Versicherungsverträge.

Die neuen Musterbedingungen zur Cyber-Versicherung sind ein Fortschritt – aber nicht verbindlich

Der Gesamtverband der Deutschen Versicherungswirtschaft (GDV) veröffentlicht Musterbedingungen zu zahlreichen Versicherungsarten. Musterbedingungen zur Cyber-Versicherung wurden 2017 erstmals publiziert. Nun hat der Verband sie in wichtigen Punkten überarbeitet und erweitert.

Als Cyberversicherungs-Fachmakler sehen wir die Neuauflage insgesamt positiv. So sind nun Fälle von Datendiebstahl, der mobile Datenzugriff und Cloud-Speicher bei Drittanbietern in den Versicherungsschutz einbezogen. Andererseits gelten strengere Ansprüche an die IT-Sicherheit des versicherten Unternehmens.

Vor allem sind die Musterklauseln des Verbands nur eine Empfehlung. Alle namhaften Cyberversicherer haben eigene Deckungskonzepte, so Cyberversicherungs-Experte Schwandt. Diese müssen genau geprüft werden:

Die neuen Musterbedingungen zeigen, wohin die Entwicklung der Cyber-Versicherung geht. An ihnen lassen sich die Versicherungsbedingungen der Versicherer messen. Die konkrete Prüfung der Verträge bleibt dabei unverzichtbar: Der Schutz einer Cyber-Versicherung ist nur so gut, wie das Kleingedruckte im Vertrag.

Wichtige Klarstellungen und verschärfte Anforderungen

Die neuen Musterbedingungen dehnen den Cyber-Versicherungsschutz auf Fälle aus, die viele Unternehmen betreffen. Doch nicht alle der Neuerungen sind für die Versicherungsnehmer positiv.

Vorteilhaft sind zum Beispiel diese Ergänzungen der Musterbedingungen:

  • Auch der mobile Zugriff auf die Firmensysteme ist versichert. Der Trojaner befällt die Firmennetze über einen Mitarbeiter im Homeoffice oder im Außendienst? Dann ist der Schaden durch die Cyber-Versicherung gedeckt.
  • Der Schaden ereignet sich bei einem externen Cloud-Speicher, Provider oder Dienstleister? Eine wichtige Neuerung: die Versicherung leistet auch für zerstörte, verschlüsselte oder gestohlene Daten, die auf angemietetem Cloud-Speicher oder bei einem anderen Dienstleister lagen.
  • Schadenersatz nach DSGVO-Verstößen ist ebenfalls gedeckt. Datenschutzverstöße begründen Schadenersatzansprüche der Betroffenen. Wenn ein Hacker viele Tausend Datensätze stiehlt, kommen schnell gewaltige Summen zusammen. Deshalb ist diese Klarstellung von großer Bedeutung.

Dagegen machen andere Neuerungen es den Unternehmen nicht leichter:

  • Zur „Gewährleistung der IT-Sicherheit“ sind konkrete Maßnahmen gefordert. Vorbei ist die Zeit, in der die Ansprüche an die IT-Sicherheitsmaßnahmen der Unternehmen lax oder vage ausfielen. Nun enthalten die Musterbedingungen konkrete Maßnahmen wie professionelles Patch-Management, systematische Datensicherung, abgestufte Zugriffsberechtigungen, 2-Faktor-Authorisierung bei Servern, Diebstahlsicherung von Mobilgeräten und ähnliches mehr.
  • Schäden durch staatliche Akteure sind nicht gedeckt. Wenn Hacks oder Malware auf nordkoreanische Cyberkriminelle, russische Hacker im Regierungsauftrag oder chinesische Geheimdienste zurückgehen, bleibt das Unternehmen auf seinem Schaden sitzen. Solche Aktivitäten werden immer häufiger aufgedeckt.

Entscheidend sind die Versicherungsbedingungen der Versicherer, nicht die Musterbedingungen

Die Musterbedingungen des GDV sind eine nützliche Messlatte, um die konkreten Versicherungsbedingungen der verschiedenen Cyberversicherungs-Angebote zu prüfen. Dieser Blick ins Kleingedruckte ist unerlässlich, damit eine Cyber-Versicherung Unternehmen und Organisationen im Fall von Cyber-Angriffen, IT-Havarien und Datendiebstählen wirklich schützt.

Allerdings erfordert die Analyse der Versicherungsverträge mehr als den Vergleich mit den Musterbedingungen. Dafür sind Fachwissen und Marktkenntnisse notwendig. Deshalb zahlt sich die Beratung durch einen Fachmakler wie die Berliner acant.service GmbH für Versicherungsnehmer in jedem Fall aus. acant vermittelt Unternehmen seit mehr als zehn Jahren Cyber-, IT-, Elektronik- und Technikversicherungen und weiß, wovon wirksamer, betriebswirtschaftlich sinnvoller Versicherungsschutz abhängt. Wir verhelfen auch Ihnen zur passenden Cyberversicherung – rufen Sie uns einfach an: 0176 1031 8791.

Urteil - Cyberversicherung muss zahlen trotz veralteter Serversysteme, Symbolfoto: dokumol via Pixabay

Software-Updates versäumt, Cyber-Versicherung muss nach Hackerangriff trotzdem zahlen

von

Urteil zur Cyber-Versicherung: Leistungspflicht trotz veralteter Server-Betriebssysteme

Ein Unternehmen wird Opfer eines Hacker-Angriffs mit Ransomware. Die Betriebsunterbrechung verursacht Millionenschäden. Manche Server des Betriebs liefen mit längst veralteten Betriebssystem-Versionen. Trotzdem wurde die Cyber-Versicherung dazu verurteilt, den Schaden zu übernehmen.

Das Urteil gibt Versicherern noch mehr Anlass, auf die IT-Sicherheit ihrer Versicherungsnehmern zu achten. Unternehmen sollten den Abschluss einer Cyber-Versicherung und die Optimierung ihrer Sicherheitsmaßnahmen aufeinander abstimmen.

Cyber-Versicherung abgeschlossen – und gleich Opfer eines Cyber-Angriffs

Bei einem Unternehmen aus Baden-Württemberg hatten nur 10 von 21 Servern aktuelle Betriebssystem-Versionen. Andere liefen selbst 2020 noch mit „Windows Server 2003“. Für dieses Betriebssystem gab es seit 2015 keine Updates mehr.

Trotzdem konnte der Betrieb eine Cyber-Versicherung abschließen. Die kam zum richtigen Zeitpunkt: Zwei Monate später verschlüsselte ein Ransomware-Angriff die Daten im gesamten Firmennetzwerk. Eine fünfmonatige Betriebsunterbrechung war die Folge. Sie führte zu Ausfällen in Millionenhöhe.

Die Versicherungsgesellschaft weigerte sich, den Schaden zu übernehmen. Sie verwies auf die fehlenden Software-Updates und darauf, dass das Unternehmen weder Zwei-Faktor-Authentifizierung noch ein Monitoring-System installiert hatte. Außerdem habe es Kontrollfragen zur Unternehmens-IT falsch beantwortet, die ihm vor Vertragsabschluss vorgelegt wurden.

Keine „Kausalität“, keine „Arglist“: die Versicherung muss bezahlen.

Das Landgericht Tübingen verurteilte den Versicherer trotzdem zur Zahlung. Er musste Schäden von mehr als 2,8 Millionen Euro übernehmen. Allein die Betriebsunterbrechung schlug mit rund 2,5 Millionen Euro zu Buche.

Das Unternehmen hatte einem Vertreter der Versicherungsgesellschaft vor Vertragsunterzeichnung mitgeteilt, dass es noch „Windows Server 2003“ und „Windows Server 2008“ einsetzte. Selbst wenn die – unklar formulierten – Risikofragen falsch beantwortet wurden, lag für das Gericht somit keine Arglist vor.

Außerdem war der Trojaner durch eine Phishing-Mail auf das Notebook eines Administrators gelangt. Von dort verbreitete er sich als Pass-the-Hash-Angriff weiter. Die veraltete Server-Software war deshalb nach Ansicht des Gerichts nicht kausal für den erfolgreichen Ransomware-Angriff.

Wichtig für die Richter: die Unternehmensvertreter hatten den Eindruck gewonnen, der Versicherer stelle keine hohen Anforderungen an die IT-Sicherheit. Sein Repräsentant hatte erklärt, dass „jede Fritzbox“ als Firewall ausreichen würde (AZ: LG Tübingen, 26.05.2023 – 4 O 193/21).

Das Urteil macht es den Unternehmen nicht leichter: Sie sollten IT-Sicherheit und Versicherungsschutz klug kombinieren

Noch vor einigen Jahren verlangten Versicherer zum Abschluss einer Cyber-Versicherung kaum mehr als die symbolische Bestätigung, dass dem Betrieb die Cyber-Risiken bewusst waren. Das hat sich in wenigen Jahren grundlegend geändert. Die Zahl der Cyber-Angriffe und die Höhe der Schäden sind explodiert. Besonders Betriebsunterbrechungen und Schadenersatzforderungen verursachen hohe Kosten. Deshalb sind Cyberversicherungen inzwischen deutlich teurer – und wesentlich schwerer zu bekommen. Die Versicherer schauen mittlerweile genauer hin, wie es um die IT-Sicherheit bei Versicherungsnehmern bestellt ist.

Für die Unternehmen wird es wichtig, zwei Aufgaben aufeinander abzustimmen. Die eine besteht darin, ein professionelles IT-Sicherheitsniveau zu erreichen. Die andere Aufgabe ist es, das Risikomanagement durch eine belastbare Cyber-Police zu ergänzen. Die Geschäftsführung ist gefordert: Nur Investitionen in die IT-Sicherheit ermöglichen adäquaten Versicherungsschutz. Umgekehrt gilt es, die Cyberversicherung präzise auf die Bedrohungslage des Unternehmens auszurichten.

Entscheidend ist dafür die Unterstützung durch einen erfahrenen Fachmakler. Wir von acant haben 2013 als einer der ersten Versicherungsmakler in Deutschland die Vermittlung von Cyberpolicen begonnen. Inzwischen haben wir mehr als zehn Jahre Erfahrung damit. Wir kennen den Markt für Cyberversicherungs-Produkte, haben direkte Kontakte zu den einschlägigen Versicherern und wissen wie man auch in einem schwierigen Markt optimalen Cyber-Versicherungsschutz und individuelle Lösungen sicherstellt. Rufen Sie uns an oder schreiben Sie uns eine Nachricht!

Inflation - Versicherungssumme prüfen, Symbolfoto: annca via Pixabay

Inflation bedeutet: Versicherungssummen überprüfen!

von

Krieg, Kostenexplosion, Inflation: die Lage ist nicht rosig

Der russische Überfall auf die Ukraine hat eine wirtschaftliche Kettenreaktion ausgelöst: Energiekrise, unterbrochene Liefer- und Versorgungsketten, Unsicherheit, enorme Kostensteigerungen, Inflation.

Dadurch steigen die Risiken, und zwar ganz besonders für Versicherungsfälle der Cyber-Versicherung und bei der Manager-Haftpflicht (D&O-Versicherungen).

  • Parallel zum Kriegsgeschehen begann eine Flut von Cyber-Angriffen auf Institutionen und Unternehmen im Westen. Außerdem steigt die Zahl der Online-Betrugsversuche. Dazu kommen Lieferausfälle bei IT-Equipment, an denen unter anderem die Halbleiter-Krise schuld ist. Bei Hardware-Havarien wird es schwieriger, Ersatz zu beschaffen.
  • Steigende Insolvenzrisiken und wachsender Druck auf Geschäftspartner führen automatisch dazu, dass Geschäftsführerinnen und Geschäftsführern schuldhafte Verletzung ihrer Pflichten vorgeworfen wird. Viele Unternehmen drohen durch explodierende Energiepreise und deren Folgen wie erhöhte Rohstoff- und Transportkosten ins Minus zu rutschen. Oft fehlt es an alternativen Beschaffungsoptionen oder den Mitteln, um den Kostenanstieg zu kompensieren. Vor diesem Hintergrund stellen Gesellschafter und Insolvenzverwalter schnell die Frage nach persönlicher Verantwortung aufgrund mangelnder Vorsorge. Dazu kommt das mit jeder wirtschaftlichen Flaute verbundene persönliche Haftungsrisiko, etwa durch Zahlungen trotz drohender Überschuldung. Die Folge ist schnell die Haftung mit dem gesamten Privatvermögen.

Im Gegenzug verringert die Inflation nicht nur die Kaufkraft der Bestände an liquiden Mitteln. Sie frisst auch am Deckungspotenzial bestehender Versicherungssummen.

Wir prüfen für Sie Versicherungsbedingungen und Versicherungssummen

acant befasst sich mit Cyberversicherungen, seit es dieses Produkt auf dem Versicherungsmarkt gibt. Die Absicherung der Managerhaftung durch D&O-Versicherungen ist unser zweiter Schwerpunkt. Wir prüfen mit Ihnen gemeinsam, ob Ihre Versicherungssummen und Versicherungsbedingungen angemessen sind. Dabei kontrollieren wir auch, ob Ihre Deckung wirklich Ihrem Risikoprofil entspricht oder ob Sie durch Überdeckungen Geld verlieren oder durch offene Deckungslücken Risiken ausgesetzt sind.

Wenn Verträge angepasst werden müssen, übernehmen wir für Sie die Kommunikation mit den Versicherern. Der Versicherungsmarkt wird angesichts der Wirtschaftslage enger. Versicherungsbedingungen werden verschärft, Versicherungsnehmer zunehmend kritischer ausgewählt. Wir kennen die Ansprechpartner auf Seiten der Versicherungsgesellschaften persönlich, wir wissen um die Marktlage und wie man auch unter den gegenwärtigen Bedingungen marktgerechte Versicherungsangebote aushandelt.

acant kann Ihnen helfen, sich bei den betrieblichen und persönlichen Versicherungen optimal aufzustellen. Das ist ein wichtiger Teil der Vorsorge in der gegenwärtigen Lage. Rufen Sie uns an – wir beraten Sie gern: 030 863 926 990.

Cyberversicherung mit Rechtsschutz-Baustein, Symbolbild: Emil Lija via Pixabay

Cyber-Versicherung mit Rechtsschutz für den Manager

von

Cyber-Versicherung mit Rechtsschutzbaustein: gute Idee

Ein neuer Baustein für die Cyberversicherung von Cogitanda umfasst Rechtsschutz für Manager und Führungskräfte. Diese erweiterte Deckung ist für Geschäftsführer, Vorstände, Aufsichtsräte und Beiräte eine sinnvolle Sache. Der Grund ist einfach: Schäden durch Cyberangriffe können für die Verantwortlichen des betroffenen Unternehmens schnell zum Vorwurf von Versäumnissen und darüber in die persönliche Haftung führen – und ebenso zu langwierigen wie kostspieligen juristischen Auseinandersetzungen.

Der Baustein umfasst Vermögensschaden-Rechtsschutz, Anstellungsvertrags-Rechtsschutz sowie Strafrechtsschutz. Pro Schadensfall reicht die Deckung bis zu einer Million Euro. Das bedeutet: Rechtskosten für Streit um Schadenersatzforderungen sind ebenso abgedeckt wie Anwalts- und Gerichtskosten bei einer Auseinandersetzung um die Kündigung bzw. Vertragsauflösung sowie die Rechtskosten im Fall strafrechtlicher Vorwürfe.

Drei wichtige Versicherungen: Cyber-Versicherung, D&O-Police, persönlicher Rechtsschutz

2016 haben wir von acant uns das erste Mal mit diesem Haftungsrisiko auseinandergesetzt. Das war in den Beiträgen IT-Compliance und persönliche Haftung und Persönliche Manager-Haftung für IT-Sicherheitsmängel.

Damals hatte noch kaum jemand die persönliche Haftung nach Cybervorfälle als Thema auf dem Schirm. Aber wir haben Recht behalten. Inzwischen hat die Flut der Cyberattacken und der damit verbundenen Betriebsunterbrechungen und Folgeschäden das Thema der persönlichen Haftung von Managern für Versäumnisse in der IT-Sicherheit ganz klar ins Zentrum gerückt.

Zum Glück lässt sich ein großer Teil des Risikos durch Versicherungen auffangen.

  • Zum einen benötigt das Unternehmen – jedes Unternehmen! – eine Cyberversicherung, um Schäden durch Trojaner-Angriffe, Datendiebe und Hacker aufzufangen.
  • Außerdem benötigt die Geschäftsleitung eine D&O-Versicherung, die sie vor den Schadenersatzforderungen im Fall persönlicher Haftung schützt. Sonst haftet sie mit ihrem persönlichen Vermögen für Sorgfaltspflichtverletzungen, etwa problematische Zahlungen bei Insolvenzgefahr oder eben fehlende Vorkehrungen gegen Hackerangriffe.
  • Rechtsschutz ist die dritte Komponente: Was nützt es, wenn man zwar von der Haftung freigestellt wurde, dafür jedoch mit ruinösen Rechtskosten konfrontiert ist.

Wo in Ihrem Fall bereits Versicherungsschutz vorliegt und wo zusätzliche Deckungen für Sie sinnvoll sind, dazu können die Fachleute von acant Sie beraten. Schreiben Sie uns, oder rufen Sie an: 030 863 926 990.

Cyber-Versicherung oder Cyber-Sicherheit? Falsche Frage! Symbolbild: Andreas Lischka via Pixabay

Cyber-Versicherung oder IT-Sicherheit? Falsche Frage!

von

Entweder oder? So einfach ist es nicht

Vor kurzem bin ich in einem Fachbeitrag über folgende Passage gestolpert:

Eine gute Cybersecurity, die den Hackern eine aufmerksame und wirksame Verteidigung entgegenstellt, und eine Versicherung schließen sich nicht aus. Im Gegenteil: Häufig ist ein Mindestmaß an Security Voraussetzung für Versicherungen. Doch die Kosten für beides gleichzeitig sind oft sehr hoch und nicht von jedem Unternehmen zu stemmen. In diesem Fall muss ein Unternehmen besonders kosteneffizient handeln. Dabei lässt sich festhalten, dass ein Euro in eine gute Sicherheitsstruktur hier fast immer besser angelegt ist als in eine Versicherung. Sie verhindert, dass der Schaden überhaupt erst entsteht.

Frank Kölmel, „Was Cyberversicherungen leisten können – und was nicht“, Security-Insider.de

Wo sollten kluge Geschäftsleute ihr Geld besser investieren – in eine Cyber-Versicherung oder in technische IT-Sicherheitsmaßnahmen? Diese Frage, die der Autor anspricht, liegt mir am Herzen, seit ich mit Cyber-Versicherungen beschäftigte. (Und das sind mittlerweile fast zehn Jahre. acant war einer der ersten Makler in Deutschland, der sich auf Cyber-Risiken spezialisierte.)

Allerdings glaube ich nicht, dass die Frage „Cyber-Versicherung oder Cyber-Sicherheitstechnik?“ wirklich Sinn ergibt. Wer so fragt, hat ein Grundprinzip im Risikomanagement nicht verstanden.

Ganz einfach: Es braucht beides, Cyber-Versicherung und Cyber-Sicherheit

Bestimmte Maßnahmen verringern die Wahrscheinlichkeit, dass ein Schadensereignis wie die Betriebsunterbrechung durch Ransomware eintritt. Zu diesen Maßnahmen gehören technische Sicherheitsmaßnahmen, aber auch organisatorische Vorkehrungen wie Schulungen und strikt durchgesetzte Verhaltensregeln. Wenn die Kosten solcher Maßnahmen die geringere Schadenswahrscheinlichkeit rechtfertigen, ergeben sie betriebswirtschaftlich Sinn.

Diese Maßnahmen können Schäden aber nicht vollkommen ausschließen bzw. verhindern. Auch das ist schlicht eine Frage der Wahrscheinlichkeit. Schulungen können Leichtsinn nicht unterbinden. Technik kann Störungen erleiden, falsch verwendet oder bewusst missbraucht werden. Sabotage ist immer möglich.

Und deshalb erfordert ein vernünftiges IT-Sicherheitskonzept auch Versicherungen. Die können, wie Frank Kölmel richtig anmerkt, den Schadenseintritt nicht verhindern. Das ist auch nicht ihr Sinn. Sie können dafür etwas, was die Technololgie nicht schafft: Sie kompensieren den Schaden, wenn es doch zur Sicherheitsverletzung kommt.

Wer sich keine Cyber-Versicherung leisten kann, kann sich keine IT leisten

So könnte man es etwas überspitzt formulieren. Eine fachgerecht administrierte Unternehmens-IT hält das Risiko erfolgreicher Cyber-Angriffe in einem beherrschbaren Rahmen. Es sinkt aber keineswegs auf Null. Auch wenn mittlerweile jeder die Aussage kennt: Die Frage ist nicht, ob es zur IT-Sicherheitsverletzung kommt, sondern wann sie sich ereignet. Aufgabe der IT-Fachleute ist es, dieses „wann“ möglichst hinauszuzögern.

Wenn der Schaden dann doch eintritt, wird die Cyber-Versicherung wichtig. Die Versicherungsprämien, die das Unternehmen über die Jahre hinweg überwiesen (und als Betriebsausgaben geltend gemacht) hat, haben die Kosten des Cyber-Angriffs oder der Datenschutz-Panne schon im Voraus in planbarer Form bezahlt. Jetzt übernimmt die Versicherung die Kosten. Das Schadenereignis reißt also kein Loch in die Bilanz. Ebenso unvorhergesehene wie unvermeidbare Ausgaben wurden auf einen langen Zeitraum verteilt und betriebswirtschaftlich sinnvoll minimiert.

Es geht auch weniger abstrakt

Eine Cyber-Versicherung leistet viel mehr, als nur Schäden zu begleichen. Die meisten Versicherer leisten Akut-Hilfe direkt nach einer Attacke. Sie helfen bei der forensischen Analyse und dem Beseitigen der aufgetretenen Sicherheitslücke. In der Deckung sind nicht nur Eigenschäden eingeschlossen, sondern auch Schadenersatzansprüche anderer Unternehmen und Personen.

Cyberangriffe sind längst ein Teil der Unternehmensrealität. Technik und organisatorische Vorkehrungen mildern das Risiko ab. Versicherungen machen das Restrisiko betriebswirtschaftlich tragbar. Unternehmen können sich längst nicht mehr leisten, auf eine der beiden Komponenten zu verzichten.

Genauso wenig wie auf Beratung. So wie die Netzwerksicherheitslösung zum Firmennetz passen muss, hilft die Cyber-Versicherung nur, wenn sie auf das Unternehmen abgestimmt wurde. Dafür zu sorgen, ist unser Geschäftsfeld. Wir von acant sind auf Cyber-Versicherungen spezialisiert. Sie erreichen uns unter 030 863 926 990 oder über das Kontaktformular!

Frank Schwandt: TÜV-zertifzierter Fachberater für Cyber-Risiken.

Versicherungsmakler – und TÜV-zertifizierter Fachberater für Cyber-Risiken

von

Qualifikation nachgewiesen: Fachberater für Cyber-Risiken mit TÜV-Zertifikat

Vor einiger Zeit bin ich von Berlin nach Essen gefahren, um meine Qualifikation als Fachberater prüfen zu lassen. Der TÜV Rheinland hat meine Kenntnisse in Sachen Cyber-Sicherheit und digitalen Risiko-Exponierung von Unternehmen eingehend geprüft.

Es ging um die Unterthemen:

  • Täterprofile moderner Cyberkrimineller
  • Gesetzeslage und Unternehmenshaftung bei Cyber-Kriminalität
  • Leistungen und Vorteile von Cyberversicherungen
  • Lösungsorientierte Beratung statt reiner Produktverkauf
  • Identifikation, Analyse und Bewertung von Cyberrisiken
  • Anwendung eines Softwaretools zur Versicherungs-Summenermittlung
  • IT-Sicherheitskonzepte nach VdS, BSI und ISO 27001
  • Grundlagen des IT-Risk-Management nach ISO 31000

Um ehrlich zu sein: ich bin stolz, dass ich meine Qualifikation auf diesen Fachgebieten unter Beweis stellen konnte. Dafür habe ich vom TÜV Rheinland die Zertifizierung als Fachberater erhalten, als Nachweis meiner Eignung für die gezielte Beratung von Unternehmen zum digitalen Risiko-Management.

Oder wie es der TÜV selbst formuliert: „Fachberater für Cyber-Risiken mit TÜV Rheinland geprüfter Qualifikation weisen mit der Zertifizierung nach, dass sie für die fachliche Beratung gewerblicher Versicherungsnehmer umfassend vorbereitet und zur Identifikation und Kommunikation unternehmerischer Cyber- und IT-Risiken nach dem Grundsatz Lösungsorientierung statt Produktorientierung befähigt sind.“

Frank Schwandt ist TÜV-zertifizierter Fachberater für Cyber-Risiken (Urkunde)

Cyber-Versicherungen gibt’s inzwischen überall – qualifizierte Risiko-Beratung nicht

Es geht dabei nicht nur um Titel und Eitelkeiten. Ich freue mich über das TÜV-Zertifikat meiner Fachkenntnisse, weil es den besonderen Anspruch von acant bestätigt: Wir sind kompetente Fach-Versicherungsmakler zu Cyber-Risiken von Unternehmen jeder Größe und Branche.

Ransomware und/oder Datenschutzverstöße können jedes Unternehmen treffen, das ist inzwischen allgemein bekannt. Wann haben Sie das letzte Mal von Ransomware, Hackern und Datendiebstahl gehört – heute, gestern oder vorgestern?

Dass Cyber-Versicherungen Schutz bieten und zur Vorsorge genauso wichtig sind wie technische IT-Sicherheitsmaßnahmen, ist mittlerweile ebenfalls akzeptiert.

Aber: Diese Popularisierung des Themas bringt eigene Gefahren mit sich. Versicherungsschutz gegen Hacker, Trojaner und Datenschutzverletzungen gibt es inzwischen an jeder Ecke. Doch eine Cyber-Versicherung ist etwas anderes als eine Kfz-Versicherung fürs Privatauto, die man von der Stange kaufen kann. Cyber-Versicherungsschutz muss genau zum Unternehmen und seinen individuellen Risiken passen. Sonst zahlt man Prämien, steht im Ernstfall aber ohne Deckung dar. Oder man zahlt für Deckungen, die man gar nicht braucht.

Solche Fehlversicherungen kommen nicht vor, wenn acant Ihrem Unternehmen die Cyber-Versicherung vermittelt. Wir sind ein Versicherungsmakler, der sich durch Fachkompetenz und Beratung auszeichnet. Wir kennen den Versicherungsmarkt, wir wissen, welche Cyber-Policen Ihr Unternehmen wirklich schützen, und wir vermitteln nur Versicherungsprodukte, die Ihnen nützen.

Dass dies nicht nur leere Worte sind, hat mir der TÜV nun schwarz auf weiß bestätigt – mit meiner Zertifizierung als Fachberater für Cyber-Risiken. Das ist der Grund, warum ich mich darüber freue.

Datenschutzversto? Bußgeld versichern - Symbolbild: Steve Buissinne via Pixabay

Eine Versicherung gegen Datenschutzverstöße

von

Zack, Datenschutzverstoß, Bußgeld: Geht im Geschäftsalltag ganz schnell

Vor kurzem hat Dagmar Hartge, die Brandenburgische Landesdatenschutzbeauftragte, ihren Tätigkeitsbericht 2020 veröffentlicht. Der Bericht liefert viele Beispiele dafür, wie schnell ein Unternehmen ins Visier der Datenschützer gerät. Die Folge ist dann häufig ein Bußgeld, das wehtut.

Einige Beispiele:

  • Ein Kreditvermittler schickt einem potenziellen Kreditnehmer eine abschlägige E-Mail. Darin nennt er dessen negative Schufa-Werte. Weil die E-Mail nicht komplett verschlüsselt ist, moniert der Abgelehnte einen Datenschutzverstoß. Die Landesdatenschutzbeauftragte sieht es genauso: Der Kreditvermittler wird offiziell verwarnt.
  • Ein Immobilienmakler soll ein Haus an Käufer vermitteln. In den Werbeunterlagen veröffentlicht er Fotos, die er vom Eigentümer bekommt. Darunter sind auch Fotos einer Einliegerwohnung. Die Mieter sehen eine Datenschutzverletzung. Auch dafür gibt es eine Verwarnung.
  • Ein anderes Immobilienunternehmen macht Drohnen-Fotos von Objekten, die es verkaufen will. Dummerweise sind auch Teile der Nachbargrundstücke abgebildet. Deren Eigentümer beschweren sich. Die Landesdatenschutzbeauftragte übt Druck aus, bis das Immobilienunternehmen die Fotos von der Website nimmt.
  • Ein Wirt benutzt die Kontaktdaten-Liste seiner Gäste, die er wegen Corona führen muss, um ihnen Werbung zu schicken. Das darf er aber nicht – Bußgeld.
  • Eine Ballettschule veröffentlicht auf Facebook Bilder, auf denen die Mädchen beim Tanzen zu sehen sind. Die Eltern wurden nicht um Erlaubnis gefragt. Ergebnis: Ein Bußgeld in vierstelliger Höhe.
  • Günstiger kommt eine Arzthelferin davon, die sich in einen Patienten der Praxis verliebt. Sie kontaktiert ihn über die Telefonnummer in der Patientendatei. Auch das ist ein Datenschutzverstoß. Immerhin ist ihr Bußgeld nur dreistellig.
  • Ein Tourismus-Unternehmen lässt seine Datenbank mit Kunden und Gastgebern ungesichert im Netz. Als das Landesamt vorstellig wird, bleiben trotz erster Korrekturen Sicherheitslücken. Das Unternehmen muss sich auf ein Bußgeld einstellen.

Datenschutzverstoß? Diese Kosten übernimmt Ihre Cyber-Versicherung

  • Manche Cyber-Versicherungen versichern DSGVO-Bußgelder, soweit dies gesetzlich erlaubt ist. (Natürlich nicht bei Vorsatz.)
  • Beim Vorwurf eines Datenschutzverstoßes braucht man den Anwalt. Und auch schon vorher: Dann, wenn man herausfinden will, ob ein Datenschutzverstoß vorliegt, über den man die Behörden informieren muss. Die Kosten für beides sind als Teil der Cyber-Deckung versicherbar.
  • Viele Cyber-Versicherungen haben selbst spezialisierte Anwälte unter Vertrag, die im Notfall direkt helfen.
  • Nach einem Datenschutzverstoß haben die Betroffenen Anspruch auf Schadenersatz. Solche Forderungen decken Cyber-Versicherungen ebenfalls.
  • Wenn der Geschäftsführer dafür haften soll, dass der Datenschutzverstoß möglich war, deckt eine D&O-Versicherung (Manager-Haftpflichtversicherung) die Schadenersatzforderung .
  • Viele Cyber-Versicherer stellen Fachleute für Krisen-PR. Sie helfen bei einem Datenschutz-Gau, Imageschäden zu minimieren.

acant hilft beim Eindämmen der DSGVO-Risiken

Datenschutz ist eine gute Sache. Für Unternehmen wird er allerdings schnell zum Glatteis. Es gibt einfach zu viele Möglichkeiten, im Geschäftsalltag gegen Datenschutzbestimmungen zu verstoßen.

Dieses finanzielle Risiko lässt sich durch eine Cyber-Versicherung weitgehend eindämmen, genauso wie die Schäden durch Hacker und Trojaner. acant ist als Spezialmakler für Cyber-Policen der richtige Ansprechpartner.

Wir finden die Versicherung, die Sie und Ihr Unternehmen optimal schützt. Schreiben Sie uns oder rufen Sie uns an: 030 863 926 990

Hinweise zur Cyberversicherung auf dem Golfplatz Wall.

acant auf dem Golfplatz – für ein besseres Handicap

von
Hinweise zur Cyberversicherung auf dem Golfplatz Wall - Werbung für acant Versicherungsmakler auf der Golfanlage Wall - Handicap verbessern.

acant auf dem Golfplatz in Wall

Darüber freuen wir uns besonders: acant ist jetzt auf der Golfanlage in Wall präsent. Dieser Golfplatz liegt einen Katzensprung von Berlin entfernt mitten im grünen Brandenburg, zwischen Neuruppin und Oranienburg.

Dort tun Golferinnen und Golfer in wunderschöner Umgebung etwas für ihr Golf-Handicap. An mehreren Abschlägen finden sich Hinweise auf das große Handicap für Unternehmen im Digital-Zeitalter: Die Bedrohung durch Hacker, Trojaner und Datenschutzverstöße.

Hinweise zur Cyberversicherung auf dem Golfplatz Wall.Handicap verbessern!

Handicap optimieren

Ein Handicap von – 36 oder besser bekommt man im Golf nur durch viel Üben. In Sachen IT-Security ist es einfacher: Dort lässt sich das Sicherheits-Handicap im Handumdrehen optimieren. Und zwar mit einer passgenauen Cyber-Versicherung vom Versicherungsmakler acant. Sowohl für das Unternehmen wie für privat.

Was sowohl für die Entwicklung im Golf wie das Absichern von IT-Risiken gilt: bei einem vertrauenswürdigen Pro ist man in besten Händen.

Eine Cyber-Versicherung, bei der man draufzahlt oder die entscheidenden Risiken nicht deckt? Das ist wie ein heftiges Break direkt am Loch – die Sache geht mit großer Wahrscheinlichkeit daneben.

Aber nicht mit uns! Wir von acant sind seit vielen Jahren Spezialmakler für Cyber-Versicherungen. Deshalb wissen wir genau, mit welcher Cyber-Police Sie unter Par abschließen – auch finanziell.

Haben Sie Fragen zur Cyber-Versicherung? Rufen Sie einfach an: 030 863 926 990.

elektronische Patientenakte, Symbolfoto: Bokskapet via Pixabay

Elektronische Patientenakte: Ärzte als Hochrisikogruppe beim Datenschutz?

von

Die elektronische Patientenakte soll die Digitalisierung im Gesundheitswesen forcieren

Bundesgesundheitsminister Spahn treibt die Pläne zur raschen Digitalisierung im Gesundheitswesen voran. Das Patientendaten-Schutzgesetz ist seit kurzem in Kraft. Es bringt die elektronische Patientenakte (ePA), das E-Rezept und eine einheitliche Infrastruktur für den Datenaustausch im Gesundheitswesen (Telematik-Infrastruktur, TI).

Die Digitalisierung ist sinnvoll und überfällig. Wenn Versicherte direkten Überblick über ihre Arbeitsunfähigkeiten, Behandlungen, Impfungen, Krankenhausaufenthalte, Vorsorgetermine und Rezepte haben, ist das positiv. In anderen Ländern existieren die Voraussetzungen dafür schon längst. Es gibt keinen Grund, warum der Datenaustausch zwischen Ärzten, Kliniken, Versicherern und Apotheken nicht digital stattfinden sollte. Dass Patienten selbst kontrollieren, wer Zugriff auf Befunde, Diagnosen und andere Daten hat, ergibt Sinn.

Das Problem ist das Datenschutzrisiko. Der Bundesdatenschutzbeauftragte Ulrich Kelber rät laut „Deutschland sicher im Netz“ von der Nutzung der elektronischen Patientenakte ab. Außerdem will er die Krankenkassen verpflichtend anweisen, die ePA-Apps gesetzeskonform zu gestalten. Dummerweise ist das technisch offenbar erst ab 2022 möglich.

Ärzte müssen die elektronische Patientenakte auf Wunsch ausfüllen.

Die gesetzlichen Krankenkassen müssen seit Jahresbeginn ihren Versicherten die elektronische Patientenakte bereitstellen, zum Beispiel per App fürs Smartphone. Die privaten Krankenversicherungen sind erst ab 2022 dazu verpflichtet. Ärzte, Therapeuten, Apotheken etc. haben die ePA mit Daten zu befüllen, wenn der Patient es wünscht.

Das Problem: Bislang kann der Versicherte nicht „granular“ vorgeben, welchem Arzt er welche Informationen zugänglich macht. Das ist zwar vorgeschrieben, soll aus technischen Gründen jedoch erst nächstes Jahr kommen. Im Moment sieht damit im Zweifel auch der Zahnarzt, dass die Patientin letztes Jahr einen Schwangerschaftsabbruch hatte oder der Patient in psychiatrischer Behandlung ist.

Auch im Praxisalltag dürfte es neue datenschutzrechtliche Risiken geben – etwa dann, wenn die Mitarbeiterin an der Rezeption dem älteren Patienten hilft, die App zu bedienen. Oder wenn Hacker versuchen, an dieser Nahtstelle den Datenaustausch abzuschöpfen oder die App zu kompromittieren.

Wer trägt das Datenschutz-Risiko?

Das Risiko für die Heilberufe liegt auf der Hand. Fehler werden dem niedergelassenen Arzt und seinen Mitarbeitern angelastet werden. Das gilt auch dann, wenn der Patient missverständlich kommuniziert oder mögliche Mängel der Infrastruktur Datenverluste begünstigen.

Der Praxis-Inhaber ist dafür verantwortlich, dass das Datenschutzniveau in der Praxis sowohl technisch wie organisatorisch gewahrt bleibt. Er muss eine angemessene IT-Sicherheit gewährleisten, dafür sorgen, dass stets die notwendigen Einwilligungen vorliegen und keine unbefugten Mitarbeiter Zugriff erhalten. Dafür haften die Ärztin oder der Therapeut.

Noch ist die ePA in der Testphase – aber an die Versicherung sollten Ärzte und Therapeuten schon jetzt denken

Bis jetzt ist die ePA noch in der Testphase. Ab dem zweiten Halbjahr 2021 sollen dann alle Patienten die entsprechenden Apps nutzen können, und alle Arztpraxen die Akten auf Wunsch elektronisch ausfüllen. Ab 2022 werden weitere Nachweise digitalisiert, zum Beispiel der Mutterpass oder das Zahnarzt-Bonusheft.

Für Ärzte, Therapeuten und alle anderen, die am Austausch von Patientendaten über die Telematik-Infrastruktur im Gesundheitswesen mitwirken dürfen/müssen, gibt es eine klare Empfehlung: rechtzeitig eine passende Cyber-Versicherung für niedergelassene Praxen abschließen, die auch Datenschutzverstöße abdeckt. Fragen Sie uns nach den Einzelheiten: Wir von acant sind Spezialmakler für Cyber-Versicherungen und kennen uns mit der Deckung von Datenschutzrisiken aus.

Patientendaten sind für Datendiebe sehr, sehr wertvoll

Man kann nicht oft genug darauf hinweisen: Patientendaten sind für Hacker wie Goldstaub. Ein eindrückliches Beispiel war der Diebstahl von 40.000 digitale Patientenakten in Finnland – mit Adressdaten und den Notizen der behandelnden Psychotherapeuten.

Und selbst, wenn es nicht so schlimm kommt: Selbst ein Fehler im Praxisalltag kann direkt zu einem Datenschutzverstoß und damit zu einem Bußgeld-Verfahren führen. DSGVO-Bußgelder sind von empfindlicher Höhe – bis zu zwei Prozent vom Jahresumsatz sind möglich.

Haben Sie Fragen zur Cyber-Versicherung speziell im Gesundheitswesen? Rufen Sie uns einfach unter 030 863 926 990 an oder schreiben Sie uns eine kurze Nachricht.