Steuer- und Rechtspraxis Kommunaler Unternehmen 2016 Teil 6: Versicherung / Cyber im Krankenhaus?

Transkript

1 ? Sehr geehrte Damen und Herren, Eike Christian Westermann Partner Recht und Steuern Tel.: das Thema IT-Sicherheit in Verkehrs-, Entsorgungs- und Versorgungsunternehmen sowie auch in Unternehmen der öffentlichen Hand gewinnt immer mehr an Relevanz. Mit dem Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz) sind insbesondere Versorgungsunternehmen gefordert. Die Neuregelungen sollen den Schutz der Integrität und Authentizität datenverarbeitender Systeme für kritische Infrastrukturen verbessern und der gestiegenen Bedrohungslage anpassen. Die aus der Presse bekannten Schäden (u. a. Krankenhausbereich) haben die versicherungsnehmende Wirtschaft sensibilisiert. Eine aufschlussreiche Lektüre wünschen Ihnen Ihre Eike Christian Westermann Matthias Beier Matthias Beier Partner Steuern Tel.:

2 PricewaterhouseCoopers / WIBERA, 6. Oktober 2016 Seite 2 1. Einführung eines Informationssicherheitsmanagements (ISMS) Unternehmen mit kritischen Versorgungsaufgaben müssen laut dem Gesetzentwurf der Bundesregierung des neuen IT-Sicherheitsgesetzes künftig umfassende Vorkehrungen treffen: Als Betreiber kritischer Infrastrukturen sollen sie für die IT-Systeme, Komponenten und Prozesse, die zur Abwicklung der Geschäftsprozesse notwendig sind, angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse, die für die Funktionsfähigkeit der von ihnen betriebenen Kritischen Infrastrukturen maßgeblich sind treffen. Die Erfüllung dieser Anforderungen ist unter Berücksichtigung des aktuellen Standes der Technik mindestens alle zwei Jahre auf geeignete Weise nachzuweisen. Im Klartext heißt dies, dass die betroffenen Unternehmen innerhalb von zwei Jahren nach Inkrafttreten des Gesetzes ihre prozessrelevante Informations- und Kommunikationstechnik in ein Informationssicherheitsmanagementsystem (ISMS) einbinden und nach einem gängigen Standard (z. B. ISO 2700) auditieren lassen müssen. Energieversorger müssen ihr ISMS darüber hinaus nach ISO auf der Basis von IT- Grundschutz (BSI 1 ) oder ISO zertifizieren lassen. Ferner müssen die betroffenen Unternehmen einen Informationssicherheitsbeauftragten benennen sowie ein Meldewesen zu unverzüglichen Meldung von Informationssicherheitsvorfällen einrichten. Die organisatorischen und technischen Anforderungen an die Informationssicherheit werden sich daher durch die konkreten Anforderungen des Gesetzgebers erhöhen. 1 Bundesamt für Sicherheit in der Informationstechnik

3 PricewaterhouseCoopers / WIBERA, 6. Oktober 2016 Seite 3 2. Risikoanalyse als erster Schritt Selbst bei der Einhaltung aller gesetzlichen Vorgaben ist der Ausfall eines Rechners oder ein Programmabsturz nicht auszuschließen. Die Folgekosten eines derartigen Ereignisses sind jedoch zumeist beherrschbar. Verstärkte Bedeutung haben in der jüngsten Vergangenheit Ereignisse durch sogenannte Cyber-Kriminalität erlangt. Hierbei stehen nicht nur der reine Datendiebstahl im Vordergrund, sondern auch die konkreten Folgeschäden, welche durch die Manipulation der Unternehmens-IT entstehen können. Neben Schadenersatzforderungen von geschädigten Dritten sind hier insbesondere die Kosten für die Sachverhaltsermittlung ggf. durch spezialisierte Forensiker und eventuelle Betriebsunterbrechungsschäden zu nennen. Den meisten (kommunalen) Unternehmen war bisher nicht bewusst, dass es für die beschriebenen Schadenereignisse Versicherungslösungen gibt. Von Seiten der Versicherer etabliert sich erst seit Kurzem ein wirklicher Anbietermarkt. Bei Cyber-Attacken handelt es sich um eine neue Form der Wirtschaftskriminalität. Zu Beginn der Risikobetrachtung sollte, wie bei allen Vorüberlegungen zum Einkauf von zusätzlichem Versicherungsschutz, zunächst die Einschätzung der konkreten Risikosituation liegen. Ein IT-Check oder Security Audit bietet einen vernünftigen Ansatzpunkt. Mögliche Feststellungen sind hierbei: Welche Hardware, welche Software sind vorhanden und wie sind diese vernetzt? Wofür werden die Systeme eingesetzt und wie sind diese gegen Angriffe geschützt? Wie robust sind die Regelungen zur Authentisierung und Autorisierung sowie zur Sicherstellung von Verfügbar- und Vertraulichkeit? Wie schnell können Bedrohungen erkannt und wie schnell kann darauf angemessen reagiert werden? Welche Schadenszenarien sind trotz technischer und organisatorischer Vorsichtsmaßnahmen möglich und welche Auswirkungen können diese haben? Welcher finanzielle Verlust ist verkraftbar?

4 PricewaterhouseCoopers / WIBERA, 6. Oktober 2016 Seite 4 3. Versicherungsumfang von Cyber- Deckungen Die uns bekannten Versicherungskonzepte gliedern sich regelmäßig in die folgenden Deckungsbestandteile: I. Absicherung von Ansprüchen Dritter Abwehr unberechtigter Ansprüche; Ausgleich berechtigter Ansprüche. II. Versicherung von Eigenschäden Ertragsausfall infolge Unterbrechung des Betriebes. III. Deckung von Kostenpositionen Kosten für forensische Untersuchungen; Wiederherstellungskosten eigener Daten, Systeme und Netzwerke Erpressungsforderungen durch Hacker; Benachrichtigungskosten bei Verstößen gegen Datenschutz- Vorschriften. Bei der Betrachtung des Versicherungsumfanges der Cyber-Policen stellt sich immer die Frage nach der bereits vorhandenen Absicherung über bestehende Versicherungspolicen. Für Haftpflichtansprüche Dritter im Rahmen von Datenschutzverletzungen oder der direkten Schädigung durch beispielsweise die Infizierung von Fremdsystemen durch Viren oder Ähnliches ist zunächst der vorhandene Versicherungsschutz in der bestehenden Betriebshaftpflichtversicherung zu betrachten. Bei Versorgungsunternehmen, welche ihre Haftungsrisiken bei einem Kommunalversicherer oder ei einem kommunalen Schadenausgleich absichern, ist oftmals bei gesetzlichen Haftpflichtansprüchen ein umfassender Versicherungsschutz vorhanden. Benachrichtigungskosten bei der Verletzung von Datenschutzrechten und die vorhergehende Sachverhaltsermittlung sind jedoch regelmäßig nicht Gegenstand der üblichen Versicherungskonzepte. Unterstellt man bei einem Cybervorfall Schadenkosten zwischen 50 und 60 je Datensatz 2, können bei der massenhaften Speicherung von Kundendaten erhebliche Schadenssummen die Folge sein. Da es sich bei Cyber-Vorfällen nicht um Sachschäden im Sinne der Definition der einschlägigen Versicherungsbedingungswerke handelt, kann bei einer möglichen Unterbrechung des Versorgungsbetriebes ebenso keine Leistung über eine klassische Betriebsunterbrechnungs- oder Mehrkostensicherung geltend gemacht werden. 2 Die Studie Cost of data breach 2014 des Ponemon Institute LLC geht in Deutschland von einem durchschnittlichen Kostensatz von $ 195 je Datensatz aus. In unserer Kostenschätzung orientieren wir uns an den Aussagen von firmeneigenen Forensikexperten und Versicherungsunternehmen.

5 PricewaterhouseCoopers / WIBERA, 6. Oktober 2016 Seite 5 Festzuhalten ist, dass nicht für alle Risiken, welche sich aus einem Cyber- Vorfall für die Versorgungsunternehmen ergeben können, über die üblicherweise bestehenden Versicherungspolicen Absicherung erreicht werden kann. 4. Fazit Cyber-Sicherheitsvorfälle nehmen zu. Die Bewertung mit derartigen Vorfällen verbundener Schäden stellt jedoch für die meisten Unternehmen eine große Herausforderung dar. Um im Cyber-Risk-Management zwischen den Maßnahmen zur Informationssicherheit und Versicherungsschutz die richtige Risiko-Balance zu finden, sollten im ersten Schritt der Stand der Informationssicherheit sowie dessen Schwachstellen sachgerecht ermittelt und bewertet werden. Für die Absicherung des nach Umsetzung aller organisatorisch möglichen Maßnahmen verbleibenden Restrisikos empfehlen wir, die bestehende versicherungsvertragliche Situation zu analysieren. Anschließend kann über die Notwendigkeit einer zusätzlichen Cyber-Versicherung faktenbasiert entschieden werden. Bei dieser Herausforderung unterstützen wir Sie gerne; scheuen Sie sich nicht, uns anzusprechen! Ansprechpartner Volker Mockenhaupt Insurance Risk Management Tel.: volker.mockenhaupt@de.pwc.com PricewaterhouseCoopers AG Niederlassung Düsseldorf Moskauer Straße Düsseldorf Wolfgang Uellenberg Insurance Risk Management Tel.: wolfgang.uellenberg@de.pwc.com PricewaterhouseCoopers AG Niederlassung Düsseldorf Moskauer Straße Düsseldorf Im nächsten Teil unserer Herbstserie befassen wir uns mit dem Thema Cash-pool und Besicherung.