Cyber-Risk Dritt-/ Eigenschaden
Cyber- Risiken
Zuerst einmal muss unterschieden werden zwischen den Schäden, die einen selbst betreffen (= Eigenschaden) und den Schäden,
die Dritten durch mich entstehen (= Fremdschäden). Die kriminelle Handlung des Angreifers beruht im Wesentlichen auf:
- Diebstahl
- Veränderung
- Erpressung
- Verkauf von Informationen
Wer sollte eine Cyber-Deckung haben?
ALLE Freiberufler, die:
- personenbezogene und vertrauliche Daten speichern, bearbeiten oder verwalten
- digitale Kommunikationsmittel wie Smartphones, Tablets, Pads oder PCs und LapTops BERUFSLICH nutzen
- von Computer-Netzwerken, digitalen Informationen oder dem Internet abhängig sind
- Informationen elektronisch austauschen/ veröffentlichen
Welche Kosten sind u.a. versicherbar?
Der Leistungsumfang einer „Cyber-Risk-Versicherung“ erstreckt sich auf die Leistungsbereiche Eigenschaden und Dritt-/Fremdschaden und damit primär auf Kosten, die nach einem Angriff entstehen und auf Vermögensschäden, die durch „Ihren Beitrag“ Dritten zugefügt werden.
Ein solcher Vertrag übernimmt je nach Versicherer, Tarif und vereinbartem Umfang:
- Kosten für IT-Forensik
- Rechtsberatung
- Informationskosten
- Kreditüberwachungsdienstleistungen
- Kosten für Krisenmanagement
- Kosten für PR-Beratung
- Betriebsunterbrechungsschäden
- Vertragsstrafen (PCI)
- Lösegeldzahlungen
- Wiederherstellungskosten
- Sicherheitsverbesserungen
Welche sind oft nicht versichert?
Auch beim Deckungsumfang einer „Cyber-Risk-Versicherung“ kann es Ausnahmen geben. Regelmäßig sind dies z. B.:
- Verletzungen von Kartell- und Wettbewerbsrecht, sowie Patentrecht
- Schäden aufgrund vorsätzlicher Verursachung
- Auswirkungen von Krieg oder Terror
- Schäden aus einer behördlichen Vollstreckung
- Geldbußen oder Geldstrafen
- Schäden im Binnenverhältnis von Versicherungsnehmer und mitversicherter Person
- Garantiezusagen
Ausdrücklich müssen wir darauf hinweisen, dass die genannten Punkte zu Deckungsumfang und Ausnahmen ausschließlich beispielhaften Charakter haben. Die inhaltlichen und preislichen Angebote der Versicherer am Markt unterscheiden sich sehr!
Trotz unserer Spezialisierung auf die prüfenden, steuer- und rechtsberatenden Berufe müssen die notwendigen Leistungspunkte mit/ von Ihnen definiert werden, damit die Absicherung zum individuellen Risiko Ihrer Kanzlei passt.
Die Komplexität von Cyber-Risiken bedingt, dass der Versicherungsschutz an diese Herausforderungen angepasst werden muss. Zwei wesentliche Bausteine kristallisieren sich zunehmend heraus – der Dritt- und der Eigen-Schaden:
Haftpflicht
Folgende Pflichtverletzungen sind deckungsrelevant:
Datenangriff
Schädigung von Drittsystemen oder unberechtigter Zugang zu einem Drittsystem durch eine Cyber-Attacke auf ein System des versicherten Unternehmens
Rechtsverletzung
Verletzung oder widerrechtliche Verwendung von geistigem Eigentum durch Versicherte aufgrund von Cyber-Aktivitäten dieser.
Ausspähung
Unberechtigter Zugang zu sensiblen, personenbezogenen Daten Dritter über ein System eines versicherten Unternehmens.
Verhinderter Zugang
Beeinträchtigung oder Verhinderung des berechtigten Zugangs von Kunden zu einem System eines versicherten Unternehmens als Folge einer Cyber-Attacke auf die Systeme des versicherten Unternehmens.
Rufschädigung
Verleumdung, üble Nachrede oder jede andere Art der Diffamierung oder Verunglimpfung von Personen, Produkten oder Dienstleistungen oder Beeinträchtigung der Privatsphäre von Personen durch Cyber-Aktivitäten eines versicherten Unternehmens.
Eigenschäden
Versichert sind Eigenschäden im Zusammenhang mit einem Hacker-Angriff, DoS-Attacke, Computermissbrauch, Diebstahl von Datenträgern sowie einer sonstigen Datenrechtsverletzung. Dazu gehören z.B.:
Computer- Forensik- Spezialisten
IT Forensiker unterstützen Sie bei der kriminalistischen Beweissicherung. Sie führen eine forensische Computer- und Datenträgeruntersuchung durch. Mit modernster Hard- und Software kommen sie Tätern auf die Spur. Sie spüren auch eventuelle Sicherheitslecks auf und treffen Maßnahmen zur Datensicherheit.
Benachrichtigungskosten/ Krisenkommunikation
Wird ein Unternehmen ausgespäht, müssen die betroffenen Mandanten/ Personen benachrichtigt werden. Bereits hier liegt häufig der Grund- oder Grabstein der Zukunft der Kanzlei, die richtige Krisenkommunikation zu wählen, um nicht nachhaltig Mandanten zu verlieren. Auf Ihrer Seite, aber ggf. auch auf Mandantenseite entsteht Aufwand, um z.B. Kontodaten, Identifikationsdaten oder Sicherheitscodes zu ändern. Diese Kosten werden übernommen, meist sogar auch die Überwachungsdienstleistung von beispielsweise dem betroffenen Konto.
Kreditschutz- und Kreditüberwachungsservices
Sind die Kreditkarten weg, zieht das auch Folgeschäden nach sich. Denn die Überwachung und der Schutz der verlorengegangenen Karten sind eine wichtige und auch kostspielige Begleiterscheinung
Wiederherstellung von Daten und Netzwerken
Kosten, die im Zusammenhang mit der Wiederherstellung oder Reparatur der IT-Systeme stehen.
Betriebsunterbrechung und Folgeschaden
Hacker blockieren die Homepage/ die E-Mail Accounts. Beim Mandanten geht nichts mehr! Durch die Betriebsunterbrechung werden mehrere Tage lang alle Bestellungs-und Zahlungsvorgänge unterbunden. Die Folge sind spürbare Umsatzeinbrüche.
Cyber-Vandalismus
Das Verändern, Beschädigen, Löschen oder Zerstören von Daten. Dies kann durch einen gezielten Angriff durchgeführt werden oder durch ein mit Trojaner infiziertes Programm.
Cyber-Erpressung
Erpressungen und Lösegeldforderungen waren immer schon wichtige Teile krimineller Aktivitäten. Mit der heutigen, globalen Internet-Wirtschaft haben die Kriminellen ihre Vorgehensweise angepasst und versuchen, mit so genannter “Ransomware” Geld zu erpressen. Ransomware nennt man Schadprogramme, die von Cyberkriminellen genutzt werden, um Geld von ihren Opfern zu erpressen entweder durch das Verschlüsseln von Daten oder durch das Blockieren des Computers.
Reputationsschäden und Kosten für Krisenkommunikation
Die Vernetzung der modernen Welt kann und die typische Ist der gute Ruf eines Unternehmens oder einer Marke ernsthaft bedroht, müssen Gegenmaßnahmen eingeleitet werden. Kosten für Werbemaßnahmen, um das Vertrauen der Kunden nach einem Schaden zu erhalten oder wiederzuerlangen werden übernommen. Ebenso gehört die Erstattung der Kosten für das Krisenmanagement dazu.
Welcher Gefahr stehe ich – oder auch meine Mitarbeiter – gegenüber?
Pro Tag werden rund 350.000 neue Varianten von Schadsoftware im Internet entdeckt, und es werden mehr! Warum: Auf normalen Internetforen sind Anleitungen zu finden, entsprechende Tools wie es geht und Tools in Baukastenform leicht zu finden, welche sich auf diese sechs typischen Gefahrenarten aufteilen lassen:
Trojaner und Würmer
Der Klassiker unter den Cyber-Schädlingen: Viren und Trojaner nisten sich unbemerkt in Computern ein und klauen persönliche Daten und/ oder infizieren E-Mails. Jeden Tag gibt es hunderttausende neue Versionen dieser Schadsoftware, vor denen sich Nutzer mit aktuellen Anti-Viren-Programmen schützen könnten. Das Problem: Ein wesentlicher Teil aller Schädlinge bleibt unbemerkt.
Viren-Baukästen
Viren-Baukästen (Exploit Kits) sind (teilautomatisierte) Programme, die die Entwicklung individueller Schadsoftware ermöglichen und Cyberangriffe praktisch automatisieren. Die Programme können Drive-by-Downloads initiieren und nutzen eine Vielzahl weiterer Verbreitungswege, um Computer zu infizieren. Typisch für Viren-Baukästen ist ihre einfache Handhabung, die sie auch für technische Laien benutzbar macht.
Phishing
Das Ziel: Möglichst viele sensible Daten – wie z.B. Zugangsdaten zur Bank oder Programmen (Datev?) in kurzer Zeit zu bekommen, um dann mit den Informationen Schaden anzurichten. Gefälschte Mails enthalten Links zu Banken, Versicherungen, dem Finanzamt, Online-Händlern, Bezahldiensten, Paketdiensten oder sozialen Netzwerken. Dort geben die Opfer dann nichtsahnend ihre persönlichen Daten preis. Häufig holt sich aber auch ein unerkannter Trojaner die vertraulichen Informationen.
Denial- of- Service-Attacken (DoS-Attacken)
Bei Denial-of-Service-Attacken (Angriffe zur Blockierung eines Dienstes) geht es darum, einen Webserver oder einen Internetdienst so auszulasten, dass er im Internet nicht mehr erreichbar ist. Um das zu erreichen, werden massenhaft Datenpakete an den entsprechenden Server geschickt. Die Attacken werden immer unvorhersehbarer und effizienter, weil sie an unterschiedlichsten Stellen der IT-Infrastruktur ansetzen. Denial-of-Service-Angriffe werden mitunter auch als Ablenkungsmanöver eingesetzt, um gleichzeitig Schadsoftware zu aktivieren und zum Beispiel dann unbemerkt sensible Daten oder geistiges Eigentum in großer Menge zu stehlen.
Physischer Verlust
Genauso gefährlich wie Angriffe auf IT-Systeme ist der Verlust von Datenträgern, die in den seltensten Fällen verschlüsselt sind!
Unerheblich, ob geklaut oder verloren: Notebooks, Tablets, Sicherungen oder Smartphones, sind ideal, um (erste) Daten zu erhalten oder sogar in einem zweiten Schritt dann Systeme anzugreifen. Auch auf (Dienst-) Reisen kommen immer wieder Geräte abhanden und nur ein Teil findet sich wieder ein. Nicht nur der Zugang zu den Geräten sollte durch sichere Passwörter geschützt sein, die Daten sollten verschlüsselt werden. Zudem können Inhalte mit entsprechenden Tools auch aus der Ferne gelöscht werden, sofern das Gerät online ist.
Datenmissbrauch
Zwar ist am häufigsten der betrügerische Missbrauch von Bank- und Kreditkartendaten der Kunden eines Unternehmens, da hiermit sehr schnell Geld ergaunert werden kann, aber der Profi bevorzugt das Ausspionieren eines Unternehmens („Industriespionage“), um verwertbare Informationen hinsichtlich Produkte, Entwicklung oder Unternehmensdaten zu verwerten. Ein sehr guter Angriffspunkt sind hier nicht ausreichend geschulte Mitarbeiter oder feste unternehmensnahe Dienstleister wie der Wirtschaftsprüfer/ Steuerberater oder vermehrt Anwälte, da diese vielfachen Zugang zum Unternehmen haben wie bei Personalfragen, Vertragsgestaltungen oder auch für Patentrechtliche Schritte hinzugezogen werden. Zugang kann der Täter über Schadsoftware (z. B. Keylogger), Hardware (z. B. gestohlener PC) oder über Mitarbeiter (z. B. „geborgten“ Zugang) und deren Kommunikationsmittel wie Smartphones erhalten.
Datenverlust/ Hoheitsverlust
Wichtigste Folge von Cyber-Angriffen ist der Verlust sensibler Daten oder der Verlust der Hoheit darüber. Ganz egal, wie die Informationen abhandenkommen, die Folgen sowohl des Verlustes, aber auch der Veröffentlichung/ Nutzung durch unbefugte Dritte können für die Kanzlei oder/ und den Mandanten verheerend sein. Nahezu harmlos wirkt da der Kreditkarten- Missbrauch, oder wenn beim Online-Banking kleinere Überweisungen getätigt werden.
Der Missbrauch / Verkauf oder die Veröffentlichung sensibler Unternehmensinformationen ist der WorstCase. Manches Unternehmen ist geradezu froh, wenn es nur erpresst wird und gegen Zahlung des erpressten Geldes wieder die Lage kontrollieren kann.
So absurd es klingt, es gibt bereits Profis, die andere Berufsangehörige namentlich als Referenz für Ihre vertrauensvolle Rückgabe der Daten/ Kontrolle benennen, wenn die Zahlung erfolgt ist!
Einwände:
Ich bin geschützt, denn ich habe (gute/ teure/ getestete) Anti-Viren-Scanner:
Die Hersteller der Anti-Viren-Software RE-agieren, sobald Schadsoftware entdeckt wird in dem Sie geeignete Programmcodes entwickeln und die Scanner updaten. Allerdings handelt es sich IMMER um die zeitlich versetzte Reaktion, also den 2. Schritt. Der Schädling hat immer die Nase vorn.
Besteht nicht bereits über ANDERE Versicherungen – SOFERN überhaupt vorhanden –Deckung?
JEIN, denn In der Betriebshaftpflicht sind Ansprüche eines geschädigten Dritten, manchmal auch wegen Datenverlust, Datenveränderung und Datenschutzverletzung, abgesichert. Vielfach will die Versicherungsindustrie dieses Risiko jedoch separat absichern, nachdem vorher umfangreiche Daten zur Risikoeinschätzung und Kalkulation erhoben wurden. Einige Versicherer leisten auch, wenn der VN Persönlichkeits- und Namensrechte verletzt.
JEIN, denn eine Vertrauensschaden Police kommt meist für die IT-Forensik und für die Wiederherstellungskosten nach einem Hackerangriff auf. Es gibt auch Deckungen am Markt, die für die Kosten eines Sicherheits- und PR Beraters aufkommen. Sogar Geld und Vermögenswerte in elektronischer Form sind absicherbar.
JEIN, denn die Kidnap & Ransom (K&R) Deckungen leisten bei Erpressung und Bedrohung. Belohnung für Hinweise zur Ergreifung der Erpresser ist auch Inhalt der Deckung.
Die Ursprünge liegen jedoch mehr in der physischen Bedrohung von Personen und materiellen Gegenständen.
Ich bin bei „….“(z.B.: DATEV/ RAMicro/….)
Aber dies ist doch nur ein Teil Ihrer Ablauforganisation! Das Risiko ist auf den Dienstleister für den gesamten Kanzleibereich & Betrieb nicht ausgelagert! ODER? Gibt es seitens der Datenbankanbieter die schriftliche Zusicherung, dass Sie und die Tätigkeit Ihrer kanzlei umfassend geschützt sind und der Anbieter die Sicherheit „GARANTIERT“.
UNS ist diesbezüglich NICHTS bekannt, was Sie veranlassen könnte anzunehmen, dass es bei den Anbietern und insbesondere darüber hinaus in Ihrem Betrieb in Gänze eine Zusicherung gibt, dass Ihre Daten geschützt sind.
Natürlich versuchen große Datenbankbetreiber mit enormen Aufwand höchste Sicherheit vorzuhalten und trotzdem werden nahezu wöchentlich Fälle von Cyberangriffen auf vergleichbare Weltkonzerne bekannt.
Die wenigsten haben ALLE diese Deckungsbausteine – und reicht das aus? Wir meinen: Nein!, denn es bestehen Weiterhin insbesondere hohe Kostenrisiken für den
- Eigenschäden infolge von Datenwiederherstellung und
- Ertragsausfall sowie
- Kosten für Forensik, für die
- Sicherung der Reputation und der
- Krisenkommunikation