Über Ralph Günther

Als Gründer der exali GmbH verfüge ich über langjährige Erfahrung im Riskmanagement und der Versicherung von IT-Experten, Medienschaffenden und Consultants. Mehr

Zum Versicherungsportal

exali.de - Mein Business bestens versichert

RSS

RSS

Networking

Follow exali on Twitter  

Meta

Diese Seite wird überprüft von der Initiative-S

Plötzlich meldet sich der Telefon-Provider. Warum in aller Welt auf einmal so viel nach Lettland telefoniert würde…? Und zwar ganze 500 Mal für jeweils 20 Minuten. Es ist eine ärgerliche Hiobsbotschaft, die in der ersten Arbeitswoche im neuen Jahr ein befreundetes Unternehmen von mir ereilte: Zwei Tage lang haben Hacker ihre Telefonanlage gekapert und damit einen Schaden verursacht, der bis in den fünfstelligen Bereich gehen könnte. Was für ein „Weihnachtgeschenk“ – und Anlass genug für mich, das Thema Datenrisiken bzw. Hackerschäden als Haftungsrisiko im TK-Bereich hier auf dem Blog aufzugreifen.

Haftungsrisiko Hackerangriff: Ist die Software nicht Up-to-Date, sind nicht nur die Systeme angreifbar, sondern auch der dafür zuständige Telekommunikations-Dienstleister.

Haftungsrisiko Hackerangriff: Ist die Software nicht Up-to-Date, sind nicht nur die Systeme angreifbar, sondern auch der dafür zuständige Telekommunikations-Dienstleister.

Dabei will ich Euch auch für die Problematik mit dem „Stand-der-Technik“ sensibilisieren – der für Telekommunikations-Dienstleister nicht nur haftungstechnisch sondern auch in puncto Versicherungsschutz zum unangenehmen (= teuren) Problem werden kann.

Tatort Telefonanlage: 500 „illegale“ Gespräche nach Lettland

Ja es gibt bessere Nachrichten, als die Meldung des Telefon-Providers über ungewöhnlich viele Gespräche nach Lettland, wie sie diese Woche ein befreundetes Portal erreichte.

Tatsächlich stellte sich schnell heraus: Hier hatten nicht die Mitarbeiter mal hier, mal da ins Ausland telefoniert – sondern hinter den Gesprächen steckt die systematische Abzocke, das illegale Geschäftsmodell von Hackern.

Zwei Tage lang hatten sie die Telefonanlage gekapert und in dieser Zeit 500 Gespräche à 20 Minuten „abgezockt“. Die Höhe des aufgelaufenen Schadens ist zum jetzigen Zeitpunkt noch nicht klar. Doch Fakt ist: Günstig wird es nicht. Bei Gebühren zwischen 60 Cent und sechs Euro (wenn ein Call-by-Call-Anbieter zwischengeschaltet wird) pro Gespräch, muss das Portal mit Kosten zwischen 6.000 und 36.000 Euro rechnen.

Glück im Unglück: Provider meldet Fall frühzeitig

Dabei hatte das Unternehmen noch Glück im Unglück: Nach 48 Stunden meldete sich der Provider pro aktiv. Ihm war das extreme Gesprächsaufkommen ins Ausland aufgefallen und er schickte zur Überprüfung eine Liste. So konnte die Sicherheitslücke frühzeitig aufgedeckt werden.

Eher die Ausnahme, denn die Regel: Häufig wird der Missbrauch durch Hacker erst auf der Telefonrechnung entdeckt. Dann ist die Gebührenfalle längst zugeschnappt: Wenn sich nach zwei Tagen bereits Summen im fünfstelligen Bereich angehäuft haben können, will man sich die Kosten über Wochen hinweg lieber nicht vorstellen.

Nicht auf neuestem Stand der Technik: TK-Dienstleister haftet

Und vor allem will man nicht in der Haut eines möglichen Telekommunikations-Dienstleisters stecken, der die Telefonanlage installiert hat und für deren Wartung zuständig ist. Dazu gehören auch Software-Updates, die Sicherheitslücken schließen und Hackerangriffe unmöglich machen sollen.

Die Rechnung ist denkbar einfach: Ist die Software nicht Up-to-Date (auf dem neuesten Stand der Technik), sind nicht nur die Systeme angreifbar, sondern auch der dafür zuständige Telekommunikations-Dienstleister. Letztendlich kann er von seinem Kunden für den entstandenen Schaden in Regress genommen werden.

Das befreundete Unternehmen berichtete mir, dass der Angriff vermutlich nur möglich war, da die Telefonanlage schon seit längerer Zeit nicht mehr upgedatet wurde. Man wollte nämlich in Kürze die Telefonanlage in die „Cloud“ outsourcen.

IT-Haftpflicht sichert Hackerschäden ab

Sicherheitslücken und Fehlkonfigurationen: Im Bereich der Telekommunikation lauert erhebliches Schadenpotential. Ein Fall für eine spezielle Berufshaftpflicht , die den Bereich IT und Telekommunikation abdeckt.

Sie springt typischer Weise ein, wenn dem Kunden durch einen Fehler des selbständigen Dienstleisters ein finanzieller Schaden entstanden ist.

Die IT-Haftpflicht sichert also auch Hackerschäden beim Kunden ab, die durch ein versäumtes Sicherupdate seitens des IT-Dienstleisters erst möglich gemacht wurden.

Gute Konzepte decken übrigens auch Eigenschäden durch einen Hackerangriff, beispielweise, wenn die eigene Webseite des Dienstleisters durch einen Hackerangriff zerstört wurde – aber das nur am Rande.

Vorsicht vor „Stand der Technik-Klausel“

Um nochmal auf die Problematik „Stand der Technik“ zurückzukommen: Ist die Software nicht auf dem neuesten Stand, kann dem Telekommunikations-Dienstleistern daraus haftungstechnisch ein Strick gedreht werden – aber auch in puncto Versicherungsschutz kann es ein böses Erwachen geben.

Grund: Einige Versicherer verwenden in ihren Bedingungen die „Stand der Technik“- Klausel –. Sie macht denVersicherungsschutz vom (aktuellen) Stand der Technik und Methodik abhängig und offeriert damit großen Raum für Interpretationen und Rückzugsmöglichkeiten. Im Worst Case kann der Schutz bei fehlenden oder unzureichenden Updates, die in den Verantwortungsbereich des Dienstleisters fallen, verweigert werden.

Bei solchen (oder ähnlichen) Wortlauten in den Bedingungen Eurer IT-Haftpflicht solltet ihr deshalb hellhörig werden:

  • „Nicht versichert sind Ansprüche aus Sach- und Vermögensschäden (…) die nicht nach dem Stand der Technik oder in sonstiger Weise ausreichend erprobt waren.“
  • Versicherungsschutz wird nur gewährt für … Schäden, die TROTZ Beachtung des anerkannten Standes der Technik und Methodik, der Einhaltung branchenüblicher Qualitätssicherungsverfahren (insbesondere Test- und Abnahmeverfahren) oder sonst anerkannter Regeln des Software-Engineerings eingetreten sind.“

P.S.: Gerne wird die „Stand der Technik“-Klausel“ auch im Zusammenhang mit Dienstleistungen im Bereich E-Banking und E-Commerce angewendet. Beispiel für eine problematische Klausel:

  • „Nicht versichert sind Ansprüche wegen Schäden im Bereich Zahlungs- oder Abrechnungsverkehr (E-Banking, E-Commerce), die dadurch entstehen, dass Dritte von Außen auf Datenübertragungen in Datennetzen (z.B. Internet) manipulative Eingriffe vornehmen (z.B. Hacker Attacks) und der Versicherungsnehmer wegen fehlender oder nicht dem Stand der Technik entsprechender Sicherheits- oder Verschlüsselungstechnologie (auch Beratung) in Anspruch genommen wird.“
Fazit: Die Absicherung von Datenrisiken im Telekommunikationsbereich ist ein Thema, das IT- und Telekommunikations-Dienstleister definitiv auf dem Schirm haben sollten. Und nicht nur sie: Auch Unternehmen sollten sich mit dem Fall der Fälle auseinandersetzen.
Mittlerweile gibt es auf dem Markt erste Versicherungslösungen für Unternehmen, um sich vor Datenrisiken und Hackerangriffen zu schützen. Diese meist aus dem angelsächsischen Bereich stammenden Data-Risk- bzw. Cyber-Liability-Produkte, bieten als Baustein auch eine „Hacker Protektion“ an. Mehr Infos dazu könnt ihr im Beitrag Datarisks: Wenn Daten in die falschen Hände gelangen nachlesen.

Weiterführende Informationen

Schreiben Sie einen Kommentar

Wenn Sie einen Kommentar abgeben, speichern wir zu den eingegebenen Daten Ihre IP-Adresse. Weitere Informationen finden sie in unserer Datenschutzerklaerung.

Time limit is exhausted. Please reload CAPTCHA.