Über Ralph Günther

Als Gründer der exali GmbH verfüge ich über langjährige Erfahrung im Riskmanagement und der Versicherung von IT-Experten, Medienschaffenden und Consultants. Mehr

Zum Versicherungsportal

exali.de - Mein Business bestens versichert

RSS

RSS

Networking

Follow exali on Twitter  

Meta

Diese Seite wird überprüft von der Initiative-S

„Schwerwiegendster Hack aller Zeiten“: Das schreibt das Magazin t3n über den Angriff auf Adobe – der dramatischere Auswirkungen hat, als zunächst angenommen. Dabei wurden nicht nur rund 156 Millionen (!) Datensätze von Kunden erbeutet, sondern die kursieren mittlerweile auch zum Download im Netz. Identitätsdiebstahl vorprogrammiert – als Resultat einer neuen, aggressiven Hackerkultur, von der längst nicht mehr nur die großen Player betroffen sind. Denn zunehmend geraten auch kleine Unternehmer in die Schusslinie von Cyber-Kriminellen. Wie dieser Freiberufler: Sein PC wurde von unbekannten Dritten ausgespäht und womöglich sensible Daten eingesehen. Am Ende blieb ihm nichts anderes übrig, als der Gang zur Polizei…

Das Konto geknackt und Spam-Mails versandt: Als ein Freiberufler diese Nachricht von seinem Hosting Provider bekam, war klar: Unbekannte Dritte hatten sich Zugang zu seinem PC verschafft.

Das Konto geknackt und Spam-Mails versandt: Als ein Freiberufler diese Nachricht von seinem Hosting Provider bekam, war klar: Unbekannte Dritte hatten sich Zugang zu seinem PC verschafft.

Welche Folgen drohen, wenn Systeme von Freiberuflern angegriffen oder ausgespäht werden, darum geht es diese Woche auf meinem Blog. Dabei zeige ich auch, wie ihr Eigenschäden und Haftpflichtansprüche seitens Eurer Kunden als Folge eines Hacker-Angriffs absichern könnt.

Passwort geknackt: Spam über E-Mail-Konten versandt

Das ist ein interessanter Schadenfall eines Freiberuflers, der vor kurzem auf meinem Tisch landete. Sein Hosting Provider informierte ihn, dass über eines seiner E-Mail-Konten Massenmails (Spam) versandt wurde, was zu außergewöhnlich hohem Traffic führte.

Ein böses Erwachen für den Freiberufler. Denn da er die Mails selbst gar nicht verschickt hatte, ließ das nur einen Schluss zu: Sein PC wurde von unbefugten Dritten ausgespäht, die dabei nicht nur Infos über Passwörter und Login-Daten zu den E-Mailkonten erbeuteten, sondern möglicherweise auch an weitere sensible Daten gelangten: seine eigenen – und die seiner Auftraggeber. Der Freiberufler handelte sofort und erstattete Anzeige bei der Polizei.

Doch damit allein war es nicht getan: Zusätzlich ließ er seinen PC von einem Spezialisten (auch Computer Forensiker genannt) untersuchen. Der sollte klären, welche Daten ausgespäht wurden, ob Schadsoftware installiert wurde und welche Sicherheitslücken im System bestehen. .

Kostenexplosion Wiederherstellung der Systeme und Krisenmanagement

Zwei von vielen Maßnahmen, die als Konsequenz eines Hacker-Angriffs, einer DoS-Attacke, Computermissbrauchs, Diebstahl von Datenträgern oder einer sonstigen Datenrechtsverletzung typischerweise eingeleitet werden müssen. Denn in einem solchen Fall sollte der Freiberufler sich und seine Auftraggeber so schnell als möglich aus der Gefahrenzone bringen.

Und das kann vor allem eines werden: teuer. Je nachdem wie der Fall gelagert ist, entstehen als Folge z.B. Kosten

  • für die Beauftragung externer Computer-Forensik-Analysten, die der Ursache auf den Grund gehen, die betroffenen Personen identifizieren und Folgeschäden durch infizierte Systeme ausschließen;
  • für die Information und Beratung von Dateninhabern (beispielsweise durch ein Call-Center);
  • für die Bereitstellung von Kreditschutz- und Kreditüberwachungsdienstleistungen;
  • für Krisenmanagement- und Public-Relations-Maßnahmen;
  • für die Honorare externer spezialisierter Anwälte im Zusammenhang mit behördlichen Meldepflichten bis hin zu den – im Worst Case – Kosten für die strafrechtlichen Verteidigung;
  • für die Wiederherstellung und Reparatur der eigenen IT-Systeme, um Unterbrechungen im Business und (weitere) Umsatzausfälle z.B. bei einem Online-Shop zu vermeiden.

Und das sind lediglich Eigenschadenkomponenten, die nach einem Angriff bzw. der Ausspähung des eigenen Systems drohen.

Dazu können nämlich auch noch Schadenersatzforderungen seitens Dritter kommen. Beispielweise können geschädigte Auftraggeber den Freiberufler wegen des

  • Verstoßes gegen gesetzliche Datenschutzbestimmungen,
  • Verstoßes gegen Geheimhaltungspflichten,
  • Verstoßes gegen vertragliche Bestimmungen zum Schutz personenbezogener Daten sowie
  • des Verstoßes gegen das UWG (Spamming)

in Haftung nehmen.

Datenschutz- und Cyber-Eigenschaden-Deckung: Schutz für das eigene Business

Um den potentiellen Schaden auf eine Zahl zu bringen: 70.000 Euro kostet eine zielgerichtete Attacke kleine und mittlerer Unternehmen (KMU) im Durchschnitt, wie eine dieses Jahr durchgeführte weltweite Umfrage des IT- Sicherheitsunternehmens Kaspersky Lab zeigt.

KMU, die zunehmend in das Visier von Internet-Kriminellen geraten und von Daten-Diebstahl bedroht sind, bieten mit die größte Angriffsfläche. Dafür sorgen häufig fehlendes Know-How und ein relativ geringes Budget, das für IT-Sicherheit aufgebracht werden kann.

Neue Risiken, auf die nun auch viele Versicherer reagiert haben – und spezielle Konzepte anbieten, die nicht nur Schadenersatzforderungen, sondern auch Eigenschäden im Zusammenhang mit Datenrechtsverletzungen absichern.

Dabei kann zwischen Leistungserweiterungen zu Berufshaftpflichtversicherungen oder eigenständigen Hacker-Versicherungen unterschieden werden. Ähnliche Angebote finden sich unter Bezeichnungen wie Datenschutz & Cyber-Eigenschaden-Deckung, Cyber-Security, Data-Risk, Datenschutz-Versicherung, etc.

Mein Tipp: Wer sich und sein Business mit einer solchen Hacker-Versicherung absichern möchte, sollte drauf achten, dass – neben Schadenersatzforderungen und damit Haftpflichtansprüchen –auch Eigenschäden abgedeckt sind.
Dazu gehört die Versicherung folgender Eigenschäden (und Mehrkosten):
  • Hacker-Eigenschaden an eigenen IT-Systemen
  • Datenrechts-Eigenschaden (insbesondere Ausspähung personenbezogener Daten)
  • Aufwendungen für eine (drohende) Unterbrechung im Business (Mehrkosten-Deckung)
  • Vertrauensschaden (vorsätzliche Schädigung eigener IT durch Mitarbeiter)
  • Kosten für Strafverteidigung (Internet-Straf-Rechtsschutz)

Und der Freiberufler? Er hatte noch Glück im Unglück. Bislang kamen keine weiteren Ansprüche auf ihn zu. Den Angriff hat er aber für den Fall der Fälle gemeldet, falls es doch noch zu unkalkulierbaren weiteren Kosten kommt. To be continued…

Weiterführende Informationen

Schreiben Sie einen Kommentar

Wenn Sie einen Kommentar abgeben, speichern wir zu den eingegebenen Daten Ihre IP-Adresse. Weitere Informationen finden sie in unserer Datenschutzerklaerung.

Time limit is exhausted. Please reload CAPTCHA.