IT-Sicherheit

Urteil - Cyberversicherung muss zahlen trotz veralteter Serversysteme, Symbolfoto: dokumol via Pixabay

Software-Updates versäumt, Cyber-Versicherung muss nach Hackerangriff trotzdem zahlen

von

Urteil zur Cyber-Versicherung: Leistungspflicht trotz veralteter Server-Betriebssysteme

Ein Unternehmen wird Opfer eines Hacker-Angriffs mit Ransomware. Die Betriebsunterbrechung verursacht Millionenschäden. Manche Server des Betriebs liefen mit längst veralteten Betriebssystem-Versionen. Trotzdem wurde die Cyber-Versicherung dazu verurteilt, den Schaden zu übernehmen.

Das Urteil gibt Versicherern noch mehr Anlass, auf die IT-Sicherheit ihrer Versicherungsnehmern zu achten. Unternehmen sollten den Abschluss einer Cyber-Versicherung und die Optimierung ihrer Sicherheitsmaßnahmen aufeinander abstimmen.

Cyber-Versicherung abgeschlossen – und gleich Opfer eines Cyber-Angriffs

Bei einem Unternehmen aus Baden-Württemberg hatten nur 10 von 21 Servern aktuelle Betriebssystem-Versionen. Andere liefen selbst 2020 noch mit „Windows Server 2003“. Für dieses Betriebssystem gab es seit 2015 keine Updates mehr.

Trotzdem konnte der Betrieb eine Cyber-Versicherung abschließen. Die kam zum richtigen Zeitpunkt: Zwei Monate später verschlüsselte ein Ransomware-Angriff die Daten im gesamten Firmennetzwerk. Eine fünfmonatige Betriebsunterbrechung war die Folge. Sie führte zu Ausfällen in Millionenhöhe.

Die Versicherungsgesellschaft weigerte sich, den Schaden zu übernehmen. Sie verwies auf die fehlenden Software-Updates und darauf, dass das Unternehmen weder Zwei-Faktor-Authentifizierung noch ein Monitoring-System installiert hatte. Außerdem habe es Kontrollfragen zur Unternehmens-IT falsch beantwortet, die ihm vor Vertragsabschluss vorgelegt wurden.

Keine „Kausalität“, keine „Arglist“: die Versicherung muss bezahlen.

Das Landgericht Tübingen verurteilte den Versicherer trotzdem zur Zahlung. Er musste Schäden von mehr als 2,8 Millionen Euro übernehmen. Allein die Betriebsunterbrechung schlug mit rund 2,5 Millionen Euro zu Buche.

Das Unternehmen hatte einem Vertreter der Versicherungsgesellschaft vor Vertragsunterzeichnung mitgeteilt, dass es noch „Windows Server 2003“ und „Windows Server 2008“ einsetzte. Selbst wenn die – unklar formulierten – Risikofragen falsch beantwortet wurden, lag für das Gericht somit keine Arglist vor.

Außerdem war der Trojaner durch eine Phishing-Mail auf das Notebook eines Administrators gelangt. Von dort verbreitete er sich als Pass-the-Hash-Angriff weiter. Die veraltete Server-Software war deshalb nach Ansicht des Gerichts nicht kausal für den erfolgreichen Ransomware-Angriff.

Wichtig für die Richter: die Unternehmensvertreter hatten den Eindruck gewonnen, der Versicherer stelle keine hohen Anforderungen an die IT-Sicherheit. Sein Repräsentant hatte erklärt, dass „jede Fritzbox“ als Firewall ausreichen würde (AZ: LG Tübingen, 26.05.2023 – 4 O 193/21).

Das Urteil macht es den Unternehmen nicht leichter: Sie sollten IT-Sicherheit und Versicherungsschutz klug kombinieren

Noch vor einigen Jahren verlangten Versicherer zum Abschluss einer Cyber-Versicherung kaum mehr als die symbolische Bestätigung, dass dem Betrieb die Cyber-Risiken bewusst waren. Das hat sich in wenigen Jahren grundlegend geändert. Die Zahl der Cyber-Angriffe und die Höhe der Schäden sind explodiert. Besonders Betriebsunterbrechungen und Schadenersatzforderungen verursachen hohe Kosten. Deshalb sind Cyberversicherungen inzwischen deutlich teurer – und wesentlich schwerer zu bekommen. Die Versicherer schauen mittlerweile genauer hin, wie es um die IT-Sicherheit bei Versicherungsnehmern bestellt ist.

Für die Unternehmen wird es wichtig, zwei Aufgaben aufeinander abzustimmen. Die eine besteht darin, ein professionelles IT-Sicherheitsniveau zu erreichen. Die andere Aufgabe ist es, das Risikomanagement durch eine belastbare Cyber-Police zu ergänzen. Die Geschäftsführung ist gefordert: Nur Investitionen in die IT-Sicherheit ermöglichen adäquaten Versicherungsschutz. Umgekehrt gilt es, die Cyberversicherung präzise auf die Bedrohungslage des Unternehmens auszurichten.

Entscheidend ist dafür die Unterstützung durch einen erfahrenen Fachmakler. Wir von acant haben 2013 als einer der ersten Versicherungsmakler in Deutschland die Vermittlung von Cyberpolicen begonnen. Inzwischen haben wir mehr als zehn Jahre Erfahrung damit. Wir kennen den Markt für Cyberversicherungs-Produkte, haben direkte Kontakte zu den einschlägigen Versicherern und wissen wie man auch in einem schwierigen Markt optimalen Cyber-Versicherungsschutz und individuelle Lösungen sicherstellt. Rufen Sie uns an oder schreiben Sie uns eine Nachricht!

Cyber-Versicherung oder Cyber-Sicherheit? Falsche Frage! Symbolbild: Andreas Lischka via Pixabay

Cyber-Versicherung oder IT-Sicherheit? Falsche Frage!

von

Entweder oder? So einfach ist es nicht

Vor kurzem bin ich in einem Fachbeitrag über folgende Passage gestolpert:

Eine gute Cybersecurity, die den Hackern eine aufmerksame und wirksame Verteidigung entgegenstellt, und eine Versicherung schließen sich nicht aus. Im Gegenteil: Häufig ist ein Mindestmaß an Security Voraussetzung für Versicherungen. Doch die Kosten für beides gleichzeitig sind oft sehr hoch und nicht von jedem Unternehmen zu stemmen. In diesem Fall muss ein Unternehmen besonders kosteneffizient handeln. Dabei lässt sich festhalten, dass ein Euro in eine gute Sicherheitsstruktur hier fast immer besser angelegt ist als in eine Versicherung. Sie verhindert, dass der Schaden überhaupt erst entsteht.

Frank Kölmel, „Was Cyberversicherungen leisten können – und was nicht“, Security-Insider.de

Wo sollten kluge Geschäftsleute ihr Geld besser investieren – in eine Cyber-Versicherung oder in technische IT-Sicherheitsmaßnahmen? Diese Frage, die der Autor anspricht, liegt mir am Herzen, seit ich mit Cyber-Versicherungen beschäftigte. (Und das sind mittlerweile fast zehn Jahre. acant war einer der ersten Makler in Deutschland, der sich auf Cyber-Risiken spezialisierte.)

Allerdings glaube ich nicht, dass die Frage „Cyber-Versicherung oder Cyber-Sicherheitstechnik?“ wirklich Sinn ergibt. Wer so fragt, hat ein Grundprinzip im Risikomanagement nicht verstanden.

Ganz einfach: Es braucht beides, Cyber-Versicherung und Cyber-Sicherheit

Bestimmte Maßnahmen verringern die Wahrscheinlichkeit, dass ein Schadensereignis wie die Betriebsunterbrechung durch Ransomware eintritt. Zu diesen Maßnahmen gehören technische Sicherheitsmaßnahmen, aber auch organisatorische Vorkehrungen wie Schulungen und strikt durchgesetzte Verhaltensregeln. Wenn die Kosten solcher Maßnahmen die geringere Schadenswahrscheinlichkeit rechtfertigen, ergeben sie betriebswirtschaftlich Sinn.

Diese Maßnahmen können Schäden aber nicht vollkommen ausschließen bzw. verhindern. Auch das ist schlicht eine Frage der Wahrscheinlichkeit. Schulungen können Leichtsinn nicht unterbinden. Technik kann Störungen erleiden, falsch verwendet oder bewusst missbraucht werden. Sabotage ist immer möglich.

Und deshalb erfordert ein vernünftiges IT-Sicherheitskonzept auch Versicherungen. Die können, wie Frank Kölmel richtig anmerkt, den Schadenseintritt nicht verhindern. Das ist auch nicht ihr Sinn. Sie können dafür etwas, was die Technololgie nicht schafft: Sie kompensieren den Schaden, wenn es doch zur Sicherheitsverletzung kommt.

Wer sich keine Cyber-Versicherung leisten kann, kann sich keine IT leisten

So könnte man es etwas überspitzt formulieren. Eine fachgerecht administrierte Unternehmens-IT hält das Risiko erfolgreicher Cyber-Angriffe in einem beherrschbaren Rahmen. Es sinkt aber keineswegs auf Null. Auch wenn mittlerweile jeder die Aussage kennt: Die Frage ist nicht, ob es zur IT-Sicherheitsverletzung kommt, sondern wann sie sich ereignet. Aufgabe der IT-Fachleute ist es, dieses „wann“ möglichst hinauszuzögern.

Wenn der Schaden dann doch eintritt, wird die Cyber-Versicherung wichtig. Die Versicherungsprämien, die das Unternehmen über die Jahre hinweg überwiesen (und als Betriebsausgaben geltend gemacht) hat, haben die Kosten des Cyber-Angriffs oder der Datenschutz-Panne schon im Voraus in planbarer Form bezahlt. Jetzt übernimmt die Versicherung die Kosten. Das Schadenereignis reißt also kein Loch in die Bilanz. Ebenso unvorhergesehene wie unvermeidbare Ausgaben wurden auf einen langen Zeitraum verteilt und betriebswirtschaftlich sinnvoll minimiert.

Es geht auch weniger abstrakt

Eine Cyber-Versicherung leistet viel mehr, als nur Schäden zu begleichen. Die meisten Versicherer leisten Akut-Hilfe direkt nach einer Attacke. Sie helfen bei der forensischen Analyse und dem Beseitigen der aufgetretenen Sicherheitslücke. In der Deckung sind nicht nur Eigenschäden eingeschlossen, sondern auch Schadenersatzansprüche anderer Unternehmen und Personen.

Cyberangriffe sind längst ein Teil der Unternehmensrealität. Technik und organisatorische Vorkehrungen mildern das Risiko ab. Versicherungen machen das Restrisiko betriebswirtschaftlich tragbar. Unternehmen können sich längst nicht mehr leisten, auf eine der beiden Komponenten zu verzichten.

Genauso wenig wie auf Beratung. So wie die Netzwerksicherheitslösung zum Firmennetz passen muss, hilft die Cyber-Versicherung nur, wenn sie auf das Unternehmen abgestimmt wurde. Dafür zu sorgen, ist unser Geschäftsfeld. Wir von acant sind auf Cyber-Versicherungen spezialisiert. Sie erreichen uns unter 030 863 926 990 oder über das Kontaktformular!

IT-Sicherheit im Home Office: Praxistipps

von

Home Office ist für Arbeitgeber nicht unproblematisch

Home Office heißt die Parole der Stunde. Die Corona-Situation ist nun einmal, wie sie ist. Allerdings sehen viele Arbeitgeber das mit gemischten Gefühlen. Ihre Skepsis betrifft nicht nur Mitarbeiter, die sich ohne den äußeren Rahmen schlecht motivieren und strukturieren. Ein mindestens ebenso großes Problem ist die Daten- und IT-Sicherheit.

Wenn die Mitarbeiter im Home Office arbeiten, steigt für den Betrieb das Risiko von IT-Sicherheitsverletzungen:

  • Ohne die soziale Kontrolle im Büro sinkt die Schwelle, neben der Arbeit mal eben auf zwielichtige Seiten zu gehen. Mit dem Risiko, sich dort Malware einfangen.
  • Ein isolierter Arbeitnehmer ist leichter angreifbar. Schließlich kann man bei Computerproblemen, unklaren E-Mail-Anhängen, verdächtigen Anfragen etc. im Büro die Kollegen um Rat fragen. Im Home Office liegt die Hürde höher.
  • Im privaten Umfeld können Außenstehende schnell Einblick oder Zugriff auf Hardware und Daten des Betriebs erhalten: beispielsweise Partner, Kinder, Besucher etc.
  • Wenn zuhause private Geräte oder das private WLAN genutzt werden, bedroht jede ihrer Sicherheitslücken das Firmennetz.

Weil auch wir von acant dazu immer wieder gefragt werden, haben wir hier einige hilfreiche Inhalte rund um „Sicherheit im Home Office“ zusammengestellt – Arbeitshilfen, kurze und lange Videos sowie Checklisten.

Mit am wichtigsten: Eine Cyber-Versicherung, die das Home Office abdeckt

Eine Cyber-Versicherung schützt vor den finanziellen Schäden durch Trojaner und Hacker, vor Datenschutzverstößen und IT-Sicherheitsverletzungen. Doch längst nicht jede Police deckt auch Schäden ab, die beim Arbeiten im heimischen Wohnzimmer entstanden sind.

Bei manchen Policen ist dieses Risiko mitversichert. Andere Versicherer verlangen zumindest eine Mitteilung über die Risikoerhöhung. Und wieder andere schließen IT-Sicherheitsverletzungen, die im Homeoffice entstehen, komplett aus der Deckung aus.

Wir von acant prüfen kostenlos, ob Home Office zum Deckungsumfang Ihrer Cyber-Versicherung gehört. Bei Bedarf kümmern wir uns auch um die Mitteilung an den Versicherer, um eine nötige Deckungserweiterung oder um eine bessere Police. Rufen Sie uns an (030 863 926 990) oder schreiben Sie uns (zum Kontaktformular).

Tipps für eine Sicherheitsrichtlinie zum Home Office

Die entscheidenden Punkte für eine betriebliche Sicherheitsrichtlinie zur Arbeit von zuhause aus hat das BSI (Bundesamt für Sicherheit in der Informationstechnik) zusammengefasst.

Die PDF-Broschüre umfasst vier Seiten: Regelungen für Telearbeiter / Sicherheitsrichtlinie für die Telearbeit.

IT-Sicherheit im Home Office: Webinar-Mitschnitt

Die IHK Oberbayern hat den Mitschnitt eines mehr als einstündigen Webinars zum Thema „IT-Sicherheit im Homeoffice“ bei Youtube eingestellt. Dozent ist der IT-Sicherheitsexperte Florian Hansemann. Dafür muss man sich natürlich Zeit nehmen. Im Gegenzug erhält einen umfassenden Einblick ins Thema.

Hier klicken, um den Inhalt von YouTube anzuzeigen.
Erfahre mehr in der Datenschutzerklärung von YouTube.

„Webinar: IT-Sicherheit im Homeoffice- sicher zu Hause arbeiten“ direkt öffnen

Weitere Tipps kann man in Florian Hansemanns Blog nachlesen: „3 x mehr Sicherheit im Home Office

Tipps vom Mittelstand-Kompetenzzentrum

Die „Mittelstand 4.0-Kompetenzzentren“ sollen die Digitalisierung in Deutschland voranbringen. Dafür gibt es 26 dieser Kompetenzzentren mit unterschiedlichen regionalen oder Branchen-Schwerpunkten. Viele bieten Tipps oder auch Seminare rund ums Heimbüro an. Hier einige Inhalte vom Berliner Mittelstand 4.0-Kompetenzzentrum „Gemeinsam Digital“: Arbeitsrecht und Home Office – in knapp vier Minuten die wichtigsten Grundlagen:

Tipps für Videokonferenzen prägnant zusammengefasst:

Hier klicken, um den Inhalt von YouTube anzuzeigen.
Erfahre mehr in der Datenschutzerklärung von YouTube.

„Videokonferenz-Tipps: So klappt’s auch aus dem Homeoffice | Kurz erklärt“ direkt öffnen

Außerdem gibt es von Gemeinsam Digital zwei nützliche Checklisten:

Zum Schluss

Homeoffice-Arbeit erhöht objektiv das betriebliche Risiko. Deshalb ist betriebliches Risikomanagement gefordert. Kernstück sind Versicherungen: für Cyberschäden, Vertrauensschaden, Haftpflicht, Rechtsschutz etc.

Als Spezialmakler sorgen wir von acant dafür, dass Ihr Unternehmen den optimalen Schutz bei geringstmöglichen Kosten erhält: Sprechen Sie uns an.

IT-Sicherheitschecks zum Selbermachen - Symbolbild: Methawee Krasaeden via Pixabay,

Schnelltests mit begrenztem Nutzen: IT-Sicherheitscheck zum Selbermachen

von

IT-Sicherheitscheck im Internet: in wenigen Minuten die Bedrohung ausloten?

Corona-Schnelltests können zu einem falschen Gefühl der Sicherheit führen. Nur bei Wiederholung sind die Ergebnisse zuverlässig. Bei einem IT-Sicherheitscheck zum Selbermachen besteht ein ähnliches Risiko. Es gibt immer mehr davon im Internet. Als erste Orientierung sind sie in Ordnung. Eine belastbare Analyse der eigenen IT-Sicherheit innerhalb von Minuten liefern sie allerdings nicht. Das liegt in der Natur der Sache.

Natürlich kann man allgemeine Grundsätze für eine gute IT-Sicherheit abfragen: Software und Hardware auf aktuellem Stand? Profis für IT-Sicherheit zuständig? Mitarbeiter geschult? Notfallpläne vorbereitet? Sicherheitstechnologie installiert? Etc. etc. Aber ob das vor Ort wirklich umgesetzt wird und funktioniert, muss man schon genauer prüfen.

Hier vergleich ich alles … ach, wirklich?

Das Ganze erinnert mich an die Vergleichsplattformen, auf denen man neben Krediten oder DSL-Verträgen auch Versicherungen aller Art vergleichen kann. Hauptgesichtspunkt sind die Kosten. Natürlich kann man den Vertrag dann auch gleich abschließen. Der Plattformbetreiber erhält dafür Provision.

Betriebliche (und die meisten privaten!) Versicherungen kann man aber nicht sinnvoll vergleichen, indem man nur auf den Endpreis schaut. Die Versicherungsbedingungen sind wichtig. Anders als bei der privaten Kfz-Versicherung sind sie bei einer Betriebshaftpflicht-Versicherung nicht einfach standardisiert. Und das ist das Problem.

Deshalb sind auch Vergleichsplattformen nur zur ersten Orientierung sinnvoll, wenn überhaupt. Sonst hat man zwar ruckzuck eine Versicherung. Die eigene Tätigkeit ist aber möglicherweise von der Deckung ausgeschlossen. Oder die Sachversicherungsleistung ist auf den Zeitwert begrenzt. Vielleicht unterliegt das entscheidende Risiko einem Sublimit, das die Versicherung praktisch wertlos macht. Oder, oder, oder … während man sich abgesichert glaubt.

Gute Beratung ist ihr Geld wert

Natürlich ist das mehr Aufwand. Zunächst muss man jemand finden, der sich auskennt und objektiv berät. Zeit muss man ebenfalls investieren. Der Berater muss sich schließlich ein klares Bild der konkreten Gegebenheiten machen. Im Gegenzug kann man sich dafür auf die Analyse und die Handlungsempfehlungen verlassen.

Wenn es um Versicherungen geht, sind wir von acant Ihre Ansprechpartner: Wir schreiben Beratung groß und kennen den Versicherungsmarkt ganz genau. Wenn es um die IT-Sicherheit Ihres Betriebs geht, sind IT-Security-Experten die richtige Adresse. Wir können Ihnen gern gute Berater empfehlen.

IT-Sicherheitscheck: eine kleine Übersicht

Nach all den Worten der Warnung hier nun einige Tools für den IT-Sicherheits-Selbstcheck:

  • Verband der Sachversicherer: VdS-Quickchecks – diese Checks zur IT-Sicherheit, zum Datenschutz und zur Sicherheit von Produktionsanlagen sind vergleichsweise nützlich, weil sie ins Detail gehen. Außerdem spiegeln sie die Erfahrung mit Risikoeinschätzungen wieder.
  • Sicherheitstool Mittelstand: SiToM: Hier kann man ein „Projekt“ anlegen, das sich de facto als große Checkliste entpuppt. Immerhin sind die Fragen vergleichsweise detailliert.
  • Transferstelle IT-Sicherheit im Mittelstand: Sec-O-Mat. Dieses Tool soll dabei helfen, einen Aktionsplan auszuarbeiten.
  • Deutschland sicher im Netz: DsiN-Sicherheitscheck.
Der IT-Sicherheitscheck von DsiN fragt nach einer Cyber-Versicherung. (Screenshot)
Immerhin: Der IT-Sicherheitscheck von DsiN fragt nach einer Cyber-Versicherung.

Sprechen Sie uns an

Rufen Sie uns an, wenn Sie Fragen oder Anmerkungen haben: 030 863 926 990. Oder schreiben Sie uns eine Nachricht. Sie können auch gern einen Kommentar hinterlassen.

Faktor Mensch in der IT-Sicherheit - Symbolbild von User 024-657-834 via Pixabay

Einfallstor Großhirnrinde: Der Faktor Mensch in der IT-Sicherheit

von

Technik ist prinzipiell beherrschbar, der Faktor Mensch eher nicht. Jedenfalls dann nicht, wenn sich niemand Gedanken darum gemacht hat.

Und deshalb sind die Probleme der IT-Sicherheit in der Theorie oft im Wesentlichen gelöst – und in der Praxis ein großes Desaster.

So könnte man einen Vortrag auf den Punkt bringen, den Linus Neumann, einer der Sprecher des Chaos Computer Clubs, auf dem CCC-Kongress Ende Dezember in Leipzig gehalten hat.

Die Präsentation gibt es auf Youtube. Das Anschauen kostet fast eine Dreiviertelstunde Lebenszeit. Aber es lohnt sich. Weil einige Aspekte des täglichen IT-Risikos mal aus ganz ungewohnter Perspektive geschildert werden. Außerdem ist es erstaunlich unterhaltsam und man versteht alles Wesentliche auch ohne IT-Fachwissen.

Hier klicken, um den Inhalt von YouTube anzuzeigen.
Erfahre mehr in der Datenschutzerklärung von YouTube.

„36C3 – Hirne Hacken“ direkt öffnen
„Hirne Hacken“: Linus Neumann vom CCC zum Mensch als (Unsicherheits-)Faktor in der IT-Sicherheit

Einige der Erkenntnisse aus dem Vortrag

  • Die IT-Sicherheit liefert seit Jahren keinen wirklichen Fortschritt bei den immer gleichen Angriffsrisiken, z. B. Betrügereien oder Schad-Makros in Office-Dateien.
  • Selbst Experten werden immer wieder Opfer. (Faktor Mensch halt.)
  • Das Problem untauglicher Passwörter ist nicht dadurch auszurotten, dass man den Leuten die Verwendung möglichst langer, schwer zu erratender unterschiedlicher Passwörter predigt. Das tun die meisten trotzdem nicht.
  • Die Art und Weise, wie Microsoft Word auf die Gefahr durch bösartige Makros in zugeschickten oder heruntergeladenen Dateien hinweist, ist völlig untauglich. Gleichzeitig sind die Hinweise so gestaltet, dass sie eine unvorsichtige Reaktion leicht machen: ein großer Button, der die Makro-Ausführung ermöglicht.
  • Russischer Staatsbürger? Dann gibt es den rettenden Code nach Attacke eines Verschlüsselungstrojaners von den Cyber-Kriminellen für umsonst.
  • Kein Backup, kein Mitleid.
  • Wer Passwörter oder Zugangsdaten abfischen oder die Leute zum Installieren von Schadsoftware bringen will, muss Angst auslösen – oder eine Routine-Handlung.
  • Beim Risikomanagement auf Ebene der Unternehmensorganisation erhält das Social Engineering (gegen Menschen gerichtete Tricks) bei IT-Angriffen meistens selten genug Aufmerksamkeit.
  • Dabei gibt es Maßnahmen, um die Nutzer als IT-Sicherheitsschwachstelle weniger angreifbar zu machen. Eine solche Maßnahme sind Phishing-Scheinangriffe im Auftrag der eigenen Geschäftsführung mit anschließender Aufklärung. Hintergrund: Mitarbeiter entwickeln meist erst dann ein Bewusstsein für Phishing-Risiken, wenn sie selbst zum Opfer geworden sind.

Die Punkte sind unsere Wiedergabe, keine Zitate. Wir haben einige davon nach Hinweisen von Linus Neumann korrigiert oder zumindest präzisiert – danke für das Feedback. Und vielleicht sollte man noch hinzufügen, dass er in der Präsentation nicht nur Probleme anspricht, sondern auch Lösungen vorschlägt.

Apropos Mensch – es wird noch dieser Tweet zitiert …

Hier klicken, um den Inhalt von Twitter anzuzeigen.
Erfahre mehr in der Datenschutzerklärung von Twitter.

Inhalt direkt öffnen

Eine Cyberversicherung setzt genau beim Risiko Mensch an

Bleibt aus unserer Sicht noch der Hinweis: Genau deshalb ist eine Cyber-Versicherung gegen Schäden durch IT-Risiken ein wirklich sinnvoller Baustein für das Risikomanagement.

Der Cyber-Versicherungsschutz hängt nicht davon ab, dass Technik im Ernstfall auch funktioniert. Und er schützt selbst dann, wenn Menschen dumme Fehler machen.

Wie immer: Bei Fragen oder Anmerkungen kann man mit uns von acant einfach reden. Rufen Sie uns an: 0176 10318791.

Ransomware: Wie kann Datensicherung vor Erpresser-Programmen schützen?

von

In diesem Beitrag geht es um Ransomware – und was Datensicherungskonzepte zum Schutz beitragen können.

(Wenn Sie längst wissen, was es mit Ransomware auf sich hat, können Sie direkt beim Abschnitt Datensicherung weiterlesen.)

Warum ist Ransomware eine solche Bedrohung?

  • Die Schadprogramme sind weit verbreitet, und es tauchen immer neue, verbesserte Versionen auf.
  • Viele Betriebe sind trotz Virenschutz schlecht gerüstet. Ein Hauptproblem: bei den Mitarbeitern fehlt es an Problembewusstsein und damit an Vorsicht.
  • Ransomware ist besonders heimtückisch: Nach der Infektion werden Daten schleichend im Hintergrund verschlüsselt. Wenn das Problem bemerkt wird oder der Erpresserhinweis erscheint, können selbst die Sicherungskopien wertlos sein.
  • In vielen Unternehmen gibt es kein Datensicherungskonzept, oder es berücksichtigt die Gefahr von Ransomware nicht.

Deshalb, bevor wir zu Datensicherungskonzepten kommen, ein ganz grundsätzlicher Hinweis: Prävention ist viel besser, als Daten  wiederherstellen zu müssen. Und die wichtigste Form der Prävention betrifft weder Software noch Hardware, sondern das Verhalten von Menschen.

Ransomware: Schadsoftware mit Erpresser-Funktion

Infiziert Ransomware den Rechner, verschlüsselt sie sämtliche Dateien, derer sie habhaft wird – auch auf angeschlossenen USB-Sticks, Rechnern im gleichen Netzwerk oder im verbundenen Cloud-Speicher. Das damit der laufende Betrieb lahmgelegt wird, ist klar.

Die Ransomware Locky teilt ihre Erpresserbotschaft auch auf Deutsch mit.

Die Daten sind zwar noch da, aber nicht mehr nutzbar, bis sie wieder entschlüsselt werden. Dafür braucht man einen Code. Für den verlangen die Cyber-Kriminellen Geld, meist als Krypto-Währung, etwa Bitcoins. Und selbst bei Zahlung kann man Pech haben – Geld weg, kein Schlüssel da.

Zur Erpressung kommen oft Schadfunktionen hinzu. Inzwischen verschickt sich Ransomware selbst an die Kontakte weiter, als Antwort auf eingegangene Nachrichten. Und sie installiert weitere Trojaner auf dem Rechner, die dann beispielsweise Bankdaten und Passwörter ausspähen. Spätestens mit der ungewollten Weitergabe der Infektion an Kunden und Geschäftspartner drohen Auftragsverluste und Schadenersatzklagen. Aber die drohen aufgrund ohnehin, wenn nicht gearbeitet werden kann.

Datensicherung

Eine gute Backup-Strategie ist ein Element der Vorsorge, um im Fall einer Ransomware-Infektion mit einem blauen Auge davon zu kommen.

Dazu muss die Datensicherung allerdings professionell ablaufen. Betriebe, die keine eigenen IT-Fachleute beschäftigen, sollten sich Unterstützung holen. Je nach Umfang der Aufgabe dürfte das nicht mehr als eine dreistellige oder niedrige vierstellige Euro-Summe kosten. (Ich kann Ihnen bei Bedarf gern jemand empfehlen: 0176 1031 8791.)

Nicht immer nur die letzte Version speichern

Ein sinnvolles Datensicherungskonzept sollte evolutiv sein. Das bedeutet: Neben der letzten Sicherung muss auch die vorletzte, die vorvorletzte etc. verfügbar sein.

Ransomware agiert oft mit Verzögerung. Bis man sie bemerkt, sind vielleicht längst an verschiedenen Stellen Daten verschlüsselt und in diesem Zustand gesichert worden.

Man muss also bis zum Zeitpunkt vor der Erstinfizierung. Allerdings sind die Daten, die seither dazugekommen sind, wohl verloren. Datensicherung ist kein Allheilmittel.

Rotierende Bänder

Von der Speicherung auf externen Festplatten oder Bändern sollte es sinnvollerweise stets drei Versionen geben – eine, die am Arbeitssystem hängt, eine im Safe liegt, und eine, die bereitliegt, um als nächstes mit dem Rechner verbunden zu werden.

Keine dauerhafte Verbindung nach dem Backup

Egal, ob die Daten auf dem Arbeitsrechner oder -server auf ein Band, ein externes Festplattenlaufwerk oder einen Cloud-Speicher kopiert werden: Nach der Übertragung muss das Medium ausgeworfen bzw. getrennt werden.

Dokumentieren – sonst war die Mühe umsonst!

Das Set-up der Datensicherung muss genau dokumentiert sein: so genau, dass auch ein anderer Mitarbeiter oder Dienstleister im Ernstfall weiß, wie er bei der Wiederherstellung im Ernstfall vorzugehen hat. Außerdem muss die Zuständigkeit vorab geklärt sein. Das klingt banal, aber genau an diesem Punkt ist schon manche Datenrettung gescheitert.

Zu jeder Sicherung sollte dokumentiert sein, welche Daten sie umfasst (und welche nicht, idealerweise als Liste aller gespeicherten Dateien. Klar sein sollte auch, wer das Backup angestoßen hat, damit im Ernstfall der Ansprechpartner feststeht.

Falls die Backups aus Sicherheitsgründen verschlüsselt werden (sinnvoll – eine Datensicherung ist ja nichts anderes als Ihr betriebliches Know-how in leicht zu transportierender Form), dann muss im Ernstfall bekannt sein, wo sich die Recovery Keys befinden.

Datenwiederherstellung regelmäßig prüfen

Wenn die Backup-Routine erst einmal eingereichtet wurde, ist die Gefahr groß, dass man im Vertrauen auf das Funktionieren der Technik die Sache sich selbst überlässt.

Das reicht nicht. Um das Funktionieren und die Qualität der Sicherung zu prüfen und die Wiederherstellung für den Ernstfall zu testen, sollte man in regelmäßigen Abständen – zweimal im Jahr, beispielsweise – eine Datenwiederherstellung praktisch durchführen.

Beispiel für ein Backup-Konzept: Drei – Zwei – Eins

Sinnvoll ist die Drei-Zwei-Eins-Strategie für Backups:

  • mindestens drei Kopien der Daten (einmal auf dem System, auf dem gearbeitet wird, dann auf einem synchronisierten Medium wie einem Cloudspeicher und drittens auf einem vom Live-System getrennten Medium wie einem Bandgerät.
  • mindestens zwei verschiedene Speicher-Arten – wenn die Festplatte im Rechner auf eine externe Festplatte gespiegelt wird, sollte zumindest ein weiteres Medium zum Einsatz kommen, das keine Festplatte ist, etwa ein Band oder ein Cloudspeicher
  • mindestens ein externer Aufbewahrungsort für eine Sicherung – sonst ist am Ende der Rechner geklaut und das Bandgerät oder die externe Festplatte ebenfalls

Versichern: denn eine Versicherung lässt sich nicht verschlüsseln

Datensicherung mit System ist ein wichtiger Baustein der IT-Sicherheit zum Schutz vor Ransomware und anderen Cyber-Attacken. Doch auch damit kann man nur die Wahrscheinlichkeit verringern, dass es zum Datenverlust kommt.

Deshalb sollte das Fundament der IT-Sicherheitsstrategie aus Versicherungen bestehen. Eine Versicherungspolice kann weder von technischen Pannen noch von neuer Schadware ausgehebelt werden. Versichern lässt sich beispielsweise:

  • der Schaden durch die Betriebsunterbrechung
  • die Schadenersatzforderungen von Kunden, deren Daten kompromittiert wurden
  • Vertragsstrafen, weil Sie Ihre Lieferfristen nicht einhalten können
  • die Kosten, weil wichtige Planungsdaten oder Auftragsinformationen fehlen
  • etc.

Gerade in Bezug auf Bedrohung durch Ransomware ist Versichern als Auffanglösung sehr sinnvoll, denn hier drohen eine besonders aufwändige Wiederherstellung und der Verlust von Daten, die bis zur Entdeckung der Infektion hinzugekommen sind – daraus können sich sehr empfindliche Schäden ergeben.

Ob speziell für Sie eine Cyber-Versicherung am sinnvollsten ist, oder ob Ihre bestehenden Versicherungen Schutz bieten, das klären wir am besten im direkten Gespräch- rufen Sie einfach an.

Eine ganze Reihe der genannten Tipps zu Backup-Strategien verdanke ich Dr. Sybe Rispens von der IT-Sicherheitsberatung Lindemanns | Rispens.

Praktische IT-Sicherheit im Geschäftsalltag speziell für kleine und mittlere Unternehmen

von

Das Problem ist bekannt – gesucht wird die Lösung:

Auch kleine und mittlere Unternehmen sind handfesten digitalen Risiken ausgesetzt. Den Inhabern und Geschäftsführern ist das auch längst klar. Das weiß ich aus meinen täglichen Gesprächen mit Kunden und Interessenten. Fast jeder hat von Unternehmen gehört, in denen ein Verschlüsselungstrojaner auf dem USB-Stick den gesamten Betrieb für Tage lahmgelegt hat, oder ein unzufriedener Mitarbeiter mal eben die Unternehmensdaten vernichten konnte, oder ein Software-Fehler die Produktion stoppte.

Es fehlt nicht am Problembewusstsein, sondern daran, dass der Weg zur Lösung nicht klar ist. Denn auch wenn es oft genau so dargestellt wird: Sicherheit ist kein Produkt, dass man einmal einkauft, installiert und dann abhakt (leider). Die IT-Sicherheit des eigenen Unternehmens ist ein Prozess, den man zum Laufen bringen muss. Das mag abgedroschen klingen. Aber ich denke dabei an praktische, umsetzbare Schritte, und konkrete Dienstleistungen, die man sich einkaufen kann.

Frage eins: Wer ist dafür zuständig, die IT-Sicherheit im Auge zu haben?

Das ist der Startpunkt, und bereits auf diese Frage gibt es in vielen Büros, Werkstätten und Firmen keine klare Antwort.

Ein Unternehmen mit zehn oder zwanzig Mitarbeitern kann sich keinen eigenen IT-Sicherheitsbeauftragten installieren. Aber in dem Fall sollte es einen externen Dienstleister dafür geben. Jemand, der das Unternehmen mit Blick auf die IT-Sicherheit durchleuchtet ,die wirklich nötigen Maßnahmen anstößt oder gleich durchführt. Und zwar regelmäßig – etwa einmal im Jahr. Oder immer dann, wenn das Geschäft erweitert wird, sich etwas in den Abläufen ändert etc.

Benötigt wird dafür ein Dienstleister mit dem nötigen Know-how und Engagement. Sinnvollerweise sollte er eine Zertifizierung mitbringt (BSI IT-Grundschutz/ISO 27001). Und im eigenen Unternehmen muss klar sein, wer Ansprechpartner ist. Übrigens hat es nach meiner Erfahrung für kleine und mittlere Unternehmen Vorteile, wenn auch ihr IT-Dienstleister aus diesem Segment kommt. Dann bringt er eher die Flexibilität und Bereitschaft mit, sich wirklich individuell mit dem „kleinen“ Kunden auseinanderzusetzen, und der Draht ist deutlich kürzer. Er muss allerdings absolut professionell arbeiten.

Übrigens: Ab ca. 50 Mitarbeitern, oder in Branchen mit besonders sensiblen Daten wie dem Gesundheitsbereich, lohnt sich das Einrichten der Position eines IT-Sicherheitsbeauftragen: dann ist nicht nur die Vorbereitung auf Risiken, sondern auch die Reaktionsfähigkeit im Krisenfall eine ganz andere. Und gerade das schnelle, gezielte Reagieren im Ernstfall spart dem Unternehmen erhebliche Summen.

Frage zwei: Was wird dafür getan, um die Mitarbeiter auf IT-Risiken aufmerksam zu machen?

Das ist ein anderer Punkt, den viele kleine und mittlere Unternehmen völlig vernachlässigen, obwohl er sich einfach ändern lässt. Für die meisten Mitarbeiter sind Computer, Laptop und Telefon Geräte, die man zum Arbeiten (Einkaufen, Chatten …) benutzt. Dass es viele digitale Gefahren gibt, wissen sie abstrakt. Aber ist ihnen konkret klar, woran man eine Phishing-Mail erkennt, warum man Passwörter nicht per WhatsApp verschickt und was droht, wenn man Gratis-Spiele-Apps auf dem Firmenhandy installiert?

Schulung heißt das Zauberwort. Und die Umsetzung im Alltag, ausgehend vom Chef: Der muss durch das eigene Beispiel klarmachen, dass bestimmte Verhaltensweise am Smartphone oder Laptop genauso unverantwortlich sind wie das Rauchen im Tanklager oder eine unbeaufsichtigte Kasse. Entwickelt das Team im Alltag ein normales, angemessenes IT-Sicherheitsbewusstsein, reduziert sich die die Angriffsfläche des Unternehmens enorm.

Frage drei: Stimmt die grundlegende IT-Infrastruktur?

Hier geht es um ganz konkrete Punkte, und wenn es jemand gibt, der für IT-Sicherheit zuständig und kompetent ist (Frage eins), dann sind diese Dinge fast schon abgehakt: Hat das Unternehmen einen sicheren Server, auf dem es Daten ablegt (ob in der Secure Cloud eines großen Anbieters, bei einem kleinen, aber sicherheitsbewussten Provider oder im eigenen Unternehmen)? Ist die Software, die im Unternehmen eingesetzt wird, einigermaßen sicher, und wird sie einheitlich und professionell verwaltet? Gibt es grundlegende Vorkehrungen, Firewall, Virenschutz etc.? Werden alle wichtigen Daten gesichert, werden sensible Daten beim Löschen wirklich gelöscht? Und so weiter.

Frage vier: Wer sorgt laufend für den Fall vor, dass es doch zu einer Sicherheitsverletzung kommt?

Das machen wir, die acant.service GmbH. Dafür sind wir Versicherungsmakler.

Übrigens ist auch das ein Prozess, kein einmaliger Einkauf. Für sinnvollen Versicherungsschutz, auch und gerade gegen digitale Gefahren, muss zunächst einmal genau geschaut werden, wo das Unternehmen wirklich Risiken ausgesetzt ist. Ein nicht existentes Risiko zu versichern ist teuer. Ein existentes Risiko nicht zu versichern ist ebenfalls teuer. Das muss also passen. Dafür sind wir Experten da.

Anschließend muss der Versicherungsschutz aktuell gehalten werden. Deshalb überprüfen wir bei jedem Kunden von uns jedes Jahr, ob die Deckungen weiterhin passen, oder geändert werden müssen. Wenn es Veränderungen gibt – neue Maschinen, eine neue Niederlassung, ein besonders großer Auftrag, ein Sonderprojekt – natürlich auch zwischendurch.

Das gehört zu unserem Service als Versicherungsmakler, genau wie das Recherchieren und Aushandeln der optimalen Police oder die Betreuung im Schadensfall. Deshalb ist Frage vier besonders leicht zu beantworten: Sie müssen uns dafür nur anrufen (030 863 926 990 oder 0176 10318791).

DDoS-Risiko und Haftpflicht-Falle

von

In den letzten Wochen waren DDoS-Angriffe aus dem Internet der Dinge (Internet of Things, IoT) ein großes Thema. Über Versicherungen hat dabei keiner gesprochen. Dabei wird Versicherungsschutz vor dem Hintergrund immer wichtiger. Zum einen wird man selbst leicht zum Angriffsziel. Und wenn Mittelständler und IT-Unternehmen selbst mit internetfähigen Steuerungen und embedded systems arbeiten, liefern sie schnell ungewollt neue Robotersoldaten für solche Attacken.

Read more

IT-Compliance und persönliche Haftung, Teil 1: Compliance-Pflichten

von

Compliance-Verstoß Hackerangriff: Eine IT-Sicherheitsverletzung kann zu persönlichen Schadenersatzansprüchen gegen die Geschäftsführung führen.

„When, not if“ – so lautet eine Formel, die in IT-Sicherheitskreisen längst Standard geworden ist, wenn es um das Szenario einer konkreten IT-Sicherheitsverletzung geht. Die Frage lautet nicht, ob sich ein Cyber-Angriff, eine Technik-Havarie oder ein folgenschwerer menschlicher Fehler im Umgang mit Daten und Software auch bei Ihnen ereignet. Die Frage ist, wann es dazu kommt – und wie gut Ihr Unternehmen dann darauf vorbereitet ist.

Wer haftet für die Schäden? Das ist die nächste unausweichliche Frage, wenn Systeme nicht mehr reagieren, Kundendaten oder wichtige Unternehmenswerte ins Ausland transferiert wurden, Produktionsausfälle und Lieferverzögerungen zu Vertragsstrafen führen, Datenschutzverletzungen einen Shitstorm ausgelöst haben und die Marke beschädigt ist.

Stellt mangelnde IT-Sicherheit ein Führungsversagen dar, das Schadenersatzansprüche begründet? Das ist die entscheidende Frage. Die Antwort ist juristisch komplex, berührt verschiedene Rechtsgebiete, richtungsweisende Gerichtsentscheidungen gibt es noch nicht. Im Ergebnis lautet sie jedoch ja.

Beispiele: Haftungsszenarios

Die folgenden Beispiele sind fiktiv. Aber sie sind realistisch.

  • Ein Hacker schleust Schadsoftware in die Produktionssteuerung ein. Das führt zum Totalschaden mehrerer Fertigungsanlagen. Die Produktion fällt monatelang aus, viele Arbeitnehmer sitzen herum. Das Unternehmen kündigt vielen von ihnen, das Arbeitsgericht hebt die Kündigungen jedoch auf: eine betriebsbedingte Kündigung sei ungerechtfertigt: Sie wären überflüssig, wenn das Management durch eine Cyber- oder Produktionsausfallversicherung Vorsorge gegen den Schaden getroffen hätte. Daraufhin wird der bisherige Geschäftsführer von den Anwälten der Gesellschaft auf Schadenersatz über die Lohnkosten in sechsstelliger Höhe verklagt.
  • Ein als GmbH geführter Online-Shop wird verkauft – einschließlich der digitalen Kundenkartei. Er hat dafür aber nicht die erforderliche Genehmigung seiner bisherigen Kunden. Die Landesdatenschutzbehörde verhängt 10.000 Euro Bußgeld. Der GmbH-Geschäftsführer, der den Verkauf durchgeführt hat, wird von seiner Gesellschaft in Regress genommen.
  • Ein Unternehmen klagt vor dem Finanzgericht gegen einen Umsatzsteuerbescheid für einen zurückliegenden Zeitraum. Dabei stellt sich heraus, dass die Belege, die vor einigen Jahren digital archiviert wurden, nicht mehr abrufbar sind. Ohne Nachweise lässt sich das eigentlich sehr aussichtreiche Verfahren nicht gewinnen, das Unternehmen zu einer Steuernachzahlung in sechsstelliger Höhe verurteilt. Einer der Gesellschafter verklagt den Geschäftsführer auf Schadenersatz.

Compliance und IT-Compliance

Anders ausgedrückt: Wenn Sie Geschäftsführer oder Vorstand einer Kapitalgesellschaft sind, besteht für Sie durchaus ein sehr reelles Risiko, persönlich mit Schadenersatzansprüchen für Cyber-Schäden des Unternehmens konfrontiert zu werden und dafür mit dem eigenen Vermögen zu haften.

Der Grund ist einfach: IT-Compliance ist als umfassende Management-Aufgabe ein Teil der gesamten Compliance-Pflichten. Wie auf anderen Risikofeldern – Korruption, unternehmensinterne Diskriminierung, Steuerrecht etc. – gehört es auch bei der IT-Sicherheit zum Verantwortungsbereich des Managements, durch die unternehmensinterne Steuerung der Prozesse die Gefahren von vornherein einzugrenzen und die systematische Befolgung von Regeln sicherzustellen.

Ich möchte in diesem zweitteiligen Beitrag zur IT-Compliance zeigen, warum das Szenario persönlicher Haftung für Cyber-Schäden keine Panikmache ist, sondern ernstgenommen werden muss:

  • Im ersten Teil geht es um Compliance und Haftung allgemein. Die Gefahr, für Unternehmensschäden persönlich in Haftung genommen zu werden und dabei seine gesamte Existenz zu verlieren, wird nach wie vor von vielen Führungskräften unterschätzt. Sie ist aber sehr real, wie sich an konkreten Beispielen zeigen lässt.
  • Im zweiten Teil sind speziell IT-Compliance und Haftungsrisiken rund um IT-Sicherheitsverletzungen Thema – und die Frage, wie diese Risiken sich wirksam verringern lassen.

Compliance

Sowohl AG-Vorstände wie auch GmbH-Geschäftsführer sind gesetzlich dazu verpflichtet, ein Überwachungssystem einzurichten, mit dem sich Entwicklungen, die den Fortbestand des Unternehmens gefährden können, frühzeitig erkennen lassen. Compliance ist auch Teil des Lageberichts einer Kapitalgesellschaft. (§§ 289, 315, 317 Abs. 2 HGB). Bei börsennotierten AGs müssen die Wirtschaftsprüfer auch die Risikofrüherkennungssysteme kontrollieren (§ 91 Abs. 2 AktG, § 317 Abs. 4 HGB).

Compliance Management ist ein Trendthema. Aber deshalb sollte man nicht darauf schließen, dass es sich dabei nur um eine Modeerscheinung handelt. Die Zahl der Veröffentlichungen ist kaum überschaubar, das Gleiche gilt für Beratungsangebote, Schulungen und den Softwaremarkt für Compliance-Management-Systeme.

All das ein klares Zeichen für den real existierenden Bedarf. Vorstände und Geschäftsführungen benötigen funktionierende Compliance-Lösungen, unabhängig von der Größe der von ihnen geführten Unternehmen.

Compliance Management bedeutet sicherzustellen, dass regelkonformes Verhalten im Unternehmen nicht allein vom Zufall oder dem guten Willen Einzelner abhängt. Die Regeln und Anforderungen müssen zum einen explizit gemacht und zweitens in die geschäftlichen Prozesse selbst eingebettet sein.

Für ein funktionierendes Compliance Management zu sorgen, gehört zu den Sorgfaltspflichten eines Vorstands beziehungsweise eines GmbH-Geschäftsführers. Gute Compliance ist aber nicht nur Prävention gegen Steuer- und Zollprüfungen oder staatsanwaltliche Ermittlungen. Als ein Messwert für Corporate Governance, die Qualität der Geschäftsführung, wird funktionierende Compliance auch von Analysten honoriert. Die Konditionen für Kapitalaufnahme werden günstiger, Versicherungsprämien fallen niedriger aus, denn Compliance ist immer auch Risikovorsorge.

Grundlage der Haftung: die Geschäftsleiterverantwortung

Zuständig und verantwortlich für eine funktionierende Compliance sind grundsätzlich immer die Geschäftsführer einer GmbH beziehungsweise die Vorstände einer Aktiengesellschaft. Das ergibt sich aus ihrer Geschäftsleiterverantwortung, die bei GmbH-Geschäftsführern aus § 43 GmbHG und bei AG-Vorständen aus den § 76 Abs. 1 AktG und § 93 AktG folgt. Zudem hat der Vorstand wie erwähnt die ausdrückliche Pflicht zur Einführung eines Überwachungssystems, „damit den Fortbestand der Gesellschaft gefährdende Entwicklungen früh erkannt werden“ (§ 91 Absatz 2 AktG).

Wie weit die Verantwortung reicht, zeigt ein weitreichendes Urteil des Landgerichts München. Die Richter verurteilten einen ehemaligen Siemens-Vorstand zu 15 Millionen Euro Schadenersatz an das Unternehmen. Der Vorwurf: Er hatte kein Compliance-System installiert und damit nicht vorgesorgt, um ein auf schwarzen Kassen beruhendes Schmiergeldsystem zu verhindern (LG München, 10.12.2013, 5 HKO 1387/10). Das Besondere an dem Urteil ist der Umstand, dass diese Missstände gar nicht in den von diesem Vorstand intern verantworteten Bereich fielen.

Das Landgericht dehnte die Compliance-Pflicht also über den Geschäftsbereich eines einzelnen Vorstands hinaus auf die gesamte Vorstandsverantwortung aus. Das Strafgesetzbuch enthält in § 299 StGB das klare Verbot, Bestechungen im Geschäftsverkehr einzufädeln und abzuwickeln. Die Rechtsprechung macht es dem Vorstand einer AG und der Geschäftsführung einer GmbH zur Aufgabe, dafür Sorge zu tragen, dass Straftaten im Unternehmen erst gar nicht möglich sind. Das wurde dem ehemaligen Siemens-Vorstand zum Verhängnis.

Diese Pflicht zum Risikomanagement gilt auch für die Prävention von Cyberstraftaten und IT-Havarien.

Selbst wenn Compliance-Verstöße oder andere Pflichtverletzungen dazu führen, dass man persönlich in Haftung genommen wird, muss das nicht das Ende der eigenen wirtschaftlichen Existenz bedeuten. Und zwar dann nicht, wenn man über eine D&O-Versicherung (Geschäftsführer-Haftpflichtversicherung) abgesichert ist. Fragen Sie uns: 030 863 926 990

Schäden und Kosten bei einem Cyber-Angriff

von

Welche Kosten entstehen bei einem Cyberangriff? Welche Art Schäden wird verursacht? Diesen Fragen geht der Bitkom-Leitfaden „Kosten eines Cyber-Schadensfalles“ nach.

Es lohnt sich sehr, die rund 40 Seiten des Papiers durchzulesen. Es zeigt nicht nur prägnant, wie bedrohlich die Folgekosten eine Cyber-Attacke ausfallen können, man lernt auch, wie sich die verschiedenen Schadensaspekte aufschlüsseln lassen: eine anschauliche Lektion in praktischem Risikomanagement.

Dabei ist das Ganze aufgrund zahlreicher Beispiele zudem gut lesbar. Außerdem gibt es einen Fragenkatalog zur Selbstdiagnose der eigenen Risikosituation.

Konkrete Beispiele für Schäden – in Euro

Besonders frappierend sind die Summen aus den diversen Beispielen für — keineswegs außergewöhnlichen — Cyberzwischenfälle. Ich habe mal ein paar dieser Zahlen notiert:

  • Verschlüsselungstrojaner beim einem deutschen Mittelständler: 150.000 Euro Schaden
  • Kreditkarten-Trojaner im Kassensystem eines gehobenen Restaurants: 115.000 Euro Schaden
  • Denial-of-Service-Attacke auf einen Online-Shop mit 23stündiger Downtime: 185.000 Euro Schaden
  • Datenklau im Vertreib eines Mittelständler: 2.423.000 Euro Schaden
  • Eingeschleuste Fremdsoftware in Verbindung mit CEO-Betrug bei einem Pumpenhersteller: 6.625.000 Euro Schaden

Eigenschäden und Fremdschäden

Die Folgeschäden nach einem Cyber-Angriff zerfallen in zwei verschiedene Arten: Eigenschäden und Fremdschäden. Beide Arten von Schäden tun weh – die einen direkt, die anderen auf dem Umweg über Rechtsanwälte und Schadenersatzklagen sowie durch Reputationsverlust.

Typische Eigenschäden

  • Betriebsunterbrechung oder Betriebsbeeinträchtigungen: Die Produktion steht still, oder die Dienstleistungen können nicht mehr erbracht werden, weil wichtige IT-Ressourcen fehlen. Fehlersuche, Wiederherstellung von Daten und das Wiederanfahren von Systemen kosten viel Geld. Verzögerungen und Qualitätseinbußen führen zu weiteren Kosten.
  • Krisenbewältigungskosten: Wenn nach einem desaströsen IT-Angriff Krisenstäbe tagen und Überstunden ansammeln, externe IT-Spezialisten eilig herbeigeholt werden.
  • Wiederherstellungskosten: Um die IT wieder in arbeitsfähigen Zustand zu versetzen, benötigt man IT-Spezialisten, Arbeitszeit, neue Hardware …
  • Ermittlungskosten: Bevor man einen Schaden reparieren kann, muss man ihn erstmal genau verorten. Außerdem muss die Schwachstelle, die den Angriff ermöglicht hat, dringend geschlossen werden. Drittens muss sichergestellt sein, dass nicht noch weitere Probleme unentdeckt geblieben sind – etwa beim Angriff installierte Schadroutinen. Diese sogenannte IT-Forensik erfordert Zeit und Spezialisten mit beneidenswerten Tagessätzen. Außerdem sind die betroffenen IT-Systeme während der Untersuchungen oft weiterhin nicht verfügbar: noch mehr Ausfallzeit.
  • Rechtsberatungskosten: Anwälte verdienen natürlich auch an Cyberangriffen, denn es gibt einige juristische Fragen zu klären: Haftungsfragen, arbeitsrechtliche und Datenschutzprobleme, Compliance- und Vertragsfragen, Prüfung von Informationspflichten, …
  • Informationskosten: dieser Kostenpunkt wird regelmäßig unterschätzt. Dabei ergeben sich bei einem Cyber-Angriff schnell eine ganze Reihe juristischer Informationspflichten: Das Datenschutzrecht verpflichtet zur Information Betroffener bei Datenklau, das Kapitalmarktrecht kann zu einer Ad-hoc-Mitteilung führen, das IT-Sicherheitsgesetz schreibt Meldungen an das BSI vor, Kreditinstitute müssen die BaFin informieren, etc. All das bindet Arbeitszeit und erfordert Aufwand, vor allem wenn – wie bei massenhaftem Kundendatenklau – viele Geschädigte angesprochen werden müssen.
  • Lösegeldzahlungen: Unternehmen werden schon lange von Cyber-Kriminellen erpresst.
  • Reputationsschäden sind eine weiteres bedrohliches Risiko – sie reichen von erhöhtem Werbe- und PR-Aufwand über sinkenden Umsatz bis zu steigenden Versicherungsprämien.
  • Vertragsstrafen: weil Liefer- oder Dienstverträge nicht eingehalten werden

Fremdschäden

Die Schäden, die der Angriff auf das eigene Unternehmen für Dritte nach sich zieht, sind oft besonders bedrohlich. Das führt der Leitfaden sehr anschaulich aus.

Zum einen kommen solche Schäden ja zu einem zurück – in Form von Ansprüchen aufgrund von Haftpflicht. Wenn die Daten der Kunden aus der zentralen Kundendatenbank gestohlen und später missbraucht werden, kann das gehackte Unternehmen mit einer Klagewelle rechnen.

Zum anderen sind Fremdschäden, anders als Eigenschäden, nur sehr schwer abschätzbar. Man weiß ja nicht, wieviel Geld mit den Kundendaten auf fremde Kosten ergaunert werden kann. Ähnlich ist es mit Trojanern oder Viren, die aus dem eigenen Unternehmen ins Netz von Geschäftspartnern eingeschleust werden und dort den Geschäftsbetrieb lahmlegen.

Gegenmaßnahmen und Präventionskosten

Das Bitkom-Papier zählt eine ganze Reihe von Präventions- und Gegenmaßnahmen auf:
  • ein Notfallkonzept entwickeln (mit Notfall- und Wiederanlaufplanung)
  • Krisenstab organisieren, Krisenübungen durchführen
  • eine Business-Impact-Analyse (BIA) durchführen, um kritische IT-Systeme, deren Abhängigkeiten untereinander und deren maximal tolerierbaren Ausfallzeiten genau zu kennen.
  • sichere IT-Infrastruktur aufbauen
  • Ausweich-Infrastrukturen vorhalten (etwa Verträge mit Ersatzrechenzentren)

Das alles kostet auch Geld. Dem müssen aber die Summen entgegengestellt werden, die ansonsten als Notfallreaktion fällig werden.

Auch der Bitkom sagt: Versichern!

Als Quintessenz aus all diesen Informationen empfiehlt auch der Bitkom: Versichern. Ich beschränke mich auf Zitate:

„Vor dem Hintergrund der in diesem Leitfaden skizzierten Herausforderungen, und im Sinne eines Risikomanagements, kann es für ein Unternehmen eine sinnvolle Entscheidung sein, bestehende Restrisiken abzusichern. Angebote mit entsprechender Versicherungspolice sind am Markt zwischenzeitlich verfügbar und runden das Konzept eines ganzheitlichen Sicherheitsmanagements ab.
Obwohl fast drei Viertel aller deutschen Unternehmen Angriffe auf ihre Computer und Datennetze durch Cyberkriminelle oder ausländische Geheimdienste als reale Gefahr sehen, haben sich bisher nur wenige Firmen gegen Cyber-Risiken versichert. Gut die Hälfte aller Unternehmen in Deutschland ist in den vergangenen zwei Jahren Opfer von digitaler Wirtschaftsspionage, Sabotage oder Datendiebstahl geworden (aktuellste Bitkom Studie). Die Unkenntnis über die vorhandenen Versicherungskonzepte oder die Sorge vor vermeintlich hohen Prämien können ein Gründe dafür sein.

Es gibt bereits mehr als ein Dutzend deutsche Versicherungsgesellschaften, die Absicherungslösungen gegen Schäden durch Cyberangriffe anbieten. Selbst der physische Datenverlust durch einfaches Liegenlassen oder durch den Klau einer Festplatte mit Firmendaten gilt dabei ebenso versichert wie das gehackte Firmenkonto oder die Betriebsunterbrechung durch Virenbefall. Zusätzlich bieten viele Versicherer Präventionsmaßnahmen und Krisenübungen an, damit ihre Kunden im Fall der Fälle vorbereitet sind.

Aber selbst wenn sich ein Unternehmen nicht gegen die aufgezeigten finanziellen Schäden absichern möchte, kann die vor Versicherungsvertragsschluss durchgeführte Prüfung einer Versicherungsgesellschaft über die Versicherbarkeit der Risiken durchaus Aufschluss über die Gefährdungslage bieten.
Cyber-Risk-Versicherungen bieten Schutz vor Risiken wie Hacking, Virenattacken, operative Fehler, Datenrechtsverletzungen sowie das Risiko, Dritte durch die Nutzung elektronischer Medien zu schädigen.“

Das Schadenspotenzial einer Cyber-Attacke ist enorm. Aber das gilt auch für die Schutzfunktion einer Cyber-Versicherung.

Haben Sie Fragen dazu? Rufen Sie mich an: 030 863 926 990