CYBER-VERSICHERUNG

Unfallversicherung

Cyber-Risiken

Cybercrime, also durchs Internet oder Netzwerke begangene Straftaten, sind längst fester, bedauerlicher Bestandteil unserer Gesellschaft im Internet geworden. Das Bundeskriminalamt veröffentlichte in seinem Bericht zur Bundeslage 2019 über 100.000 Straftaten. Die Steigerung allein bei mobiler Malware beträgt 54% gegenüber dem Vorjahr. Und das sind nur die Fälle, die auch zur Anzeige gebracht wurden! Die Spielarten der Cyberkriminalität sind inzwischen sehr vielseitig und reichen vom Datendiebstahl bis hin zur digitalen Erpressung.

Die Medien berichten regelmäßig von Fällen, bei denen große Konzerne gehackt wurden - aber auch kleine und mittelständische Firmen sind beliebte Ziele für Angriffe, da Datenmaterial hier im Regelfall schlechter oder gar nicht geschützt ist. Die finanziellen Folgen eines solchen Angriffs können schnell in die Tausende gehen.

 

Cybercrime kann inzwischen jeder! Geschädigt werden kann auch jeder!

Fallen die Begriffe "Hackerangriff" und "Cybercrime", denken viele automatisch noch an eher verschrobene Technikfreaks mit laxen Moralvorstellungen, die im Keller sitzen und das Tageslicht scheuen. Mag dieses Bild in den frühen Tagen der Hackerszene vielleicht noch passend gewesen sein, hat sich die Welt seit den 80er Jahren doch gewaltig verändert. Ging es früher in erster Linie darum zu zeigen, was technisch möglich ist und dies evtl. mit einem (zumeist) harmlosen Scherz zu verbinden, steht heute überwiegend die mutwillige Schädigung im Mittelpunkt solcher Aktivitäten.

Es bedarf heute auch keiner besonderen Finesse im Umgang mit dem Computer oder ausgefeilten Programmierkenntnissen, um als Täter aktiv zu werden. Auch Sie selbst könnten theoretisch innerhalb von 24 Stunden eine cyberkriminelle Laufbahn starten. Die nötigen Tools und Anleitungen sind in einschlägigen Foren schnell gefunden und heruntergeladen. Selbst auf Plattformen wie Youtube finden Sie beispielsweise Anleitungen zum Versand von Mailbomben.

Grundsätzliche Infos

Aufgrund des einfachen Zugangs zu benötigtem Equipment und Informationen ist davon auszugehen, dass die Zahl der Täter von Jahr zu Jahr steigen wird. Es steht dann nicht unbedingt das Ziel im Vordergrund, sich zu bereichern (z. B. direkt über Missbrauch erbeuteter, fremder Kredit­kartendaten oder indirekt über den Verkauf erbeuteter Daten). Unlängst berichteten die Medien von einem entlassenen Auszubildenden einer Bank, der als Racheakt eine Mailbombe an seine ehemalige Filiale schickte und damit die Server für mehrere Tage lahmlegte. Auch der Anteil ideologischer Hacker erlebt einen gewaltigen Zulauf und ebenso wächst die Gruppe der "Script Kiddies", der Heranwachsenden, die aus jugendlicher Dummheit heraus mit ihren Kenntnissen Schaden anrichten. Auf die verschiedenen, gängig gewordenen Formen der Cybercrime möchten wir an gesonderter Stelle noch ausführlicher eingehen.

Wichtig an dieser Stelle: Grundsätzlich könnte jeder zum Täter werden. Und es kann jeder Betrieb betroffen und geschädigt werden UND vor allen Dingen als "unfreiwilliger Helfer" schadenersatzpflichtig gemacht werden, wenn Dritte dadurch geschädigt werden, weil man vor Ort an deren Daten kommen konnte. Die finanziellen Folgen, die Ihnen aus einer Cyberattacke direkt oder indirekt entstehen können, dürfen Sie keinesfalls unterschätzen.

Opfer und Mitverursacher

Ein erfolgreicher Hacker-Angriff auf ein Großunternehmen verursacht einen durchschnittlichen wirtschaftlichen Schaden von 1,8 Mio. €. Bei kleinen und mittelständischen Unternehmen liegt der Durchschnittswert bei 70.000 €. Kann man sich die Schadenhöhe ggf. noch vorstellen, die einem selbst drohen kann, sind die Schadenersatzforderungen, die geschädigte Dritte stellen können, doch immer wieder überraschend. Man hat ja gar nicht aktiv mitgewirkt, weshalb sollte man also zahlen müssen?

Die Rechtsprechung vertritt in dieser Sache aber einen klaren Standpunkt: Wer z. B. durch unzureichende Sicherung seines Datenbestandes die Schädigung eines Dritten begünstigt, ist Mitschuldiger (siehe u. a. auch IT-Sicherheitsgesetz, EU Datenschutz-Grundverordnung, § 202a ff StGB)!

Möchten Sie Ihr Unternehmen rundherum vor den finanziellen Folgen von Cyber-Risiken schützen, müssen sowohl Eigen- wie auch Fremdschaden abgesichert werden. Die Versicherungswirtschaft hat entsprechend reagiert und passende Tarife entwickelt. Hinsichtlich der Leistungsinhalte möchten wir Ihnen nachfolgend einen grundsätzlichen Überblick verschaffen.

Was ist versichert und welche Kosten werden übernommen?

Versichert sind - je nach Umfang des Vertrages - die gerechtfertigten Haft­pflichtansprüche, die aus dem Missbrauch der Daten entstanden, die in Ihrem Betrieb gespeichert waren. Steht die Verpflichtung zum Schadenersatz fest, leistet die Versicherung Entschädigungszahlungen stets bis zur Höhe des entstandenen Schadens, maximal jedoch bis zur Höhe der vertraglich vereinbarten Deckungs­summen. Für einige Risiken gibt es ggf. separat im Vertrag festgelegte Deckungs­summen. Auch Eigenschäden sind Teil des Versicherungsschutzes bzw. können mit abgedeckt werden. Die Tarife am deutschen Versicherungsmarkt unterscheiden sich teils sehr deutlich in ihren Leistungen.

Der Leistungsumfang einer "Cyber-Risk-Versicherung" erstreckt sich primär auf die Kosten, die Ihrem Haus nach einer Attacke entstehen und auf Vermögensschäden, die durch "Ihre Beteiligung" Dritten zugefügt werden. Ein solcher Vertrag übernimmt je nach Versicherer, Tarif und vereinbartem Umfang:

  • Kosten für IT-Forensik
  • Rechtsberatung
  • Informationskosten
  • Kreditüberwachungsdienstleistungen
  • Kosten für Krisenmanagement
  • Kosten für PR-Beratung
  • Betriebsunterbrechungsschäden
  • Vertragsstrafen (PCI)
  • Lösegeldzahlungen
  • Wiederherstellungskosten
  • Sicherheitsverbesserungen

Welche Schäden sind oft nicht versichert?

Auch beim Deckungsumfang einer "Cyber-Risk-Versicherung" kann es Ausnahmen geben. Regelmäßig sind dies z. B.:

  • Verletzungen von Kartell- und Wettbewerbsrecht, sowie Patentrecht
  • Schäden durch vorsätzliches Handeln
  • Auswirkungen von Krieg oder Terror
  • Schäden aus einer behördlichen Vollstreckung
  • Geldbußen oder Geldstrafen
  • Schäden im Innenverhältnis zwischen Versicherungsnehmer und mitversicherter Person
  • Garantiezusagen

Was wir Ihnen konkret bieten:

Für interessierte Kunden bieten wir im Vorfeld mit unserem Partner – der Cogitanda Risk Prevention GmbH – eine Sicherheitsanalyse an. Dabei kann der Kunde frei wählen welche Stufe der Prüfung und Ausarbeitung die richtige für Ihn ist.

Viele Wertschöpfungsketten und Geschäftsmodelle laufen heute bereits teilweise oder durchgängig digital ab. Kein Wunder also, dass sich auch die Kriminalität von analog in Richtung digital verlagert. Das macht uns alle in nie dagewesener Form angreifbar. Cyber- Kriminelle attackieren dabei digitale Systeme von Unternehmen und privaten Haushalten mit dem Ziel, sensible Daten zu stehlen oder zu manipulieren. 

                   

 

Schritte der Cogitanda Cyber-Risiko Prävention

„Ein IT-System zu betreiben ohne Prävention, ist wie Auto fahren ohne Bremsen.“ (Zitat COGITANDA Group CEO) 

Um Cyber-Risiken effektiv begegnen zu können, muss der Umgang mit ihnen klar strukturiert werden. Dies erfolgt in den nachstehenden drei Schritten. 

1. Risiken erkennen: Prävention beginnt mit der Erfassung und Bewertung bestehender Risiken. Nur was erkannt wurde, kann beeinflusst werden. 

2. Risiken beeinflussen: Erkannte Defizite gezielt zu beheben, technisch wie organisatorisch, wird zu einer Pflichtübung eines jeden Unternehmens, das langfristig nicht in einem Hagel von Cyber-Angriffen untergehen will. 

3. Training und permanente Kontrolle: Die beste Technik und die besten Prozesse helfen nicht, wenn Mitarbeiter nicht regelmäßig im Umgang mit Cyber-Risiken trainiert werden. 

COGITANDA® bietet auf Wunsch jede Form von Cyber-Risiko- Prävention an, von Mitarbeiterschulungen über Audits bis hin zu Hard-und Softwarelösungen zum Schutz vor Cyber-Angriffen. 

Das COGITANDA® Risk Prevention GmbH Team steht Ihnen für Security-Fragen gerne unter praevention@cogitanda.com zur Verfügung. 

Cogitanda Cyber-Prävention

Um Unternehmen eine optimale Beratung im Bereich der Cyber-Risiko Prävention bieten zu können, haben wir eine Tochtergesellschaft, die COGITANDA® Risk Prevention GmbH, gegründet, welche sich ausschließlich mit den Themen Prävention und der Sicherung der Unternehmen vor Cyberangriffen beschäftigt. Im Folgenden stellen wir Ihnen einen Auszug aus dem Leistungskatalog der COGITANDA® Risk Prevention GmbH vor. 

  • Standortbestimmung (Audit, Assessment) 

Mit einmaligen Standortbestimmungen lassen sich technische und organisatorische Schwachstellen ermitteln. Schwerpunkte dieser Audits und Assessments sind die Analyse von Prozessen und Strukturen (z.B. nach ISO 27001 oder BSI 200-1) und die Einhaltung von Datenschutzvorschriften wie der DSGVO. COGITANDA® bietet auch einen, für die erste Indikation des Risikos konzipierten, 1st-Cyber Status Monitor an. 

  • Optimierung und Stabilisierung 

Aus den durch Audits gewonnenen Erkenntnissen ergibt sich oft Handlungsbedarf. COGITANDA® unterstützt Sie bei Maßnahmen zur Schwachstellenbehebung, wie z.B. dem Aufbau und der Optimierung Ihrer IT-Sicherheitsstrukturen, der Etablierung eines Business Continuity Managements und nicht zuletzt die Ableitung zur Unterstützung bei Zertifizierungen nach gängigen IT-Sicherheitsnormen. 

  • Schulung von Mitarbeitern und Führungskräften 

Die digitale Welt dreht sich schnell und wir werden täglich mit veränderten technischen Bedingungen konfrontiert. Dieser Herausforderung proaktiv zu begegnen, beginnt mit der kontinuierlichen Schulung von Mitarbeitern und 

Führungskräften sowie der Entwicklung und Erprobung von Notfall- und Krisenplänen. 

  • Penetrationstests und Social Engineering 

In Form von White-, Black- und Grey Box-Penetrationstests werden die IT-Systeme einer Organisation hinsichtlich Ihrer Infrastruktur und bestehender Abwehrmechanismen in realitätsnahen Angriffsszenarien getestet. Auch Angriffe, die auf arglose Mitarbeiter abzielen, z.B. Phishing-Aktionen, sind Teil unseres Leistungskatalogs. 

  • Servicierung und Monitoring (365/24) 

Nur eine kontinuierliche Überprüfung der Systeme sowie Schulung der Mitarbeiter und Führungskräfte erlaubt eine nachhaltige und resiliente Aufstellung gegenüber Cyber-Risiken. COGITANDA® unterstützt dabei, eine langfristige Strategie für die Cyber- Sicherheit von Unternehmensorganisationen aufzubauen. 

 


Regio Versicherungs Vermittlung GmbH
Engesserstr. 8, 79108 Freiburg

Tel.: 0761/61166660
hallo@rvv-freiburg.de