Image
atlas_cyber_angriff.jpeg
Foto: ipopba - stock.adobe.com
Existenzgefährdend kann es für Sicherheitsdienstleister werden, wenn sie Opfer  einer Cyberattacke sind. Ein entsprechender Versicherungsschutz sollte daher vorhanden sein.

Sicherheitsdienstleister

Cyberattacken: Versicherungsschutz für Sicherheitsdienstleister

Wenn Sicherheitsdienstleister Opfer einer Cyberattacke werden und Kundendaten in die falschen Hände geraten - wie sieht es mit dem Versicherungsschutz aus?

Vernetzte Systeme, auch von Sicherheitsdienstleistern, sind anfällig für Cyberattacken; diese benötigen daher einen besonderen Versicherungsschutz. Die Globalisierung, Inbegriff der Vernetzung, hat zur Verbreitung von Covid 19 über die ganze Welt maßgeblich beigetragen. Sicherheitsdienstleister stehen hier in einer besonderen Rolle: Denn einerseits sind sie ein Teil der Lösung, andererseits leiden sie unter den Bedrohungen wie andere Unternehmen auch.

Die Hafnium-Attacke

Am 3. März 2021 veröffentlichte Microsoft außerplanmäßig ein Sicherheitsupdate. Vier Sicherheitslücken ihrer Exchange-Server sollten damit geschlossen werden. Angreifer hatten sich über diese Lücken seit Dezember 2020 als Administratoren anmelden und Schadsoftware unbemerkt einschleusen können. Ab Februar 2021 wurden dann durch Massenscans Informationen von den betroffenen Systemen abgezogen. Stunden nach der Veröffentlichung des Sicherheitsupdates kam es zum großflächigen Angriff auf die infizierten Exchange-Server.

Cyberattacken können Kernbereich der Sicherheitsdienstleistung treffen

Sicherheitsunternehmen bieten grundsätzlich die gleichen Angriffsflächen wie alle anderen Unternehmen in Deutschland. Es drohen Verluste von Kundendaten, des Rechnungswesens und der Personalverwaltung. Daraus kann ein Stillstand des Unternehmens resultieren und ein Betriebsunterbrechungsschaden. Dieser ist über eine Cyberversicherung versicherbar. Bei Sicherheitsdienstleistern gibt es jedoch noch eine weitere Problematik. Hier geht es nicht nur um irgendwelche Kundendaten, sondern um die Daten inklusive Foto- und Videomaterial der zu schützenden Objekte, die auf den Servern einer NSL lagern. Dies hat eine andere Qualität, da sich dadurch Tore für weitergehende Angriffe öffnen. Zudem muss sehr zeitnah gehandelt werden, da die Angreifer die Bilder der Objekte weiterverkaufen können, wodurch beispielsweise die Positionen von Überwachungskameras preisgegeben werden.

Europäisches Projekt des Coess: Hüsgen vertritt BDSW

Der Europäische Dachverband der Sicherheitswirtschaft Coess führt mit der Gewerkschaft UNI Europa ein Projekt durch. Der BDSW ist dabei auch vertreten.
Artikel lesen

Bei drei Kunden von Atlas war der Angriff erfolgreich. In zwei dieser Fälle bestand eine Cyberversicherung. Die sofort eingebundenen Krisendienstleister machten die Unternehmen wieder sicher und betriebsbereit. Datenabflüsse gab es nicht. Gleichwohl zeigt dies die besondere Brisanz der in der Sicherheitswirtschaft digital verfügbaren Daten von Schutzobjekten auf. Werden sicherheitssensible Daten abgezogen, sind die Folgen unübersehbar, in vielen Fällen dürften sie schwerwiegend sein.

Versicherungsschutz gegen Cyberangriffe

Es stellt sich auch die Frage, ob das Sicherheitsunternehmen für Schäden bei Auftraggebern haften könnte, wenn sich herausstellt, dass sensible Kundendaten abgeflossen sind. Denkbar sind hier zum Beispiel Schäden durch erfolgreiche IT-Einbrüche, bei denen die Sicherheitsarchitektur des Auftraggebers auf Basis der entwendeten Daten mit Insiderkenntnissen ausgehebelt wurde. Die Haftung wird im Einzelfall bewertet werden müssen. Allerdings kann zum Beispiel das bewusste Nichtaufspielen von Hersteller-Updates ein schuldhaftes und damit haftungsbegründendes Verhalten darstellen. Der entsprechende Cyberhaftpflicht-Versicherungsschutz des Unternehmens muss darauf abgestimmt sein, um sich gegen Schadenersatzansprüche verteidigen zu können und eventuelle Ersatzleistungen vom Versicherer tragen zu lassen.

Zu berücksichtigen sind auch andere mögliche Folgen. Abgesehen von der Haftung, dürfte es einen sehr großen Reputationsschaden für das Sicherheitsunternehmen geben. Die Kosten für geeignete PR-Maßnahmen sind Teil der Cyberversicherungsleistungen.

Callcenter-Unterstützung und Kosten strafrechtlicher Verteidigung

Kommt es bei einem Sicherheitsdienstleister zu dem Abfluss von personenbezogenen Daten, so wird es sich regelmäßig um einen anzeigepflichtigen Vorfall nach dem Bundesdatenschutzgesetz (BDSG) handeln. In einem solchen Fall müssen alle betroffenen Personen nach § 66 BDSG benachrichtigt werden. Dies wird in den meisten Fällen die Unternehmen überfordern, denn das rechtssichere, standardisierte und nachweisbare Abtelefonieren möglicherweise tausender Kunden übersteigt die vorhandenen Kapazitäten. Die gesetzlich mögliche, öffentliche Bekanntmachung nach § 66 (3) Nr. 3 BDSG käme allerdings einem Todesurteil gleich. Alternativ wäre die Beauftragung eines Callcenters, weil dort für derartige Aufgaben Kapazität und Know-how vorhanden sind. Auch dies ist ein Teil des Leistungspakets der Cyberversicherung, Organisation und Kosten werden vom Versicherer übernommen.

Was die Coronakrise für die Sicherheitswirtschaft bedeutet

Die Sicherheitswirtschaft steht unter Druck. Durch die Coronakrise brechen einerseits Aufträge weg. An anderen Stellen boomt das Geschäft. Eine Branche im Stresstest.
Artikel lesen

Verstöße gegen Datenschutzbestimmungen können zu Strafverfahren nach § 42 BDSG führen. Ein besonderes Thema für die Träger der Gewerbeerlaubnis für Bewachungsunternehmen ist der drohende Entzug wegen fehlender Zuverlässigkeit nach § 34a (1) Nr. 4 Gewerbeordnung, wozu die Verurteilung zu einer Freiheitsstrafe oder einer Geldstrafe von mindestens 90 Tagessätzen führen würde. Der Fortbestand des Unternehmens wäre gefährdet. Bei der Verteidigung gegen diese Vorwürfe geht es um mehr als nur um eine Geldstrafe. Die Strafrechtsschutzversicherung ist hier das geeignete Instrument, um die Kosten für die Verteidigung im Strafverfahren loszuwerden.

Bernd M. Schäfer, Geschäftsführender Gesellschafter der Atlas Versicherungsmakler für Sicherheits- und Wertdienste GmbH

Image
atlas_cyber_schäfer.jpeg
Foto: Atlas Versicherungsmakler für Sicherheits- und Wertdienste GmbH  Bernd M. Schäfer, Geschäftsführender Gesellschafter 
Foto: CDC Global/ Wikimedia Commons

Ebola-Epidemie in Westafrika

Versicherungsschutz für freiwillige Helfer

Der Ausbruch des Ebola-Virus in Westafrika fordert seit einigen Monaten zahlreiche Menschenleben. Um kurzfristig Abhilfe schaffen zu können, werden freiwillige Helferinnen und Helfer gesucht. Doch wie sieht es mit dem Versicherungsschutz der Helfer aus?

Drohnen in privater Hand sind nicht immer ordnungsgemäß versichert.
Foto: helden.de

Versicherungen

Private Drohnen häufig ohne Versicherungsschutz

Nach Ergebnissen der aktuellen helden.de Befragung fliegen in Deutschland fast acht Prozent mit ihren Drohnen ohne entsprechenden Versicherungsschutz.

Foto: Pixelio.de/Marco Barnebeck

Lünendonk-Studie

Führende Sicherheitsdienstleister

Im Vergleich zu anderen Dienstleistungsbranchen haben sich laut aktueller Lünendonk-Studie die führenden Sicherheitsunternehmen in Deutschland gut behauptet: Die 15 nach Inlandsumsatz größten Anbieter sind im Jahr 2010 im Durchschnitt um 3,8 Prozent gewachsen.

Foto: Harald Reiss/Pixelio

Lünendonk

Neue Tätigkeitsfelder für Sicherheitsdienstleister

Die Skandale der vergangenen Monate haben es gezeigt – die Symbiose aus Personal und Technik zum Schutz von Unternehmen und ihren Informationen wird in Zukunft immer bedeutsamer. Dadurch eröffnen sich für Sicherheitsdienstleister neue Betätigungsfelder.