Ransomware: Wie kann Datensicherung vor Erpresser-Programmen schützen?

In diesem Beitrag geht es um Ransomware – und was Datensicherungskonzepte zum Schutz beitragen können.

(Wenn Sie längst wissen, was es mit Ransomware auf sich hat, können Sie direkt beim Abschnitt Datensicherung weiterlesen.)

Warum ist Ransomware eine solche Bedrohung?

  • Die Schadprogramme sind weit verbreitet, und es tauchen immer neue, verbesserte Versionen auf.
  • Viele Betriebe sind trotz Virenschutz schlecht gerüstet. Ein Hauptproblem: bei den Mitarbeitern fehlt es an Problembewusstsein und damit an Vorsicht.
  • Ransomware ist besonders heimtückisch: Nach der Infektion werden Daten schleichend im Hintergrund verschlüsselt. Wenn das Problem bemerkt wird oder der Erpresserhinweis erscheint, können selbst die Sicherungskopien wertlos sein.
  • In vielen Unternehmen gibt es kein Datensicherungskonzept, oder es berücksichtigt die Gefahr von Ransomware nicht.

Deshalb, bevor wir zu Datensicherungskonzepten kommen, ein ganz grundsätzlicher Hinweis: Prävention ist viel besser, als Daten  wiederherstellen zu müssen. Und die wichtigste Form der Prävention betrifft weder Software noch Hardware, sondern das Verhalten von Menschen.

Ransomware: Schadsoftware mit Erpresser-Funktion

Infiziert Ransomware den Rechner, verschlüsselt sie sämtliche Dateien, derer sie habhaft wird – auch auf angeschlossenen USB-Sticks, Rechnern im gleichen Netzwerk oder im verbundenen Cloud-Speicher. Das damit der laufende Betrieb lahmgelegt wird, ist klar.

Die Ransomware Locky teilt ihre Erpresserbotschaft auch auf Deutsch mit.

Die Daten sind zwar noch da, aber nicht mehr nutzbar, bis sie wieder entschlüsselt werden. Dafür braucht man einen Code. Für den verlangen die Cyber-Kriminellen Geld, meist als Krypto-Währung, etwa Bitcoins. Und selbst bei Zahlung kann man Pech haben – Geld weg, kein Schlüssel da.

Zur Erpressung kommen oft Schadfunktionen hinzu. Inzwischen verschickt sich Ransomware selbst an die Kontakte weiter, als Antwort auf eingegangene Nachrichten. Und sie installiert weitere Trojaner auf dem Rechner, die dann beispielsweise Bankdaten und Passwörter ausspähen. Spätestens mit der ungewollten Weitergabe der Infektion an Kunden und Geschäftspartner drohen Auftragsverluste und Schadenersatzklagen. Aber die drohen aufgrund ohnehin, wenn nicht gearbeitet werden kann.

Datensicherung

Eine gute Backup-Strategie ist ein Element der Vorsorge, um im Fall einer Ransomware-Infektion mit einem blauen Auge davon zu kommen.

Dazu muss die Datensicherung allerdings professionell ablaufen. Betriebe, die keine eigenen IT-Fachleute beschäftigen, sollten sich Unterstützung holen. Je nach Umfang der Aufgabe dürfte das nicht mehr als eine dreistellige oder niedrige vierstellige Euro-Summe kosten. (Ich kann Ihnen bei Bedarf gern jemand empfehlen: 0176 1031 8791.)

Nicht immer nur die letzte Version speichern

Ein sinnvolles Datensicherungskonzept sollte evolutiv sein. Das bedeutet: Neben der letzten Sicherung muss auch die vorletzte, die vorvorletzte etc. verfügbar sein.

Ransomware agiert oft mit Verzögerung. Bis man sie bemerkt, sind vielleicht längst an verschiedenen Stellen Daten verschlüsselt und in diesem Zustand gesichert worden.

Man muss also bis zum Zeitpunkt vor der Erstinfizierung. Allerdings sind die Daten, die seither dazugekommen sind, wohl verloren. Datensicherung ist kein Allheilmittel.

Rotierende Bänder

Von der Speicherung auf externen Festplatten oder Bändern sollte es sinnvollerweise stets drei Versionen geben – eine, die am Arbeitssystem hängt, eine im Safe liegt, und eine, die bereitliegt, um als nächstes mit dem Rechner verbunden zu werden.

Keine dauerhafte Verbindung nach dem Backup

Egal, ob die Daten auf dem Arbeitsrechner oder -server auf ein Band, ein externes Festplattenlaufwerk oder einen Cloud-Speicher kopiert werden: Nach der Übertragung muss das Medium ausgeworfen bzw. getrennt werden.

Dokumentieren – sonst war die Mühe umsonst!

Das Set-up der Datensicherung muss genau dokumentiert sein: so genau, dass auch ein anderer Mitarbeiter oder Dienstleister im Ernstfall weiß, wie er bei der Wiederherstellung im Ernstfall vorzugehen hat. Außerdem muss die Zuständigkeit vorab geklärt sein. Das klingt banal, aber genau an diesem Punkt ist schon manche Datenrettung gescheitert.

Zu jeder Sicherung sollte dokumentiert sein, welche Daten sie umfasst (und welche nicht, idealerweise als Liste aller gespeicherten Dateien. Klar sein sollte auch, wer das Backup angestoßen hat, damit im Ernstfall der Ansprechpartner feststeht.

Falls die Backups aus Sicherheitsgründen verschlüsselt werden (sinnvoll – eine Datensicherung ist ja nichts anderes als Ihr betriebliches Know-how in leicht zu transportierender Form), dann muss im Ernstfall bekannt sein, wo sich die Recovery Keys befinden.

Datenwiederherstellung regelmäßig prüfen

Wenn die Backup-Routine erst einmal eingereichtet wurde, ist die Gefahr groß, dass man im Vertrauen auf das Funktionieren der Technik die Sache sich selbst überlässt.

Das reicht nicht. Um das Funktionieren und die Qualität der Sicherung zu prüfen und die Wiederherstellung für den Ernstfall zu testen, sollte man in regelmäßigen Abständen – zweimal im Jahr, beispielsweise – eine Datenwiederherstellung praktisch durchführen.

Beispiel für ein Backup-Konzept: Drei – Zwei – Eins

Sinnvoll ist die Drei-Zwei-Eins-Strategie für Backups:

  • mindestens drei Kopien der Daten (einmal auf dem System, auf dem gearbeitet wird, dann auf einem synchronisierten Medium wie einem Cloudspeicher und drittens auf einem vom Live-System getrennten Medium wie einem Bandgerät.
  • mindestens zwei verschiedene Speicher-Arten – wenn die Festplatte im Rechner auf eine externe Festplatte gespiegelt wird, sollte zumindest ein weiteres Medium zum Einsatz kommen, das keine Festplatte ist, etwa ein Band oder ein Cloudspeicher
  • mindestens ein externer Aufbewahrungsort für eine Sicherung – sonst ist am Ende der Rechner geklaut und das Bandgerät oder die externe Festplatte ebenfalls

Versichern: denn eine Versicherung lässt sich nicht verschlüsseln

Datensicherung mit System ist ein wichtiger Baustein der IT-Sicherheit zum Schutz vor Ransomware und anderen Cyber-Attacken. Doch auch damit kann man nur die Wahrscheinlichkeit verringern, dass es zum Datenverlust kommt.

Deshalb sollte das Fundament der IT-Sicherheitsstrategie aus Versicherungen bestehen. Eine Versicherungspolice kann weder von technischen Pannen noch von neuer Schadware ausgehebelt werden. Versichern lässt sich beispielsweise:

  • der Schaden durch die Betriebsunterbrechung
  • die Schadenersatzforderungen von Kunden, deren Daten kompromittiert wurden
  • Vertragsstrafen, weil Sie Ihre Lieferfristen nicht einhalten können
  • die Kosten, weil wichtige Planungsdaten oder Auftragsinformationen fehlen
  • etc.

Gerade in Bezug auf Bedrohung durch Ransomware ist Versichern als Auffanglösung sehr sinnvoll, denn hier drohen eine besonders aufwändige Wiederherstellung und der Verlust von Daten, die bis zur Entdeckung der Infektion hinzugekommen sind – daraus können sich sehr empfindliche Schäden ergeben.

Ob speziell für Sie eine Cyber-Versicherung am sinnvollsten ist, oder ob Ihre bestehenden Versicherungen Schutz bieten, das klären wir am besten im direkten Gespräch- rufen Sie einfach an.

Eine ganze Reihe der genannten Tipps zu Backup-Strategien verdanke ich Dr. Sybe Rispens von der IT-Sicherheitsberatung Lindemanns | Rispens.

Praktische IT-Sicherheit im Geschäftsalltag speziell für kleine und mittlere Unternehmen

Das Problem ist bekannt – gesucht wird die Lösung:

Auch kleine und mittlere Unternehmen sind handfesten digitalen Risiken ausgesetzt. Den Inhabern und Geschäftsführern ist das auch längst klar. Das weiß ich aus meinen täglichen Gesprächen mit Kunden und Interessenten. Fast jeder hat von Unternehmen gehört, in denen ein Verschlüsselungstrojaner auf dem USB-Stick den gesamten Betrieb für Tage lahmgelegt hat, oder ein unzufriedener Mitarbeiter mal eben die Unternehmensdaten vernichten konnte, oder ein Software-Fehler die Produktion stoppte.

Es fehlt nicht am Problembewusstsein, sondern daran, dass der Weg zur Lösung nicht klar ist. Denn auch wenn es oft genau so dargestellt wird: Sicherheit ist kein Produkt, dass man einmal einkauft, installiert und dann abhakt (leider). Die IT-Sicherheit des eigenen Unternehmens ist ein Prozess, den man zum Laufen bringen muss. Das mag abgedroschen klingen. Aber ich denke dabei an praktische, umsetzbare Schritte, und konkrete Dienstleistungen, die man sich einkaufen kann.

Frage eins: Wer ist dafür zuständig, die IT-Sicherheit im Auge zu haben?

Das ist der Startpunkt, und bereits auf diese Frage gibt es in vielen Büros, Werkstätten und Firmen keine klare Antwort.

Ein Unternehmen mit zehn oder zwanzig Mitarbeitern kann sich keinen eigenen IT-Sicherheitsbeauftragten installieren. Aber in dem Fall sollte es einen externen Dienstleister dafür geben. Jemand, der das Unternehmen mit Blick auf die IT-Sicherheit durchleuchtet ,die wirklich nötigen Maßnahmen anstößt oder gleich durchführt. Und zwar regelmäßig – etwa einmal im Jahr. Oder immer dann, wenn das Geschäft erweitert wird, sich etwas in den Abläufen ändert etc.

Benötigt wird dafür ein Dienstleister mit dem nötigen Know-how und Engagement. Sinnvollerweise sollte er eine Zertifizierung mitbringt (BSI IT-Grundschutz/ISO 27001). Und im eigenen Unternehmen muss klar sein, wer Ansprechpartner ist. Übrigens hat es nach meiner Erfahrung für kleine und mittlere Unternehmen Vorteile, wenn auch ihr IT-Dienstleister aus diesem Segment kommt. Dann bringt er eher die Flexibilität und Bereitschaft mit, sich wirklich individuell mit dem „kleinen“ Kunden auseinanderzusetzen, und der Draht ist deutlich kürzer. Er muss allerdings absolut professionell arbeiten.

Übrigens: Ab ca. 50 Mitarbeitern, oder in Branchen mit besonders sensiblen Daten wie dem Gesundheitsbereich, lohnt sich das Einrichten der Position eines IT-Sicherheitsbeauftragen: dann ist nicht nur die Vorbereitung auf Risiken, sondern auch die Reaktionsfähigkeit im Krisenfall eine ganz andere. Und gerade das schnelle, gezielte Reagieren im Ernstfall spart dem Unternehmen erhebliche Summen.

Frage zwei: Was wird dafür getan, um die Mitarbeiter auf IT-Risiken aufmerksam zu machen?

Das ist ein anderer Punkt, den viele kleine und mittlere Unternehmen völlig vernachlässigen, obwohl er sich einfach ändern lässt. Für die meisten Mitarbeiter sind Computer, Laptop und Telefon Geräte, die man zum Arbeiten (Einkaufen, Chatten …) benutzt. Dass es viele digitale Gefahren gibt, wissen sie abstrakt. Aber ist ihnen konkret klar, woran man eine Phishing-Mail erkennt, warum man Passwörter nicht per WhatsApp verschickt und was droht, wenn man Gratis-Spiele-Apps auf dem Firmenhandy installiert?

Schulung heißt das Zauberwort. Und die Umsetzung im Alltag, ausgehend vom Chef: Der muss durch das eigene Beispiel klarmachen, dass bestimmte Verhaltensweise am Smartphone oder Laptop genauso unverantwortlich sind wie das Rauchen im Tanklager oder eine unbeaufsichtigte Kasse. Entwickelt das Team im Alltag ein normales, angemessenes IT-Sicherheitsbewusstsein, reduziert sich die die Angriffsfläche des Unternehmens enorm.

Frage drei: Stimmt die grundlegende IT-Infrastruktur?

Hier geht es um ganz konkrete Punkte, und wenn es jemand gibt, der für IT-Sicherheit zuständig und kompetent ist (Frage eins), dann sind diese Dinge fast schon abgehakt: Hat das Unternehmen einen sicheren Server, auf dem es Daten ablegt (ob in der Secure Cloud eines großen Anbieters, bei einem kleinen, aber sicherheitsbewussten Provider oder im eigenen Unternehmen)? Ist die Software, die im Unternehmen eingesetzt wird, einigermaßen sicher, und wird sie einheitlich und professionell verwaltet? Gibt es grundlegende Vorkehrungen, Firewall, Virenschutz etc.? Werden alle wichtigen Daten gesichert, werden sensible Daten beim Löschen wirklich gelöscht? Und so weiter.

Frage vier: Wer sorgt laufend für den Fall vor, dass es doch zu einer Sicherheitsverletzung kommt?

Das machen wir, die acant.service GmbH. Dafür sind wir Versicherungsmakler.

Übrigens ist auch das ein Prozess, kein einmaliger Einkauf. Für sinnvollen Versicherungsschutz, auch und gerade gegen digitale Gefahren, muss zunächst einmal genau geschaut werden, wo das Unternehmen wirklich Risiken ausgesetzt ist. Ein nicht existentes Risiko zu versichern ist teuer. Ein existentes Risiko nicht zu versichern ist ebenfalls teuer. Das muss also passen. Dafür sind wir Experten da.

Anschließend muss der Versicherungsschutz aktuell gehalten werden. Deshalb überprüfen wir bei jedem Kunden von uns jedes Jahr, ob die Deckungen weiterhin passen, oder geändert werden müssen. Wenn es Veränderungen gibt – neue Maschinen, eine neue Niederlassung, ein besonders großer Auftrag, ein Sonderprojekt – natürlich auch zwischendurch.

Das gehört zu unserem Service als Versicherungsmakler, genau wie das Recherchieren und Aushandeln der optimalen Police oder die Betreuung im Schadensfall. Deshalb ist Frage vier besonders leicht zu beantworten: Sie müssen uns dafür nur anrufen (030 863 926 990 oder 0176 10318791).

DDoS-Risiko und Haftpflicht-Falle

In den letzten Wochen waren DDoS-Angriffe aus dem Internet der Dinge (Internet of Things, IoT) ein großes Thema. Über Versicherungen hat dabei keiner gesprochen. Dabei wird Versicherungsschutz vor dem Hintergrund immer wichtiger. Zum einen wird man selbst leicht zum Angriffsziel. Und wenn Mittelständler und IT-Unternehmen selbst mit internetfähigen Steuerungen und embedded systems arbeiten, liefern sie schnell ungewollt neue Robotersoldaten für solche Attacken.

Read moreDDoS-Risiko und Haftpflicht-Falle

IT-Compliance und persönliche Haftung, Teil 1: Compliance-Pflichten

Compliance-Verstoß Hackerangriff: Eine IT-Sicherheitsverletzung kann zu persönlichen Schadenersatzansprüchen gegen die Geschäftsführung führen.

„When, not if“ – so lautet eine Formel, die in IT-Sicherheitskreisen längst Standard geworden ist, wenn es um das Szenario einer konkreten IT-Sicherheitsverletzung geht. Die Frage lautet nicht, ob sich ein Cyber-Angriff, eine Technik-Havarie oder ein folgenschwerer menschlicher Fehler im Umgang mit Daten und Software auch bei Ihnen ereignet. Die Frage ist, wann es dazu kommt – und wie gut Ihr Unternehmen dann darauf vorbereitet ist.

Wer haftet für die Schäden? Das ist die nächste unausweichliche Frage, wenn Systeme nicht mehr reagieren, Kundendaten oder wichtige Unternehmenswerte ins Ausland transferiert wurden, Produktionsausfälle und Lieferverzögerungen zu Vertragsstrafen führen, Datenschutzverletzungen einen Shitstorm ausgelöst haben und die Marke beschädigt ist.

Stellt mangelnde IT-Sicherheit ein Führungsversagen dar, das Schadenersatzansprüche begründet? Das ist die entscheidende Frage. Die Antwort ist juristisch komplex, berührt verschiedene Rechtsgebiete, richtungsweisende Gerichtsentscheidungen gibt es noch nicht. Im Ergebnis lautet sie jedoch ja.

Beispiele: Haftungsszenarios

Die folgenden Beispiele sind fiktiv. Aber sie sind realistisch.

  • Ein Hacker schleust Schadsoftware in die Produktionssteuerung ein. Das führt zum Totalschaden mehrerer Fertigungsanlagen. Die Produktion fällt monatelang aus, viele Arbeitnehmer sitzen herum. Das Unternehmen kündigt vielen von ihnen, das Arbeitsgericht hebt die Kündigungen jedoch auf: eine betriebsbedingte Kündigung sei ungerechtfertigt: Sie wären überflüssig, wenn das Management durch eine Cyber- oder Produktionsausfallversicherung Vorsorge gegen den Schaden getroffen hätte. Daraufhin wird der bisherige Geschäftsführer von den Anwälten der Gesellschaft auf Schadenersatz über die Lohnkosten in sechsstelliger Höhe verklagt.
  • Ein als GmbH geführter Online-Shop wird verkauft – einschließlich der digitalen Kundenkartei. Er hat dafür aber nicht die erforderliche Genehmigung seiner bisherigen Kunden. Die Landesdatenschutzbehörde verhängt 10.000 Euro Bußgeld. Der GmbH-Geschäftsführer, der den Verkauf durchgeführt hat, wird von seiner Gesellschaft in Regress genommen.
  • Ein Unternehmen klagt vor dem Finanzgericht gegen einen Umsatzsteuerbescheid für einen zurückliegenden Zeitraum. Dabei stellt sich heraus, dass die Belege, die vor einigen Jahren digital archiviert wurden, nicht mehr abrufbar sind. Ohne Nachweise lässt sich das eigentlich sehr aussichtreiche Verfahren nicht gewinnen, das Unternehmen zu einer Steuernachzahlung in sechsstelliger Höhe verurteilt. Einer der Gesellschafter verklagt den Geschäftsführer auf Schadenersatz.

Compliance und IT-Compliance

Anders ausgedrückt: Wenn Sie Geschäftsführer oder Vorstand einer Kapitalgesellschaft sind, besteht für Sie durchaus ein sehr reelles Risiko, persönlich mit Schadenersatzansprüchen für Cyber-Schäden des Unternehmens konfrontiert zu werden und dafür mit dem eigenen Vermögen zu haften.

Der Grund ist einfach: IT-Compliance ist als umfassende Management-Aufgabe ein Teil der gesamten Compliance-Pflichten. Wie auf anderen Risikofeldern – Korruption, unternehmensinterne Diskriminierung, Steuerrecht etc. – gehört es auch bei der IT-Sicherheit zum Verantwortungsbereich des Managements, durch die unternehmensinterne Steuerung der Prozesse die Gefahren von vornherein einzugrenzen und die systematische Befolgung von Regeln sicherzustellen.

Ich möchte in diesem zweitteiligen Beitrag zur IT-Compliance zeigen, warum das Szenario persönlicher Haftung für Cyber-Schäden keine Panikmache ist, sondern ernstgenommen werden muss:

  • Im ersten Teil geht es um Compliance und Haftung allgemein. Die Gefahr, für Unternehmensschäden persönlich in Haftung genommen zu werden und dabei seine gesamte Existenz zu verlieren, wird nach wie vor von vielen Führungskräften unterschätzt. Sie ist aber sehr real, wie sich an konkreten Beispielen zeigen lässt.
  • Im zweiten Teil sind speziell IT-Compliance und Haftungsrisiken rund um IT-Sicherheitsverletzungen Thema – und die Frage, wie diese Risiken sich wirksam verringern lassen.

Compliance

Sowohl AG-Vorstände wie auch GmbH-Geschäftsführer sind gesetzlich dazu verpflichtet, ein Überwachungssystem einzurichten, mit dem sich Entwicklungen, die den Fortbestand des Unternehmens gefährden können, frühzeitig erkennen lassen. Compliance ist auch Teil des Lageberichts einer Kapitalgesellschaft. (§§ 289, 315, 317 Abs. 2 HGB). Bei börsennotierten AGs müssen die Wirtschaftsprüfer auch die Risikofrüherkennungssysteme kontrollieren (§ 91 Abs. 2 AktG, § 317 Abs. 4 HGB).

Compliance Management ist ein Trendthema. Aber deshalb sollte man nicht darauf schließen, dass es sich dabei nur um eine Modeerscheinung handelt. Die Zahl der Veröffentlichungen ist kaum überschaubar, das Gleiche gilt für Beratungsangebote, Schulungen und den Softwaremarkt für Compliance-Management-Systeme.

All das ein klares Zeichen für den real existierenden Bedarf. Vorstände und Geschäftsführungen benötigen funktionierende Compliance-Lösungen, unabhängig von der Größe der von ihnen geführten Unternehmen.

Compliance Management bedeutet sicherzustellen, dass regelkonformes Verhalten im Unternehmen nicht allein vom Zufall oder dem guten Willen Einzelner abhängt. Die Regeln und Anforderungen müssen zum einen explizit gemacht und zweitens in die geschäftlichen Prozesse selbst eingebettet sein.

Für ein funktionierendes Compliance Management zu sorgen, gehört zu den Sorgfaltspflichten eines Vorstands beziehungsweise eines GmbH-Geschäftsführers. Gute Compliance ist aber nicht nur Prävention gegen Steuer- und Zollprüfungen oder staatsanwaltliche Ermittlungen. Als ein Messwert für Corporate Governance, die Qualität der Geschäftsführung, wird funktionierende Compliance auch von Analysten honoriert. Die Konditionen für Kapitalaufnahme werden günstiger, Versicherungsprämien fallen niedriger aus, denn Compliance ist immer auch Risikovorsorge.

Grundlage der Haftung: die Geschäftsleiterverantwortung

Zuständig und verantwortlich für eine funktionierende Compliance sind grundsätzlich immer die Geschäftsführer einer GmbH beziehungsweise die Vorstände einer Aktiengesellschaft. Das ergibt sich aus ihrer Geschäftsleiterverantwortung, die bei GmbH-Geschäftsführern aus § 43 GmbHG und bei AG-Vorständen aus den § 76 Abs. 1 AktG und § 93 AktG folgt. Zudem hat der Vorstand wie erwähnt die ausdrückliche Pflicht zur Einführung eines Überwachungssystems, „damit den Fortbestand der Gesellschaft gefährdende Entwicklungen früh erkannt werden“ (§ 91 Absatz 2 AktG).

Wie weit die Verantwortung reicht, zeigt ein weitreichendes Urteil des Landgerichts München. Die Richter verurteilten einen ehemaligen Siemens-Vorstand zu 15 Millionen Euro Schadenersatz an das Unternehmen. Der Vorwurf: Er hatte kein Compliance-System installiert und damit nicht vorgesorgt, um ein auf schwarzen Kassen beruhendes Schmiergeldsystem zu verhindern (LG München, 10.12.2013, 5 HKO 1387/10). Das Besondere an dem Urteil ist der Umstand, dass diese Missstände gar nicht in den von diesem Vorstand intern verantworteten Bereich fielen.

Das Landgericht dehnte die Compliance-Pflicht also über den Geschäftsbereich eines einzelnen Vorstands hinaus auf die gesamte Vorstandsverantwortung aus. Das Strafgesetzbuch enthält in § 299 StGB das klare Verbot, Bestechungen im Geschäftsverkehr einzufädeln und abzuwickeln. Die Rechtsprechung macht es dem Vorstand einer AG und der Geschäftsführung einer GmbH zur Aufgabe, dafür Sorge zu tragen, dass Straftaten im Unternehmen erst gar nicht möglich sind. Das wurde dem ehemaligen Siemens-Vorstand zum Verhängnis.

Diese Pflicht zum Risikomanagement gilt auch für die Prävention von Cyberstraftaten und IT-Havarien.

Selbst wenn Compliance-Verstöße oder andere Pflichtverletzungen dazu führen, dass man persönlich in Haftung genommen wird, muss das nicht das Ende der eigenen wirtschaftlichen Existenz bedeuten. Und zwar dann nicht, wenn man über eine D&O-Versicherung (Geschäftsführer-Haftpflichtversicherung) abgesichert ist. Fragen Sie uns: 030 863 926 990

Schäden und Kosten bei einem Cyber-Angriff

Welche Kosten entstehen bei einem Cyberangriff? Welche Art Schäden wird verursacht? Diesen Fragen geht der Bitkom-Leitfaden „Kosten eines Cyber-Schadensfalles“ nach.

Es lohnt sich sehr, die rund 40 Seiten des Papiers durchzulesen. Es zeigt nicht nur prägnant, wie bedrohlich die Folgekosten eine Cyber-Attacke ausfallen können, man lernt auch, wie sich die verschiedenen Schadensaspekte aufschlüsseln lassen: eine anschauliche Lektion in praktischem Risikomanagement.

Dabei ist das Ganze aufgrund zahlreicher Beispiele zudem gut lesbar. Außerdem gibt es einen Fragenkatalog zur Selbstdiagnose der eigenen Risikosituation.

Konkrete Beispiele für Schäden – in Euro

Besonders frappierend sind die Summen aus den diversen Beispielen für — keineswegs außergewöhnlichen — Cyberzwischenfälle. Ich habe mal ein paar dieser Zahlen notiert:

  • Verschlüsselungstrojaner beim einem deutschen Mittelständler: 150.000 Euro Schaden
  • Kreditkarten-Trojaner im Kassensystem eines gehobenen Restaurants: 115.000 Euro Schaden
  • Denial-of-Service-Attacke auf einen Online-Shop mit 23stündiger Downtime: 185.000 Euro Schaden
  • Datenklau im Vertreib eines Mittelständler: 2.423.000 Euro Schaden
  • Eingeschleuste Fremdsoftware in Verbindung mit CEO-Betrug bei einem Pumpenhersteller: 6.625.000 Euro Schaden

Eigenschäden und Fremdschäden

Die Folgeschäden nach einem Cyber-Angriff zerfallen in zwei verschiedene Arten: Eigenschäden und Fremdschäden. Beide Arten von Schäden tun weh – die einen direkt, die anderen auf dem Umweg über Rechtsanwälte und Schadenersatzklagen sowie durch Reputationsverlust.

Typische Eigenschäden

  • Betriebsunterbrechung oder Betriebsbeeinträchtigungen: Die Produktion steht still, oder die Dienstleistungen können nicht mehr erbracht werden, weil wichtige IT-Ressourcen fehlen. Fehlersuche, Wiederherstellung von Daten und das Wiederanfahren von Systemen kosten viel Geld. Verzögerungen und Qualitätseinbußen führen zu weiteren Kosten.
  • Krisenbewältigungskosten: Wenn nach einem desaströsen IT-Angriff Krisenstäbe tagen und Überstunden ansammeln, externe IT-Spezialisten eilig herbeigeholt werden.
  • Wiederherstellungskosten: Um die IT wieder in arbeitsfähigen Zustand zu versetzen, benötigt man IT-Spezialisten, Arbeitszeit, neue Hardware …
  • Ermittlungskosten: Bevor man einen Schaden reparieren kann, muss man ihn erstmal genau verorten. Außerdem muss die Schwachstelle, die den Angriff ermöglicht hat, dringend geschlossen werden. Drittens muss sichergestellt sein, dass nicht noch weitere Probleme unentdeckt geblieben sind – etwa beim Angriff installierte Schadroutinen. Diese sogenannte IT-Forensik erfordert Zeit und Spezialisten mit beneidenswerten Tagessätzen. Außerdem sind die betroffenen IT-Systeme während der Untersuchungen oft weiterhin nicht verfügbar: noch mehr Ausfallzeit.
  • Rechtsberatungskosten: Anwälte verdienen natürlich auch an Cyberangriffen, denn es gibt einige juristische Fragen zu klären: Haftungsfragen, arbeitsrechtliche und Datenschutzprobleme, Compliance- und Vertragsfragen, Prüfung von Informationspflichten, …
  • Informationskosten: dieser Kostenpunkt wird regelmäßig unterschätzt. Dabei ergeben sich bei einem Cyber-Angriff schnell eine ganze Reihe juristischer Informationspflichten: Das Datenschutzrecht verpflichtet zur Information Betroffener bei Datenklau, das Kapitalmarktrecht kann zu einer Ad-hoc-Mitteilung führen, das IT-Sicherheitsgesetz schreibt Meldungen an das BSI vor, Kreditinstitute müssen die BaFin informieren, etc. All das bindet Arbeitszeit und erfordert Aufwand, vor allem wenn – wie bei massenhaftem Kundendatenklau – viele Geschädigte angesprochen werden müssen.
  • Lösegeldzahlungen: Unternehmen werden schon lange von Cyber-Kriminellen erpresst.
  • Reputationsschäden sind eine weiteres bedrohliches Risiko – sie reichen von erhöhtem Werbe- und PR-Aufwand über sinkenden Umsatz bis zu steigenden Versicherungsprämien.
  • Vertragsstrafen: weil Liefer- oder Dienstverträge nicht eingehalten werden

Fremdschäden

Die Schäden, die der Angriff auf das eigene Unternehmen für Dritte nach sich zieht, sind oft besonders bedrohlich. Das führt der Leitfaden sehr anschaulich aus.

Zum einen kommen solche Schäden ja zu einem zurück – in Form von Ansprüchen aufgrund von Haftpflicht. Wenn die Daten der Kunden aus der zentralen Kundendatenbank gestohlen und später missbraucht werden, kann das gehackte Unternehmen mit einer Klagewelle rechnen.

Zum anderen sind Fremdschäden, anders als Eigenschäden, nur sehr schwer abschätzbar. Man weiß ja nicht, wieviel Geld mit den Kundendaten auf fremde Kosten ergaunert werden kann. Ähnlich ist es mit Trojanern oder Viren, die aus dem eigenen Unternehmen ins Netz von Geschäftspartnern eingeschleust werden und dort den Geschäftsbetrieb lahmlegen.

Gegenmaßnahmen und Präventionskosten

Das Bitkom-Papier zählt eine ganze Reihe von Präventions- und Gegenmaßnahmen auf:
  • ein Notfallkonzept entwickeln (mit Notfall- und Wiederanlaufplanung)
  • Krisenstab organisieren, Krisenübungen durchführen
  • eine Business-Impact-Analyse (BIA) durchführen, um kritische IT-Systeme, deren Abhängigkeiten untereinander und deren maximal tolerierbaren Ausfallzeiten genau zu kennen.
  • sichere IT-Infrastruktur aufbauen
  • Ausweich-Infrastrukturen vorhalten (etwa Verträge mit Ersatzrechenzentren)

Das alles kostet auch Geld. Dem müssen aber die Summen entgegengestellt werden, die ansonsten als Notfallreaktion fällig werden.

Auch der Bitkom sagt: Versichern!

Als Quintessenz aus all diesen Informationen empfiehlt auch der Bitkom: Versichern. Ich beschränke mich auf Zitate:

„Vor dem Hintergrund der in diesem Leitfaden skizzierten Herausforderungen, und im Sinne eines Risikomanagements, kann es für ein Unternehmen eine sinnvolle Entscheidung sein, bestehende Restrisiken abzusichern. Angebote mit entsprechender Versicherungspolice sind am Markt zwischenzeitlich verfügbar und runden das Konzept eines ganzheitlichen Sicherheitsmanagements ab.
Obwohl fast drei Viertel aller deutschen Unternehmen Angriffe auf ihre Computer und Datennetze durch Cyberkriminelle oder ausländische Geheimdienste als reale Gefahr sehen, haben sich bisher nur wenige Firmen gegen Cyber-Risiken versichert. Gut die Hälfte aller Unternehmen in Deutschland ist in den vergangenen zwei Jahren Opfer von digitaler Wirtschaftsspionage, Sabotage oder Datendiebstahl geworden (aktuellste Bitkom Studie). Die Unkenntnis über die vorhandenen Versicherungskonzepte oder die Sorge vor vermeintlich hohen Prämien können ein Gründe dafür sein.

Es gibt bereits mehr als ein Dutzend deutsche Versicherungsgesellschaften, die Absicherungslösungen gegen Schäden durch Cyberangriffe anbieten. Selbst der physische Datenverlust durch einfaches Liegenlassen oder durch den Klau einer Festplatte mit Firmendaten gilt dabei ebenso versichert wie das gehackte Firmenkonto oder die Betriebsunterbrechung durch Virenbefall. Zusätzlich bieten viele Versicherer Präventionsmaßnahmen und Krisenübungen an, damit ihre Kunden im Fall der Fälle vorbereitet sind.

Aber selbst wenn sich ein Unternehmen nicht gegen die aufgezeigten finanziellen Schäden absichern möchte, kann die vor Versicherungsvertragsschluss durchgeführte Prüfung einer Versicherungsgesellschaft über die Versicherbarkeit der Risiken durchaus Aufschluss über die Gefährdungslage bieten.
Cyber-Risk-Versicherungen bieten Schutz vor Risiken wie Hacking, Virenattacken, operative Fehler, Datenrechtsverletzungen sowie das Risiko, Dritte durch die Nutzung elektronischer Medien zu schädigen.“

Das Schadenspotenzial einer Cyber-Attacke ist enorm. Aber das gilt auch für die Schutzfunktion einer Cyber-Versicherung.

Haben Sie Fragen dazu? Rufen Sie mich an: 030 863 926 990

IT-Sicherheitsgesetz: Die neue Kritis-Verordnung

Erst das IT-Sicherheitsgesetz, jetzt erste Kritis-Details

Als im letzten Juli das IT-Sicherheitsgesetz in Kraft trat, blieben entscheidende Fragen offen. Das Gesetz gibt nur einen Rahmen an zusätzlichen IT-Sicherheitspflichten für Betreiber Kritischer Infrastrukturen (Kritis) vor. Diese sind unter anderem dazu verpflichtet, Cyber-Angriffe zu melden und ein IT-Sicherheitsmanagementsystem einzuführen. Unklar war bislang jedoch nicht nur, wie die Mindestsicherheitsstandards im Einzelnen aussehen sollten, sondern auch, wer eigentlich als Kritis-Anlagenbetreiber gilt.

Dazu werden nach und nach in Form von Verordnungen erlassen. Die erste davon ist jetzt da, die „Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz“ (BSI-KritisV). Sie regelt zunächst für die Sektoren Energie, Informationstechnik und Telekommunikation, Wasser sowie Ernährung, welche Dienstleistungen, Anlagen und Versorgungsgrade als kritisch eingestuft werden. Die noch fehlenden Sektoren aus dem Gesetz – Sektoren Transport und Verkehr,
Gesundheit und Finanz- und Versicherungswesen – werden dann in einer zweiten Verordnung geregelt werden.

730 Anlagen betroffen

Dem Bundesinnenministerium zufolge sind deutschlandweit 730 Anlagen aus den genannten vier Sektoren betroffen. Deren Betreiber müssen nun aktiv werden: Wenn die Verordnung in Kürze im Bundesgesetzblatt verkündet wird, beginnen wichtige Fristen zu laufen: Zwei Jahre später müssen die vom Gesetz geforderten Informationssicherheitsmanagementsysteme (ISMS) zum Schutz der jeweiligen kritischen Infrastruktur installiert sein. Und schon innerhalb von sechs Monaten muss eine Kontaktstelle zum BSI eingerichtet sein.

Allerdings sind nur Anbieter ab einer gewissen Bedeutung direkt im Visier der Verordnung. Eine dezentrale Energieerzeugungsanlage etwa gilt erst dann als Kritis-Infrastruktur, wenn sie 420 MW Nennleistung erzeugt. Ein Wasserwerk muss ein Aufkommen von 22 Mio. Kubikmeter pro Jahr haben, um betroffen zu sein, ein Lebensmittelhändler fast eine halbe Million Tonnen Ware verkaufen. Salopper ausgedrückt: die Fotovoltaik-Anlage auf dem Dach des Gewerbebaus, der Trinkwasserbrunnen im Garten oder die Currywurst-Bude um die Ecke sind nicht betroffen. Einige mittelständische und auch kommunale Versorgungsbetriebe allerdings durchaus.

und ihre Zulieferer, Dienstleister und Auftragnehmer

Überhaupt ändert sich nicht nur für die direkt betroffenen Anbieter und Betreiber etwas, die nun ein ISMS auf Basis von ISO/IEC 27001 installieren müssen. Denn damit werden ja auch die Qualifikationsanforderungen an Dienstleister, Zulieferer und Geschäftspartner verschärft. In der Liefer- beziehungsweise Vertragskette eines Kritis-Unternehmens werden die ISMS-Anforderunge alle Beteiligten direkt oder indirekt betreffen.

Vorteil: Mit der Zertifizierung sind die Hausaufgaben auch fürs Versichern gemacht

Ein Vorteil der Zertifzierung der eigenen IT-Sicherheit besteht darin, dass damit

  1. der Nachweis eines profesionellen Sicherheitsniveaus im Betrieb vorliegt und
  2. eine genaue Analyse der relevanten (Rest-)Risiken deutlich einfacher wird.

Oder mit anderen Worten: Wer eine Zertifizierung durchführt, hat damit beste Voraussetzung, um sich schnell und zu günstigen Prämien versichern, und zwar sowohl das Cyberrisiko wie auch das Haftpflichtrisiko des Unternehmens wie des Managements. Mit einer Zertifizierung hat man die Grundvoraussetzungen für Versicherungsschutz erfüllt.

Mit der ihrer Richtlinie VdS RL 3473 zur Cyber-Security für kleine und mittlere Unternehmen bieten die Versicherer allerdings ein Zertifizierungslevel an, das sich an der ISO 27001 orientiert, aber nicht die Umsetzung sämtlicher Teilaspekte verlangt. Diese kleine Lösung ist ein sinnvolles Instrument für alle „Nicht“-KRITIS Unternehmen, die einerseits ihren Verpflichtungen als Geschäftspartner nachkommen und zugleich die Voraussetzungen für eine Cyber-Versicherung schaffen wollen, ohne dabei einen für KMU unangemessenen Aufwand in Kauf zu nehmen.

Kommunale IT-Dienstleister, Cyber-Risiken und Haftungsrisiko

Technik ist immer nur ein Teil der Absicherung

Das Bewusstsein für Cyber-Gefahren wächst, auch und gerade in Verwaltungen und öffentlichen Einrichtungen. Neue Gesetze, Maßnahmen und Initiativen sollen Sicherheit schaffen. Das ist natürlich grundsätzlich positiv. Allerdings werden die IT-Dienstleister, die für Kommunen und ihre Verwaltungseinrichtungen und Versorgungsbetriebe tätig werden, dadurch vor neue Anforderungen gestellt. Parallel dazu steigt durch die juristische Entwicklung ihr Risiko, mit Haftungsansprüchen konfrontiert zu werden.

Deshalb sollten auch kommunale IT-Dienstleister ihr Interesse nicht nur auf Technologien und Strategien für Intrusion Detection, Disaster Recovery, Data Loss Prevention und ähnliches mehr legen. Technische und organisatorische Standards sind natürlich ein zentraler Teil der IT-Sicherheit. Eine wichtige Rolle können aber auch Versicherungen spielen, die vor den finanziellen Schäden und Haftungsansprüche nach einem Cyber-Angriff oder einer IT-Panne schützen, sowohl im eigenen Haus als auch beim Kunden.

Risikomanagement durch Versichern kommt in der IT-Sicherheitsdebatte oft sehr kurz. Dabei kann ein zusätzlicher Schutzring aus einer geeigneten Cyber-Police sowie aus Haftpflichtversicherungen für den IT-Betrieb und seine Geschäftsführung existenziell wichtig werden. Und zwar schon deshalb, weil eine Versicherung weder durch neue Angriffstechniken noch durch dumme Zufälle ausgehebelt werden kann – ein großer Unterschied zu jeder Technologie.

Das Risiko ist nicht mehr zu ignorieren

Auch bei Kommunal- und Stadtverwaltungen, städtischen Versorgern und anderen Verwaltungseinrichtungen entwickelt sich spätestens jetzt ein Bewusstsein dafür, wie gefährlich Cyber-Angriffe und IT-Havarien sind. Schließlich reagieren Bürger auf leichtsinnigen Umgang mit ihren Daten eben so allergisch wie auf den Ausfall öffentlicher Dienste.

Die Presse dagegen freut sich über solche Fälle: Dass die Berliner Bürgerämter durch eine neue Meldewesen-Software im Februar zunächst nicht entlastet, sondern erst recht lahmgelegt wurden, war wochenlang Medienthema: Selbst die ordnungsgemäße Durchführung der Wahlen sei bedroht, war zu lesen. Für die Politiker der Hauptstadt, das Berliner kommunale IT-Dienstleistungszentrum ITDZ oder den namentlich erwähnten Software-Hersteller keine angenehme Lektüre.

Ein anderes Beispiel liefert der Erpressungstrojaner Locky, der in Nordrhein-Westfalen auch in sechs Kliniken Dokumente und Verzeichnisse verschlüsselte und so den Klinikablauf massiv störte. Das war dann nicht nur Thema in den Abendnachrichten im Fernsehen, es rief auch das Landeskriminalamt auf den Plan, das in einer Pressemitteilung zu mehr Sicherheitsbewusstsein aufrief.

Dabei ist das Problem ja längst bekannt, und es tut sich auch etwas. Schon 2014 hat der Deutsche Städtetag einen Leitfaden zur Ausgestaltung der Informationssicherheitsleitlinie in Kommunalverwaltungen veröffentlicht, den die Arbeitsgemeinschaft kommunaler IT-Dienstleister (Vitako) erarbeitet hat. Die IT-Sicherheitsbeauftragten von Ländern und Kommunen arbeiten seit geraumer Zeit in einem eigenen Arbeitsforum bundesweit zusammen. Und in Hessen wurde vor kurzem ein Kommunales Dienstleistungszentrum Cybersicherheit initiiert, das die Kommunen beraten soll.

Dazu kommt das IT-Sicherheitsgesetz

Und natürlich ist da auch das neue IT-Sicherheitsgesetz. Die Kommunalverwaltungen selbst fallen zwar nicht unter die darin erfassten Betreiber kritischer Infrastrukturen, sie sind jedoch ausdrückliche Adressaten des KRITIS-Projekts. Und von den kommunalen Versorgungsbetrieben werden viele zum Kreis der KRITIS- Unternehmen zählen, die auf ein Informations-Sicherheits-Management-System (ISMS) nach Maßgabe von ISO 27001 verpflichtet werden.

Die genaue Abgrenzung der KRITIS-Unternehmen ist noch nicht vollständig,  die gerade beschlossene erste Kritis-Verordnung betrifft zunächst nur die Teilbereiche Energie, IT /TK, sowie Wasser und Ernährung. Nicht für die Betreiber entsprechender Anlagen liegt die Latte damit höher, auch für ihre Dienstleister und Auftragnehmer im IT-Sektor.

Für die IT-Dienstleister wächst das Haftungsrisiko – in mehrfacher Hinsicht

Von der Verwaltung beauftragte IT-Dienstleister der öffentlichen Hand stehen damit vor neuen Herausforderungen und neuen Haftungsrisiken. Das Gleiche gilt für öffentlich-rechtliche Kommunal- und Eigenbetriebe im IT-Bereich.

  • Zum einen steigt mit jedem neuen Cyber-Angriff die Gefahr, in Haftung genommen zu werden, und das um so mehr, je unverzichtbar die IT-Systeme sind, die der Anbieter liefert, installiert oder betreut. Wenn ein Hacker zuschlägt oder es zu einer Datenpanne kommt, kann daran auch ein bislang vertrauensvolles Verhältnis zum öffentlichen Kunden zerbrechen – um so mehr, wenn zum wirtschaftlichen  noch politischer Druck kommt.
    Aus einem echten oder vermeintlichen Programmierfehler oder einer mangelhaft implementierten Sicherheitsfunktion werden dann schnell Schadenersatzforderungen, die die Anwälte beschäftigt halten und dem Dienstleister große Kosten und viel Ärger einbringen können.
  • Neue verpflichtende Zertifizierungen und IT-Sicherheitslevel erhöhen das Haftungsrisiko für die Dienstleister auch schon per se. Wenn Kommunen und ihre Versorgungsbetriebe IT-Sicherheitsleitlinien erlassen, ISO 27001-Zertifizierungen oder IT-Grundschutzlevel fordern, ergeben sich für die Dienstleister, Systemhäuser sowie Software- und Hardware-Zulieferer ja nicht nur inhaltlich neue Anforderungen. Für sie entsteht auch ein zusätzliches Risiko, Pflichtverletzungen zu begehen, denn sie werden ja gesetzlich oder vertraglich auf das entsprechende Sicherheitsniveau verpflichtet.
  • Und dabei geht es nicht nur um die Haftung des Unternehmens oder Betriebs, sondern auch um eine persönliche Haftung der Verantwortlichen. Wenn ein Unternehmen von Gesetzes wegen, durch verbindliche Leitlinien für Informationssicherheit oder durch Verträge auf besondere Standards in der IT-Sicherheit festgelegt ist und diese nicht einhält, dann muss sich sehr schnell auch die Geschäftsführung verantworten.
    Eine solche Inanspruchnahme kann Existenzen vernichten: 2013 verurteilte das Landgericht München einen ehemaligen Siemens-Manager dazu, seinem früheren Arbeitgeber 15 Mio Euro Schadensersatz zu zahlen, weil er nicht für Compliance in den Geschäftsabläufen gesorgt hatte.

Gegenmittel: Unternehmen und Geschäftsführung gezielt versichern

  • Persönliche Haftung:Um die mögliche persönliche Haftung abzudecken, die schnell in existenzgefährdende Bereiche gehen kann, sollte der Vorstand oder die Geschäftsführung durch eine sogenannte D&O- Police (Managerhaftpflichtversicherung) und gegebenenfalls eine Managerrechtsschutzversicherung geschützt sein.
  • Unternehmensrisiken:Aber natürlich benötigt auch der Betrieb selbst Versicherungsschutz für den Fall einer Cyber-Attacke oder IT-Havarie – schließlich ist diese immer mit Kosten verbunden. Da diese Kosten nicht planbar und auch nicht aus Rückstellungen finanzierbar sind, bleibt nur, sie im Schadensfalls aus dem Budget, d. h. aus dem Cash Flow heraus zu bezahlen – oder aber man fängt das Risiko durch planbare Versicherungsbeiträge für eine Cyber-Versicherung auf, die zudem die Steuerlast senken. Aus betriebswirtschaftlicher Sicht und im Hinblick auf den Bilanzschutz ist das natürlich vorteilhafter.Dabei ist das Schadenspotenzial beträchtlich: Es umfasst Eigenschäden wie die Forensik zur Aufklärung des Vorfalls, die Kosten für die Wiederherstellung von Daten und Systemen, Maßnahmen zur Wiederherstellung der beschädigten Reputation und Anwaltskosten. Dazu kommen Schadenersatzforderungen und Haftungsansprüche, wenn Daten Dritter kompromittiert oder vertragliche Verpflichtungen nicht eingehalten werden.

Wenn die Versicherung nicht zur individuellen Situation passt, bietet sie keinen Schutz

Natürlich haben Betriebe im Regelfall bereits typische betriebliche Versicherungen abgeschlossen. Bestehende Sachversicherungen wie Feuer-, Elektronik- oder Maschinenversicherungen sowie die vorhandenen Betriebshaftpflichtversicherungen decken Schäden aus Cyber-Risiken jedoch nur unzureichend oder gar nicht ab. Haftpflichtpolicen beispielsweise greifen nicht, wenn der Schaden ohne eigenes Verschulden eintrat. Maschinen- und Elektronikversicherungen versichern im Regelfall keine Schadensersatzansprüche Dritter. Genau deshalb ist seit einigen Jahren das Produktspektrum der Cyber-Versicherungen entstanden, dass die Folgen digitaler Angriffe im Querschnitt abdeckt – eigene Schäden, Schadensersatzforderungen Dritter und eigene Rechtskosten.
Allerdings ist der Absicherungsbedarf immer sehr individuell. Einer der Gründe dafür, dass Unternehmen wie Kommunen sich für die Cyber-Versicherung nur allmählich erwärmen, liegt sicher im Misstrauen gegenüber Standard-Lösungen begründet. Wer gut beraten wird, muss sich darum allerdings nicht sorgen – schließlich gehört es zur Verantwortung eines Fach-Versicherungsmaklers, die Bausteine einer Police genau zum Risikoprofil des Kunden passend zu kombinieren und kritische Punkte mit den Versicherern individuell nachzuverhandeln. Dabei sollte der Makler auch dafür sorgen, dass bereits durch vorhandene Versicherungen abgedeckte Teilrisiken nicht ein zweites Mal versichert werden.

Was eine gute Cyber-Versicherung leisten sollte: Deckungen und Leistungen im Überblick

So lassen sich aus einem ganzen Spektrum einzelner Bausteine Risiken gezielt abdecken. Eine gute Police umfasst etwa folgende Punkte, soweit diese für den Versicherungsnehmer relevant sind:

Kriminalitätsrisiken, etwa

  • Angriffe durch Viren, Würmer oder Hacker
  • unautorisierter Zugriff durch Mitarbeitern auf das Finanz- und Sachvermögensschäden
  • Erpressungen und Lösegeldforderungen
  • „Kapern“ von EDV-Systemen zur Durchführung krimineller Handlungen

Schädigungen Dritter, z. B.

  • Diebstahl und Manipulation von Daten Dritter
  • Diebstahl von Know-how Dritter
  • Schadenersatzansprüche Dritter wegen Urheberrechtsverletzungen

Vermögensschäden, etwa durch

  • Betriebsunterbrechung durch Hardware-Schäden oder DoS-Attacken
  • Nichtverfügbarkeit des Cloud-Service bzw. des fremden Server-Dienstleisters
  • Mehrkosten durch veränderte Betriebsabläufe
  • Wiederherstellung des Unternehmensimage
  • Ermittlungen durch Datenschutzbehörden

Folgende Kosten sollte eine Cyber-Versicherung abdecken, soweit das Risiko in Ihrem Fall relevant ist:

  • Kosten für forensische Untersuchungen
  • Benachrichtigungen aller Betroffenen bei Datenschutzverletzungen (gesetzlich vorgeschrieben)
  • Öffentlichkeitsarbeit, Maßnahmen zur Wiederherstellung der Reputation
  • Kosten bei Erpressung
  • Beauftragung einer Sicherheitsfirma
  • Erstattung von Lösegeldzahlungen
  • Vermögensschaden-Haftpflicht aufgrund von Datenrechtsverletzung (z. B. Markteinbußen des Kunden)
  • Inanspruchnahme durch einen Dritten
  • Verletzung der Persönlichkeitsrechte Dritter durch Online-Inhalte
  • Ersatz und Wiederherstellung von Daten
  • Absicherung des Ertragsausfalls

Fazit

Die stark steigende Zahl von Cyber-Angriffen übt auch auf kommunale IT-Dienstleister Druck aus. Die Anbieter müssen sich nicht nur mit dem wachsenden Bedrohungsrisiko auseinandersetzen, sondern auch mit einem zunehmend stärker reglementierten Umfeld. In dieser Situation kann Versicherungsschutz ein wichtiger Teil des Risikomanagements sein. Allerdings bringen Versicherungen nur dann ein Plus an Sicherheit, wenn sie sich wirklich an der individuellen Situation des Betriebs ausrichten.

Falls Sie Fragen haben:

Haben Sie Interesse an Cyber-Versicherungen oder konkrete Nachfragen? Wir von der acant.service GmbH sind Spezialmakler für Cyber-Policen und D&O-Versicherungen. Sprechen Sie uns einfach an – wir stehen zu Ihrer Verfügung. Telefon: 030 863 926 990

Zertifizierungspflicht für Energieversorger – dafür günstigere Cyber-Versicherung

IT-Katalog, ISMS und Pflicht zur Zertifizierung für Energieversorger

Bis Januar 2018 haben Energieversorgungsunternehmen Zeit, um einen IT-Sicherheitskatalog einzuführen, ein  Informationssicherheits-Managementsystem (ISMS)  zu installieren und dies  zertifizieren zu lassen.  Einen Ansprechpartner für IT-Sicherheit müssen Sie sogar bis Ende November benennen. So will es die Bundesnetzagentur: Sie hat den Energieversorgern, d. h. allen Unternehmen und Einrichtungen, die ein Stromnetz oder Gasnetz betreiben, höhere Standards in der IT-Sicherheit verordnet.

Viel Zeit bleibt nicht

Die Frist bis 2018 sollten betroffene Unternehmen keinesfalls unterschätzen. Sie haben einiges zu tun, denn der IT-Sicherheitskatalog der Bundesnetzagentur hat durchaus umfassene Auswirkungen auf die betriebliche Abläufe – und auch nicht nur etwa die der IT-Abteilung. Zertifiziert wird beispielsweise auch die Einbindung der Geschäftsführung. Außerdem kann man damit rechnen, dass kurz vor Fristende die Zertifizierungsstellen ausgelastet sind – und zertifiziert wird nur, wer das ISMS bereits seit gewisser Zeit im Live-Betrieb hat.

Weitere Informationen

  • Bei der Bundesnetzagentur selbst gibt es ein FAQ zum IT-Sicherheitskatalog für Strom und Gasanbieter
  • Der IT-Branchenverband Bitkom und der Verband Kommunaler Unternehmen (VKU) haben einen ausführlichen Leitfaden samt Praxisbeispielen für Energieversorger veröffentlicht, der über Aufwand und die nötigen Maßnahmen informiert.

Vorteil: Schneller und günstiger zur Cyber-Versicherung

Noch liegt das Zertifikat noch gar nicht vor. Es wird, soviel steht schon fest, auf den Anforderungen der ISO 27001 und der ISO 27019 beruhen.

Immerhin hat die Zertifizierungspflicht neben der hoffentlich erhöhten Sicherheit noch einen weiteren positiven Nebeneffekt: Energieversorgungsunternehmen, die die Zertifizierung durchlaufen haben, haben damit auch ein sehr genaues Risikoprofil und einen klaren Nachweis solider Vorsorge gegen Cyber-Zwischenfälle. Und das sind beste Voraussetzungen, um ohne großen Aufwand an eine Cyber-Versicherung zu günstigen Konditionen zu kommen, die das unvermeidliche Restrisiko betriebswirtschaftlich sinnvoll auffängt.

Fragen? Anrufen!

Wir sind Experten für das Thema Cyber-Versicherung und IT-Risikomanagement. Sie erreichen uns unter 030 863 926 990 oder über das Kontaktformular.

Schritt für Schritt zur IT-Sicherheit

Unternehmen im IT-Sicherheitsdilemma

Trotz steigender Bedrohungslage ist das Thema IT-Sicherheit in weiten Teilen der deutschen Wirtschaft noch nicht bis in die Chefetagen vorgedrungen., so eine aktuelle Bitkom-Studie von 2015. Dabei ist der Schaden durch Cyberattacken und Produktpiraterie enorm hoch: 51 Milliarden Euro Gesamtschaden. Ganz neue Dimensionen entstehen durch beauftragbare Internetpiraten („Crime as a service“) und fortschreitende Digitalisierung (Web 4.0). Erste Insolvenzen durch hackerbedingte Betriebsunterbrechung gab es bereits.

Eine eindrucksvolle Online-Darstellung der zur Sekunde laufenden Angriffe erhalten sie beim Sicherheitstacho der Telekom- Werfen Sie ruhig auch einen Blick auf die verfügbaren Statistiken.

Doch mangels gesetzlicher Grundlagen und aus falscher Scham werden diese Ereignisse nicht öffentlich gemacht. Es ist grotesk: Der Bundestag beschließt das IT-Sicherheitsgesetz, während eine Cyber-Attacke seine IT-Infrastruktur schwer beschädigt. Deutlicher kann man nicht zeigen, welches Risiko mit der der Digitalisierung der Arbeitsprozesse verbunden ist.

Was ist zu tun, um die IT Sicherheit zu verbessern und das Restrisiko abzusichern?

Schritt 1: Die eigene Risikosituation einschätzen

Frage: Welcher Angreifer interessiert sich für mein Unternehmen?

  • Außentäter Die Angreifer schauen weder auf den Ruf noch auf den Namen Ihres Unternehmens, sie suchen nur offene Zugänge in Ihr IT-System. Arbeitet ihr Unternehmen mit elektronischer Datenverarbeitung? Haben Sie IP-Adressen und Schnittstellen ins Internet? Dann sind sie potentielles Opfer.
  • Allerdings sind Außentäter nicht etwa nur Täter mit Sitz im Ausland. Eine Bitkom-Studie von 2014 ermittelte, dass die kriminellen Handlungen oft innerhalb der Grenzen stattfinden: Bis zu 45 % der Cyber-Kriminalität geht von Deutschland aus.
  • Innentäter sind das unterschätzte Risiko. Der Täterkreis ist oft in den eigenen Reihen zu suchen: Gemessen an den kriminellen Handlungen sind die Täter mit bis zu 66 % unter (ehemaligen) Mitarbeitern zu suchen

Frage: Was kostet mich eine digitale Betriebsunterbrechung und die Wiederherstellung meiner infizierten IT -Infrastruktur?

Das hängt natürlich vom Einzelfall ab. Aber: Unternehmen sind von existentiell bedrohlichen Angriffen betroffen. Berichte hierüber gibt es allerdings nur von Konzernen. Der Mittelstand vermeidet aus verständlichen Gründen bei solchen Ereignissen die Publizität.

Zwei Beispiele aus der Realität

  • Ein entlassener Mitarbeiter zerstört Produktionsparameter, Kundenanpassungen und Planungsunterlagen – das kann passieren, weil eine Zugangsberechtigung vergessen wurde. Kosten für Umsatzausfall und Wiederherstellung/ Rettung der Daten: € 450.000,00
  • Ein Unternehmen der chemischen Industrie fängt sich über eine infizierte  E-Mail eine Schadsoftware ein. Kontodaten werden manipuliert, Zahlungen in Höhe  € 100.000,00 von einem Kunden werden umgeleitet und gehen dem Unternehmen verloren. Die Schadsoftware verbreitet sich auf dem Produktionssystem, die Produktion fährt unkontrolliert herunter, die Produktionsanlage wird beschädigt. Kosten für Umsatzausfall, Forensik, Wiederherstellung der Systeme: € 1,3 Millionen

Schritt zwei: Den eigenen IT-Sicherheitsstatus feststellen

Ein einfaches webbasiertes Selbst-Audit kann einen ersten Überblick über die Technik, Organisation und ihre Prozesse geben. Eine gute Basis, um gemeinsam mit der IT-Abteilung die Anforderungen abzuleiten.

Der Quick-Check der Versicherer liefert anhand von  39 Fragen für eine solide Einschätzung der Risikosituation. Das Ergebnis ist eine Art Risikolandkarte,  als Grundlage der weiteren Diskussion.

Maßgeschneiderte Testierung von Cyber-Security in Unternehmen:  Mit Tools wie dem Selbst-Audit durch den VdS-Quick-Check, vor allem aber mit der neuen VdS-Richtlinie 3473 können Unternehmen und Kommunen einen neuen Standard zur Bewertung ihrer IT-Sicherheit entwickeln.  Ein VdS-Zertifikat schafft Vertrauen bei Kunden und Lieferanten, entspricht dem IT-Sicherheitsgesetz und unterstützt gleichzeitig Versicherer bei der Einschätzung des Cyberrisikos.

Schritt 3: Das Restrisiko absichern – durch eine Cyber-Versicherung

Damit eine Versicherung abgeschlossen werden kann, muss das Risiko genau definiert werden. Dazu bieten sich folgende Schritte an, die wir als Versicherungsmakler mit unseren Kunden gemeinsam durchgehen:

  • Anhand aktueller Schadenerfahrung lässt sich das Schadenpotenzial darstellen: Die Bedrohung kann durch die Einschätzung des IT-Leiters konkretisiert werden, wie viele Tage er oder externe Fachleute für das Aufspüren einer Schadsoftware auf dem System benötigen.
  • Folgekosten berechnen: Die schrittweise Ermittlung der Wiederherstellungskosten, Kosten für Kundeninformation und Anwaltskosten macht die (oft existenzbedrohenden) Auswirkungen deutlich.
  • Weitere Bedrohungsszenarien ausloten: Betriebsunterbrechungen, Erpressungssituation und Geld-Umleitung z. B. Besonders gefährdet sind außerdem Branchen, bei denen das Risiko eines Kreditkarten- oder Patientendatenverlusts besteht.
  • Den potenziellen Schaden ermitteln: Auf Basis der erworbenen Erkenntnisse lässt sich der potentielle Schaden und damit die Versicherungssumme leicht ermitteln.
  • Ausschlüsse aufspüren: Die bestehenden Versicherungspolicen müssen immer mit der Cyber-Police abgeglichen werden, um Ausschlüsse zu erkennen, die ‚vor der digitalen Revolution’ formuliert wurden und für den Cyber-Fall relevant sind.
  • Angebote zur Cyber-Versicherung einholen: Die Cyber-Versicherung muss auf das Unternehmensrisiko abgestimmt sein.
  • Notfallplan erstellen: Der Notfallplan ist der mit dem Versicherer abgestimmte Fahrplan für alle Beteiligten im Schadenfall. Eine schnelle und abgestimmte Reaktion verhindert weitere Folgeschäden.

 Welche Kosten übernimmt die Cyber-Versicherung?

  • Schadenersatzansprüche Dritter (Abwehr unberechtigter Ansprüche, Ausgleich berechtigter Ansprüche)
  • Ertragsausfall infolge Unterbrechung des Betriebs
  • Kosten für forensische Untersuchungen
  • Kosten für externe Unterstützung bei Aufklärung
  • Kosten für Einschaltung PR-Berater
  • Wiederherstellungskosten bei Verlust/Zerstörung eigener Daten und Netzwerke
  • Erpressungsforderungen durch Hacker
  • Benachrichtigungskosten bei Verstößen gegen Datenschutz-Vorschriften

Über den Autor: Achim Fischer-Erdsiek ist Geschäftsführer der ProRisk Gesellschaft für Risikomanagement mbH in Hannover.

Spionage, Sabotage, Datendiebstahl

Vor kurzem wurde die Bitkom-Studie „Spionage, Sabotage und Datendiebstahl – Wirtschaftsschutz im digitalen Zeitalter“ veröffentlicht. Statt langer Worte beschränken wir uns mal auf einen Teil vom Inhaltsvereichnis. Der sagt schon genug über die Situation:

Und vielleicht noch ein paar einschlägige Zitate:

„Bei 52 Prozent der von Wirtschaftsspionage, Sabotage und Datendiebstahl betroffenen Unternehmen war ein aktueller oder ehemaliger Mitarbeiter das Einfallstor.“  (Seite 6)

„Der Mittelstand ist aus mehreren Gründen ein besonders lukratives Angriffsziel. Viele Unternehmen bieten sehr innovative Produkte an und haben in ihrem Marktsegment international eine starke Stellung. Häufig sind sie als Zulieferer fest in den Lieferketten von Großkonzernen verankert. Sie verfügen aber nicht über die gleichen Mittel zur Abwehr entsprechender Angriffe und können somit als Einfallstor dienen, um an die Geschäftsgeheimnisse der Großkonzerne zu gelangen.“  (Seite 8)

„Gut ein Drittel derjenigen, die keine staatlichen Stellen informiert haben, nennt als Grund »Angst vor negativen Konsequenzen«.“ (Seite 25)

„Technische Sicherheitsmaßnahmen alleine reichen nicht aus.“ (Seite 34)

Die optimale Ergänzung für technische und organisatorische Sicherheitsmaßnahmen ist eine Cyber-Versicherung. Sie schützt das Unternehmen vor den finanziellen Folgen von Angriffen – auch wenn die technischen Schutzmaßnahmen versagt haben.

Haben Sie Fragen dazu? Rufen Sie uns an: 030 863 926 990