Dieses Transkript wurde maschinell erstellt. Wenn dir ein Fehler auffällt, schreib uns gerne zu diesem unter redaktion@digitalkompakt.de.
Sven Weizenegger: Hallo und herzlich willkommen zum Hackers Podcast von Digital Kompakt. Mein Name ist Sven Weinzenegger. Ich bin Mitgründer und CEO von SUSA Technologies. Heute sprechen wir über Cyberversicherungen. Dazu habe ich als Gast Hanno Piksman eingeladen. Wieso ausgerechnet ihn? Natürlich hätte ich auch jemanden von einer großen Versicherung einladen können zu diesem Thema. Aber wir wollten jemanden, der das Thema neutrale Objektiv darstellen kann. Aber dazu wird er gleich etwas mehr sagen. Du lernst heute, wie so eine zahlbare Versicherung sinnvoll sein kann für dich, wie du mit deinem Unternehmen überhaupt an eine Versicherung kommst, also was du erfüllen musst, sogenannte Obliegenheiten, was eine Versicherung überhaupt alles abdeckt in diesem Segment und wie sie dir unmittelbar hilft neuerdings. Lieber Hanno, willkommen im Podcast. Stell dich und dein Unternehmen doch einmal kurz vor.
Hanno Pingsmann: Vielen Dank, Sven. Ich freue mich, hier zu sein. Ich bin Gründer von CyberDirect. Wir haben einen Vergleichsrechner für Cyberversicherungen entwickelt und sind damit seit zwei Jahren am Markt.
Sven Weizenegger: Was genau macht ihr jetzt? Kannst du das einmal kurz erklären?
Hanno Pingsmann: Wir bieten über unsere Website einen direkten Zugang zu den besten Tarifen für Cyberversicherungen am Markt. Nur mit der Eingabe der Branche und des Jahresumsatzes kann sich jedes Unternehmen, jeder Unternehmer einen Preis ausrechnen, die Leistung vergleichen und bei Interesse auch direkt abschließen. Dieses Angebot ist offen, gibt es so in Deutschland nur einmal.
Sven Weizenegger: Jetzt stellt man sich als Unternehmen, besonders als kleineres Unternehmen, die Frage, wieso brauche ich überhaupt eine Versicherung zu diesem Thema? Was ist eigentlich der Grund? Muss ich sowas überhaupt abschließen? Ist das vielleicht nicht schon abgedeckt durch zum Beispiel eine Haftpflichtversicherung?
Hanno Pingsmann: Ja, das ist eine wichtige Frage. Traditioneller Versicherungsschutz, der liegt ja eher im Bereich von Haftpflicht, wie du sagtest, oder Sachwerteneinbruch, Gefahren, die aus Unwetter resultieren können. Wenn man sich mal anguckt, was heute eigentlich die Risiken eines modernen Unternehmens sind, dann liegen die gewiss auch im Bereich von Feuer oder Einbruchdiebstahl im Büro. Das sind aber selten die existenziellen Risiken. Hingegen ist die Gefahr, dass jemand, der in meine Systeme eindringt, Software blockiert, wie vor kurzem passiert bei einem großen Lieferservice, wo stundenlang die Kunden ihre Bestellungen nicht abgeben konnten bzw. die Bestellungen nicht bei den Restaurants angekommen sind. Oder der Diebstahl von höchst vertraulichen Daten, die Verletzung von personenbezogenen Daten. Das sind Risiken, die können für ein Unternehmen existenzbedrohlich sein, vor dem Hintergrund von DSGVO-Pflichten und Strafen, aber auch im Sinne von Reputationsschäden oder auch ganz einfach dem Ausfall von Umsätzen. Man stellt sich mal vor, eine Website eines großen Online-Händlers, die ist tagelang blockiert und dieser Umsatz lässt sich schwer wieder nachholen.
Sven Weizenegger: Es gibt ja im Cybersecurity-Umfeld immer diesen Dreiklang zwischen präventiven Maßnahmen, Maßnahmen im Bereich Entdeckung und im Bereich der Reaktionsfähigkeit. Die sind ja oft eher technisch und organisatorisch. Wo ist da die Versicherung einzuordnen? oder ist das eine komplett neue Kategorie letztendlich?
Hanno Pingsmann: Ein sehr guter Punkt. Also eine Versicherung kann diese Maßnahmen niemals ersetzen. Die Cyberversicherung ist sozusagen ein zusätzlicher Baustein im Rahmen eines vollständigen ganzheitlichen Risikomanagements und besteht im Grunde aus einem Transfer des Restrisikos, was du trotz guter Sorgfalt in deiner IT-Sicherheit nie minimieren kannst.
Sven Weizenegger: Also das heißt, Versicherungen sehen es gerne, wenn du trotz alledem viel investierst?
Hanno Pingsmann: Ja, es ist sogar die Voraussetzung für den Abschluss einer Cyberversicherung. Also es gibt gewisse Mindeststandards, die müssen gegeben sein, sonst können wir die Unternehmen nicht versichern. Das unterscheidet sich natürlich je nach Unternehmensgröße. Für Unternehmen mit bis zu 10 Millionen Euro Jahresumsatz, gibt es da Standardvorgaben, die bestehen zum Beispiel aus vollständigem Schutz mit Aktivierungsschutzsoftware, regelmäßigen täglichen Backups, Firewalls an allen Netzwerken übergehen. Ich habe jetzt einfach nur so ein paar Beispiele aus dem Katalog der Versicherer genannt. Das wird bei Abschluss der Versicherung abgefragt und muss auch wahrheitsgemäß natürlich angegeben werden. Wenn die Unternehmen größer sind, dann werden die Fragebögen länger, dann wird es auch spezifischer. Da müssen wir als Berater gegenüber dem Kunden natürlich auch sehr genau hinschauen, dass wir auf beiden Seiten ein gleiches Verständnis haben, den Fragen, die der Versicherer beantwortet haben möchte und auch von den Antworten, die der Kunde bereitstellt.
Sven Weizenegger: Mal eine kleine Anekdote vielleicht. 2014, das wissen vielleicht einige, wurde das größte Fintech Deutschlands damals gehackt. Ich habe ja auch Erfahrungen im Versicherungsbereich dadurch sammeln können. Nämlich die Cyberversicherung hat dafür mitgesorgt, würde ich jetzt mal sagen, dass jemand kommt, das war ich, die dafür sorgt, dass das Thema Cybersecurity komplett neu und anders aufgebaut wird. Was ich damit sagen will, ist, eine Versicherung kann dafür sorgen, dass die Geschäftsführung versteht, da die Obliegenheiten erfüllt werden müssen, ihr müsst da jetzt investieren. Das kann Technologie sein, das kann Personal sein. Meine Erfahrung ist, eine große Versicherung möchte zuerst sehen, ist da jemand responsible, also verantwortlich? Und ist das nicht nur ein reines IT-Thema, sondern gibt es da wirklich einen dedizierten Ansprechpartner? Und Versicherungen mögen es auch, glaube ich, so ist meine Erfahrung, zu sehen, da werden auch Dinge umgesetzt. Die müssen nicht perfekt sein, aber da wird sich bemüht letztendlich. Jetzt lass uns doch mal auf die Punkte springen, die so eine Versicherung beinhaltet. Also was wird abgedeckt? Das ist ja die erste Frage. Klar kann man sich ein bisschen was vorstellen, da kommt ein Hackerangriff und dann kommt das A-Team eingeflogen. Aber lass uns das mal strukturiert durchgehen, was die einzelnen Bausteine sind. Und lass uns doch mal anfangen mit dem Event an sich. Jetzt ist ein Hack passiert, der Kunde kriegt das mit oder ein Dritter sagt ihm das. Ist ja auch manchmal so, dass der Kunde es selbst gar nicht mitkriegt, sondern ein Partnerunternehmen sagt ihm das. Was macht die Versicherung? oder was macht ihr auch, wenn es zu einem Notfall kommt?
Hanno Pingsmann: Darin unterscheidet sich eine Cyberversicherung schon direkt von allen anderen Versicherungstarifen. Meistens ist ja die Aufgabe der Versicherung in diesem Zusammenhang eher, im Nachhinein die Kosten zu erstatten. Bleiben wir mal bei deinen Beispielen. Ich merke morgens als CTO, als Geschäftsführer, dass meine IT-Systeme blockiert sind, dass nichts mehr funktioniert im Unternehmen. Bereits ab dem Punkt greift die Cyberversicherung ein, wenn der Kunde rechtzeitig die Versicherung benachrichtigt, indem man über eine 24-Stunden geschaltete Notruf-Hotline nicht bei der Versicherung anruft, sondern bei einem von der Versicherungsgesellschaft mandatierten IT-Unternehmen, was im Wege der sogenannten Incident Response sofort dem Kunden zur Verfügung steht. Das kann erst Das kann im nächsten Schritt durch einen Remote-Zugriff auf noch funktionierende PCs ablaufen. Und in den meisten Fällen ist es auch so, dass die IT-Spezialisten einen Tag später auch vor Ort sind und dem Kunden helfen, die notwendigen Maßnahmen einzuleiten. Das heißt, wenn es in deinem Büro brennt, dann rufst du die Feuerwehr. Wenn sich jemand verletzt, rufst du den Notarzt. Wenn deine IT-Systeme blockiert sind, dann ist das die erste Wahl, um möglichst einen Schaden vom Unternehmen abzuwenden. Also die Cyberversicherung ist nicht nur ein Erstattungstarif. Es fängt ganz vorne an in der Schadensfallkette, in dem halt Sofortmaßnahmen und Soforthilfe zur Verfügung gestellt werden.
Sven Weizenegger: Und es sei, glaube ich, angemerkt, dass die meisten Unternehmen diese Kapazitäten selbst gar nicht haben, muss man sagen. Viele Unternehmen, die ich so kennenlerne, auch bei meinen Vorträgen, die würden dann eher googeln nach einem Forensiker. Und dann weiß man gar nicht, ob der Forensiker etwas kann, ob er gut genug ist, ob er ausgebildet ist oder zertifiziert ist, ob er das richtige Personal hat. weil es natürlich viele Player jetzt auf dem Markt gibt, die auf den Zug aufspringen und behaupten, sie seien Forensiker. Ich glaube, der große Unterschied bei dem Versicherer ist, da sind Forensiker, die wirklich sich mit dem Thema auskennen, muss man ganz klar sagen, die vor allem auch weltweit agieren können innerhalb von 24 Stunden.
Hanno Pingsmann: Absolut richtig. Du bist ja dann in einer Situation, in der du relativ hilflos und abhängig bist von externer Hilfe. Ich finde den Gedanken offen gesagt sehr befremdlich, dass ich auf jemanden vertraue, den ich ahne und nicht kenne, der von mir auch wahrscheinlich einen hohen Tages- oder Stundensatz verlangt und denjenigen dann auch sofort Zugang zu all meinen IT-Systemen ermögliche. Wenn das der von der Versicherung beauftragte Dienstleister ist und das sind Spezialunternehmen, die sich nur um diese Fälle kümmern, kann ich zum Ersten davon ausgehen, dass ich in guten und vertrauensvollen Händen bin. Und zum Zweiten ist natürlich auch festzuhalten, ich habe hier kein Kostenrisiko. Also das ist direkt als Leistung der Cyberversicherung abgedeckt. Und das ist übrigens auch aus der Sicht des Versicherers ein sehr sinnvoller Weg, im Schadensfall zu helfen. Denn auf dem Wege minimiert man quasi eigentlich den Gesamtschaden. Weil je schneller eine Cyberattacke gestoppt wird, je schneller die richtigen Maßnahmen eingeleitet werden. Wir haben 72 Stunden Zeit, um eine Datenschutzmeldung zu machen. Wir müssen gegebenenfalls Systeme runterfahren, relativ schnell Backups wieder einspielen, Software neu installieren. Das reduziert natürlich auch die Zeit, in der der Betrieb still steht, weil das ist auch ein Teil der Versicherungsdeckung. Es wird der entgangene Betriebsgewinn in der Zeit, bis das Unternehmen wieder liefer- und leistungsfähig ist, von der Versicherung erstattet.
Sven Weizenegger: Darauf kommen wir gleich noch zu sprechen, zum Thema Betriebsunterbrechung. Und ich kann auch nur aus persönlicher Erfahrung sagen, es ist eine extreme Stresssituation, die man dort hat. Und man will Schnellhilfe, kompetente Hilfe und man ist eigentlich ausgeliefert. Ich kenne forensische Unternehmen, die dann x-tausend Euro verlangen. Manchmal ist die Versicherung billiger als der Tagessatz des Forensikers, muss man sagen. Jetzt haben wir einen Haken dran gemacht an das Thema Notfall. Jetzt nehmen wir mal an, Sofortmaßnahmen haben gegriffen. Erfahrungsgemäß aus den letzten 20 Jahren ist es das ja nicht gewesen. Du musst ja irgendwie zur Normalität zurückkehren. Partnerunternehmen sind betroffen, du musst Leute informieren. Spiegel.de berichtet über dich. Wie komme ich denn zur Normalität wieder? Ich als Unternehmen kann es ja vielleicht gar nicht leisten. Ich habe weder die Anwälte noch habe ich die Krisenkommunikationsexperten. Die sind auch meistens sehr, sehr teuer und auch sehr selten und rar gesät. Wie komme ich denn in einen normalen Geschäftsprozess wieder?
Hanno Pingsmann: Kernaufgabe, glaube ich, des Krisenmanagements ist, das Unternehmen wieder in den Zustand zurückzuversetzen, in dem es vor dem Hackerangriff gewesen ist. Dazu benötigt natürlich das Unternehmen eigene Ressourcen. Mitarbeiter aus der IT-Abteilung oder die Bereiche betreuen. Dieses Team wird dann durch die Fachexperten vom Krisendienstleister, der von der Versicherung beauftragt wird, unterstützt. Und das können verschiedenste Prozesse sein. Und ganz wichtig zu wissen ist, so ein Hackerangriff, der wirklich einen tiefgreifenden Einschnitt in meine Prozesse, in meine Daten und in meine IT-Systeme deutet, den erlebe ich ja nicht jede Woche. Das heißt, das ist eine Situation, in der bin ich erstmal relativ orientierungslos. Da kann es schon sehr wichtig sein, einen Partner an der Seite zu haben, der hier die entsprechenden Pläne, Routinen und auch Vorgehensweisen kennt. Dazu gehört zum Ersten natürlich, dass wir den Angriff stoppen. Datenabfluss. Die Quelle muss festgestellt werden. Ist es passiert durch einen falschen Klick eines Mitarbeiters auf den Anhang einer E-Mail oder war es zum Beispiel eine Schwachstelle in einem IT-System, die schon länger bestanden hat? Diese Bestandsaufnahme ist extrem wichtig. Dazu ist in erster Linie der IT-Forensikexperte notwendig. Wenn man den selber nicht im Unternehmen hat, das haben die seltensten Unternehmen, ist das die wichtigste Rolle. Von dort gehen auch viele Folgeschritte aus. Weil der zweite Schritt, du hast es gerade kurz erwähnt, ist Datenschutz. Wir müssen relativ schnell entscheiden, wie groß ist die Datenschutzverletzung gewesen. Welche Daten sind abgeflossen? Welche Daten waren vielleicht betroffen? Und dann muss man sich zusammen mit einem Rechtsberater, einem Anwalt und dem eigenen Datenschutzbeauftragten hinsetzen und entscheiden, was steht in der Meldung, die ich innerhalb von 72 Stunden an die Landesdatenschutzbehörde machen muss.
Sven Weizenegger: Und idealerweise will man das sogar vermeiden, diese Meldung zu machen, weil das ist auch mein Learning aus den letzten Jahren bei diesen Fintech-Unternehmen. Die Konsequenz oder die Brisanz passiert erst danach. Es gibt den Vorfall, den kriegt man vielleicht in einigen Tagen auch wieder behoben. Was danach kommt, ist nämlich das Schwierige, dass nämlich die Datenschutzbehörden einen auf einmal auf dem, ich sag jetzt mal salopp, auf dem Kieker haben und dann auch mal genauer hinschauen. Besonders dann, wenn man ein Geschäftsmodell hat, die sehr datengetrieben sind.
Hanno Pingsmann: Was vielfach unterschätzt wird, ist, dass alles, was in der Meldung an die Datenschutzbehörde beinhaltet ist, auch gegen dich als Unternehmen verwendet werden kann. Das heißt, hier muss man ganz genau abwägen, wie, wann und was melde ich. Gleiches gilt übrigens auch für die eventuell notwendige Benachrichtigung der Betroffenen. Machen wir mal ein Beispiel. Du betreibst ein Unternehmen, was millionenfach personenbezogene Daten speichert. Nach DSGVO kann es notwendig sein, die betroffenen Personen zu benachrichtigen. Das ist natürlich eine sehr, sehr drastische Maßnahme, die auch gut überlegt sein soll. Damit informierst du natürlich all deine Kunden bzw. vielleicht sogar die Geschäftspartner deiner Kunden darüber, dass bei dir eine Cyberattacke stattgefunden hat oder ein Datenlecker gewesen ist. Man ist dazu gesetzlich verpflichtet und die Auslehrung der Tatbestände, das, was der Forensiker ermittelt hat, die Situation, wie sie sich dann darstellt, die Entscheidung sollte man als Geschäftsführer natürlich absichern. Durch Rechtsberatung, eine fachliche Begutachtung der Situation, sodass man hier dann die richtigen Entscheidungen unter Abwägung der Interessen des Unternehmens, aber auch unter Abwägung der gesetzlichen Pflichten des Datenschutzes treffen kann.
Sven Weizenegger: Jetzt haben wir das Thema Notfall gehabt, jetzt haben wir das Thema Rückkehr zur Normalität gehabt, was ja einerseits sehr technisch belastet ist, andererseits auch kommunikativ und rechtslastig. Was wir jetzt noch ausgespart haben, das hast du kurz auch angedeutet, was mache ich denn mit den finanziellen Folgen? Also wenn jetzt mein Produktionsbetrieb elf Tage stillsteht und ich bestelle Bremsen her, habe ich einen Verdienstausfall. Wo greift da die Versicherung? Kann die helfen? Ist das vielleicht sogar überlebensnotwendig? Ist es vielleicht sogar der wichtigere Aspekt als jetzt den Forensiker? Ich kenne viele Kunden, die auch sagen, naja, ein Forensiker kostet 4.000 Euro, zahle ich aus der Portalkasse, alles gut, wenn meine LKWs drei Tage stehen bleiben, weil ich nichts mehr ausliefern kann. Wo hilft da die Versicherung konkret?
Hanno Pingsmann: Die Leistungen, die ich bisher aufgezählt habe, die sind allesamt von der Cyberversicherung abgedeckt. Und wie du zu Recht sagtest, das sind vielleicht mal ein paar Tausend Euro für Forensik, 10.000 Euro für den Anwalt. Und ich glaube, das bringt keine Firma in eine existenzielle Reform. Entscheidender ist natürlich die Zeit, die das Unternehmen braucht, um wieder in die Produktion zu kommen oder in die Leistungen über den Kunden. Das nennen wir Betriebsunterbrechung. Vielleicht ein bisschen technischer Begriff, aber das ist genau der Zeitpunkt, ab dem das Unternehmen aufgrund der Cyberattacke nicht mehr arbeiten kann, bis zum Zeitpunkt, wo alle Systeme wiederhergestellt sind, Computer wieder mit einem Windows-Betriebssystem ausgestattet sind, die betriebseigene Software wieder aufgespielt wurde, das Backup wieder aufgespielt wurde, alle E-Mails geladen sind, also jeder Mitarbeiter wieder arbeiten kann. Ich glaube, wer ein Unternehmen mit mehr als 100 Mitarbeitern leitet oder die IT dafür verantwortet, der weiß, wie lange sowas dauern kann, erst recht in der Stresssituation, in der man sich befindet. Für diesen gesamten Zeitraum wird der Gewinn, den das Unternehmen nicht erwirtschaften kann, von der Versicherung erstattet. Das kann teilweise zwei bis drei Wochen dauern. Ich nehme mal ein Beispiel. Es gibt ein produzierendes Unternehmen, das hat Maschinen in der Produktion eingesetzt. Diese Maschinen besitzen selber Rechnerkapazitäten. Es ist dann nicht auszuschließen, dass die in den Maschinen eingebauten Speichermodule nicht noch von Malware betroffen sind. Das heißt, es muss eventuell vom Hersteller der Maschinen Ersatz geliefert werden. Und das sind natürlich Ersatzteile oder Ersatzmaschinen, die nicht sofort lieferbar sind. Es kann teilweise dauern, dass in einer Produktionskette, wo 50 verschiedene Maschinen von 10 verschiedenen Herstellern eingesetzt sind, es acht Wochen dauert, bis die Produktionsstraße wieder laufen kann.
Sven Weizenegger: Wie berechnet die Versicherung den Ausfall? Ich kann ja irgendwas behaupten. Ich kann ja sagen, klar, ich habe einen Business Cash von 10 Millionen und im Juni habe ich vielleicht nicht so viel Geschäft. Wie errechnet die Versicherung das?
Hanno Pingsmann: Genau, dafür gibt es Standards. Also zum Beispiel wird der durchschnittliche Umsatz der letzten drei Monate angesetzt. Wenn wir ein saisonales Geschäft haben, wie zum Beispiel Einzelhandel, dann werden natürlich auch Besonderheiten wie das Jahresendgeschäft Bezug genommen. Aber im Grunde genommen steht das ganz klar in den Versicherungsbedingungen drin, dass der Betriebsgewinn ersetzt wird. Es gibt einige Versicherungstarife, vielleicht darf ich das mal kurz erwähnen, ohne konkret für einen Anbieter Werbung zu machen, die ersetzen sogar auch den Zeitraum, den die Firma braucht, um nach dem Zeitpunkt der technischen Wiederherstellung wieder zum alten Umsatz zurückzukommen. Wir nennen das wirtschaftliche Betriebsunterbrechung. Ich will das mal kurz an einem Beispiel von einem Autohaus erklären. Ein Autohaus ist aufgrund einer Cyberattacke dann drei Wochen nicht in der Lage, Angebote zu erstellen, Autos zu verkaufen, Verträge zu zeichnen. Dann entscheidet sich natürlich der Geschäftsführer in der Zeit, auch keine Neuwagen zu kaufen oder startet keine Anzeigenkampagne in der lokalen Zeitung. nimmt alle Inserate aus den gängigen Internetplattformen runter. Das heißt natürlich, dass auch es einen Nachlauf gibt von mehreren Wochen, bis die Kunden wieder kommen, bis die Verkäufer wieder in der Lage sind, die Kunden zu erreichen und der Geschäftsbetrieb wieder auf den Normalzustand zurückkehren kann.
Sven Weizenegger: Jetzt haben wir die CFOs glücklich gemacht mit ein paar Zahlen. Jetzt kommen wir mal zu den Personen im Unternehmen, die sich mit rechtlichen Aspekten beschäftigen. Und ich sehe das oft in so Versicherungsbroschüren, Haftungsrisiko. Da gibt es ja den Begriff des Eigenschadens und des Drittschadens. Was ist der Unterschied? Eigenschaden kann ich mir noch vorstellen. Ich glaube, Drittschäden sind ein bisschen komplizierter. Kannst du das einmal kurz ausdifferenzieren?
Hanno Pingsmann: Das ist in der Tat jetzt schon die Versicherungssprache, die ich meistens versuche zu vermeiden, weil darin findet sich der Kunde in den seltensten Fällen wieder. Zu Eigenschäden gehört alles, was mir selber an Kosten oder Verlust entsteht. Und das haben wir ja gerade schon aufgezählt. Es geht um Kosten für Forensik, Anwälte, entgangenen Betriebsgewinn, die Kosten, um eine Million Briefe rauszuschicken an meine Kunden, eventuell Lösegeld, was ich bezahlen muss. Das wird auch häufig übersehen, dass im Notfall, wenn es nicht mehr anders geht, der Versicherer auch die Kosten für Lösegeldzahlung übernehmen kann. Das ist je nach Tarif unterschiedlich. Jetzt kann es aber natürlich dazu kommen, dass infolge der Cyberattacke ich als Unternehmen selber jemand anders einen Schaden zugefügt habe. Und da sind wir im Bereich der sogenannten Drittschäden. Es gibt in Deutschland ja die gesetzliche Haftpflicht. Das heißt, ich bin dafür verantwortlich, wenn ich jemand anders Schäden zuführe, ihm diese zu ersetzen. Und das kann bei einem Hackerangriff sehr vielfältig sein. Zum einen gibt es leider ja auch die Möglichkeit, dass von meinem System aus unbemerkt Malware weitergegeben wurde an Geschäftspartner oder Kunden. Und dann stellt sich im Rahmen der forensischen Analyse heraus, dass die Schadsoftware nicht durch eine E-Mail ins Unternehmen gekommen ist, sondern durch einen Datenträgeraustausch oder andere Wege. Dafür kann ich als Unternehmen, auch wenn ich keinen aktiven Part hatte, trotzdem haften. Der zweite Teil ist wieder mit dem Datenschutz verbunden. Wir haben ja nach DSGVO eine ganz klare Regelung, wer personenbezogene Daten zu schützen hat und wer im Falle einer Datenschutzverletzung den entstandenen Schaden ersetzt. Dieser entstandene Schaden war bisher übrigens unter BDSG, also in der alten Gesetzgebung, nur materiell feststellbar. Das wurde aber im Rahmen der DSGVO geändert, sodass auch immaterielle Schäden im Rahmen der Schadensersatzpflicht denkbar sind. Und das ist ein ganz wichtiger Unterschied, weil die Verletzung von Persönlichkeitsrechten, meine Adresse, meine Gewohnheiten, meine Bestellhistorie in einem Shop, meine Suchanfragen in einem Internetportal, meine Gesundheitsakte, das sind natürlich Daten, die können mir als Individuum Schaden zufügen, wenn sie in fremde Hände gelangen. habe ich jetzt die Möglichkeit, dafür Schadensersatz vom Verursacher einzufordern? Und das ist ganz wichtig, ist in der Cyberversicherung, so wie wir sie heute als Konzept besprechen, versichert. Das ist nicht Bestandteil einer klassischen Betriebshaftpflicht, die hat jedes Unternehmen, aber da gibt es einen feinen Unterschied, da werden eigentlich nur nur Schäden an Sachwerten, an Gesundheit und Körper von Personen versichert. Also der klassische Unfall im Büro oder jemand sitzt die Küche unter Wasser und der Vermieter möchte halt den Boden ersetzt haben. Schäden am geistigen Eigentum von Daten, Persönlichkeitsrechten, das sind sogenannte Vermögensschäden. Das ist jetzt wieder ein Versicherungsbegriff, aber das ist das, worum es geht, auch im Rahmen der Cyberversicherung.
Sven Weizenegger: Das klingt ja alles irgendwie wunderbar. Versicherung zahlt für alles gefühlt, wenn man sich das so anhört jetzt von dir. Aber es würde auch Fälle geben, wo die Versicherung sagt, das zahlen wir jetzt nicht. Wann passiert das denn aus deiner Erfahrung?
Hanno Pingsmann: Ich verstehe natürlich den Punkt und das ist auch genau das Imageproblem, was die Versicherungsbranche hat. Das Wenn Schäden bezahlt werden, dann redet niemand drüber. Wenn es Schwierigkeiten gibt in der Schadensregulierung, dann ist es natürlich meistens ein Thema, was schnell publik wird. Aber ich stehe weder auf der Seite der Versicherung noch auf der Seite des Kunden. Wir versuchen halt für unseren Kunden hier ganz objektiv und offen die Themen zu bewerten und auch zu einem bestmöglichen Ergebnis zu führen. Das sieht im Rahmen der Cyberversicherung gerade so aus, dass der Markt aufgrund des jungen Stadiums noch nicht so ausgereift ist, dass die Versicherer unter extrem hohen Schadensquoten leiden. Das heißt, die Schäden, die können heute aus dem Prämienvolumen, was die Kunden in den gemeinsamen Topf einzahlen, bedient werden. Die Versicherer lernen auch relativ schnell dazu, weil die Versicherungsbedingungen erweitern sich fast jedes Jahr um neue Bestandteile, die ursprünglich vielleicht gar nicht in dem Versicherungsbedingungswerk namentlich versichert gewesen sind. Es sind aber trotzdem neue Formen, neue Arten von Cyberattacken, die auf einmal auftreten. Im Regulierungsverhalten der Versicherer ist ein geringes Risiko. Worauf Kunden achten müssen, wo wir immer sehr viel Wert darauf legen, ist, dass der Kunde die Angaben zu seinen technischen und organisatorischen Rahmenbedingungen richtig gemacht hat. Darauf kommt es dann an, weil wenn ein Kunde behauptet, er setzt ein mehrstufiges Rechtemanagement ein, sodass zwei Administratoren im Unternehmen gibt, dann darunter zwei, drei weitere Ebenen von Nutzern, dann sollte das auch drei Jahre nach Abschluss einer Versicherung so befolgt werden. Es wäre dann schade, wenn eine Cyberattacke durch eine neu eingeführte Software ausgelöst oder begünstigt wurde, auf die man als Passwortdisziplin dann irgendwie 20 Leute dieselben Administratorenrechte hatten im Zugriff. Das sind Dinge, die muss der Kunde verstehen. Dabei helfen wir, klären auch auf, was die Versicherer hier erwarten.
Sven Weizenegger: Was sind denn so die Fallstricken? Ich teile das mal in so drei Bereiche auf. Ransomware, da ist irgendein Kryptotrojan auf dem Rechner, sieht man den Totenkopf, man kann nicht mehr arbeiten. Daraus folgend dann die Erpressung. Aber es gibt auch andere Formen der Erpressung, muss man sagen. Das muss nicht immer Ransomware sein. Das kann auch sein, wir werden Ihren Shop zu Weihnachten offline nehmen. Und ich glaube, was viele umtreibt, auch aufgrund der aktuellen Lage zu Corona, Healthcare. Weil Healthcare ist ja sehr sensibel, weil mit sehr sensiblen Daten auch gearbeitet wird. Ich glaube, es gibt nichts Sensibleres auf. Wo sind also die Fallstrecken in Bezug auf Versicherungen aus deiner Sicht?
Hanno Pingsmann: Ein Fallstrick kann sein. zunächst, dass man gar nicht für sich die Entscheidung trifft, diese Risiken zu transferieren. Als Geschäftsführer hast du ja die Entscheidungsgewalt, Risiken zu minimieren durch verschiedenste Maßnahmen. Versicherungsschutz ist eine risikominimierende Maßnahme. Jetzt kann man überlegen, ob man das Geld in IT-Sicherheit investiert oder in Cyberversicherung. Ich erkläre meinen Kunden das immer so im Prinzip. verschiedene Arten, wie du mit Cyberrisiken umgehen kannst. Du kannst zum einen das Risiko, was du in deinem Unternehmen hast, reduzieren, indem du bestimmte Tätigkeiten einstellst. Das kann sein, dass man als Betreiber eines Social-Media-Portals sagt, bei mir werden keine Gesundheitsdaten gespeichert, keine Daten über Geschlechter, Gesinnung, politische Zugehörigkeit und so weiter. Ist aber im Praxisleben eigentlich schwierig. Unsere Geschäftsprozesse, unsere Wertschöpfung basiert ja auf der Verarbeitung von Daten, also eigentlich theoretisches Konstrukt. Dann kann ich zweitens natürlich das Risiko begrenzen, indem ich sage, ich mache mein Unternehmen so sicher, dass niemand mehr reinkommt. Das heißt, ich investiere massiv in Cybersicherheit.
Sven Weizenegger: Aber das ist ja ein Trugschluss, man kommt ja trotzdem immer rein.
Hanno Pingsmann: Absolut. Also das ist die Illusion, der leider auch dann teilweise viele liegen, dass es keine hundertprozentige Sicherheit geben kann. Und das lässt sich auch relativ schnell beweisen, wenn man einfach sich vorstellt, jeder einzelne Mitarbeiter in jedem Unternehmen kann Auslöser einer schwerwiegenden Cyberattacke sein, indem man die falsche Entscheidung trifft beim Öffnen einer E-Mail. Der dritte Weg ist, dass man die Risiken zulässt. Man sagt, ich gehe ganz aktiv in das Risiko, weil ich weiß, ich habe keine andere Wahl. Das kann sein in der Einzelentscheidung, in dem der Geschäftsführer entscheidet, er muss von unterwegs aus arbeiten, er muss seinen Laptop in der Deutschen Bahn ans öffentliche WLAN anschließen und er geht damit natürlich ein höheres Risiko ein. So, der vierte Weg ist der Transfer dieses Risikos auf eine dritte Partei, die gegen Zahlungen eines finanziellen Ausgleichs dieses Risiko zu einem großen Teil übernimmt. Das ist das Prinzip der Versicherung. Und das ist zum einen eine Möglichkeit, die jetzt seit 2014 im deutschen Markt besteht, die aber noch nicht jeder in seine Entscheidungsfindung, wie ich mit Risiken umgehen kann, mit einbezogen hat. Welche Fallstätigen gibt es noch? Du hast ja erwähnt, was kann man falsch machen? Man kann sich unzureichend versichern. Es geht um die Höhe des Versicherungsschutzes. Das ist wie bei der Lebensversicherung. Also wenn ich die Arbeitskraft eines Familienvaters versichern möchte, dann brauche ich die Summe X, um eventuell einen Kredit im Fall der Fälle abzubezahlen oder die Ausbildung von Kindern zu finanzieren oder eine Familie zu versorgen. Dasselbe gilt für das Unternehmen. Also wenn ein Unternehmen eine Million Euro Umsatz am Tag macht, dann muss eine Cyberversicherung, nehmen wir mal eine Gewinnmarge von 30 Prozent an, mindestens 10, wenn nicht sogar 15 Werktage diesen Betriebsgewinn an Versicherungssumme beinhalten. Und da sind wir noch längst nicht bei den Kosten, die für IT-Forensik, Rechtsberatung, Lösegeld oder Datenschutz dazukommen können. Und das dritte ist in der Tat, wie gerade schon angesprochen, die vielleicht eine oberflächliche Evaluierung der Anforderungen des Versicherers. So ein Fragebogen ist schnell ausgefüllt. Es wird auch nur bei großen Unternehmen oder bei extrem hohen Risiken wird das vor Ort überprüft durch ein Audit. Das heißt, hier ist natürlich der Versicherer auf wahrheitsgemäße Angaben des Kunden angewiesen. Und wenn man diese leichtfertigt oder gegebenenfalls auch falsch interpretiert, dann gefährdet man damit den Versicherungsschutz. Aber an der Stelle können wir natürlich helfen und haben auch in vielfacher Form schon zwischen Kunden und Versicherer vermittelt. Hier geht es zum Beispiel darum, welches Virenschutzprogramm ist ausreichend. Ist der eingebaute Windows Defender ausreichend?
Sven Weizenegger: Oder wie werden Backups gemacht? Da gibt es ja jetzt den Begriff Offline oder physikalisch getrennt. Für mich wäre eine Cloud auch ein physikalisch getrenntes Gerät. Das sehen vielleicht Versicherer so ein bisschen anders. Die meinen, glaube ich, wirklich mit dem Kabel ran. Ich glaube, da gibt es noch so Themen, die man, glaube ich, noch ein bisschen ausdefinieren muss.
Hanno Pingsmann: Absolut. Das steht als Frage so formuliert, dass ein physisch getrenntes Backup vorgehalten werden muss und das müssen wir dann übereinander bringen mit den tatsächlichen Backup-Mechanismen, die der Kunde hat. Da könnten wir jetzt, glaube ich, noch eine Stunde lang tief eintaufen, aber damit würden wir wahrscheinlich die Hörer eher langweilen.
Sven Weizenegger: Genau, wir sind auch gleich am Ende. Und meine letzte Frage und die stelle ich jedem, der hier zu Gast ist. Was würdest du dir wünschen für eine bessere Cyber Security in Deutschland, Europa und in der Welt?
Hanno Pingsmann: Da habe ich eine ganz klare Vorstellung. Ich würde mir wünschen, dass wir einheitliche Standards festlegen für IT-Sicherheit. technisch und organisatorisch die Unternehmen vorhalten müssen. Auf diese Standards könnte dann auch die Versicherungsindustrie sich verlassen, diese einfordern. Und wir haben ja in vielen anderen Geschäftsbereichen, Produktbereichen auch in der Vergangenheit schon gesehen, dass das Sinn macht. Ich nehme immer das Auto als bestes Beispiel. Beim Auto gibt es den TÜV, da gibt es gewisse Standards für Reifenprofiltiefe, die Airbags. und übrigens der Sicherheitsgurt war nicht zuletzt eine Erfindung oder ein Vorschlag der Versicherungsbranche, um die Schäden durch die Unfälle und Unfalltote zu reduzieren. Und wenn wir den Sicherheitsgurt für IT-Standards quasi entwickeln würden oder definieren würden, dann wäre es glaube ich für viele Kunden einfacher, sich auf verlässliche Standards für IT-Sicherheit und Organisation im Unternehmen zu verlassen. Und für Versicherer wäre es auch einfacher, die Risiken darauf zu berechnen und die Prämien entsprechend.
Sven Weizenegger: zu kalkulieren. Dann sind wir auch am Ende. Vielen Dank, lieber Hanno. Wir haben die Webseite, glaube ich, noch gar nicht genannt. Cyberdirect.de? www.cyberdirect.de.
Hanno Pingsmann: Bei Interesse stehen wir zur Verfügung und ich hoffe, dass ich zumindest das komplexe und abstrakte Produkt der Cyberversicherung heute ein bisschen näher bringen konnte.
Sven Weizenegger: Vielen Dank. Bis bald.
