Risiko

Schäden und Kosten bei einem Cyber-Angriff

von

Welche Kosten entstehen bei einem Cyberangriff? Welche Art Schäden wird verursacht? Diesen Fragen geht der Bitkom-Leitfaden „Kosten eines Cyber-Schadensfalles“ nach.

Es lohnt sich sehr, die rund 40 Seiten des Papiers durchzulesen. Es zeigt nicht nur prägnant, wie bedrohlich die Folgekosten eine Cyber-Attacke ausfallen können, man lernt auch, wie sich die verschiedenen Schadensaspekte aufschlüsseln lassen: eine anschauliche Lektion in praktischem Risikomanagement.

Dabei ist das Ganze aufgrund zahlreicher Beispiele zudem gut lesbar. Außerdem gibt es einen Fragenkatalog zur Selbstdiagnose der eigenen Risikosituation.

Konkrete Beispiele für Schäden – in Euro

Besonders frappierend sind die Summen aus den diversen Beispielen für — keineswegs außergewöhnlichen — Cyberzwischenfälle. Ich habe mal ein paar dieser Zahlen notiert:

  • Verschlüsselungstrojaner beim einem deutschen Mittelständler: 150.000 Euro Schaden
  • Kreditkarten-Trojaner im Kassensystem eines gehobenen Restaurants: 115.000 Euro Schaden
  • Denial-of-Service-Attacke auf einen Online-Shop mit 23stündiger Downtime: 185.000 Euro Schaden
  • Datenklau im Vertreib eines Mittelständler: 2.423.000 Euro Schaden
  • Eingeschleuste Fremdsoftware in Verbindung mit CEO-Betrug bei einem Pumpenhersteller: 6.625.000 Euro Schaden

Eigenschäden und Fremdschäden

Die Folgeschäden nach einem Cyber-Angriff zerfallen in zwei verschiedene Arten: Eigenschäden und Fremdschäden. Beide Arten von Schäden tun weh – die einen direkt, die anderen auf dem Umweg über Rechtsanwälte und Schadenersatzklagen sowie durch Reputationsverlust.

Typische Eigenschäden

  • Betriebsunterbrechung oder Betriebsbeeinträchtigungen: Die Produktion steht still, oder die Dienstleistungen können nicht mehr erbracht werden, weil wichtige IT-Ressourcen fehlen. Fehlersuche, Wiederherstellung von Daten und das Wiederanfahren von Systemen kosten viel Geld. Verzögerungen und Qualitätseinbußen führen zu weiteren Kosten.
  • Krisenbewältigungskosten: Wenn nach einem desaströsen IT-Angriff Krisenstäbe tagen und Überstunden ansammeln, externe IT-Spezialisten eilig herbeigeholt werden.
  • Wiederherstellungskosten: Um die IT wieder in arbeitsfähigen Zustand zu versetzen, benötigt man IT-Spezialisten, Arbeitszeit, neue Hardware …
  • Ermittlungskosten: Bevor man einen Schaden reparieren kann, muss man ihn erstmal genau verorten. Außerdem muss die Schwachstelle, die den Angriff ermöglicht hat, dringend geschlossen werden. Drittens muss sichergestellt sein, dass nicht noch weitere Probleme unentdeckt geblieben sind – etwa beim Angriff installierte Schadroutinen. Diese sogenannte IT-Forensik erfordert Zeit und Spezialisten mit beneidenswerten Tagessätzen. Außerdem sind die betroffenen IT-Systeme während der Untersuchungen oft weiterhin nicht verfügbar: noch mehr Ausfallzeit.
  • Rechtsberatungskosten: Anwälte verdienen natürlich auch an Cyberangriffen, denn es gibt einige juristische Fragen zu klären: Haftungsfragen, arbeitsrechtliche und Datenschutzprobleme, Compliance- und Vertragsfragen, Prüfung von Informationspflichten, …
  • Informationskosten: dieser Kostenpunkt wird regelmäßig unterschätzt. Dabei ergeben sich bei einem Cyber-Angriff schnell eine ganze Reihe juristischer Informationspflichten: Das Datenschutzrecht verpflichtet zur Information Betroffener bei Datenklau, das Kapitalmarktrecht kann zu einer Ad-hoc-Mitteilung führen, das IT-Sicherheitsgesetz schreibt Meldungen an das BSI vor, Kreditinstitute müssen die BaFin informieren, etc. All das bindet Arbeitszeit und erfordert Aufwand, vor allem wenn – wie bei massenhaftem Kundendatenklau – viele Geschädigte angesprochen werden müssen.
  • Lösegeldzahlungen: Unternehmen werden schon lange von Cyber-Kriminellen erpresst.
  • Reputationsschäden sind eine weiteres bedrohliches Risiko – sie reichen von erhöhtem Werbe- und PR-Aufwand über sinkenden Umsatz bis zu steigenden Versicherungsprämien.
  • Vertragsstrafen: weil Liefer- oder Dienstverträge nicht eingehalten werden

Fremdschäden

Die Schäden, die der Angriff auf das eigene Unternehmen für Dritte nach sich zieht, sind oft besonders bedrohlich. Das führt der Leitfaden sehr anschaulich aus.

Zum einen kommen solche Schäden ja zu einem zurück – in Form von Ansprüchen aufgrund von Haftpflicht. Wenn die Daten der Kunden aus der zentralen Kundendatenbank gestohlen und später missbraucht werden, kann das gehackte Unternehmen mit einer Klagewelle rechnen.

Zum anderen sind Fremdschäden, anders als Eigenschäden, nur sehr schwer abschätzbar. Man weiß ja nicht, wieviel Geld mit den Kundendaten auf fremde Kosten ergaunert werden kann. Ähnlich ist es mit Trojanern oder Viren, die aus dem eigenen Unternehmen ins Netz von Geschäftspartnern eingeschleust werden und dort den Geschäftsbetrieb lahmlegen.

Gegenmaßnahmen und Präventionskosten

Das Bitkom-Papier zählt eine ganze Reihe von Präventions- und Gegenmaßnahmen auf:
  • ein Notfallkonzept entwickeln (mit Notfall- und Wiederanlaufplanung)
  • Krisenstab organisieren, Krisenübungen durchführen
  • eine Business-Impact-Analyse (BIA) durchführen, um kritische IT-Systeme, deren Abhängigkeiten untereinander und deren maximal tolerierbaren Ausfallzeiten genau zu kennen.
  • sichere IT-Infrastruktur aufbauen
  • Ausweich-Infrastrukturen vorhalten (etwa Verträge mit Ersatzrechenzentren)

Das alles kostet auch Geld. Dem müssen aber die Summen entgegengestellt werden, die ansonsten als Notfallreaktion fällig werden.

Auch der Bitkom sagt: Versichern!

Als Quintessenz aus all diesen Informationen empfiehlt auch der Bitkom: Versichern. Ich beschränke mich auf Zitate:

„Vor dem Hintergrund der in diesem Leitfaden skizzierten Herausforderungen, und im Sinne eines Risikomanagements, kann es für ein Unternehmen eine sinnvolle Entscheidung sein, bestehende Restrisiken abzusichern. Angebote mit entsprechender Versicherungspolice sind am Markt zwischenzeitlich verfügbar und runden das Konzept eines ganzheitlichen Sicherheitsmanagements ab.
Obwohl fast drei Viertel aller deutschen Unternehmen Angriffe auf ihre Computer und Datennetze durch Cyberkriminelle oder ausländische Geheimdienste als reale Gefahr sehen, haben sich bisher nur wenige Firmen gegen Cyber-Risiken versichert. Gut die Hälfte aller Unternehmen in Deutschland ist in den vergangenen zwei Jahren Opfer von digitaler Wirtschaftsspionage, Sabotage oder Datendiebstahl geworden (aktuellste Bitkom Studie). Die Unkenntnis über die vorhandenen Versicherungskonzepte oder die Sorge vor vermeintlich hohen Prämien können ein Gründe dafür sein.

Es gibt bereits mehr als ein Dutzend deutsche Versicherungsgesellschaften, die Absicherungslösungen gegen Schäden durch Cyberangriffe anbieten. Selbst der physische Datenverlust durch einfaches Liegenlassen oder durch den Klau einer Festplatte mit Firmendaten gilt dabei ebenso versichert wie das gehackte Firmenkonto oder die Betriebsunterbrechung durch Virenbefall. Zusätzlich bieten viele Versicherer Präventionsmaßnahmen und Krisenübungen an, damit ihre Kunden im Fall der Fälle vorbereitet sind.

Aber selbst wenn sich ein Unternehmen nicht gegen die aufgezeigten finanziellen Schäden absichern möchte, kann die vor Versicherungsvertragsschluss durchgeführte Prüfung einer Versicherungsgesellschaft über die Versicherbarkeit der Risiken durchaus Aufschluss über die Gefährdungslage bieten.
Cyber-Risk-Versicherungen bieten Schutz vor Risiken wie Hacking, Virenattacken, operative Fehler, Datenrechtsverletzungen sowie das Risiko, Dritte durch die Nutzung elektronischer Medien zu schädigen.“

Das Schadenspotenzial einer Cyber-Attacke ist enorm. Aber das gilt auch für die Schutzfunktion einer Cyber-Versicherung.

Haben Sie Fragen dazu? Rufen Sie mich an: 030 863 926 990

Spionage, Sabotage, Datendiebstahl

von

Vor kurzem wurde die Bitkom-Studie „Spionage, Sabotage und Datendiebstahl – Wirtschaftsschutz im digitalen Zeitalter“ veröffentlicht. Statt langer Worte beschränken wir uns mal auf einen Teil vom Inhaltsvereichnis. Der sagt schon genug über die Situation:

Und vielleicht noch ein paar einschlägige Zitate:

„Bei 52 Prozent der von Wirtschaftsspionage, Sabotage und Datendiebstahl betroffenen Unternehmen war ein aktueller oder ehemaliger Mitarbeiter das Einfallstor.“  (Seite 6)

„Der Mittelstand ist aus mehreren Gründen ein besonders lukratives Angriffsziel. Viele Unternehmen bieten sehr innovative Produkte an und haben in ihrem Marktsegment international eine starke Stellung. Häufig sind sie als Zulieferer fest in den Lieferketten von Großkonzernen verankert. Sie verfügen aber nicht über die gleichen Mittel zur Abwehr entsprechender Angriffe und können somit als Einfallstor dienen, um an die Geschäftsgeheimnisse der Großkonzerne zu gelangen.“  (Seite 8)

„Gut ein Drittel derjenigen, die keine staatlichen Stellen informiert haben, nennt als Grund »Angst vor negativen Konsequenzen«.“ (Seite 25)

„Technische Sicherheitsmaßnahmen alleine reichen nicht aus.“ (Seite 34)

Die optimale Ergänzung für technische und organisatorische Sicherheitsmaßnahmen ist eine Cyber-Versicherung. Sie schützt das Unternehmen vor den finanziellen Folgen von Angriffen – auch wenn die technischen Schutzmaßnahmen versagt haben.

Haben Sie Fragen dazu? Rufen Sie uns an: 030 863 926 990

Cyber-Risk-Versicherungen: Wichtiger Risikoschutz – aber auch Kostenfalle

von

Die Bedrohung aus dem Internet ist für Unternehmen längst sehr real, auch für KMU. Es ist dringend geboten, diese Risiken zu versichern, entsprechend wächst der Markt an einschlägigen Versicherungsprodukten rasant. Doch beim Abschluss von Cyber-Risk-Versicherungen gilt es, genau hinzuschauen.

Was Cyber-Risk-Versicherungen leisten

„Klassische“ Firmenpolicen erfassen zwar im Regelfall u. a. Sachschäden, Haftpflichtrisiken und Vermögensschäden. Oft genug sind die „neuen“ Risiken durch Computer- und Internetkriminalität gegen Unternehmen damit aber nicht gedeckt.

Typische Beispiele: Durch einen Angriff auf das eigene Unternehmen werden auch der Datenbestand eines Geschäftspartners und damit dessen Kundendaten kompromittiert. Deshalb haben diese Kunden als Dritte einen Entschädigungsanspruch, der jedoch nicht unbedingt in einer klassischen Unternehmenspolice enthalten ist. Auch die eigenen Folgeschäden sind oft nicht abgedeckt: Die Produktion liegt zwei Wochen lahm, weil relevante Auftragsdaten bei einem Einbruch zerstört wurden? Das neue Modell kommt nicht mehr exklusiv auf den Markt, weil die Innovationen schon gestohlen und kopiert wurden? Auf solchen Kosten bleibt ein Unternehmen leicht sitzen – wenn diese Cyber-Risiken nicht versichert wurden.

Ein zusätzliches Element von Cyber-Versicherungen sind flankierende Maßnahmen zur Betreuung im Schadensfall, beispielsweise Rechtsberatung zu den Informationspflichten gegenüber Geschädigten bei Datenlecks oder eine Hotline mit IT-Expertenrat zur Schadensbegrenzung und Spurensicherung.

Der Markt an Cyber-Risk-Versicherungen wächst

Mit schöner Regelmäßigkeit berichten die Medien über spektakuläre Cybercrime-Fälle. Sony und Vodafone waren nur zwei besonders prominente Opfer von vielen. Allein in diesem Jahr gab es außerdem zwei Datenklau-Skandale, die 16 bzw. 18 Millionen Datensätze betrafen. Dazu kommt das Dauerthema NSA-Spionage oder Warnungen des Verfassungsschutzes vor Cyberangriffen aus China.

In der Folge hat sich in den Unternehmen (und auch bei den Verbrauchern und Kunden) ein Bewusstsein für die Bedrohung entwickelt. Jetzt soll dafür echtes Risikomanagement her. Für die Versicherungsunternehmen, die auf manchen Geschäftsfeldern ja ziemlich zu kämpfen haben, ist das natürlich eine gute Nachricht: Sie drängen mit neuen Produkten auf den Markt und können bei der Akquise die unbestreitbaren Gefahren als Argument nutzen.

Kaum ein Bereich an Versicherungen wächst so rasant wie Cyber-Risk-Versicherungen – gerade startete die Württembergische mit einer eigenen Cyber-Police, die auf kleine und mittelständische Unternehmen ausgelegt ist, in den nächsten Monaten werden voraussichtlich diverse weitere Assekuranzen ihre Produkte lancieren. Als ich im September letzten Jahres über branchenübergreifende Cyber-Risk-Policen für KMU berichtete, war das Angebot noch auf wenige Alternativen begrenzt.

Aber: Der unüberlegte Abschluss von Versicherungen birgt ebenfalls Risiken

Ein Unternehmen, das eine nennenswerte IT-Abteilung unterhält (so gut wie jedes also), sollte sich absichern. Das sollte  allerdings nicht unüberlegt geschehen. Nicht nur  eine fehlende, auch eine falsche Versicherung kann teuer werden.

  • Wer nicht aufpasst, erhält eine nutzlose, teure Mehrfachversicherung. Wenn die Vermögensschadenhaftpflicht bereits in der bestehenden Haftpflichtpolice enthalten ist und nun noch ein zweites Mal im hastig abgeschlossenen Cyber-Risk-Vertrag steht, dann zahlt man auch doppelt – für eine Deckung, das man nur einmal braucht. Und wenn ein IT-Unternehmen durch Fachanwälte bereits bestens betreut ist, benötigt es keine zusätzliche Rechtsberatung im Schadensfall.
  • Ein zweiter Aspekt ist die mögliche Schadenshöhe. Der Wert der Hardware in einem Rechenzentrum lässt sich recht exakt beziffern und damit im Risikomanagement auch ziemlich genau abbilden. Beim möglichen Folgeschaden eines Datendiebstahls ist das sehr viel schwieriger. Wie beziffert man den Vertrauensschaden im Markt? Welche Forderungshöhe entsteht, wenn bei den Kunden von Kunden Schäden entstehen können? Bei einem Vertrag „von der Stange“ sind Schadenshöhen pauschaliert. Dann bezahlt man leicht zu viel, oder die Deckungsumme ist zu gering. Wie hoch die Risiken sind, muss detailliert und für den Einzelfall kalkuliert werden.

Es muss genau geprüft werden, ob Ihr tatsächlich bestehendes, individuelles Unternehmensrisiko am günstigsten durch eine Deckungserweiterung der bestehenden Versicherungsverträge aufgefangen wird. Ist eine zusätzliche Cyber-Versicherung sinnvoll, müssen die vorhandenen Policen oft reduziert werden, um kein Geld zu verschwenden.

Hier komme ich ins Spiel

Als Unternehmen ab einer bestimmten Größe  – spätestens ab einem Jahresumsatz im zweistelligen Millionenbereich – benötigen Sie  eine auf Sie zugeschnittene, sorgfältig ausgewählte und individuell ausverhandelte Police. Und Sie benötigen eine auf Ihr Interesse ausgerichteten Beratung.

Dafür zu sorgen, ist genau meine Dienstleistung als Versicherungsmakler.

Sie haben eine Frage zu Cyber-Risiken oder suchen kompetente Beratung?

Sie erreichen mich über das Kontaktformular, per Telefon unter +49 030 863 926 990 oder per E-Mail an fs@acant-makler.de.

Bitcoins: Risiken und Chancen

von

Bitcoin erlebt im Moment einen Höhenflug. Und das nicht nur, weil die Bitcoin-Kurse Werte erreichen wie nie zuvor. Auch in den Mainstream-Medien ist die P2P-Währung jetzt festes Thema.

Mit der rechtlichen Seite von Bitcoin befassen sich diese Berichte jedoch selten. Und die Bitcoin-Risiken werden oft nur aus einem bestimmten Winkel betrachtet – etwa nur unter dem der Spekulation.

Grund genug für mich, dem Thema „Bitcoin und die Risiken” ein paar Betrachtungen zu widmen. Die sind allerdings nur  grobsortiert – noch ist bei dem Thema einfach zu viel im Fluss. Wie immer freue ich mich über Ihre Kommentare. Schließlich ist das ein Thema, zu dem noch nicht bereits alles gesagt wurde.

Die Kurzfassung:

  •  Bitcoin kann scheitern, aber ein virtuelles Tauschmittel dieser Art wird vermutlich Teil der nahen Zukunft.
  • Digitale „Währungen” wie Bitcoin haben unbestreitbar Vorzüge
  • Im Moment ist Bitcoin vor allem eine Sache von und für Nerds – und Spekulanten.
  • Die rechtliche Einordnung ist alles andere als klar
  •  Auch die steuerliche Behandlung ist alles andere als klar
  • Wie die Regierungen mit dem Thema umgehen werden, ist nicht noch nicht sicher
  • Die Währungsrisiken sind ernüchternd
  • Versichern? Hmm.

Fazit: Die Bitcoin-Risiken sind groß. Aber die Idee wird überleben.

Vorweg noch eines: Ich will das System Bitcoin nicht noch einmal erklären, das haben andere ja schon sehr gut gemacht. Eine Einführung gibt esz. B. bei Chip.de oder aus Sicht der Bitcoin-Gemeinde im Bitcoin-Wiki. Lang und ausführlich erkärt die Wikipedia das System Bitcoin.

 

1. Bitcoin kann scheitern, aber ein virtuelles Tauschmittel dieser Art wird vermutlich Teil der nahen Zukunft.

Mit Verschlüsselungstechnik und P2P-Netzwerken sind die Voraussetzungen geschaffen für ein verteiltes, durch keine Zentralinstanz politisch oder kommerziell beherrschtes  Zahlungsnetzwerk, in dem  sehr direkt und schnell „Zahlungen” in einer virtuellen „Währung” ausgetauscht werden können. Dieses Tauschsystem  besteht darin, dass die Teilnehmer untereinander öffentlich Transaktionen bestätigen. Das Vertrauen wird durch eine dank Signatur und Verschlüsselung nachvollziehbare, kaum oder nur sehr schwer fälschbare öffentliche Transaktionskette und den Open-Source-Ansatz bewirkt. Selbst wenn Bitcoin scheitert, wird ein anderes, aber prinzipiell ähnliches System folgen – der Bedarf ist da und die Möglichkeiten ebenfalls.

2. Digitale „Währungen” wie Bitcoin haben unbestreitbar Vorzüge

Bitcoin ist schnell – denn die Transaktion ist normalerweise spätestens nach ein, zwei Stunden anerkannt.

Außerdem ist Bitcoin zunächst einmal sehr günstig, wenn man diese Form der Zahlungsabwicklung mit den Gebühren der üblichen kommerziellen Payment-Abwicklern vergleicht: Die Transaktioinsgebühren liegen unter einem Prozent.

Schließlich bietet Bitcoin zwar keine echte Anonymität, aber durch die pseudonyme Abwicklung der Transaktionen ist nicht so ohne weiteres ermittelbar, welcher Mensch oder welches Unternehmen tatsächlich beteiligt war.

3. Im Moment ist Bitcoin vor allem eine Sache von und für Nerds – und Spekulanten.

Die Liste der Organisationen und Unternehmen, die Bitcoins akzeptieren,  umfasst weit über 1.000 Einträge. Nach wie vor sind nicht wenige davon klar auf Nerds ausgerichtet-  oder aber auf Kunden, die eine pseudonyme Zahlungsmethode zu schätzen wissen – Sex-Sites,  Drogenentzugskliniken und dergleichen (was keinesfalls bedeutet, dass jeder, der Bitcoin-Zahlungen akzeptiert, unseriös wäre).

Für den Durchbruch als Verbraucherwährung müssten richtig große Player wie Amazon oder eBay auf Bitcoin aufspringen. Das kann möglicherweise durchaus und durchaus auch bald passieren, eBay-Chef John Donahue hat bereits Interesse signalisiert. Sicher ist der Durchbruch aber nicht.

Als zweite Perspektive bietet Bitcoin die Perspektive, irgendwann als Mittel für internationale Transaktionen die Bindung an Leitwährungen überflüssig zu machen sowie Devisenbeschränkungen oder Sanktionen zu umgehen. Warum, das erklärte das Wall Street Journal dieser Tage.

4. Die rechtliche Einordnung ist alles andere als klar

Die rechtliche Einordnung von Bitcoins ist alles andere als abgeschlossen, auch wenn das Bundesfinanzministerium(dieses Jahr)  und die BaFin (2011 und dann wieder dieses Jahr) dazu bereits Stellung genommen haben.

Die BaFin hat – in Übereinstimmung mit der überwiegend vertretenen Ansicht unter Juristen – klargestellt, dass Bitcoins kein E-Geld im Sinne des § 1a Abs. 3 Zahlungsdiensteaufsichtsgesetz (ZAG) sind. Dazu müssten Bitcoins einen „monetären Wert“ in Form einer Forderung gegenüber dem Emittenten darstellen, durch den Besitz von Bitcoins wird jedoch, das ist der „Knackpunkt“, keine Forderung gegen einen Dritten begründet.

Auch wenn ich bei einer Transaktion im Austausch gegen eine Lieferung den Anspruch erwerbe, mir eine entsprechende Anzahl an Bitcoins gutzuschreiben, folgt daraus nicht, dass irgendjemand gezwungen wäre, mir diese Bitcoins in eine gängige Währung umzutauschen.Der„Bitcoin-Anwalt” Julian Schneider formulierte es in einem Interview mit der LTO so: „Wenn man Bitcoins kauft, schließt man zwar einen atypischen Werkvertrag. Die Tätigkeit des Vertragspartners erschöpft sich aber in der Überweisung der Bitcoins auf ein spezielles Konto. Sobald die Bitcoins überwiesen sind, ist der Vertrag erfüllt und die Forderung erloschen.” 

Die BaFin (Bundesanstalt für Finanzdienstleistungsaufsicht) sieht Bitcoins  als „Rechnungseinheit“ im Sinne des Kreditwesengesetzes. Damit hat sie „den Daumen drauf” – wer gewerbsmäßig  Zahlungsabwicklung oder andere Dienstleistungen rund um die Bitcoins erbringen will, wird von der BaFin als Finanzdienstleister gesehen und braucht  für seine Tätigkeit eine  Erlaubnis. Der gewerbliche Handel mit Bitcoins ist dagegen in Deutschland zwar anzeige-, aber nicht genehmigungspflichtig. Auch wer Bitcoins als Zahlungsmittel für eigene Lieferungen oder Leistungen annimmt, benötigt keine Genehmigung.

Eine BaFin-Erlaubnis braucht aber, wer zum Beispiel Bitcoin-Bezahlmöglichkeiten bei Geschäften Dritter ermöglicht. Dabei ist es egal, ob das Unternehmen sich auch selbst als Finanzdienstleister sieht. Wie schnell man zum „Finanzdienstleister” werden kann, zeigt der Fall von Lieferheld. Dort konnte man eine Pizza bestellen und mit PayPal bezahlen, der Lieferservice rechnete dann mit dem Restaurant ab – und hätte dafür eine BaFin-Genehmigung benötigt, so das Landgericht Köln (29. 9 2011 – Az. 81 O 91/11 ).

Verstöße gegen das ZAG sind nicht ohne – wer genehmigungspflichtige Zahlungsdienste ohne Erlaubnis anbietet, macht sich nach § 31 ZAG strafbar, für Schadenersatzforderungen und Wettbewerbsklagen  ist man ebenfalls angreifbar.

Bitcoins passen auch sonst nicht so recht in die bisherige Landschaft der Zahlungsabwicklung. Bei einem dezentral angelegten System wie Bitcoins ist es extrem schwierig, die bei traditionellen Systemen notwendige „verantwortliche Person“ zu benennen.  Derzeit hat als einziges Institut  in Deutschland  die Fidor-Bank, die mit den Handelsplattformen Bitcoin.de und inzwischen auch mit Kraken.com kooperiert,  eine Lizenz für den Bitcoin-Handel beantragt. Die Beantragung einer Lizenz macht jedoch insofern Sinn, als eine einmal in Deutschland von der BaFin erteilte Lizenz der Bank den Zugang zu allen EU-Mitgliedstaaten und damit den Handel mit Bitcoins eröffnet.

Etwas unsinnig ist der mitunter geäußerte Vorwurf, für Bitcoins gebe es keine Einlagensicherung. Das liegt in der Natur der Sache:  Bitcoins sind schließlich wie erwähnt kein E-Geld. Sie gelten vielmehr als Sondervermögen wie Aktien oder Schuldverschreibungen, für deren Depots die Einlagensicherung ja auch nicht gilt.

5. Auch die steuerliche Behandlung ist alles andere als klar

Klar ist so viel: Wer privat Bitcoins besitzt und diese nach mindestens einem Jahr verkauft, kann den Gewinn steuerfrei einstreichen, davor unterliegt der Gewinn aus einem solchen privaten Veräußerungsgeschäft normal der Einkommensteuer. Das hat das Bundesfinanzministerium bekanntgemacht. Abgeltungssteuer auf Bitcoin-Depots wird also nicht erhoben.

Interessanter wird es beim Thema Umsatzsteuer:  Bitcoins sind, so führt die Kanzlei Winheller aus, die nach eigener Auskunft die Fidor-Bank berät,  laut Bundesfinanzministerium ja nur Recheneinheiten – die Umsatzsteuerbefreiung für Währungen gilt hier also nicht. Andererseits sind  Bitcoins für das Ministerium das Resultat privater Geldschöpfung – also einer Leistung, und damit grundsätzlich steuerbar. Insgesamt ergibt sich damit die Möglichkeit, dass der Umtausch von Bitcoins in Euro vom Finanzamt als genauso umsatzsteuerpflichtig eingestuft  wird wie die Lieferung von Brennholz oder die Leistung eines Nagelstudios.

Dass Bitcoin-Zahlungen („die bloße Entgeltentrichtung”) umsatzsteuerpflichtig sind, hat das Bundesfinanzministerium bereits ausgeschlossen. Weniger deutlich fällt die Antwort aus, wenn es um den  Handel oder die Vermittlung von Bitcoins geht: dies  kann unter die Voraussetzungen des § 4 Nr. 8c UStG umsatzsteuerfrei sein”, so das Ministerium (Hervorhebung und Link durch FS). Klare Festlegungen klingen anders.

Bitcoin-Mining jedenfalls, das Errechnen neuer Bitcoin-Blöcke also, ist mit ziemlicher Sicherheit umsatzsteuerpflichtig.

Ein weiteres unklares Thema: Wie muss man Bitcoin-Transaktionen buchen und archivieren? Rechtsanwalt Andreas Wehle empfiehlt in einem ausführlichen Kommentar auf Frag-einen-Anwalt.de dafür eine eigene Einnahme-Überschuss-Rechnung. Das klingt zunächst vernünftig, aber eine EÜR nach herkömmlichem Muster dürfte wohl schwierig werden.  Transaktionen sind ja keine „echten“ Einnahmen, Bitcoin-Geschäfte mit herkömmlichen Buchhaltungsinstrumenten kaum abbildbar.

Für Klarheit werden hier vermutlich erst die Finanzgerichte sorgen, falls der Gesetzgeber nicht schon vorher aktiv wird.

6. Bitcoins sind fälschungssicher – aber Diebe,  Betrüger und Datenverlust stellen eine Bedrohung dar

Bitcoins „besitzt“ man eigentlich nicht. Was man besitzt, sind Schlüssel zu Bitcoins, die man in einem passwortgesicherten „Wallet” auf einem eigenen Rechner ablegt oder im eigenen Konto eines Fremdsystems, etwa einer Exchange oder einer Wechselstube. Verliert man das Passwort zu dem Wallet, sind auch die Bitcoins verloren. Lässt man sich die Schlüssel stehlen oder durch Betrügereien abluchsen, ebenfalls. Da das Gegenüber praktisch anonym ist, hilft einem auch die nachvollziehbare Transaktionskette wenig.

Dass dieses Verlustrisiko alles andere als theoretisch ist, zeigt die lange Liste „Verluste, Diebstähle, Hacks und Betrugsfälle” im Wikipedia-Artikel zu Bitcoin. Fairerweise muss man dazusagen, dass Diebstahl und Verlust natürlich auch andere Tauschwerte, Währungen oder Wertpapiere bedrohen.

7. Wie die Regierungen mit dem Thema umgehen werden, ist nicht noch nicht sicher

Bitcoins bieten eine Möglichkeit, um Devisenhandelsbeschränkungen, Wirtschaftssanktionen und andere staatliche Verbote zu umgehen. Auch für Geldwäsche sind sie gut geeignet. Angesichts des Potenzials für schwarze Transfers kann es sein, dass Bitcoin-Transaktionen in Zukunft gesetzlich eingeschränkt oder unter Auflagen gestellt werden.

Dazu kommt, dass offizielle Währungshüter solchen Parallelwährungen durchaus mit Misstrauen begegnen können – in Thailand sind Bitcoins de facto verboten. Allerdings hat das Bundesfinanzministerium in Berlin keinerlei grundsätzliche Vorbehalte erkennen lassen. Und auch der Chef der US-Notenbank, Ben Bernanke, hat sich vorsichtig zustimmend geäußert.

8. Die Währungsrisiken sind ernüchternd

Über die wilden Schwankungen des Bitcoin-Kurses berichtet seit einiger Zeit ja auch die Mainstream-Presse. Dass ein Zahlungsmittel, das zumindest bislang noch derart von Spekulation geprägt ist,eine schwierige Basis für stabile Geschäftsmodelle darstellt, liegt auf der Hand. Schließlich ist eine Wertheinheit, deren Umtauschwert täglich bis zu einem Fünftel schwankt, kaum ein massentaugliches Zahlungsmittel. Um Commerzbank-Chefvolkswirt Jörg Krämer zu zitieren: „Niemand verwendet eine Währung, die dauernd Achterbahn fährt.

Ebenfalls häufig berichtet wird über die maximale Obergrenze – mehr als  21 Millionen Bitcoins lassen sich nicht „schürfen“, und Verluste etwa durch verlorengegangene Passworte sind unwiederbringlich. Das führt zu dem Deflationsszenario, das häufig angeführt wird. Da Bitcoins immer knapper werden, steigt die Nachfrage immer weiter, wer Bitcoins besitzt, hat keinen Grund, sie wieder auszugeben. Ob das so eintritt, weiß ich nicht – ich glaube auch nicht, dass irgendjemand anders das im Moment sicher beurteilen kann.

Eine seltener genanntes Risiko: Die Internetgemeinde könnte an Bitcoins irgendwann das Interesse verlieren, um sich einer der vielen Alternativwährungen zuzuwenden.

Und was passiert, wenn sich das ganze System als kompromittiert herausstellen sollte? Sind dann die Bitcoins von einer Minute auf die andere wertlos? Die Folgen wären jedenfalls unabsehbar. Es ist nicht einmal klar, ob dann mit Bitcoins getätigte Geschäfte überhaupt noch wirksam wären. Vielleicht müssten sie rückabgewickelt werden? Mit dem Zivilrecht nach derzeitigem Stand lässt sich so einem Szenario nur schwer beikommen.

8. Versichern? Hmm.

Versicherer haben ein großes Interesse daran, auf neue Entwicklungen zu reagieren. Neue Chancen sind stets mit neuen Risiken verbunden, und davon lebt die Branche schließlich.  Wenn eine neue Sache wie Bitcoin aber noch zu viele Unwägbarkeiten birgt, um die Risiken entsprechender Geschäftsmodelle wirklich solide prognostizieren zu können, dann wird es jedoch schwierig für eine Versicherungsgesellschaften. Wie soll sie dem Kunden dafür dann eine Police anbieten?

Im Moment gibt es  für „Bitcoin-StartUps” jedenfalls noch keine Standardprodukte. Erste Überlegungen gehen dahin, Zahlungsausfall- oder Forderungsausfallversicherungen  für Bitcoin-Geschäfte analog zu Geschäften in Auslandswährungen zu behandeln. Dort wird ein Umrechnungskurs vertraglich festgelegt. Ob die Versicherer im Einzelfall eine solche Absicherung wirklich zu vertretbaren Konditionen übernehmen, muss man allerdings angesichts der Schwankungen des Bitcoin-Kurses  abwarten.

Viele andere Versicherer lehnen die Absicherung generell ab. Begründung: Die Gesellschaften sehen in Bitcoins, weil nirgendwo gesetzliches Zahlungsmittel, auch keine handelbare Währung.

Fazit: Die Bitcoin-Risiken sind sehr groß. Aber die Idee wird überleben.

Eigentlich kann man da die Bitcoin-Entwickler selbst zitieren„Bitcoin should be seen like a high risk asset, and you should never store money that you cannot afford to lose with Bitcoin.”

Das gilt nicht nur für Bitcoin als Geldanlage, sondern auch für Geschäftsmodelle, die auf Bitcoin beruhen. Aber: Diese Form der virtuellen Währung wird nicht wieder verschwinden. Und auch die Versicherer werden darauf reagieren, irgendwann. Ob man dann noch von Bitcoins spricht oder ob dann ein anderes System en vogue ist, weiß ich aber nicht.