IT-Sicherheit

Das IT-Sicherheitsgesetz wird teuer – Versichern senkt das Kostenrisiko

von

Es wird mit großer Sicherheit teuer …

Im Sommer dürfte das IT-Sicherheitsgesetz in Kraft treten. Im Moment liegt der Gesetzesentwurf beim Bundestag. Es bringt dem „Bundesamt für Sicherheit in der Informationstechnik“ (BSI) mehr Bedeutung und für so genannte „Betreiber kritischer Infrastrukturen“ neue Pflichten und Kosten – aber auch für jeden geschäftlichen Website-Betreiber.

Unklar: Betreiber einer kritischen Infrastruktur

Noch ist völlig unklar, wer dazu zählt. Genaue Festlegungen soll es erst später per Rechtsverordnung geben.

Bislang ist die Zielgruppe nur über zwei Merkmale eingegrenzt: Zugehörigkeit zu „den Sektoren Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie Finanz- und Versicherungswesen“ und „hohe Bedeutung für das Funktionieren des Gemeinwesens“ (§ 2 Abs. 10 BSIG n. F.) – ziemlicher Gummi also.

Immerhin: Kleinst- und Kleinunternehmen sind ausgenommen. Andere Betreiber müssen …

  • innerhalb von zwei Jahren verbindliche IT-Sicherheitsstandards einführen. (Welche? Auch noch nicht klar …).
  • deren Einhaltung alle zwei Jahre zertifizieren lassen
  • eine permanent erreichbare „Kontaktstelle“ zum BSI einrichten
  • Cyber-Zwischenfälle sowie Störungen und Bedrohungen der IT-Sicherheit unverzüglich an das BSI melden – auch solche, die nicht zu Ausfällen oder Störungen führten. (Immerhin darf dann die Meldung anonym erfolgen)

Neue Sicherheitspflicht für jeden geschäftlichen Website-Betreiber

Eine Änderung im Telemediengesetz verpflichtet zudem Diensteanbieter (d. h. Website- und Webservice-Betreiber) dazu, alles an Cyber- und Datenschutzmaßnahmen zu installieren, was „technisch möglich und wirtschaftlich zumutbar“ (§ 13 TMG n. F.) ist.

Eine Cyber-Versicherung hilft

Meldepflichten, Zertifizierungspflichten, verpflichtende IT-Sicherheitsstandards – all das ist nicht nur in der Umsetzung teuer. Zusätzlich drohen bei Verstößen Bußgelder und Schadenersatzansprüche Dritter.

Genau hier hilft eine Cyber-Versicherung, die Kostenrisiken im Griff zu halten:

  • Bei einem erfolgreichen Cyberangriff, einem technischen Zwischenfall oder menschlichem Versagen im Cyberbereich sind ihr Eigenschaden sowie Ausfall– und Folgekosten versichert (Produktionsausfälle, zerstörte Hardware, Datenwiederherstellung etc.)
  • Wichtiger noch: die Schadenersatzansprüche, die andere in diesem Fall an Sie stellen, sind ebenfalls versichert (denken Sie an Kunden, deren Daten geklaut wurden)
  • Die Versicherer halten Dienstleister für den Krisenfall bereit, die schnelle Hilfe bieten (Datenrettung, Krisen-PR, Rechtsberatung etc.)
  • Und, aktuell im Zusammenhang mit dem IT-Sicherheitsgesetz wichtig: Wenn gegen Ihr Unternehmen ein Bußgeldverfahren aufgrund von IT-Sicherheitsverletzung läuft, sind Ihre Rechtsanwalts- und Gerichtskosten mitversichert.

 

Britischer Minister für mehr Cyber-Versicherungsschutz

von

Ein Regierungsbericht aus Großbritannien beklagt den eklatanten Mangel an Cyber-Versicherungsschutz, meldet die BBC. Obwohl 81 Prozent der britischen Unternehmen in den zurückliegenden zwölf Monaten Opfer einer Sicherheitsverletzung wurden, seien nur zwei Prozent angemessen gegen Cyber-Risiken versichert, so der Minister für Kabinettsangelegenheiten, Francis Meade.

Die Hälfte der befragten Firmenchefs wusste nicht einmal von der Möglichkeit, sich gegen Cyber-Risiken zu versichern.

Als Konsequenz will die Regierung in London die Unternehmen nun verstärkt zum Abschluss von Cyber-Versicherungen motivieren. Bleibt aus deutscher Sicht hinzuzufügen: Die Cyber-Versicherungslücke ist bei uns kaum weniger groß und die Cyber-Risiken sowieso nicht. Der Unterschied ist, dass hier die Politik bislang noch nicht so recht verstanden hat, wie sinnvoll Cyber-Versicherungsschutz als Mittel gegen dieses Risiko ist.

Nicht nur aufgrund der finanziellen Unterstützung. Wenn der Schadensfall eintritt, ist die ebenfalls in der Police enthaltene, schnelle Unterstützung durch Berater und Spezialisten genau so wichtig, wie der Regierungsbericht unterstreicht.

 

Versicherungsfall bei der IT-Haftpflicht: Das „Wann“ ist ganz entscheidend!

von

Frage eines Interessenten zum Thema IT-Haftpflichtversicherung: „Angenommen, unser Unternehmen schließt eine IT-Haftpflichtversicherung ab. Und dann ergibt sich auf einmal ein Schaden aus einem Projekt, das wir schon vor einem halben Jahr abgeschlossen haben – ein Programmierfehler, die falsche Hardware, irgend so etwas. Ist das dann auch gedeckt?“

Die Antwort: Es kommt darauf an. Am besten erklärt man es an einem Beispiel:

  • Nehmen wir an, Ihr Versicherungsschutz beginnt laut Vertrag am 1. Juni.
  • Bereits am 5. April  wurde beim Kunden eine mit mangelnder Sorgfalt erstellte Software installiert. Ein Fehler im Quellcode wartet darauf, Unheil anzurichten. (Der Fehler darf bei Abschluss des Versicherungsvertrags aber noch nicht bekannt gewesen sein!)
  • Am 13. Juli ist es dann soweit – das Problem wird virulent, die Datenbank des Kunden havariert, seine Produktion stockt.
  • Am 2. August erreicht sie das Einschreiben mit der Schadenersatzforderung.

Ist dieser Schaden durch Ihre IT-Haftpflicht gedeckt? Das hängt davon ab, welches von drei möglichen, branchenüblichen Prinzipien für die Definition des Versicherungsfalls bei Ihrer Police gilt:

  • Das Verstoßprinzip: Entscheidend ist der Zeitpunkt, zu dem die Pflichtverletzung passierte, die zur Haftpflicht führt.  In unserem Fall ist das im April, also vor Versicherungsbeginn, deshalb haben Sie mit dem Verstoßprinzip Pech.
  • Das Schadensereignisprinzip: Hier ist der Zeitpunkt des Schadens ausschlaggebend. Das war bei uns im Juli, im Folgemonat des Versicherungsbeginns. Hier haben Sie also Glück, die Ansprüche sind versichert.
  • Das Claims-made-Prinzip macht das Datum zum Stichtag, an dem die Schäden geltend gemacht werden, bei uns der  2. August. Auch in diesem Fall sind Sie geschützt.

Wenn der Softwarefehler allerdings beim Abschluss der Versicherung schon bekannt war, dann ist es so gut wie unmöglich, dafür eine Deckung zu erhalten – egal, wie der Versicherungsfall bei Ihrem Vertrag definiert ist.

Und daran sieht man, weshalb es wichtig ist, einen fachkundigen Versicherungsmakler zu haben. Denn der kann Ihnen sagen, welchen Schutz eine bestimmte Police Ihnen tatsächlich bietet.

 

Das schmutzige kleine Geheimnis der Cyber-Security

von

„Here’s the dirty little secret of cyber security, though: nothing is 100 per cent secure.“

„Hier ist das schmutzige kleine Geheimnis der Cyber-Sicherheit: Nichts ist zu 100 Prozent sicher.“ Das ist die zentrale Aussage in einem Beitrag der britischen IT-News-Website The Register.

Eigentlich will der Artikel erklären, dass ein Viren- und Malware-Scanner zwar unverzichtbar ist, aber keineswegs ausreicht, um die Rechner im Firmennetzwerk gegen Angriffe zu sichern. Man braucht vielmehr „layered security“, d.h. mehrere Schichten von Sicherheitsmaßnahmen. Es geht darum, weitere Löcher stopfen, durch Zugangsfilter für zwielichtige Websites, durch Viren- und Spamfilter auf dem Mailserver und durch pflichtbewusstes Installieren von  Updates und Patches.

Das ist alles richtig. Ansonsten ist der Artikel sicher nicht der beste Ratgeber zur Cyber-Security, den es je gab. Von Firewalls und mobilen Datenträgern zum Beispiel spricht er  gar nicht erst. Und das Konzept der „layered security“ ist ja nicht gerade neu. ABER: Der Satz oben ist entscheidend. Es gibt keine hundertprozentige IT-Sicherheit.

Ich füge hinzu: Dafür gibt es Cyber-Versicherungen. Denn das ist eine Sicherheitsmaßnahme, die auch der hinterhältigste Hacker der Welt nicht löschen, deaktivieren, zum Absturz bringen oder überschreiben kann.