Freitag, 23. Oktober 2015

yourIT empfiehlt - 8 Punkte, auf die Mittelständler bei der Auswahl einer passenden Cyber-Versicherungs-Police achten sollten

So segensreich die Möglichkeiten der digitalen Vernetzung für die meisten Menschen auch sind - ehrlicherweise sollten auch die daraus resultierenden Gefahren nicht verschwiegen werden. Sogenannte Cyber-Kriminalität gewinnt leider immer mehr an Bedeutung, weil sich mit sensiblen Daten unter Umständen viel Geld verdienen lässt. Außerdem werden die meisten Unternehmen durch Angriffe auf ihre IT-Infrastruktur an einem empfindlichen Nerv getroffen. Neben entsprechenden Maßnahmen in den Bereichen Datenschutz & IT-Sicherheit sowie der Einführung eines Risikomanagements sollte deshalb auch der Transfer des Restrisikos auf eine Cyber-Versicherungs-Police in Betracht gezogen werden.


Vor welchen (Rest-) Risiken schützt eine Cyber-Versicherungs-Police?


yourIT-Übersicht Cyber-Risiken, Maßnahmen und Risiko-Transfer auf eine Cyber-Versicherungs-Police

Die Schäden sich schon jetzt erheblich: Auch wenn viele Firmen ungern über erfolgreiche IT-Angriffe sprechen, um das Vertrauen ihrer Kunden nicht zu verlieren, verursachen Kriminelle im Internet hohe Kosten. Laut Einschätzungen des Branchenverbandes Bitkom gehen derzeit jährlich rund 50 Milliarden Euro durch digitale Straftaten verloren. Betroffen sind vor allem mittelständische Unternehmen. Warum nicht die Großunternehmen und Konzerne in das Visier der Hacker geraten, erschließt sich schnell: Im Vergleich zu den Großen fehlen Mittelständlern häufig sowohl das Verständnis für die Risiken als auch die Fähigkeiten und die Mittel, dieser Gefahr zu begegnen. Eine Cyber-Versicherungs-Police sichert genau den Eigenschaden bei Eintreten des Schadenfalls ab. Unverzichtbar für Unternehmen ist es aber auch weiterhin, gemeinsam mit Ihrem IT-Systemhaus die erforderlichen Maßnahmen in den Bereichen Datenschutz, IT-Sicherheit und Risikomanagement zu ergreifen.

Lernen Sie die zwei Typen von Cyber-Versicherungs-Policen kennen


Grundsätzlich muss zwischen zwei Typen Deckungselementen unterschieden werden: Der eine Typ deckt die Eigenschäden ab, die direkt durch den Datenverlust nach einem Angriff entstehen. Das könnte vor allem wichtiges Knowhow sein, welches dem Unternehmen verloren geht. Weiterhin entstehen durch den Ausfall der digitalen Infrastruktur natürlich weitere Kosten (insbesondere Betriebsausfall bis hin zum Bandstillstand) - die meisten Unternehmen können heute ohne Rechner nicht mehr arbeiten. Als zweiter Typ werden die Fremdschaden-Versicherungen bezeichnet, die für Schäden gegenüber Dritten einstehen. Dieser Typ entspricht einer Haftpflicht-Versicherung. Kommt es zu einem Cyber-Schaden bei Dritten, durch den vertrauliche Geschäftsdaten an die Öffentlichkeit kommen, sollten auch Vermögensschäden mitversichert sein.

Es gibt viele Anbieter von Cyber-Policen - Sie haben die Qual der Wahl


Wenn Sie sich nun an die Auswahl der passenden Cyber-Versicherungs-Police machen, sollten Sie vor allem an Haftungseinschränkungen und Haftungsausschlüssen orientieren. Nur so vermeiden Sie kritische Fehler und Sie erhalten am Ende auch den zu Ihrem Unternehmen passenden Cyber-Schutz.

Achten Sie bei der Auswahl insbesondere auf folgende Punkte:

  1. Ist eine Rückdatierung der Versicherung und damit eine rückwirkende Absicherung möglich?
  2. Leistet die Versicherung auch bei einem Verlust von unverschlüsselten Daten?
  3. Leistet die Versicherung auch bei einem Verlust bei Fahrlässigkeit?
  4. Wie steht es um den Versicherungsschutz, wenn Ihre Daten beim Cloud-Dienstleister oder anderen Dritten verloren gehen?
  5. Was ist mit Daten in der Cloud, auf mobilen Geräten und auf Papier?
  6. Wer trägt die Kosten der Benachrichtigung der Betroffenen?
  7. Manchmal sind nach einem Schadensfall längerfristige Überwachungs-Dienstleistungen notwendig - evtl. über Jahre. Werden die Kosten übernommen?
  8. Zahlt die Versicherung auch die oft hohen Kosten der Datenwiederherstellung?
Falls Sie überfordert sind oder keine Zeit haben: Zur Abrundung Ihrer bestehenden Versicherungen empfehlen wir Ihnen gerne einen Versicherungsmakler, der sich als Experte im Bereich der Cyber-Versicherung hervortut. Fragen Sie uns an.

Fazit: Nehmen Sie Eigenverantwortung wahr


Eine Cyber-Versicherungs-Police erscheint unserer Meinung nach sinnvoll und kann ein ganz existenzielles Unternehmensrisiko abdecken. Für uns als IT-System- und Beratungshaus ist sie ein wichtiger Partner, um Ihr Risiko als Unternehmen so gering wie möglich zu halten. Als Unternehmer sollten Sie dem Thema daher mehr Aufmerksamkeit widmen.

Aber Vorsicht: Wie bei vielen anderen Versicherungen auch, führt fahrlässiges und grob fahrlässiges Verhalten zu einem Leistungsausschluss. Mit Passwörtern sollte also verantwortungsvoll umgegangen werden, ebenso muss die Sicherheitsinfrastruktur des Unternehmens auf dem aktuellen Stand sein.

Vergessen Sie nicht, dass Sie sich nicht gegen Geschäftsverlust aufgrund von Imageschäden nach einem Sicherheitsvorfall versichern können. Und diese Kosten können erheblich sein. Laut des Berichts von Ponemon kostet ein Sicherheitsvorfall ein Unternehmen im Durchschnitt etwa 4 Prozent der Kunden. Nehmen Sie daher lieber Sicherheitsmaßnahmen in Kauf, als sich auf die Versicherung im Falle eines Falls zu verlassen.

Wir als Ihr Systemhaus kümmern uns um die technischen und organisatoreischen Maßnahmen in den Bereichen IT-Sicherheit und Datenschutz. Außerdem unterstützen wir Sie gerne bei einer gründlichen Risikobewertung sowie beim Aufbau eines Risiko-Managementsystems. Wurden diese Maßnahmen ergriffen, sorgt die Cyber-Versicherungs-Police aber für ein Stück mehr Sicherheit - von dem im Ernstfall auch Ihre Kunden profitieren werden.

Update vom 23.10.2015: Unternehmen mit viel Nachholbedarf


Der Digitalverband Bitkom geht davon aus, dass mehr als die Hälfte aller Unternehmen in Deutschland in den letzten 2 Jahren Opfer von Sabotage, Datendiebstahl oder digitaler Wirtschaftsspionage geworden sind! Konservativen Berechnungen der Bitkom zu Folge kann man von einem entstandenen Schaden in Höhe von 51 (!!!) Milliarden Euro ausgehen - pro Jahr versteht sich.

Durch den Einsatz von Cyber-Policen schützen sich Firmen vor Produktionsausfällen Auch Lösegelder können erstattet werden, die Unternehmen Kriminellen für die Rückgabe Ihrer Daten bezahlen müssen.

Ich freue mich auf Ihre Termin- und Projektanfragen. Fordern Sie uns!

Ihr

Thomas Ströbele 


BEST OF CONSULTING 2015 - Initiative Mittelstand prämiert yourIT-Beratungspakete mit dem Innovationspreis-IT


Unsere Beratungspakete
wurden beim Innovationspreis-IT der Initative Mittelstand mit dem Preis BEST OF CONSULTING 2015 ausgezeichnet.


Montag, 5. Oktober 2015

Auftragsdatenverarbeitung ohne korrekte ADV-Vereinbarung kann teuer werden

Das Bayrische Landesamt für Datenschutz (BayLDA) verhängte laut eigenen Angaben vom 20.08.2015 erstmals ein Bußgeld in fünfstelliger Höhe gegen einen Auftraggeber, der Auftragnehmer mit der Erhebung, Verarbeitung oder Nutzung personenbezogener Daten beauftragt hatte, ohne mit diesen gemäß § 11 BDSG hinreichende Vereinbarungen zur Auftragsdatenverarbeitung zu treffen. Speziell die Festlegung konkreter (!) technischer und organisatorischer Maßnahmen (TOM) wurde vernachlässigt (vgl. § 11 (1) Abs. 3 BDSG).


Das betroffene und nun abgestrafte Unternehmen hatte stattdessen nur pauschale Aussagen und Wiederholungen des Gesetzestextes in die Vereinbarungen mit den Auftragnehmern geschrieben. Dies reicht laut dem BayLDA keinesfalls aus. Denn der Auftraggeber ist und bleibt für die Einhaltung der Vorschriften des BDSG und anderer Vorschriften über den Datenschutz auch in Fällen einer Auftragsdatenverarbeitung verantwortlich.

Auftragsdatenverarbeitung ohne korrekte schriftliche Vereinbarung kann teuer werden


Als Datenschutzbeauftragte bekommen wir aber nicht selten genau diese pauschalen Aussagen und Wiederholungen aus dem Gesetzestext statt konkreter technischer und organisatorischer Maßnahmen zu lesen, wenn wir eine Vereinbarung zur Auftragsdatenverarbeitung schließen wollen. Wenn ich dann konkrete Maßnahmen einfordere, höre ich nicht selten, ich wäre der erste Datenschutzbeauftragte, der sich mit dem "Standard" nicht zufrieden geben möchte.

Aber ganz ehrlich: Wie will ein Auftraggeber seiner gesetzlich auferlegten Datenschutz-Verantwortung nachkommen, wenn er die konkreten technischen und organisatorischen Maßnahmen des Auftragnehmers nicht kennt und daher auch nicht überprüft. Wie kann er dann wissen, ob sein ausgewählter Dienstleister überhaupt in der Lage ist, für Sicherheit und Schutz der Daten zu sorgen - die in seinem Verantwortungsbereich liegen?

Der Datenschutzbeauftragte des Auftraggebers muss sich gemäß Anlage zu § 9 BDSG über die Verhältnisse der

  • Zutrittskontrolle,
  • Zugangskontrolle,
  • Zugriffskontrolle, 
  • Weitergabekontrolle,
  • Eingabekontrolle,
  • Auftragskontrolle,
  • Verfügbarkeitskontrolle und
  • Trennungsgebot

beim Auftragnehmer ein Bild machen - z.B. durch Kontaktaufnahme mit dem Datenschutzbeauftragten des Auftragnehmers. Falls notwendig muss er auch für die Einführung weiterer geeigneter technisch-organisatorischer Maßnahmen sorgen. Gibt es auf Seiten des Auftragnehmers keinen Datenschutzbeauftragten, wird der Datenschutzbeauftragte des Auftraggebers auch diese Arbeiten durchführen müssen.

Der Auftraggeber muss eine dem § 11 BDSG entsprechende Vereinbarung schließen. Die Haftung bleibt bei ihm, solange sich der Auftragnehmer wie vereinbart verhält. Der Auftraggeber wird auch die Kosten dieser Tätigkeiten seines Datenschutzbeauftragten sowohl beim Auftraggeber als auch beim Auftragnehmer tragen müssen. Es ist aber denkbar, diese zumindest teilweise an den Auftragnehmer weiter zu reichen.

Typische Fälle von Auftragsdatenverarbeitung


Auftragsdatenverarbeitung sind laut dem BayLDA regelmäßig z. B. folgende Dienstleistungen:

  • die edv-technischen Arbeiten für die Lohn- und Gehaltsabrechnungen oder die Finanzbuchhaltung,
  • Outsourcing personenbezogener Datenverarbeitung im Rahmen von Cloud-Computing,
  • die Werbeadressenverarbeitung in einem Lettershop,
  • die Kontaktdatenerhebung durch ein Callcenter,
  • die Auslagerung eines Teils des eigenen Telekommunikationsanlagenbetriebs (soweit nicht TKG),
  • die Auslagerung der E-Mail-Verwaltung oder von sonstigen Datendiensten zu Webseiten,
  • die Datenerfassung, die Datenkonvertierung oder das Einscannen von Dokumenten,
  • die Backup-Sicherheitsspeicherung und andere Archivierungen,
  • die Datenträgerentsorgung, 
  • usw.


Diese Liste erhebt keinen Anspruch auf Vollständigkeit.

Was Sie als Auftraggeber jetzt tun sollten


Sie sind laut § 11 BDSG in der Pflicht, eine hinreichende schriftliche Vereinbarung mit allen Auftragsdatenverarbeitern zu schließen. Falls Sie das nicht tun, zahlen Sie gegebenenfalls das Bußgeld. Falls noch nicht geschehen, sollten Sie jetzt eine Liste Ihrer Auftragsdatenverarbeiter aufstellen. Auf Anfrage liefern wir Ihnen gerne ein kostenloses Muster einer solchen Liste der Auftragsdatenverarbeiter. Danach sollten Sie überprüfen, mit welchen der in der Liste notierten Auftragsdatenverarbeiter bereits schriftliche Vereinbarungen getroffen wurden und ob diese den Anforderungen des § 11 BDSG entsprechen. Mit allen anderen sollten  Sie schnellstmöglich entsprechende Vereinbarungen treffen.

Wie wir von yourIT Sie als Auftraggeber unterstützen können


Unser gefördertes Beratungspaket "Datenschutzkonzept" enthält neben einigen anderen Dingen auch die Erhebung der Liste der Auftragsdatenverarbeiter und die Überprüfung der bisherigen Vertragsstände.

yourIT Beratungspaket Datenschutzkonzept für Sie als Auftraggeber

Vorteil für mittelständische Unternehmen: Unser Beratungspaket "Datenschutzkonzept" wird gefördert mit Mitteln aus dem Europäischen Sozialfonds. Sie erhalten bis zu 1.500 EUR Fördermittel - aber nur bei Durchführung der Beratung bis 31.12.2016.

Worauf warten Sie noch? Vereinbaren Sie jetzt einen kostenlosen Kennenlerntermin.


Ich freue mich auf Ihre Anfragen. Fordern Sie uns! Wir beraten Sie gerne.

Ihr Thomas Ströbele, Telefon 07471/930100

Thomas Ströbele

Sie möchten bei neuen Entwicklungen im Bereich Datenschutz & IT-Sicherheit informiert werden?


Dann tragen Sie sich einfach hier in unseren Newsletter ein.



Hinweis: Auch für Auftragnehmer haben wir ein passendes Beratungspaket geschnürt:

Die §-11-Zertifizierung für Auftragsdatenverarbeiter


yourIT Beratungspaket §-11-Zertifizierung für Auftragsdatenverarbeiter


Wenn Sie Ihren Auftraggeber unterstützen und diesem seine gemäß § 11 BDSG auferlegten Aufgaben so einfach wie möglich machen wollen, lassen Sie Ihr Unternehmen als Auftragsdatenverarbeiter durch uns von yourIT kontrollieren und zertifizieren. In diesem Fall erstellen wir ein Zertifikat, da Ihr Auftragsdatenverarbeiter direkt als Nachweis verwenden kann.