Cyber-Versicherung

Schritt für Schritt zur IT-Sicherheit

von

Unternehmen im IT-Sicherheitsdilemma

Trotz steigender Bedrohungslage ist das Thema IT-Sicherheit in weiten Teilen der deutschen Wirtschaft noch nicht bis in die Chefetagen vorgedrungen., so eine aktuelle Bitkom-Studie von 2015. Dabei ist der Schaden durch Cyberattacken und Produktpiraterie enorm hoch: 51 Milliarden Euro Gesamtschaden. Ganz neue Dimensionen entstehen durch beauftragbare Internetpiraten („Crime as a service“) und fortschreitende Digitalisierung (Web 4.0). Erste Insolvenzen durch hackerbedingte Betriebsunterbrechung gab es bereits.

Eine eindrucksvolle Online-Darstellung der zur Sekunde laufenden Angriffe erhalten sie beim Sicherheitstacho der Telekom- Werfen Sie ruhig auch einen Blick auf die verfügbaren Statistiken.

Doch mangels gesetzlicher Grundlagen und aus falscher Scham werden diese Ereignisse nicht öffentlich gemacht. Es ist grotesk: Der Bundestag beschließt das IT-Sicherheitsgesetz, während eine Cyber-Attacke seine IT-Infrastruktur schwer beschädigt. Deutlicher kann man nicht zeigen, welches Risiko mit der der Digitalisierung der Arbeitsprozesse verbunden ist.

Was ist zu tun, um die IT Sicherheit zu verbessern und das Restrisiko abzusichern?

Schritt 1: Die eigene Risikosituation einschätzen

Frage: Welcher Angreifer interessiert sich für mein Unternehmen?

  • Außentäter Die Angreifer schauen weder auf den Ruf noch auf den Namen Ihres Unternehmens, sie suchen nur offene Zugänge in Ihr IT-System. Arbeitet ihr Unternehmen mit elektronischer Datenverarbeitung? Haben Sie IP-Adressen und Schnittstellen ins Internet? Dann sind sie potentielles Opfer.
  • Allerdings sind Außentäter nicht etwa nur Täter mit Sitz im Ausland. Eine Bitkom-Studie von 2014 ermittelte, dass die kriminellen Handlungen oft innerhalb der Grenzen stattfinden: Bis zu 45 % der Cyber-Kriminalität geht von Deutschland aus.
  • Innentäter sind das unterschätzte Risiko. Der Täterkreis ist oft in den eigenen Reihen zu suchen: Gemessen an den kriminellen Handlungen sind die Täter mit bis zu 66 % unter (ehemaligen) Mitarbeitern zu suchen

Frage: Was kostet mich eine digitale Betriebsunterbrechung und die Wiederherstellung meiner infizierten IT -Infrastruktur?

Das hängt natürlich vom Einzelfall ab. Aber: Unternehmen sind von existentiell bedrohlichen Angriffen betroffen. Berichte hierüber gibt es allerdings nur von Konzernen. Der Mittelstand vermeidet aus verständlichen Gründen bei solchen Ereignissen die Publizität.

Zwei Beispiele aus der Realität

  • Ein entlassener Mitarbeiter zerstört Produktionsparameter, Kundenanpassungen und Planungsunterlagen – das kann passieren, weil eine Zugangsberechtigung vergessen wurde. Kosten für Umsatzausfall und Wiederherstellung/ Rettung der Daten: € 450.000,00
  • Ein Unternehmen der chemischen Industrie fängt sich über eine infizierte  E-Mail eine Schadsoftware ein. Kontodaten werden manipuliert, Zahlungen in Höhe  € 100.000,00 von einem Kunden werden umgeleitet und gehen dem Unternehmen verloren. Die Schadsoftware verbreitet sich auf dem Produktionssystem, die Produktion fährt unkontrolliert herunter, die Produktionsanlage wird beschädigt. Kosten für Umsatzausfall, Forensik, Wiederherstellung der Systeme: € 1,3 Millionen

Schritt zwei: Den eigenen IT-Sicherheitsstatus feststellen

Ein einfaches webbasiertes Selbst-Audit kann einen ersten Überblick über die Technik, Organisation und ihre Prozesse geben. Eine gute Basis, um gemeinsam mit der IT-Abteilung die Anforderungen abzuleiten.

Der Quick-Check der Versicherer liefert anhand von  39 Fragen für eine solide Einschätzung der Risikosituation. Das Ergebnis ist eine Art Risikolandkarte,  als Grundlage der weiteren Diskussion.

Maßgeschneiderte Testierung von Cyber-Security in Unternehmen:  Mit Tools wie dem Selbst-Audit durch den VdS-Quick-Check, vor allem aber mit der neuen VdS-Richtlinie 3473 können Unternehmen und Kommunen einen neuen Standard zur Bewertung ihrer IT-Sicherheit entwickeln.  Ein VdS-Zertifikat schafft Vertrauen bei Kunden und Lieferanten, entspricht dem IT-Sicherheitsgesetz und unterstützt gleichzeitig Versicherer bei der Einschätzung des Cyberrisikos.

Schritt 3: Das Restrisiko absichern – durch eine Cyber-Versicherung

Damit eine Versicherung abgeschlossen werden kann, muss das Risiko genau definiert werden. Dazu bieten sich folgende Schritte an, die wir als Versicherungsmakler mit unseren Kunden gemeinsam durchgehen:

  • Anhand aktueller Schadenerfahrung lässt sich das Schadenpotenzial darstellen: Die Bedrohung kann durch die Einschätzung des IT-Leiters konkretisiert werden, wie viele Tage er oder externe Fachleute für das Aufspüren einer Schadsoftware auf dem System benötigen.
  • Folgekosten berechnen: Die schrittweise Ermittlung der Wiederherstellungskosten, Kosten für Kundeninformation und Anwaltskosten macht die (oft existenzbedrohenden) Auswirkungen deutlich.
  • Weitere Bedrohungsszenarien ausloten: Betriebsunterbrechungen, Erpressungssituation und Geld-Umleitung z. B. Besonders gefährdet sind außerdem Branchen, bei denen das Risiko eines Kreditkarten- oder Patientendatenverlusts besteht.
  • Den potenziellen Schaden ermitteln: Auf Basis der erworbenen Erkenntnisse lässt sich der potentielle Schaden und damit die Versicherungssumme leicht ermitteln.
  • Ausschlüsse aufspüren: Die bestehenden Versicherungspolicen müssen immer mit der Cyber-Police abgeglichen werden, um Ausschlüsse zu erkennen, die ‚vor der digitalen Revolution’ formuliert wurden und für den Cyber-Fall relevant sind.
  • Angebote zur Cyber-Versicherung einholen: Die Cyber-Versicherung muss auf das Unternehmensrisiko abgestimmt sein.
  • Notfallplan erstellen: Der Notfallplan ist der mit dem Versicherer abgestimmte Fahrplan für alle Beteiligten im Schadenfall. Eine schnelle und abgestimmte Reaktion verhindert weitere Folgeschäden.

 Welche Kosten übernimmt die Cyber-Versicherung?

  • Schadenersatzansprüche Dritter (Abwehr unberechtigter Ansprüche, Ausgleich berechtigter Ansprüche)
  • Ertragsausfall infolge Unterbrechung des Betriebs
  • Kosten für forensische Untersuchungen
  • Kosten für externe Unterstützung bei Aufklärung
  • Kosten für Einschaltung PR-Berater
  • Wiederherstellungskosten bei Verlust/Zerstörung eigener Daten und Netzwerke
  • Erpressungsforderungen durch Hacker
  • Benachrichtigungskosten bei Verstößen gegen Datenschutz-Vorschriften

Über den Autor: Achim Fischer-Erdsiek ist Geschäftsführer der ProRisk Gesellschaft für Risikomanagement mbH in Hannover.

Durchschnittskosten einer Datenschutzverletzung

von

Was Datenklau aktuell so kostet …

Schon seit zehn Jahren erstellt das Ponemon Institute Studien über die konkreten Kosten von Datenschutzverletzung. Die Statistiken gibt es sowohl global als auch für Einzelstaaten. Die Ausgabe „2015 Cost of Data Breach Study: Germany“ (auf Englisch, bei IBM als PDF) nennt konkrete Zahlen für Deutschland (bezogen auf Datenschutzverletzungen im Jahr 2014).

Was eine Datenschutzverletzung an Kosten verursacht

Die wichtigsten Werte:

  • Rund 3,2 Mio. € (3,52 Mio. $) beträgt der Gesamtschaden der Unternehmen durch Datenschutzverletzungen.
  • 139 € (152 $) steuert dazu jeder einzelne verlorene oder kompromittierte persönliche Datensatz (Daten zu einer Person) im Durchschnitt bei. Das ist eine Steigerung von mehr als acht Prozent gegenüber dem Vorjahr. Mehr als die Hälfte sind indirekte Folgekosten, etwa Umsatzeinbußen durch verlorene Kunden.
  • Die Kosten der gesetzlich vorgeschriebene) Information Betroffener liegen pro Fall bei durchschnittlich 219.000 € (240.000 $).
  • Besonders hohe Kosten durch Datenschutzverletzungen liefen im Finanzsektor, der Industrie und der Dienstleistungsbranche an, auch weil hier die Kunden am schnellsten vergrault werden. Einzelhandel, Logistik und öffentliche Hand hatten Schäden unter dem globalen Durchschnittswert.
  • Mehr als die Hälfte der Datenschutzverletzungen beruhten auf absichtlichen Angriffen mit kriminellem Hintergrund – diese Zwischenfälle sind auch teurer als Datenverluste durch technische oder menschliche Fehler.
  • Kommen Sicherheitsmaßnahmen wie Verschlüsselung zum Einsatz, liegen die Kosten im Durchschnitt niedriger.

Das Kostenrisiko ist real. Versichern ist gute Unternehmensführung

Fazit: Versichern macht Sinn.  Das Kostenrisiko ist real, durch eine Versicherung lässt es sich kontrolliert in die Bücher nehmen – und aus dem unversteuerten Gewinn bezahlen. Die Alternative – nichts tun – ist nicht nur riskant, sondern auch schlechte Unternehmensführung.

Eine Cyber-Versicherung bringt schon etwas, bevor eine Datenschutzverletzung eintritt, weil sie zu einer Analyse des individuellen Unternehmensrisikos führt. Tritt der Ernstfall ein, steht Ihnen eine „schnelle Eingreiftruppe“ aus IT-Spezialisten, Anwälten und PR-Leuten zur Verfügung. Und natürlich fängt die Cyber-Versicherung sowohl Ihre Haftung gegenüber Betroffenen als auch Ihre Eigenschäden auf.

Für weitere Informationen genügt ein Anruf bei Acant  (030 863 926 990) oder eine Nachricht an uns.

Cyber-Versicherung für Rechtsanwälte: Deckungslücke trotz Deckungserweiterung

von

Cyber-Versicherungsschutz für Rechtsanwälte per Zusatzbaustein?

Vor kurzem rief ein Rechtsanwalt an, der um eine zweite Meinung bat. Der Versicherungsmakler seiner Kanzlei hatte ihm vorgeschlagen, die Deckung seiner Berufshaftpflichtversicherung um einen Cyberversicherungs-Baustein zu erweitern. Der Anwalt war sich nicht recht sicher und fragte uns nach einer zweiten Meinung.

Die Cyber-Deckungserweiterung der AXA

Diesen Baustein bietet AXA seit einiger Zeit speziell für Rechtsanwälte und Notare an.  Die Idee ist eigentlich gut: Statt einer teuren, kompletten Cyber-Police wird die ohnehin vorhandene Berufshaftpflicht quasi durch ein „Plugin” aufgerüstet – und die Kanzlei gegen die finanziellen Folgen von Datenschutzverletzungen und Cyber-Kriminalität geschützt.

Der AXA-Baustein umfasst IT-bedingte Vermögenseigenschäden wie die Datenwiederherstellung und das Reputationsmanagement nach einem Hackerangriff mit Datenverlust. Kosten für die Informations- und Kreditüberwachung, Sachverständige, für internetbezogenen Strafrechtsschutz, Erpressungsgelder und weitere Mehrkosten sind auch „mit drin“.

Haftpflicht ohne Selbstverschulden

Die Beschränkung auf Eigenschäden scheint sinnvoll, denn die Haftpflicht ist bei einem Rechtsanwalt oder Notar ja ohnehin pflichtversichert. Aber: Die Berufshaftpflichtversicherung leistet in aller Regel nur bei einer Pflichtverletzung.  So war es auch bei diesem Anwalt.

Eine Cyber-Attacke oder eine IT-Panne kann dagegen auch ohne eigenes Verschulden eintreten. Ein Trojaner, der eine bislang unbekannte Sicherheitslücke ausnutzt, kann auch bei völlig adäquater IT-Sicherheit zuschlagen. Dann sind möglicherweise Mandantendaten und vertrauliche Informationen kompromittiert. Die Haftungsansprüche der Mandanten an die Kanzlei sind aber nicht versichert – ohne Fahrlässigkeit kein Versicherungsfall!

Deckungserweiterung: Günstige Option – aber nur, wenn es passt

Bei einer großen Kanzlei mit einer individuellen Police hätte sich auch die dafür nötige Deckung zusätzlich aushandeln lassen. Bei einem Einzelanwalt blieb nur die Wahl zwischen der Deckungslücke oder einer kompletten Cyber-Versicherung (die zu einer teilweisen Überdeckung führt). Er hat sich für letzteres entschieden.

Deckungserweiterungen gibt es  übrigens nicht nur für Rechtsanwälte, sondern auch für andere Branchen und Berufsgruppen, etwa Ärzte, Ingenieure und Architekten. Und sie sind auch keineswegs immer sinnlos, im Gegenteil. Man muss nur – wie immer bei Versicherungen – zwei Dinge genau unter die Lupe nehmen: die angebotene Deckung und das eigene Risiko.

Ist  eine Erweiterung Ihrer bestehenden Versicherungen um Cyber-Versicherungsschutz für Sie sinnvoll? Das kann ich für Sie und mit Ihnen klären – rufen Sie mich einfach an: 030 863 926 990.

Warum Ihr Unternehmen eine Cyber-Police braucht

von

Ganz einfach: Ihr Unternehmen braucht eine Cyber-Police, damit bei einem Cyber-Angriff oder IT-Zwischenfall …

  1. Ihre Datenbestände versichert sind.
    Kunden-, Buchhaltungs- und Produktdaten sind, anders als Maschinen und Inventar, nicht in den klassischen betrieblichen Versicherungen enthalten.
  2. … Ansprüche Dritter an Sie versichert sind
    Ansprüche, die Kunden im Fall verlorener Kundendaten gegen Sie stellen, sind im Regelfall ohne Cyber-Police nicht abgedeckt. Schadenersatzforderungen aufgrund von im Internet verletzter Urheber- und Persönlichkeitsrechte auch nicht.
  3. … sämtliche Folgeschäden versichert sind
    Betriebsunterbrechung als Teil der Deckung klassischern Unternehmensversicherungen. Aber ohne Zusatz- und Folgekosten wie entgangener Umsatz, Datenrettungskosten, Aufwand für Krisen-PR, anwaltliche Beratung, Information aller Betroffener, Reputationsverlust, Rechtsstreitigkeiten etc.
  4. … Spezialisten für den Ernstfall bereitstehen, die Ihrem Unternehmen schnell helfen.
    Weil auch den Versicherungsgesellschaften daran gelegen ist, den Schaden gering zu halten, vermittelt man Ihnen im Schadensfall schnell Hilfe, z. B.  IT-Sicherheits- und Datenrettungsexperten, Anwälte und PR-Berater.

Übrigens: Der Zusatzgewinn an Unternehmens- und Planungssicherheit durch eine Cyber-Police kostet Ihr Unternehmen im Normalfall kaum ein Zehntel vom Jahresumsatz. Natürlich sind die konkreten Kosten abhängig vom Einzelfall. Aber selbst kleine Unternehmen mit weniger als einer Mio. Euro Jahresumsatz zahlen für die Cyber-Police nur sehr selten mehr als ein halbes Prozent davon.

Fragen?

Gerne – bitte an fs@acant-makler.de oder 030 863 926 990 oder per Kontaktformular

Das IT-Sicherheitsgesetz wird teuer – Versichern senkt das Kostenrisiko

von

Es wird mit großer Sicherheit teuer …

Im Sommer dürfte das IT-Sicherheitsgesetz in Kraft treten. Im Moment liegt der Gesetzesentwurf beim Bundestag. Es bringt dem „Bundesamt für Sicherheit in der Informationstechnik“ (BSI) mehr Bedeutung und für so genannte „Betreiber kritischer Infrastrukturen“ neue Pflichten und Kosten – aber auch für jeden geschäftlichen Website-Betreiber.

Unklar: Betreiber einer kritischen Infrastruktur

Noch ist völlig unklar, wer dazu zählt. Genaue Festlegungen soll es erst später per Rechtsverordnung geben.

Bislang ist die Zielgruppe nur über zwei Merkmale eingegrenzt: Zugehörigkeit zu „den Sektoren Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie Finanz- und Versicherungswesen“ und „hohe Bedeutung für das Funktionieren des Gemeinwesens“ (§ 2 Abs. 10 BSIG n. F.) – ziemlicher Gummi also.

Immerhin: Kleinst- und Kleinunternehmen sind ausgenommen. Andere Betreiber müssen …

  • innerhalb von zwei Jahren verbindliche IT-Sicherheitsstandards einführen. (Welche? Auch noch nicht klar …).
  • deren Einhaltung alle zwei Jahre zertifizieren lassen
  • eine permanent erreichbare „Kontaktstelle“ zum BSI einrichten
  • Cyber-Zwischenfälle sowie Störungen und Bedrohungen der IT-Sicherheit unverzüglich an das BSI melden – auch solche, die nicht zu Ausfällen oder Störungen führten. (Immerhin darf dann die Meldung anonym erfolgen)

Neue Sicherheitspflicht für jeden geschäftlichen Website-Betreiber

Eine Änderung im Telemediengesetz verpflichtet zudem Diensteanbieter (d. h. Website- und Webservice-Betreiber) dazu, alles an Cyber- und Datenschutzmaßnahmen zu installieren, was „technisch möglich und wirtschaftlich zumutbar“ (§ 13 TMG n. F.) ist.

Eine Cyber-Versicherung hilft

Meldepflichten, Zertifizierungspflichten, verpflichtende IT-Sicherheitsstandards – all das ist nicht nur in der Umsetzung teuer. Zusätzlich drohen bei Verstößen Bußgelder und Schadenersatzansprüche Dritter.

Genau hier hilft eine Cyber-Versicherung, die Kostenrisiken im Griff zu halten:

  • Bei einem erfolgreichen Cyberangriff, einem technischen Zwischenfall oder menschlichem Versagen im Cyberbereich sind ihr Eigenschaden sowie Ausfall– und Folgekosten versichert (Produktionsausfälle, zerstörte Hardware, Datenwiederherstellung etc.)
  • Wichtiger noch: die Schadenersatzansprüche, die andere in diesem Fall an Sie stellen, sind ebenfalls versichert (denken Sie an Kunden, deren Daten geklaut wurden)
  • Die Versicherer halten Dienstleister für den Krisenfall bereit, die schnelle Hilfe bieten (Datenrettung, Krisen-PR, Rechtsberatung etc.)
  • Und, aktuell im Zusammenhang mit dem IT-Sicherheitsgesetz wichtig: Wenn gegen Ihr Unternehmen ein Bußgeldverfahren aufgrund von IT-Sicherheitsverletzung läuft, sind Ihre Rechtsanwalts- und Gerichtskosten mitversichert.

 

Stockfotos als Abmahnrisiko – aber eine Cyber-Versicherung schützt

von

Nehmen wir an, irgendein schlechter Mensch lädt fremde Fotos bei einer Stockfoto-Datenbank hoch, um sie dort zu verkaufen. Oder eine unzuverlässige Werbeagentur dreht dem Kunden Bilder ohne Lizenz an. Der gutgläubige Kunde baut die Fotos auf der eigenen Website ein – und erhält etwas später vom  Fotografen eine Schadenersatzforderung.

Dann sind die Chancen groß, dass bezahlt werden muss. Wer fremde Fotos im Internet nutzt, muss selbst nachprüfen, ob eine lückenlose „Rechtekette“ bis hin zum Fotografen existiert. Er darf sich nicht auf die Zusicherung eines „Zwischenhändlers” verlassen, dass urheberrechtlich schon alles okay sei. Das hat das OLG München vor einiger Zeit ausdrücklich bestätigt (Beschl. v. 15.01.2015 – 29 W 2554/14).

Das man solche „Sorgfaltspflichten” im Geschäftsalltag gar nicht immer umsetzen kann, liegt auf der Hand. Wie soll man  alle Verträge der beauftragten Werbeagentur oder einer Bilddatenbank (vermutlich mit Sitz im Ausland) und aller weiterer Beteiligten kontrollieren?  Zum Glück hilft eine Cyber-Versicherung  auch gegen dieses Rechts- und Abmahnrisiko. Eine Cyber-Police schließt im Regelfall auch Schäden durch Urheberrechtsverletzungen ein. Wenn der Verstoß nicht gerade sehenden Auges begangen wurde, wäre eine solche Schadenersatzforderung also regulierbar.