IT-Compliance und persönliche Haftung, Teil 1: Compliance-Pflichten

Compliance-Verstoß Hackerangriff: Eine IT-Sicherheitsverletzung kann zu persönlichen Schadenersatzansprüchen gegen die Geschäftsführung führen.

„When, not if“ – so lautet eine Formel, die in IT-Sicherheitskreisen längst Standard geworden ist, wenn es um das Szenario einer konkreten IT-Sicherheitsverletzung geht. Die Frage lautet nicht, ob sich ein Cyber-Angriff, eine Technik-Havarie oder ein folgenschwerer menschlicher Fehler im Umgang mit Daten und Software auch bei Ihnen ereignet. Die Frage ist, wann es dazu kommt – und wie gut Ihr Unternehmen dann darauf vorbereitet ist.

Wer haftet für die Schäden? Das ist die nächste unausweichliche Frage, wenn Systeme nicht mehr reagieren, Kundendaten oder wichtige Unternehmenswerte ins Ausland transferiert wurden, Produktionsausfälle und Lieferverzögerungen zu Vertragsstrafen führen, Datenschutzverletzungen einen Shitstorm ausgelöst haben und die Marke beschädigt ist.

Stellt mangelnde IT-Sicherheit ein Führungsversagen dar, das Schadenersatzansprüche begründet? Das ist die entscheidende Frage. Die Antwort ist juristisch komplex, berührt verschiedene Rechtsgebiete, richtungsweisende Gerichtsentscheidungen gibt es noch nicht. Im Ergebnis lautet sie jedoch ja.

Beispiele: Haftungsszenarios

Die folgenden Beispiele sind fiktiv. Aber sie sind realistisch.

  • Ein Hacker schleust Schadsoftware in die Produktionssteuerung ein. Das führt zum Totalschaden mehrerer Fertigungsanlagen. Die Produktion fällt monatelang aus, viele Arbeitnehmer sitzen herum. Das Unternehmen kündigt vielen von ihnen, das Arbeitsgericht hebt die Kündigungen jedoch auf: eine betriebsbedingte Kündigung sei ungerechtfertigt: Sie wären überflüssig, wenn das Management durch eine Cyber- oder Produktionsausfallversicherung Vorsorge gegen den Schaden getroffen hätte. Daraufhin wird der bisherige Geschäftsführer von den Anwälten der Gesellschaft auf Schadenersatz über die Lohnkosten in sechsstelliger Höhe verklagt.
  • Ein als GmbH geführter Online-Shop wird verkauft – einschließlich der digitalen Kundenkartei. Er hat dafür aber nicht die erforderliche Genehmigung seiner bisherigen Kunden. Die Landesdatenschutzbehörde verhängt 10.000 Euro Bußgeld. Der GmbH-Geschäftsführer, der den Verkauf durchgeführt hat, wird von seiner Gesellschaft in Regress genommen.
  • Ein Unternehmen klagt vor dem Finanzgericht gegen einen Umsatzsteuerbescheid für einen zurückliegenden Zeitraum. Dabei stellt sich heraus, dass die Belege, die vor einigen Jahren digital archiviert wurden, nicht mehr abrufbar sind. Ohne Nachweise lässt sich das eigentlich sehr aussichtreiche Verfahren nicht gewinnen, das Unternehmen zu einer Steuernachzahlung in sechsstelliger Höhe verurteilt. Einer der Gesellschafter verklagt den Geschäftsführer auf Schadenersatz.

Compliance und IT-Compliance

Anders ausgedrückt: Wenn Sie Geschäftsführer oder Vorstand einer Kapitalgesellschaft sind, besteht für Sie durchaus ein sehr reelles Risiko, persönlich mit Schadenersatzansprüchen für Cyber-Schäden des Unternehmens konfrontiert zu werden und dafür mit dem eigenen Vermögen zu haften.

Der Grund ist einfach: IT-Compliance ist als umfassende Management-Aufgabe ein Teil der gesamten Compliance-Pflichten. Wie auf anderen Risikofeldern – Korruption, unternehmensinterne Diskriminierung, Steuerrecht etc. – gehört es auch bei der IT-Sicherheit zum Verantwortungsbereich des Managements, durch die unternehmensinterne Steuerung der Prozesse die Gefahren von vornherein einzugrenzen und die systematische Befolgung von Regeln sicherzustellen.

Ich möchte in diesem zweitteiligen Beitrag zur IT-Compliance zeigen, warum das Szenario persönlicher Haftung für Cyber-Schäden keine Panikmache ist, sondern ernstgenommen werden muss:

  • Im ersten Teil geht es um Compliance und Haftung allgemein. Die Gefahr, für Unternehmensschäden persönlich in Haftung genommen zu werden und dabei seine gesamte Existenz zu verlieren, wird nach wie vor von vielen Führungskräften unterschätzt. Sie ist aber sehr real, wie sich an konkreten Beispielen zeigen lässt.
  • Im zweiten Teil sind speziell IT-Compliance und Haftungsrisiken rund um IT-Sicherheitsverletzungen Thema – und die Frage, wie diese Risiken sich wirksam verringern lassen.

Compliance

Sowohl AG-Vorstände wie auch GmbH-Geschäftsführer sind gesetzlich dazu verpflichtet, ein Überwachungssystem einzurichten, mit dem sich Entwicklungen, die den Fortbestand des Unternehmens gefährden können, frühzeitig erkennen lassen. Compliance ist auch Teil des Lageberichts einer Kapitalgesellschaft. (§§ 289, 315, 317 Abs. 2 HGB). Bei börsennotierten AGs müssen die Wirtschaftsprüfer auch die Risikofrüherkennungssysteme kontrollieren (§ 91 Abs. 2 AktG, § 317 Abs. 4 HGB).

Compliance Management ist ein Trendthema. Aber deshalb sollte man nicht darauf schließen, dass es sich dabei nur um eine Modeerscheinung handelt. Die Zahl der Veröffentlichungen ist kaum überschaubar, das Gleiche gilt für Beratungsangebote, Schulungen und den Softwaremarkt für Compliance-Management-Systeme.

All das ein klares Zeichen für den real existierenden Bedarf. Vorstände und Geschäftsführungen benötigen funktionierende Compliance-Lösungen, unabhängig von der Größe der von ihnen geführten Unternehmen.

Compliance Management bedeutet sicherzustellen, dass regelkonformes Verhalten im Unternehmen nicht allein vom Zufall oder dem guten Willen Einzelner abhängt. Die Regeln und Anforderungen müssen zum einen explizit gemacht und zweitens in die geschäftlichen Prozesse selbst eingebettet sein.

Für ein funktionierendes Compliance Management zu sorgen, gehört zu den Sorgfaltspflichten eines Vorstands beziehungsweise eines GmbH-Geschäftsführers. Gute Compliance ist aber nicht nur Prävention gegen Steuer- und Zollprüfungen oder staatsanwaltliche Ermittlungen. Als ein Messwert für Corporate Governance, die Qualität der Geschäftsführung, wird funktionierende Compliance auch von Analysten honoriert. Die Konditionen für Kapitalaufnahme werden günstiger, Versicherungsprämien fallen niedriger aus, denn Compliance ist immer auch Risikovorsorge.

Grundlage der Haftung: die Geschäftsleiterverantwortung

Zuständig und verantwortlich für eine funktionierende Compliance sind grundsätzlich immer die Geschäftsführer einer GmbH beziehungsweise die Vorstände einer Aktiengesellschaft. Das ergibt sich aus ihrer Geschäftsleiterverantwortung, die bei GmbH-Geschäftsführern aus § 43 GmbHG und bei AG-Vorständen aus den § 76 Abs. 1 AktG und § 93 AktG folgt. Zudem hat der Vorstand wie erwähnt die ausdrückliche Pflicht zur Einführung eines Überwachungssystems, „damit den Fortbestand der Gesellschaft gefährdende Entwicklungen früh erkannt werden“ (§ 91 Absatz 2 AktG).

Wie weit die Verantwortung reicht, zeigt ein weitreichendes Urteil des Landgerichts München. Die Richter verurteilten einen ehemaligen Siemens-Vorstand zu 15 Millionen Euro Schadenersatz an das Unternehmen. Der Vorwurf: Er hatte kein Compliance-System installiert und damit nicht vorgesorgt, um ein auf schwarzen Kassen beruhendes Schmiergeldsystem zu verhindern (LG München, 10.12.2013, 5 HKO 1387/10). Das Besondere an dem Urteil ist der Umstand, dass diese Missstände gar nicht in den von diesem Vorstand intern verantworteten Bereich fielen.

Das Landgericht dehnte die Compliance-Pflicht also über den Geschäftsbereich eines einzelnen Vorstands hinaus auf die gesamte Vorstandsverantwortung aus. Das Strafgesetzbuch enthält in § 299 StGB das klare Verbot, Bestechungen im Geschäftsverkehr einzufädeln und abzuwickeln. Die Rechtsprechung macht es dem Vorstand einer AG und der Geschäftsführung einer GmbH zur Aufgabe, dafür Sorge zu tragen, dass Straftaten im Unternehmen erst gar nicht möglich sind. Das wurde dem ehemaligen Siemens-Vorstand zum Verhängnis.

Diese Pflicht zum Risikomanagement gilt auch für die Prävention von Cyberstraftaten und IT-Havarien.

Selbst wenn Compliance-Verstöße oder andere Pflichtverletzungen dazu führen, dass man persönlich in Haftung genommen wird, muss das nicht das Ende der eigenen wirtschaftlichen Existenz bedeuten. Und zwar dann nicht, wenn man über eine D&O-Versicherung (Geschäftsführer-Haftpflichtversicherung) abgesichert ist. Fragen Sie uns: 030 863 926 990

Cyber-Versicherungen: Es rollt – aber nicht immer in die richtige Richtung

Seit etwa drei Jahren sind Cyber-Versicherungen unser Hauptthema als Versicherungsmakler. Am Anfang war das nicht unbedingt ein Selbstläufer. „Wieso versichern? Wir haben doch unsere IT-Leute. Und Virenschutz und eine Firewall.“ – so klang es oft. Das hat sich geändert.

Geschäftsleute hören schließlich auch Nachrichten. Es hat sich herumgesprochen, dass Datendiebstahl und Computer-Havarien beim Mittelständler um die Ecke genauso vorkommen wie bei Weltkonzernen. Dass trotz ausgefeilter IT-Sicherheit ein Restrisiko bleibt. Und dass eine erfolgreiche Cyber-Attacke nicht nur Unternehmensdaten und Reputation, sondern auch Bilanz und Rating beschädigen kann, wenn keine Versicherung das Unternehmensergebnis rettet.

Dazu kommt der steigende Regulierungsdruck: EU-Richtlinien und Bundesgesetze bringen neue Sicherheits- und Informationspflichten. Selbst eine Vorgabe wie die Qualitätsmanagement-Norm ISO 9001 macht inzwischen Risikomanagement zur Pflicht. Natürlich geben Großunternehmen diesen Druck fleißig an Auftragnehmer und Zulieferer weiter. Denn jede neue Vorschrift führt ja auch zu neuen Haftungsrisiken.

Die Folge dieser Entwicklungen sehe ich täglich: Inzwischen verstehen meine Gesprächspartner, wozu die Cyber-Versicherungen gut sind, die acant vermittelt. Ich könnte glücklich und zufrieden sein. Statt dessen ich mache mir schon wieder Sorgen …

Etwas Hintergrund: Versicherungsbranche zwischen Angst und Hoffnung

Große Versicherungskonzerne wie die Allianz oder auch Hiscox investieren derzeit viel Geld, um das Produkt Cyber-Versicherungen im Markt zu positionieren. Die Versicherungsbranche weiß, dass hier noch viel Potenzial steckt. Die gute alte „Münchner Rückversicherungsgesellschaft“, heute unter dem schnittigeren Namen „Munich Re“ einer der weltweit führenden Rückversicherer und mit Töchtern wie Ergo auch am Erstversicherungsmarkt ein Riese, erwartet bis 2020 ein weltweites Marktvolumen von acht bis zehn Milliarden US-Dollar. Das ist eine Verdreifachung innerhalb von fünf Jahren. Auf Deutschland bezogen fäll die Wachstumsprognose noch viel steiler aus, weil hier gegenüber den USA noch großer Cyber-Nachholbedarf herrscht.

Gleichzeitig gibt es in den Versicherungsgesellschaften intern genug warnende Stimmen. Die Cyberrisiken sind nicht nur für die Versicherungskunden bedrohlich – sie sind auch für die Versicherungsbranche nicht ohne. Wenn erst einmal praktisch alle Unternehmen versichert sind, gleichzeitig aber auch jeder Kühlschrank, jedes Auto und jeder Container vernetzt ist, dann kann ein einziger Trojaner globale Schäden anrichten wie sonst nur Wirbelstürme oder Erdbeben.

Dazu kommt, dass Cyber-Policen ein neues Produkt sind. Die Versicherer haben für ihre Kalkulation keine Schadensstatistiken, die Jahrzehnte zurückreichen. Und noch schlimmer: Das Produkt Cyber-Police erfordert – außer bei Freelancern und kleineren Unternehmen – einiges an individueller Bestandsaufnahme, Anpassung und Beratung. Cyber-Versicherungen für Unternehmen lassen sich nicht unbedingt am Telefon oder per Internet verkaufen.

Die Reaktion der Versicherer besteht darin, die Cyber-Versicherungsprodukte so rasch wie möglich weiter zu entwickeln und auszudifferenzieren. Spezielle Branchenpolicen rücken immer mehr in den Horizont, beispielsweise Cyberversicherungen speziell für Online-Shops oder Rechtsanwälte. Und generell herrscht im Bereich des Kleingedruckten der Verträge viel Bewegung – wenn man nur darauf achtet.

Viele Kunden werden unzufrieden sein

Und damit sind wir bei dem, was mir Sorgen macht: Auch Unternehmenskunden achten zu wenig auf das Kleingedruckte, obwohl es darüber entscheidet, ob eine Versicherung eine gute Investition darstellt oder verlorenes Geld.

In den nächsten Jahren werden viele Unternehmen Cyber-Versicherungen abschließen – und ein guter Teil dieser neuen Versicherungskunden wird später sehr unzufrieden sein. Dabei ist die Versicherung selbst sehr sinnvoll, die Unternehmen brauchen diesen Schutz. Aber viele der Policen werden nicht zum Versicherungsbedarf passen. Es wird zu Unter- oder Überdeckungen kommen. Und oft werden Nebenleistungen wie die Vermittlung von IT-Notfallteams fehlen oder qualitative Mängel aufweisen.

Das ist teuer und ärgerlich für die Versicherten. Und es ist schlecht für uns als Makler, denn damit droht ein kompletter Produkttyp in Verruf zu geraten. Dabei könnte es auch ganz anders sein.

Cyber-Policen bündeln verschiedene Deckungen

Wer Cyber-Versicherungskunde wird, kauft einen neuen Typ Versicherung: Sie deckt nicht nur ein neues Feld von Risiken ab, sondern auch unterschiedliche Risikotypen.

Ein traditioneller Versicherungsvertrag bezieht sich entweder auf Eigenschäden oder auf Drittschäden/Schadenersatzansprüche oder auf Rechtsschutz. Die Cyber-Versicherung bündelt jedoch Deckungen für alle diese Risiken, eingegrenzt auf IT-/Daten-/Computerschäden.

Und sie packt noch etwas dazu, jedenfalls bei guten Produkten: Schnelle Dienstleistungen im Schadensfall. Das ist besonders wichtig, denn wenn plötzlich Ihre Unternehmens-IT ausfällt, dann muss schnell ein Forensiker her: Er klärt, wer oder was den Schaden wie verursacht hat, damit man diese Lücke schnell stopfen kann. Außerdem werden IT-Fachleute gebraucht, die verlorene Daten wiederherstellen und Systeme neu installieren. Juristische Fachleute müssen klären, welche Informations- und Handlungspflichten bestehen und wie man auf Ansprüche Dritter reagiert. Und, ganz wichtig: In vielen Fällen ist Krisen-PR gefragt, weil die Medien und soziale Netze überkochen, auch dafür braucht man Fachleute.

Das Bündel: Chance oder Belastung

Dieses Bündel an Deckungen und Diensten macht Cyber-Versicherungen sehr komplex. Im besten Fall sind damit alle Risiken abgedeckt, für den Schadensfall ist vorgesorgt. Aber: Jeder dieser Aspekte kann auch Probleme machen.

Die Versicherung kann zu wenig Schutz bieten. Viele Policen, die angeboten werden, bringen nicht alle genannten Elemente mit. Zum Beispiel bieten einige namhafte Versicherungsgesellschaften keine Dienstleister im Schadensfall, weil sie die entsprechenden Netzwerke und Erfahrung nicht haben. Das muss man aber wissen. Andere Versicherer verkaufen Policen, die zu einseitig auf Eigenschäden oder nur auf Drittschäden ausgerichtet sind.

Die Police kann zu viel versichern – und damit zu teuer sein. Nicht jedes Unternehmen braucht die Standarddeckungen in jedem Bereich. Wer keine Produktion hat, muss auch keinen Produktionsausfall versichern. Wenn Sie kaum persönliche Daten Dritter speichern, muss das datenschutzrechtliches Risiko nicht teuer abgedeckt werden.

Außerdem sind die entsprechenden Bausteine oft bereits in anderen betrieblichen Versicherungen enthalten. Wenn das Unternehmen schon umfassenden Rechtsschutz abgeschlossen hat, muss dieser Baustein nicht noch einmal in der Cyberversicherung enthalten sein, wo er dann ja auch ein zweites Mal kostet.

Entscheidend: der genaue Blick – und ein guter Makler

Nicht in jedem Fall ist die Cyber-Versicherung von der Stange schlecht. (Sonst würden wir nicht selbst ein Formular anbieten, mit dem Sie sich in wenigen Minuten zum Antrag auf Cyberversicherung klicken können.) Aber wenn das Unternehmen etwas größer oder das Geschäftsmodell in irgendeiner Weise unkonventionell ist, dann lohnt es sich, einen Versicherungsmakler anzurufen, damit

  • der Versicherungsschutz wirklich genau zu Ihrer Risikoexponierung passt
  • sowohl Überversicherung wie Unterversicherung ausgeschlossen werden (beides ist teuer)
  • Ihr Versicherer im Versicherungsfall auch wirklich schnelle Hilfe bietet

Um dieses Ergebnis sicherzustellen, muss der Makler Ihre Geschäftstätigkeit ebenso unter die Lupe nehmen wie die bestehenden Versicherungsverträge. Er wird das Risiko so ausschreiben, dass der Versicherer fehlende, aber benötigte Bausteine im Versicherungsvertrag ergänzt oder überflüssige Deckungen streicht. Und er wird darauf achten, dass die Policen aktuell und passend bleiben, denn weil Cyber-Versicherungen noch so neu sind, schrauben die Versicherer viel an den Details herum, so dass sich die Bedingungen immer wieder ändern. Auch darauf muss man achten.

Es gibt nicht sehr viele Versicherungsmakler, die sich mit dieser Materie wirklich gut auskennen: die wissen welcher Versicherer wo seine Stärken hat und wie man im Schadenfall dafür sorgt, dass die Schäden minimiert werden. Ich würde sagen: In Deutschland existieren davon eine Handvoll. Ich glaube, in aller Bescheidenheit: Einer davon sind wir.

Sie können also auch bei uns anrufen, ganz unverbindlich, um Fragen zu stellen und das Thema auszuloten. Bringen Sie ein wenig Zeit mit, damit wir Ihr Unternehmen kennenlernen können. Im Gegenzug werden wir uns Zeit für Sie nehmen. Denn falls wir Ihren Versicherungsvertrag vermitteln, dann sollen Sie damit zufrieden sein. Langfristig.

Cyber-Versicherung: Ausschluss als Falle

Stolperstein Versicherungsausschluss

Vieles an der Cyber-Versicherung ist neu. Der Querschnittscharakter etwa: Haftpflicht, Eigenschäden, Vertrauensschäden und Rechtsschutz in einer einzigen Police.

Manches ist dagegen so wie immer schon: Etwa die Tatsache, dass der Ausschluss eines bestimmten Versicherungsfalls zur Versicherungsfalle werden kann.

Zwei typische Beispiele:

  • Es gibt zum Beispiel Cyberpolicen, in denen nur zielgerichtete Angriffe versichert sind. Ein sich unkontrolliert verbreitender Computervirus legt Ihr Unternehmen lahm? Pech gehabt.
  • Oder der Ausschluss bezieht sich darauf, dass einer Ihrer Mitarbeiter vorsätzlich handelt. Ein jähzorniger Angestellter quittiert die Kündigung dadurch, dass er Ihre Auftragsdatenbank sabotiert oder alle Projektdaten löscht? Pech gehabt.

Wobei: Pech ist das falsche Wort. So etwas ist ja kein Schicksal, sondern falsche Beratung. Es gibt auch Versicherungsangebote ohne diese Ausschlüsse. Man muss sie allerdings kennen.

Mit anderen Worten: Sie sollten sich an einen Fachmakler für Cyber-Versicherungen wenden. Zum Beispiel an uns, die acant service GmbH. Sie erreichen uns unter 30 863 926 990.

Was deckt eine Cyberversicherungen eigentlich ab?

Für die klassischen betrieblichen Versicherungen wird der Versicherungsschutz nach Sparten definiert: Gegen Feuer eine Sachversicherung, gegen Ansprüche Dritter eine Haftpflicht-Police, gegen Schäden in der EDV eine technische Versicherung  usw.

Bei der Cyberversicherung wirkt zählt dagegen der Gedanke, dass  es nicht darum geht, einzelne mögliche Ursachen für Schäden an Daten, Netzwerken, Hardware, Steuerungen etc. als einzelne Schadensszenarien zu versichern und eine Vielzahl von Spartenversicherungen einzeln abzuschließen. Daten und Systeme sind vielmehr per se anfällig, und immer neuen Risiken ausgesetzt, sie müssen deshalb umfassend gegen unerlaubten Zugriff, Schäden und Ausfälle versichert werden.

Schließlich kann es dem geschädigten Unternehmen letztlich egal sein, ob ein Hacker, ein unzufriedener Mitarbeiter oder technisches Versagen die unersetzliche Datenbank zerstört hat. Und auch die Forderungen der Vertragspartner, die Kosten für das Neuaufsetzen der Datenbank, die juristischen Folgen und die durch die Panne entstehenden Marktverluste summieren sich letztlich zu einem Gesamtschaden, der die Bilanz verhagelt.

Deshalb sollte Cyber-Versicherungsschutz dem Risiko entsprechend umfassend konzipiert sein.

(Nicht vorhandene Risiken sollten dagegen tatsächlich nicht versichert sein – denn das kostet ja Geld.)

Und wie gesagt: Gerne beantworten wir Ihre Fragen zum Thema auch persönlich.

Kommunale IT-Dienstleister, Cyber-Risiken und Haftungsrisiko

Technik ist immer nur ein Teil der Absicherung

Das Bewusstsein für Cyber-Gefahren wächst, auch und gerade in Verwaltungen und öffentlichen Einrichtungen. Neue Gesetze, Maßnahmen und Initiativen sollen Sicherheit schaffen. Das ist natürlich grundsätzlich positiv. Allerdings werden die IT-Dienstleister, die für Kommunen und ihre Verwaltungseinrichtungen und Versorgungsbetriebe tätig werden, dadurch vor neue Anforderungen gestellt. Parallel dazu steigt durch die juristische Entwicklung ihr Risiko, mit Haftungsansprüchen konfrontiert zu werden.

Deshalb sollten auch kommunale IT-Dienstleister ihr Interesse nicht nur auf Technologien und Strategien für Intrusion Detection, Disaster Recovery, Data Loss Prevention und ähnliches mehr legen. Technische und organisatorische Standards sind natürlich ein zentraler Teil der IT-Sicherheit. Eine wichtige Rolle können aber auch Versicherungen spielen, die vor den finanziellen Schäden und Haftungsansprüche nach einem Cyber-Angriff oder einer IT-Panne schützen, sowohl im eigenen Haus als auch beim Kunden.

Risikomanagement durch Versichern kommt in der IT-Sicherheitsdebatte oft sehr kurz. Dabei kann ein zusätzlicher Schutzring aus einer geeigneten Cyber-Police sowie aus Haftpflichtversicherungen für den IT-Betrieb und seine Geschäftsführung existenziell wichtig werden. Und zwar schon deshalb, weil eine Versicherung weder durch neue Angriffstechniken noch durch dumme Zufälle ausgehebelt werden kann – ein großer Unterschied zu jeder Technologie.

Das Risiko ist nicht mehr zu ignorieren

Auch bei Kommunal- und Stadtverwaltungen, städtischen Versorgern und anderen Verwaltungseinrichtungen entwickelt sich spätestens jetzt ein Bewusstsein dafür, wie gefährlich Cyber-Angriffe und IT-Havarien sind. Schließlich reagieren Bürger auf leichtsinnigen Umgang mit ihren Daten eben so allergisch wie auf den Ausfall öffentlicher Dienste.

Die Presse dagegen freut sich über solche Fälle: Dass die Berliner Bürgerämter durch eine neue Meldewesen-Software im Februar zunächst nicht entlastet, sondern erst recht lahmgelegt wurden, war wochenlang Medienthema: Selbst die ordnungsgemäße Durchführung der Wahlen sei bedroht, war zu lesen. Für die Politiker der Hauptstadt, das Berliner kommunale IT-Dienstleistungszentrum ITDZ oder den namentlich erwähnten Software-Hersteller keine angenehme Lektüre.

Ein anderes Beispiel liefert der Erpressungstrojaner Locky, der in Nordrhein-Westfalen auch in sechs Kliniken Dokumente und Verzeichnisse verschlüsselte und so den Klinikablauf massiv störte. Das war dann nicht nur Thema in den Abendnachrichten im Fernsehen, es rief auch das Landeskriminalamt auf den Plan, das in einer Pressemitteilung zu mehr Sicherheitsbewusstsein aufrief.

Dabei ist das Problem ja längst bekannt, und es tut sich auch etwas. Schon 2014 hat der Deutsche Städtetag einen Leitfaden zur Ausgestaltung der Informationssicherheitsleitlinie in Kommunalverwaltungen veröffentlicht, den die Arbeitsgemeinschaft kommunaler IT-Dienstleister (Vitako) erarbeitet hat. Die IT-Sicherheitsbeauftragten von Ländern und Kommunen arbeiten seit geraumer Zeit in einem eigenen Arbeitsforum bundesweit zusammen. Und in Hessen wurde vor kurzem ein Kommunales Dienstleistungszentrum Cybersicherheit initiiert, das die Kommunen beraten soll.

Dazu kommt das IT-Sicherheitsgesetz

Und natürlich ist da auch das neue IT-Sicherheitsgesetz. Die Kommunalverwaltungen selbst fallen zwar nicht unter die darin erfassten Betreiber kritischer Infrastrukturen, sie sind jedoch ausdrückliche Adressaten des KRITIS-Projekts. Und von den kommunalen Versorgungsbetrieben werden viele zum Kreis der KRITIS- Unternehmen zählen, die auf ein Informations-Sicherheits-Management-System (ISMS) nach Maßgabe von ISO 27001 verpflichtet werden.

Die genaue Abgrenzung der KRITIS-Unternehmen ist noch nicht vollständig,  die gerade beschlossene erste Kritis-Verordnung betrifft zunächst nur die Teilbereiche Energie, IT /TK, sowie Wasser und Ernährung. Nicht für die Betreiber entsprechender Anlagen liegt die Latte damit höher, auch für ihre Dienstleister und Auftragnehmer im IT-Sektor.

Für die IT-Dienstleister wächst das Haftungsrisiko – in mehrfacher Hinsicht

Von der Verwaltung beauftragte IT-Dienstleister der öffentlichen Hand stehen damit vor neuen Herausforderungen und neuen Haftungsrisiken. Das Gleiche gilt für öffentlich-rechtliche Kommunal- und Eigenbetriebe im IT-Bereich.

  • Zum einen steigt mit jedem neuen Cyber-Angriff die Gefahr, in Haftung genommen zu werden, und das um so mehr, je unverzichtbar die IT-Systeme sind, die der Anbieter liefert, installiert oder betreut. Wenn ein Hacker zuschlägt oder es zu einer Datenpanne kommt, kann daran auch ein bislang vertrauensvolles Verhältnis zum öffentlichen Kunden zerbrechen – um so mehr, wenn zum wirtschaftlichen  noch politischer Druck kommt.
    Aus einem echten oder vermeintlichen Programmierfehler oder einer mangelhaft implementierten Sicherheitsfunktion werden dann schnell Schadenersatzforderungen, die die Anwälte beschäftigt halten und dem Dienstleister große Kosten und viel Ärger einbringen können.
  • Neue verpflichtende Zertifizierungen und IT-Sicherheitslevel erhöhen das Haftungsrisiko für die Dienstleister auch schon per se. Wenn Kommunen und ihre Versorgungsbetriebe IT-Sicherheitsleitlinien erlassen, ISO 27001-Zertifizierungen oder IT-Grundschutzlevel fordern, ergeben sich für die Dienstleister, Systemhäuser sowie Software- und Hardware-Zulieferer ja nicht nur inhaltlich neue Anforderungen. Für sie entsteht auch ein zusätzliches Risiko, Pflichtverletzungen zu begehen, denn sie werden ja gesetzlich oder vertraglich auf das entsprechende Sicherheitsniveau verpflichtet.
  • Und dabei geht es nicht nur um die Haftung des Unternehmens oder Betriebs, sondern auch um eine persönliche Haftung der Verantwortlichen. Wenn ein Unternehmen von Gesetzes wegen, durch verbindliche Leitlinien für Informationssicherheit oder durch Verträge auf besondere Standards in der IT-Sicherheit festgelegt ist und diese nicht einhält, dann muss sich sehr schnell auch die Geschäftsführung verantworten.
    Eine solche Inanspruchnahme kann Existenzen vernichten: 2013 verurteilte das Landgericht München einen ehemaligen Siemens-Manager dazu, seinem früheren Arbeitgeber 15 Mio Euro Schadensersatz zu zahlen, weil er nicht für Compliance in den Geschäftsabläufen gesorgt hatte.

Gegenmittel: Unternehmen und Geschäftsführung gezielt versichern

  • Persönliche Haftung:Um die mögliche persönliche Haftung abzudecken, die schnell in existenzgefährdende Bereiche gehen kann, sollte der Vorstand oder die Geschäftsführung durch eine sogenannte D&O- Police (Managerhaftpflichtversicherung) und gegebenenfalls eine Managerrechtsschutzversicherung geschützt sein.
  • Unternehmensrisiken:Aber natürlich benötigt auch der Betrieb selbst Versicherungsschutz für den Fall einer Cyber-Attacke oder IT-Havarie – schließlich ist diese immer mit Kosten verbunden. Da diese Kosten nicht planbar und auch nicht aus Rückstellungen finanzierbar sind, bleibt nur, sie im Schadensfalls aus dem Budget, d. h. aus dem Cash Flow heraus zu bezahlen – oder aber man fängt das Risiko durch planbare Versicherungsbeiträge für eine Cyber-Versicherung auf, die zudem die Steuerlast senken. Aus betriebswirtschaftlicher Sicht und im Hinblick auf den Bilanzschutz ist das natürlich vorteilhafter.Dabei ist das Schadenspotenzial beträchtlich: Es umfasst Eigenschäden wie die Forensik zur Aufklärung des Vorfalls, die Kosten für die Wiederherstellung von Daten und Systemen, Maßnahmen zur Wiederherstellung der beschädigten Reputation und Anwaltskosten. Dazu kommen Schadenersatzforderungen und Haftungsansprüche, wenn Daten Dritter kompromittiert oder vertragliche Verpflichtungen nicht eingehalten werden.

Wenn die Versicherung nicht zur individuellen Situation passt, bietet sie keinen Schutz

Natürlich haben Betriebe im Regelfall bereits typische betriebliche Versicherungen abgeschlossen. Bestehende Sachversicherungen wie Feuer-, Elektronik- oder Maschinenversicherungen sowie die vorhandenen Betriebshaftpflichtversicherungen decken Schäden aus Cyber-Risiken jedoch nur unzureichend oder gar nicht ab. Haftpflichtpolicen beispielsweise greifen nicht, wenn der Schaden ohne eigenes Verschulden eintrat. Maschinen- und Elektronikversicherungen versichern im Regelfall keine Schadensersatzansprüche Dritter. Genau deshalb ist seit einigen Jahren das Produktspektrum der Cyber-Versicherungen entstanden, dass die Folgen digitaler Angriffe im Querschnitt abdeckt – eigene Schäden, Schadensersatzforderungen Dritter und eigene Rechtskosten.
Allerdings ist der Absicherungsbedarf immer sehr individuell. Einer der Gründe dafür, dass Unternehmen wie Kommunen sich für die Cyber-Versicherung nur allmählich erwärmen, liegt sicher im Misstrauen gegenüber Standard-Lösungen begründet. Wer gut beraten wird, muss sich darum allerdings nicht sorgen – schließlich gehört es zur Verantwortung eines Fach-Versicherungsmaklers, die Bausteine einer Police genau zum Risikoprofil des Kunden passend zu kombinieren und kritische Punkte mit den Versicherern individuell nachzuverhandeln. Dabei sollte der Makler auch dafür sorgen, dass bereits durch vorhandene Versicherungen abgedeckte Teilrisiken nicht ein zweites Mal versichert werden.

Was eine gute Cyber-Versicherung leisten sollte: Deckungen und Leistungen im Überblick

So lassen sich aus einem ganzen Spektrum einzelner Bausteine Risiken gezielt abdecken. Eine gute Police umfasst etwa folgende Punkte, soweit diese für den Versicherungsnehmer relevant sind:

Kriminalitätsrisiken, etwa

  • Angriffe durch Viren, Würmer oder Hacker
  • unautorisierter Zugriff durch Mitarbeitern auf das Finanz- und Sachvermögensschäden
  • Erpressungen und Lösegeldforderungen
  • „Kapern“ von EDV-Systemen zur Durchführung krimineller Handlungen

Schädigungen Dritter, z. B.

  • Diebstahl und Manipulation von Daten Dritter
  • Diebstahl von Know-how Dritter
  • Schadenersatzansprüche Dritter wegen Urheberrechtsverletzungen

Vermögensschäden, etwa durch

  • Betriebsunterbrechung durch Hardware-Schäden oder DoS-Attacken
  • Nichtverfügbarkeit des Cloud-Service bzw. des fremden Server-Dienstleisters
  • Mehrkosten durch veränderte Betriebsabläufe
  • Wiederherstellung des Unternehmensimage
  • Ermittlungen durch Datenschutzbehörden

Folgende Kosten sollte eine Cyber-Versicherung abdecken, soweit das Risiko in Ihrem Fall relevant ist:

  • Kosten für forensische Untersuchungen
  • Benachrichtigungen aller Betroffenen bei Datenschutzverletzungen (gesetzlich vorgeschrieben)
  • Öffentlichkeitsarbeit, Maßnahmen zur Wiederherstellung der Reputation
  • Kosten bei Erpressung
  • Beauftragung einer Sicherheitsfirma
  • Erstattung von Lösegeldzahlungen
  • Vermögensschaden-Haftpflicht aufgrund von Datenrechtsverletzung (z. B. Markteinbußen des Kunden)
  • Inanspruchnahme durch einen Dritten
  • Verletzung der Persönlichkeitsrechte Dritter durch Online-Inhalte
  • Ersatz und Wiederherstellung von Daten
  • Absicherung des Ertragsausfalls

Fazit

Die stark steigende Zahl von Cyber-Angriffen übt auch auf kommunale IT-Dienstleister Druck aus. Die Anbieter müssen sich nicht nur mit dem wachsenden Bedrohungsrisiko auseinandersetzen, sondern auch mit einem zunehmend stärker reglementierten Umfeld. In dieser Situation kann Versicherungsschutz ein wichtiger Teil des Risikomanagements sein. Allerdings bringen Versicherungen nur dann ein Plus an Sicherheit, wenn sie sich wirklich an der individuellen Situation des Betriebs ausrichten.

Falls Sie Fragen haben:

Haben Sie Interesse an Cyber-Versicherungen oder konkrete Nachfragen? Wir von der acant.service GmbH sind Spezialmakler für Cyber-Policen und D&O-Versicherungen. Sprechen Sie uns einfach an – wir stehen zu Ihrer Verfügung. Telefon: 030 863 926 990

Versicherung gegen den Diebstahl elektronischer Gelder und Wertpapiere

Der Markt für Cyberversicherungen ändert sich oft und rasch. Die Versicherer geben sich Mühe, den wahren Bedarf der Unternehmen und die tatsächliche Risikolandschaft genau zu analysieren und ihre Produkte entsprechend anzupassen.

Der Diebstahl elektronischer Gelder und Wertpapiere ist ein solcher Versicherungsbedarf, dem die bisherigen Versicherungspolicen gegen Cyber-Kriminalität nicht immer gerecht wurden. Das Sublimit in den Cyberversicherungen für diese Art Schaden betrug meistens 250.000 Euro. (Sublimit bedeutet: Im Schadensfall kann zwar insgesamt mehr ausbezahlt werden. Aber für den Diebstahl von elektronischen Geldern gibt es höchstens die im Sublimit festgelegte Summe.) In Zeiten, in denen Fälle von Bitcoin-Diebstahl im Wert von über 350 Mio. US-Dollar Schlagzeilen gemacht haben, war das zu wenig.

Jetzt hat ein großer Versicherer das Sublimit für seinen Versicherungs-Baustein Cyber-Diebstahl auf bis zu 50 % der Versicherungssumme und maximal 2,5 Mio. Euro hochgesetzt, Damit können Unternehmen Ihre digitalen Depots angemessen gegen Diebstahl absichern.

Wenn Sie Interesse an oder Fragen zu dieser Art Versicherung haben, dann rufen Sie uns doch einfach an (030 863 926 990 ) oder schicken Sie uns eine Nachricht.

Cyber-Attacken in den Medien – und in der Realität

„Erst die ganzen NSA-Geschichten, dann der Sony-Hack aus Nordkorea, dann  werden Millionen Datensätze von US-Regierungsangestellten geklaut und jetzt ist das komplette IT-Netz des Bundestags im Eimer. Ständig Cyber-Attacken in den Nachrichten, eine unglaublicher als die andere – beste Werbung für Sie, stimmt’s?“

Das glauben viele. Stimmt aber nicht.

Solche Meldungen bestärken den Irrglauben, dass Cyber-Attacken vor allem Regierungsstellen und internationale Multis gefährden. IT-Sicherheitsverletzungen sind auch für KMU ein großes und wachsendes Problem. Aber es steht halt nicht in der Zeitung, wenn beim Mittelständler nebenan ein Notebook mit Kundendaten oder vertraulichen Projektbeschreibungen verloren geht.

Dass hinter IT-Sicherheitsverletzungen  meist hochspezialisierte Geheimdienstprofis stecken, ist ebenfalls ein Mythos. In Wirklichkeit sind es meist schlampige Mitarbeiter, kleine Kriminelle, technische Pannen und dumme Zufälle, die für Schaden sorgen. Der ist dann trotzdem oft enorm. Aber man kann sich ja Gott sei Dank dagegen versichern, für relativ geringe Kosten.

Wenn Sie mehr wissen wollen oder auch einfach nur Fragen haben, freue ich mich über Ihren Anruf – 030 863 926 990 oder Ihre Nachricht.

Warum Ihr Unternehmen eine Cyber-Police braucht

Ganz einfach: Ihr Unternehmen braucht eine Cyber-Police, damit bei einem Cyber-Angriff oder IT-Zwischenfall …

  1. Ihre Datenbestände versichert sind.
    Kunden-, Buchhaltungs- und Produktdaten sind, anders als Maschinen und Inventar, nicht in den klassischen betrieblichen Versicherungen enthalten.
  2. … Ansprüche Dritter an Sie versichert sind
    Ansprüche, die Kunden im Fall verlorener Kundendaten gegen Sie stellen, sind im Regelfall ohne Cyber-Police nicht abgedeckt. Schadenersatzforderungen aufgrund von im Internet verletzter Urheber- und Persönlichkeitsrechte auch nicht.
  3. … sämtliche Folgeschäden versichert sind
    Betriebsunterbrechung als Teil der Deckung klassischern Unternehmensversicherungen. Aber ohne Zusatz- und Folgekosten wie entgangener Umsatz, Datenrettungskosten, Aufwand für Krisen-PR, anwaltliche Beratung, Information aller Betroffener, Reputationsverlust, Rechtsstreitigkeiten etc.
  4. … Spezialisten für den Ernstfall bereitstehen, die Ihrem Unternehmen schnell helfen.
    Weil auch den Versicherungsgesellschaften daran gelegen ist, den Schaden gering zu halten, vermittelt man Ihnen im Schadensfall schnell Hilfe, z. B.  IT-Sicherheits- und Datenrettungsexperten, Anwälte und PR-Berater.

Übrigens: Der Zusatzgewinn an Unternehmens- und Planungssicherheit durch eine Cyber-Police kostet Ihr Unternehmen im Normalfall kaum ein Zehntel vom Jahresumsatz. Natürlich sind die konkreten Kosten abhängig vom Einzelfall. Aber selbst kleine Unternehmen mit weniger als einer Mio. Euro Jahresumsatz zahlen für die Cyber-Police nur sehr selten mehr als ein halbes Prozent davon.

Fragen?

Gerne – bitte an fs@acant-makler.de oder 030 863 926 990 oder per Kontaktformular

Cookie-Monster und die Rechtsunsicherheit

In einer idealen Welt würde das Online-Recht klar umsetzbare Vorgaben für Website-Betreiber liefern. Die Wirklichkeit ist weit davon entfernt.

Ein Beispiel von vielen: Ob deutschen Seitenbetreiber jedes Mal vorher um Erlaubnis fragen müssen, bevor sie Cookies setzen, ist höchst umstritten. Die Konferenz der Datenschutzbeauftragten von Bund und Ländern neigt natürlich zur restriktiven Sicht. Ob der BGH zustimmen würde, weiß keiner, jedenfalls bis jetzt. Die Folge ist wieder einmal Rechtsunsicherheit.

Versicherungen sind kein Allheilmittel dagegen – aber sie können das Risiko durchaus begrenzen, auch wenn das nicht allgemein bekannt ist. Die Versicherer bieten entsprechende Produkte unter ganz unterschiedlichen Namen an (Cyber-Versicherung, Media-Police, IT-Safe Care – um ein paar Beispiel zu nennen.) Die genauen Deckungsvereinbarungen muss man sich im Einzelfall anschauen. Aber grundsätzlich lässt sich der Schaden versichern, der entsteht, wenn Ihnen jemand aus den  Cookies Ihrer Unternehmenswebsite einen Strick drehen bzw. einen Verstoß gegen Datenschutzrecht konstruieren will. Zumindest solange, wie die Cookie-Zustimmung noch nicht allgemeiner Standard in Deutschland ist und die fehlende Abfrage nicht als grob fahrlässig ausgelegt werden kann.

Man könnte fast sagen: Auch Rechtsunsicherheit ist ein Stück weit versicherbar.

Die Versicherungskosten der Dortmunder Champions-League-Versicherung

Borussia Dortmund ist, wie man gerade überall (z. B. in der FAZ) lesen kann, gegen das Nichterreichen der Champions League versichert.

Das  zeigt zunächst einmal, dass man wirklich für alle möglichen branchenspezifischen Risiken eine Deckung bekommt – auch in speziellen Branchen.  Als ich vor vielen Jahren in London hospitierte,  war ich zusammen mit einem Versicherungsmakler bei einer Bank, die Interesse an einer „Bilanzausgleichsversicherung“ hatte …

Interessant finde ich aber auch, was zu den Kosten dieser – vom BVB nicht bestätigten – Versicherung gegen sportlichen Misserfolg gesagt wird. Der Artikel vermutet, dass die Versicherungskosten „bei 30 Prozent der Versicherungssumme“ liegen. Ist das dann wirklich gutes Risikomanagement? Auch wenn der Vereinsvorstand jetzt sicher froh ist – wäre das Geld nicht besser renditeträchtig investiert worden?

Nein, eben nicht – denn diese Versicherung ist wie jede Police eine „Wette“, und nur auf den ersten Blick teuer. Erzielte Überschüsse muss die Borussia Dortmund GmbH & Co. KG auf Aktien versteuern. Versicherungskosten sind Betriebsausgaben. Damit reduziert sich der Aufwand betriebswirtschaftlich um die Hälfte.

Außerdem sind Versicherungskosten planbare Kosten. Und die Kosten planbarer Absicherung muss man mit dem vergleichen, was man bei einer Krise ohne Vorbereitung aufwenden müsste.

Deshalb können scheinbar hohen Versicherungskosten betriebswirtschaftlich Sinn machen. Der Zweckbetrieb des Vereins ist geschützt vor außergewöhnlichen Umständen wie Ertragsausfällen oder Bilanzverlusten bei Tabellenplatz 18 und kann auch bei sportlicher Krise seine Gläubiger weiter bedienen. Außerdem erhält er Zeit, einen Sanierungsplan zu erarbeiten. Ohne aktives Risikomanagement wäre bei einem Spitzenverein angesichts der hohen Investitionen und des Fremdmitteleinsatzes wohl spätestens nach zwei bis drei verkorksten Spielzeiten auch finanziell der Abpfiff angesagt.

Oder in Sportreporterdeutsch: Wenn man plötzlich unter Druck gerät, muss man rasch umschalten können.

Stockfotos als Abmahnrisiko – aber eine Cyber-Versicherung schützt

Nehmen wir an, irgendein schlechter Mensch lädt fremde Fotos bei einer Stockfoto-Datenbank hoch, um sie dort zu verkaufen. Oder eine unzuverlässige Werbeagentur dreht dem Kunden Bilder ohne Lizenz an. Der gutgläubige Kunde baut die Fotos auf der eigenen Website ein – und erhält etwas später vom  Fotografen eine Schadenersatzforderung.

Dann sind die Chancen groß, dass bezahlt werden muss. Wer fremde Fotos im Internet nutzt, muss selbst nachprüfen, ob eine lückenlose „Rechtekette“ bis hin zum Fotografen existiert. Er darf sich nicht auf die Zusicherung eines „Zwischenhändlers” verlassen, dass urheberrechtlich schon alles okay sei. Das hat das OLG München vor einiger Zeit ausdrücklich bestätigt (Beschl. v. 15.01.2015 – 29 W 2554/14).

Das man solche „Sorgfaltspflichten” im Geschäftsalltag gar nicht immer umsetzen kann, liegt auf der Hand. Wie soll man  alle Verträge der beauftragten Werbeagentur oder einer Bilddatenbank (vermutlich mit Sitz im Ausland) und aller weiterer Beteiligten kontrollieren?  Zum Glück hilft eine Cyber-Versicherung  auch gegen dieses Rechts- und Abmahnrisiko. Eine Cyber-Police schließt im Regelfall auch Schäden durch Urheberrechtsverletzungen ein. Wenn der Verstoß nicht gerade sehenden Auges begangen wurde, wäre eine solche Schadenersatzforderung also regulierbar.