Cyberversicherungen – Hanno Pingsmann im Datenschutz Talk

Moderation: Zu Gast:

Was ist eine Cyber-Versicherung und was ist vom Leistungsspektrum abgedeckt? Dazu tauschen sich Hanno Pingsmann von Cyberdirekt, dem Vergleichsportal für Cyberversicherungen, und Markus Zechel von der migosens GmbH aus.
Im Rahmen der Themenfolgen werden unter anderem folgende Aspekte beleuchtet:

• Ursprung der Cyberversicherung
• Die Versicherung im Kontext von Bußgeld und Schadenersatz
• Erläuterung versicherter Ereignisse
• Leistungen im Schadensfall
• Praxisbeispiele

Herr Pingsmann gibt uns einen Einblick in den Nutzen von Cyberversicherungen, nicht ohne auch auf Punkt einzugehen, die ggf. über die Versicherung nicht abgedeckt sein können. Gemeinsam beleuchten Markus Zechel und Hanns Pingsmann die Voraussetzungen für den richtigen Versicherungsschutz schauen auch auf Anwendungsfälle in der Praxis.

https://www.cyberdirekt.de/
https://migosens.de/bussgelder-und-schadensersatz-tim-wybitul-im-datenschutz-talk/
https://migosens.de/verbesserung-der-cybersicherheit-in-kmu-dr-ralf-stodt-im-datenschutz-talk/
https://migosens.de/wie-bereite-ich-mich-auf-eine-cybersecurity-krise-vor-dr-ralf-stodt-im-datenschutz-talk/

Weitere Infos, Blog und Newsletter finden Sie unter: https://migosens.de/newsroom/

Twitter: https://twitter.com/DS_Talk

Übersicht aller Themenfolgen: https://migosens.de/datenschutz-podcast-themenfolgen/
(als eigener Feed: https://migosens.de/show/tf/feed/ddt/)

Instagram: https://www.instagram.com/datenschutztalk_podcast/

Folge hier kommentieren: https://migosens.de/podcast/

#TeamDatenschutz #TeamInfoSec #DSTalk

Transkript zur Folge: Herzlich willkommen zum Datenschutz-Talk hier im Podcast für die Themen Datenschutz und Informationssicherheit. Heute mal wieder mit einer Themenfolge und einem Thema, bei dem wir vielleicht mal wieder ein bisschen Licht ins Dunkel bringen können. Ich möchte mich mit Hanno Kingsmann über das Thema Cyberversicherung unterhalten. Hallo Herr Kingsmann. Vielen Dank für die Einladung. Ja, sehr gerne. Bevor wir einsteigen, möchte ich noch ein paar biografische Details von Ihnen preisgeben. Ich hoffe, damit sind Sie einverstanden. Selbstverständlich. Ich habe äh ehrlich gesagt kein Geburtsdatum von ihnen gefunden. Erstmal herzlichen Glückwunsch, äh dass sie ihre sozialen Medien so gut gepflegt haben. Was ich aber gefunden habe, ist, dass sie eine Ausbildung zum Bankkaufmann gemacht haben, sich dann entschieden haben, noch ein Diplom-Kaufmann hinterher zu schieben. Ich habe das Thema ihre Diplomarbeit gefunden und äh das muss ich ablesen, Ermittlungen und Prognose des Cashflows zur Bewertung von Banken nach dem Ansatz des äh klingt erstmal für mich wie ein total spannendes Thema. Man sieht, dass sie sich offensichtlich, schon immer gerne mit mit Zahlen beschäftigt haben, das ist doch weitere Stationen bei ihnen sind Berater, Unternehmensberater im Bankenumfeld und, Sie haben sich ähm mit Finanzdienstleistungen Payment Solutions beschäftigt. Das habe ich auch rausbekommen, Seit Mai 200undsiebzehn sind Sie Gründer und Geschäftsführer von Cyber Direct, langsam zu ihrer Kompetenz, warum sie heute mit mir den den Podcast machen. Sie bieten aber über das Vergleichsportal für Versicherungen nicht nur klassische Cyberversicherung an, sondern wie ich gesehen habe auch noch so Sachen wie, Berufshaftpflicht und Rechtsschutzversicherungen, also ähm auch durchaus natürlich Themen, die für den ein oder anderen Datenschutzbeauftragten ganz spannend sein können. Jetzt haben Sie mich gerade fast aus dem Konzept gebracht. Ich glaube das erste Mal seit Abschluss meines Streams mit dem Titel meiner Diplomarbeit äh konfrontiert worden und es hat gerade ein paar Erinnerungen äh wachgewinkelt. Positive Erinnerungen. Jeder hat hat positive und auch äh und auch andere Erinnerungen an die an die Studienzerrte insbesondere an die an die Abschlussarbeit. Ähm vielen Dank noch mal für die Zusammenfassung und ähm ja. Ich was Wichtiges vergessen, irgendwas, was Sie noch besonders betonen möchten, worauf Sie noch hinweisen möchten. Nein, das war schon eine sehr sehr sehr umfangreiche Darstellung und äh der der habe ich auch jetzt nix nix hinzuzufügen. Freue mich, dass ich heute hier sein darf und ja, ihn auch so ein bisschen über das berichten kann, was mich so die letzten, 6 Jahre beschäftigt hat, nämlich der der Schutz von kleinen Unternehmen kriegen die Folgen eines Erkrankers. Ich ich habe ja keine leichte Aufgabe für Sie. Wir hatten es schon im Vorgespräch gesagt oder ich hatte Ihnen das gesagt. Ich bin grundsätzlich kein großer Fan von Versicherungen und von Cyber-Versicherungen im Speziellen. Ja vielleicht schaffen sie es ja mir den den Sinn und Nutzen gerade von Cyber-Versicherung ein bisschen näher zu bringen, weil natürlich, ich die Anfragen und der ein oder andere Geschäftsführer dann schon mal mit dem mit der Frage kommt, brauchen wir, dass du da können wir das sinnvoll nutzen. Vielleicht so so ein bisschen zur Entstehungsgeschichte von von diesen Cyber-Versicherungen insgesamt, wenn sie da ein bisschen bisschen Wissen mitgeben können. Ja gerne die Cyberversicherung ist ja wie viele andere Versicherungsprodukte, die nicht mit mit Sach- und äh mit mit Gefahrenrisiken verbunden sind, Ihren Ursprung im Angel der Zwischenraum, also in den Nordamerika. Äh da kommt zum Beispiel auch die D und O Versicherung, also die Haftpflichtversicherung für für Geschäftsführer, Vorstände her, die sie gerade erwähnt haben. Die Cyber-Versicherung heißt in den USA eigentlich Cyber und Data Bridge Coverage. Übersetzt heißt das Cyber und äh Datenschutzverletzungs ähm Schutz vielleicht ein bisschen holprig das Wort, hat aber tatsächlich den Ursprung im sogenannten Data Protection-Act, der 1998 in Kalifornien als allererstem Bundesstaat erlassen wurde. Der Ziel dieses Gesetzes, war damals das Ziel war ähm die amerikanischen Verbraucher vor den Folgen äh von Datenschutzverletzung zu schützen. Mit äh damals einschneidenden Haftungsrisiken für die Unternehmen sich ähm eingestellt. Wo du in fast allen Bundesstaaten übernommen und somit hat sich dann im Laufe der Zeit Versicherungsschutz entlang dieser neuen Risiken entwickelt. Hier in Deutschland haben wir zum ersten Mal 2tausendzehn, zweitausendelf die ersten Angebote auch von ähm US-amerikanischen Versicherern dieser Art gesehen im Markt, so richtig, ist das Thema allerdings erst zweitausendfünfzehn, 2016 ins Rollen gekommen und äh wird auch heute noch geprägt übrigens von einer Vielzahl von US-amerikanischen Versicherern, in Deutschland schon länger aktiv sind, äh Niederlassungen betreiben und ja auch in diesem Bereich der Cyber-Versicherung natürlich sehr viel Erfahrung und auch Expertise in den Markt bringen. Mhm. Also tatsächlich ist der Hintergrund eher ein datenschutzrechtliches Thema. Also Data Breach, da geht’s um die Verletzung dann von Persönlichkeitsrechten bei betroffenen Personen davor sollten diese Versicherung Unternehmen schützen, wenn ich das richtig verstanden habe. Absolut korrekt. Die Cyberversicherung, so wie wir sie heute kennen, hat natürlich dann in der Zeit, sich ein bisschen gewandelt und auch ihren Deckungsumfang erweitert, insbesondere um eine Vielzahl von Risiken rund um, Hackerangriffe oder auch, wie man’s im Versicherungsdeutsch sagt, Informationssicherheitsverletzung abzudecken. Aber, Der Ursprung liegt im Datenschutz. Das ist etwas, worauf ich gerne hinweise, Insbesondere natürlich wenn ich mit Datenschützern oder auch Rechtsanwälten, die sich darauf spezialisiert haben, mich über das Produkt unterhalte. Jetzt haben sie schon gesagt, das hat sich weiterentwickelt, was so die die möglichen China Schadensszenarien angeht. Ähm wir nennen das ja auch Informationssicherheitsvorfälle auch aus der ISO siebenundzwanzig null in eins, also von daher, die Terminologie da da relativ identisch mit dem, wie das Versicherungen nennen, vielleicht können Sie da noch ein, zwei Sachen erläutern, was so Bestandteil dieser Cyber-Versicherung dann dann ist. Absolut. Also, Vielleicht muss man da zum Konzept des Produkts noch ein, zwei Worte sagen. Wenn Sie heute die Versicherungsbranche betrachten, dann sehen Sie sehr viele Produkte, die schon seit Jahren gibt oder seit Jahrzehnten. Denken Sie mal an Hochwasser. Hochwasser bezahlt seit äh vielleicht schon seit über 50 Jahren versichert in Deutschland und dort haben die Versicherer sehr viel Erfahrung in der Schadensregulierung gesammelt. Äh da müssen sie in den Versicherungsbedingungen ganz genau nachlesen, ob auf Ob aufsteigendes Grundwasser, hm Regenwasser oder auch Flutwasser. Das versichert ist. In der Cyberversicherung gibt’s diese Historie nicht und die, Dynamik der Angriffsszenarien. Ich glaube, da wird mir hier niemand widersprechen. Die ist sehr, sehr hoch. Also es gibt äh nahezu alle drei Monate neue großflächige Schwachstellen in Softwareprodukten, die es Angreifern ermöglichen. Unbefugte Systeme einzugreifen und deshalb haben die Versicherer hier gar keinen Versuch gemacht, die äh Gefahren abschließend aufzuzählen sondern haben im Prinzip eine offene Deckung konstruiert. Das liest sich dann so in den Versicherungsbedingungen, kann jetzt den den Text nicht genau zitieren, weil ich ihn sonst jetzt sehr, sehr starr ablesen müsste, aber ich versuch’s einfach mal. Versichert ist, jede Informationssicherheitsverletzung, Klammer auf, zum Beispiel Hackerangriffe, Fishing Angriffe, unbefugtes Eingreifen in Systeme. Zu. Das heißt, wenn man das wenn man das so liest, dann ist das so zu interpretieren, dass sie jegliche Art von. Informationssicherheitsverletzungen abgedeckt haben. Auch wenn es hier Varianten gibt, die heute der Versicherer noch gar nicht äh gekannt hatte. Darüber hinaus gibt’s ein paar Bereiche, die auch mitversichert sind. Das ist auch vielleicht ein ganz interessant für die Hörer dieses Podcasts. Wir haben zum Beispiel auch den äh Fall, dass gar kein Hackerangriff auf das System des des des versicherten Unternehmens gibt, aber vielleicht ein verlorenes Gerät. Somit sind die Daten, und das ist in einer guten Cyberversicherung zum Beispiel auch enthalten, die Daten auf einem PC, den, ich sage jetzt mal so, einen Mitarbeiter im Zug verloren hat oder der ihm geklaut wurde, die wären auch vom Versicherungsschutz umfasst, wahrscheinlich nicht die Hardware, weil hier geht’s nicht um Sachwerte, sondern hier geht’s um die um die immateriellen Werte. Darüber hinaus können auch, Zahlungen abgesichert sein, die versehentlich äh ein Mitarbeiter geleistet hat, weil er durch eine ganz gezielte Attacke getäuscht wurde und somit Geld auf fremde Konten überwiesen wurden. Das nennt man, President Angriffe. Auch das, wie sie vielleicht ähm spontan nachvollziehen können, erfordert er keine keinen Eingriff in die IT-Systeme eines Unternehmens. Es ist einfach eine gezielte Täuschung eines eines eines Mitarbeiters. Das heißt, diese diese beispielhafte Aufzählung, die die Versicherungsunternehmen anbieten, sorgt dafür, dass das nicht so wie ich befürchte gar nicht so viel ausgeschlossen ist, weil das ist so meine natürliche Sorge, ich schließe die Versicherung ab und dann gucke ich ins Kleingedruckt und dann steht da, das ist ausgeschlossen, das ist ausgeschlossen und wenn der Mond im dritten Haus steht, dann äh zahlt die Versicherung sagen sie ähm da muss ich keine Sorge haben, sondern gerade durch diese beispielhafte Aufzählung lässt es den Versicherungsnehmer relativ viele Möglichkeiten, die Versicherung auch in Anspruch zu nehmen. Ist das das richtig? Wie ich das interpretiere. Ja, Sie merken ja, ich ich vertrete hier natürlich äh die Versicherungsbranche in einem gewissen in einer gewissen Weise. Deshalb äh. Aber nicht zu stark bitte. Als Versicher, wir sind ja von rechts äh von rechts wegen sind wir Versicherungsmakler, das heißt wir stehen natürlich immer im Interessenslager des Kunden äh und vertreten den Kunden auch auch gegen den Versicherer, wenn es sein muss. Aber um ihre Frage ganz konkret zu beantworten, mit diesen zum Beispiel Aufzählungen, Insbesondere auf Zählungen in den Versicherungsbedingungen ist genau das erreicht, was für den Kunden sehr gut ist, nämlich es gibt keine abschließende Aufzählung der Gefahren. Ausschlüsse haben sie zurecht angesprochen, gibt es In jedem Versicherungsprodukt, die gibt es aber auch in der Cyberversicherung. Hier müssen wir vielleicht differenzieren in die allgemeinen Ausschlüsse. Äh dazu zählen Risiken, die der Versicherer aufgrund der Tragweite des Schadens nicht nicht die tragen könnte, also zum Beispiel eine großflächiger Ausfall, von Infrastruktursystemen oder ein großflächiger Hackerangriff auf Stromnetze, auf auf Internet Service. Das könnte ein Versicherer nicht versichern, weil hier hätte er das Problem, dass er dann wahrscheinlich hunderttausendfach denselben Schaden bei seinen Kunden regulieren muss. Das ist das sogenannte Kommul-Szenario. Ähm es gibt die üblichen Ausschlüsse für Krieg und Terror und natürlich aber auch die speziellen Ausschlüsse. Die natürlich ein ein ähm guter Berater seinen Kunden erklären muss. Und dazu zählen, da hatten wir uns ja im Vorgespräch auch mal drüber unterhalten, auch die Einhaltung der gesetzlichen Datenschutzvorschriften Das heißt, damit stellt der Versicherer eins sicher. Keine Risiken, die aufgrund von, ich sage mal, Nachlässigkeiten oder Fehlern des Kunden im grundsätzlichen Umgang mit Datenschutzgesetzen passieren, dass die wiederum in die Cyber-Versicherung reinlaufen, denn die Versicherungspolice kann nicht das Auffangbecken sein, Für Pflichtverstöße oder Fehler, die durch äh zwischendurch unterlassen, äh auf der grünen Seite entstanden sind. Das hatten Sie ja auch im im Vorgespräch schon erwähnt, dass auch so ein so neben Aspekte abgedeckt sind, wie zum Beispiel das Thema Rechtsschutz. Das heißt wenn es zu einem, Verhandlungen käme, um um ähm Haftungsfragen zum Beispiel, dann würde die Versicherung auch decken. Aber zu dem, was sie gerade gesagt haben, wäre ja die Grundvoraussetzung, dass der Versicherer überhaupt in Anspruch genommen werden kann, dass zum Beispiel die Verarbeitung rechtmäßig gewesen ist. Das heißt, wenn, Ich feststelle, ich habe gar keine Rechtsgrundlage, die sich aus der Datenschutzgrundverordnung ergibt für die Verarbeitung der personenbezogenen Daten. Dann würde der Versicherer auch die Hände heben und sagen, ja Freunde, habt da Pech gehabt. Das habe ich so richtig verstanden. Das ist korrekt, genau. Also wenn’s ähm wenn die wenn die, Verarbeitung der personenbezogenen Daten, die hier von dem ähm Hackangriff, sage ich mal so, betroffen sind, nicht rechtmäßig war, dann leistet der Versicherer auch nicht für den Schaden, der hieraus entsteht. Das das heißt auch bei einem Hackerangriff, also tatsächlich nicht nur wenn wenn jetzt ein Schaden eintreten würde durch durch den Verlust des Gerätes, sondern auch tatsächlich wenn bei einem Hackerangriff im Nachhinein feststehen oder festgestellt werden würde, dass die Daten, betroffen sind, gar nicht rechtmäßig verarbeitet werden würden, würde der Versicherer auch nicht nicht in die Pflicht genommen werden können. Das ist interessant. Ja für diesen Teil, ne, also vielleicht kann ich das mal versuchen, an einem einem Beispiel zu erläutern ähm und damit glaube ich steigen wir auch schon in in so in die nächste Phase der dieses Gesprächs äh übernehme ich ihm um die über die konkreten Leistungen im Schadensfall, Damit nehme ich mal vielleicht mit dem, was ich gerade auf ihre Frage bezieht, wenn es zu einem Hackerangriff kommt und es sind es kommt zu einem Datenschutzvorfall, der dadurch ausgelöst wurde, Dann äh. Einige Leistung in Anspruch nehmen. Es kann zum Beispiel jegliche Beratungshonorare, die es im Zusammenhang mit der Meldung dieses Datenschutzverstoßes, auch der Information der Betroffenen mit mit Behörden oder auch Datenschützer oder auch dem juristischen Berater, Also jegliche Arbeit und Honorare, die dort entstehen, können durch die Versicherung ersetzt werden. Ist mir gerade spontan ein ein Beispiel eingefallen, was vielleicht nie das Beste ist, aber stellen Sie sich vor, Sie betreiben einen Online-Shop, Und da haben Sie vielleicht 500.000 registrierte Kundendaten, für die Sie alle eine Einwilligungserklärung haben, die rechtmäßig ist. Aber irgendwie gibt’s noch 200.000 Kundendaten, die hat man irgendwo mal durch eine durch eine Werbeaktion generiert, wo wo, Wo die Einwilligung nicht äh nicht rechtskonform erhoben wurde. So, wenn jetzt ähm das im Rahmen des äh des Cyberangriffs aufgearbeitet wird, Muss hier für 700.000 Kundendaten eine Meldung machen. Muss auch 700.000 Kunden informieren. Dann kann es sein, dass der Versicherer hier die Leistung kürzt Für diesen Teil, der nicht rettenmäßig erhobenen Daten gar nicht leistet. Aber wie so ein Fall habe ich jetzt in der Praxis noch nicht gesehen, Da kommt es eher auch noch auf auf andere äh Voraussetzungen und Ausschlüsse an, aber ich glaube jetzt hier für die Hörer dieses dieses Podcast es ist natürlich diese Voraussetzung eine ganz wichtige Ich habe häufig erlebt auch in grünen Gesprächen, dass der Kunde sagt, ja Mensch wenn die Cyberversicherung mich jetzt vor Datenschutzverletzung schützt, dann habe ich ja mit Datenschutz eigentlich äh nichts weiter zu tun. Das ist natürlich ein Trugschluss äh in dem ich hier auch ganz klar entgegnen möchte. Gut, das äh ersetzt die Versicherung nicht den Datenschutzbeauftragten. Das finde ich schon mal eine gute, gute Quintessenz aus dem, was wir besprochen haben. Also der Datenschutzbeauftragte, immer noch hilfreich um die ähm zu unterstützen dabei, DSGVO anzuwenden und erst dann würde die Versicherung auch tatsächlich in in Anspruch genommen werden können, ja. Es wird sogar in den in Entschuldigung, äh es wird sogar in den Fragebögen abgefragt, ob’s einen interner und externer äh ähm DSB ist, die Anzahl der Personenpiszone Daten wird äh wird erhoben. Es wird gefragt, das einfache, personenbezogene Daten sind oder oder sensible, personenbezogene Daten. Das ist natürlich alles Informationen gerade bei größeren Unternehmen, die der Versicher braucht, um seine Risikoeinschätzung, Zu machen. Das wird sich dann wahrscheinlich auch auf die Prämie entsprechend auswirken. Kann ich mir vorstellen. Absolut genau. Also bei dem bei den KMUs sage ich mal so, bei Unternehmen bis zehn, 1 bis 20 Millionen Euro Umsatz. Da gibt es hier Pauschale. Alltagsverfahren, wo nicht so genau geprüft wird, weil auch die Kapazitäten der Mitarbeiter auf der Versicherungsseite ich sage mal so, Nicht uneingeschränkt zur Verfügung stehen. Bei größeren Unternehmen, da, wird diese Prüfung vorgenommen und die wird auch teilweise jährlich wiederholt. Ich habe auch schon Kunden erlebt, Beispiel eines Onlineshops ist vielleicht relativ schlüssig. Hier kommen sie schnell auf eine hohe Anzahl von Kundendaten, ohne dass sie, 30 Jahre Firmengeschichte aufweisen müssen. Hier habe ich schon Kunden erlebt, die bei einigen Versicherern keinen Schutz erhalten haben, weil man einfach drei Millionen Newsletter-Daten unterhält und das dem Versicherer dann auch ein eine zu hohe Risikoresponierung ist. Ist unangenehm, wenn man da gar keine Versicherung findet, die das Risiko absichern möchte. Das, zeigt aber tatsächlich, dass die Versicherungen auch entsprechend Kalkulationen anstellen und für sich das natürlich auch irgendwie wirtschaftlich betreiben wollen, das Modell, was ja ungenommen ist, also das kann ich auch nachvollziehen. Auch über das Thema, Eine Versicherung eintritt, auch über das Thema Haftung gesprochen. Das ist ja auch vermutlich für den ein oder anderen Zuhörenden oder die Zuhörenden ein ganz spannendes Thema, weil ähm das ja in unserer Podcast-Historie ja auch ein interessantes Thema ist. Wir haben ja über einige Fälle auch berichtet sehr konkret und und dass wir vielleicht auch noch einen Aspekt, über den wir nochmal sprechen können. Also inwiefern die Versicherung auch, Thema der Hoffnung, dass ähm sich aus dem Datenschutz ergibt, absichert oder eben auch nicht absichert. Ja gerne und damit schließt sich ja auch schon so ein bisschen der Kreis hier in äh nach nach 20 Minuten, obwohl noch längst nicht fertig sind. Denn die Haftungsgesetze, das waren ja genau die ausschlaggebenden, Gesetzesänderung in in Nordamerika, die zur Entstehung dieses Produkts beigetragen haben und die Haftung für Datenschutzverstöße, äh Artikel zweiundachtzig, TSGVO, das ist in jeder Cyberversicherung enthalten. Also die Cyber-Versicherung enthält, wenn man’s mal so, kategorisieren kann. Drei drei Leistungsbereiche. Ich fange jetzt mit diesem dritten Mal an. Das ist die die Abwehr von Drittansprüchen. Darüber hinaus gibt’s noch Eigenschäden und und Kosten. Diese Abwehr der Drittansprüche besteht hauptsächlich, wenn man in die Versicherungsbedingungen ein bisschen tiefer einsteigt in dem Schutz des Unternehmens, gegen die Haftung Artikel 82 und, Die Rechtsprechung, ich glaube da werden mir vielleicht sehr, sehr viele ihrer Zuhörer auch zustimmen, die Rechtsprechung ist ja, läuft hier so ein bisschen den der Gesetzes äh gesetzlichen Situation hinterher, die wir seit dem 24. Mai 20018 haben. Die, Situation oder die Exponierung der Unternehmen gegen diese ähm erweiterten Haftungsrisiken war ja vielen Unternehmern und vielen Geschäftsführern gar nicht bekannt, Insbesondere die Tatsache, dass beim vollständigen Kampftreten der DSGVO ja die Haftung nicht nur auf materielle, Schadenssatzansprüche, sondern auch auf immaterielle Schadensersatzansprüche erweitert wurde. Und das ist etwas, was ich tatsächlich auch heute ähm zweitausenddreiundzwanzig immer noch ähm vielen Geschäftszonen im Beratungsgespräch erkläre, weil natürlich durch die Rechtssprechung, die sich noch nicht so, Also diesen scharfen Rahmen, den du nicht so so stark erfolgt ist. Viele Geschäftsführer das Risiko noch nicht wirklich wahrnehmen. Und ähm man muss sich das mal so vorstellen, Wenn ich als Gründer eines Onlineshops heute meine Adressdaten, mein Geburtsdatum vielleicht sogar Gesundheitsdaten, Diesem Shop verarbeiten lasse und es kommt zu einem zu einem Datenschutzvorfall, der auch unverschuldet, also durch einen Hackerangriff. Dort passiert ist, dann habe ich einen Anspruch auf Schadensersatz. Und selbst wenn dieser Anspruch niemals materiell belegbar ist, zum Beispiel. Umziehen muss, ne, weil meine Adresse bekannt wurde oder weil meine Bankkontodaten nachweislich missbraucht wurde und ich habe ich habe Geld verloren. Nein, es reicht, Der der der immaterielle Anspruch, nämlich, dass ich vielleicht als Kunde mich nicht mehr wohl fühle, dass ich Gefahr sehe äh oder Gefahr erwarte, dass man den Datenmissbrauch betrieben wird und ähm ich glaube, das haben sie ja auch schon in anderen Folgen thematisiert. Hier haben schon erfolgreich Rechtsanwälte für ihre Mandanten Ansprüche durchgesetzt und dieses Risiko transferiert sich jetzt auf die Unternehmen, die, hunderttausendfach, teilweise millionenfach, personenbezogene Daten verarbeiten und im Falle eines Hackangriffs hier Gefahr laufen, in die in die Haftung genommen zu werden. Wir haben das ja tatsächlich gesehen bei dieser Entscheidung von dem Gericht in in München, wo diese 100 Euro für das allgemeine Unwohlsein als als Schaden zugesprochen worden sind, was er dann nachher für diese Google Fondswelle der Abmahnanwälte gesorgt hat, Ich denke, das ist auf jeden Fall so ein Aspekt, wo man über das Thema Schadenersatz und Haftung sehr, sehr gut nachdenken muss, weil sich das natürlich auch multipliziert, selbst wenn das Gericht sagt einmal hundert Euro, dann kann es halt bei N, Person durchaus, werden, wobei wenn ich das richtig verstanden habe, was wir besprochen haben, eben grade für so Dinge, die Versicherung dann nicht in Anspruch genommen werden könnte, das heißt, wenn mein, Webseiten, Designer, Google-Fonds eingesetzt hat, ohne ähm das über die Einwilligung zum Beispiel zu lösen oder dass die Schriftarten auf dem Serverlokal gespeichert werden, das heißt die Rechtmäßigkeit der Verarbeitung, durchaus, Bestritten werden kann, dann würde die Versicherung ja eben nicht eingreifen, sondern das wären ja dann eher so Sachverhalte, die sie vorher beschrieben haben. Ich werde, Opfer eines eines Angriffs, einer einer ähm Attacke eine Attacke, die Daten sind nicht verfügbar, und dadurch entsteht der betroffene Person eventuell ein Schaden eben ähm weil ich das nicht zu verschulden habe, dann würde die Versicherung eingreifen. Also noch mal, nicht für meine Unfähigkeit oder die Unfähigkeit der Dienstleister, mit denen ich zusammenarbeite. Das das ist im Grunde genommen korrekt, weil die äh wie schon gesagt, die Cyber-Versicherung kann nicht alles auffangen. Was woanders äh fehlerhaft eingeflossen ist in die in äh in die in die Leistung des äh des letztendlichen Werks. Vielleicht der Vollständigkeit halber sei noch zu erwähnen, dass wenn es, kein Hackerangriff, ist also kein unbefugtes Eingreifen in die IT-Systeme, dann kann natürlich auch durch Fehler in der Entwicklung, Programmierung und Webseiten können natürlich auch Datenschutzverletzungen entstehen, Wenn wir mal das Beispiel, was Sie grad gemacht haben, einen anderen Fall angliedern, nämlich dass ein äh Entwickler einer Website, Unbewusst eine Konfiguration einer Datenbank fehlerhaft angelegt hat und es kommt später raus, hier kann man mit ein, zwei Eingaben, alle Daten abrufen, Dann haben wir natürlich im Grenzfall und das wäre in einer anderen Versicherungs äh Sparte versichert, nämlich in der sogenannten IT-Berufshaftpflicht. Des Webentwicklers ähm und, ist natürlich ein Produkt, was, Ich als Unternehmen, der so einen Auftrag vergibt, mir von jedem, von jedem IT-Dienstleister vorlegen lassen, denn hier können diese Risiken dann äh aufgefangen werden, aber noch mal, wenn es, vorsätzliche Verstöße gegen offensichtliche Pflichten gibt, dann sind die in der Cyberversicherung die gegen schützen sollen, natürlich nicht, nicht abbildbar. Wie gesagt, ich denke, das ist das ist klar und dann sollte ich überlegen, ob ich mir nicht doch lieber eine externes Unternehmen suche, was mich bei der Webseitengestaltung unterstützt und dann gucke ich, ob die eine entsprechende, Vermögensschadenhaftpflichtversicherung auch abgedeckt haben, damit ich dann im Innenverhältnis mich bei denen wieder, am Schad frei äh stellen kann. Na gut, gute Idee, guter Hinweis. Vielleicht um das noch mal zu vollenden als Geschäftsführer hätte ich sogar die Pflicht für diese Versicherungspolice vorlegen zu lassen, weil ich natürlich sorgfältig meine Dienstleister auswählen muss, Und letztendlich, wenn diese Versicherungspolice nicht vorhanden ist und es kommt zu einer massiven Datenschutzvorfall und der der Auftragnehmer ist vielleicht ein zwei Mann Unternehmen, was Webseiten programmiert, können natürlich nicht fürn für einen sechsstelligen Schaden dann, leisten und äh somit würde der Schaden beim Unternehmen hängen bleiben, als Geschäftsführer habe ich natürlich die Pflicht des Vermögen, des Unternehmens zu schützen und äh dementsprechend müsste ich aufpassen, dass ich nächste Woche selber äh in die Haftung komm. Interessant auch die die die Idee, ob das nicht sogar mit zu dem sorgfältigen Ausfall der Auftragsverarbeiter mitgehört im im Rahmen der Ausfall die sich aus dem Artikel 28 Datenschutzgrundverordnung ergibt. Ähm auch da zu gucken, nicht nur auf die technischen und organisatorischen Maßnahmen zur Sicherheit der Verarbeitung, sondern auch wirklich weitergehend zu gucken, hat der auch eine entsprechende Versicherung abgeschlossen. Gegebenenfalls auch Betroffenenrechte abfangen zu können. Gut, guter Hinweis. Also zur zur Haftung vom Geschäftsführer könnten wir noch ein äh komplett separaten Vormittag reservieren. Äh da würde ich ihn aber noch einen anderen Ansprechpartner nennen, der sich damit äh noch besser auskennt. Mal schauen, vielleicht gibt’s ja einen Teil zwei ähm unserer unserer Folge dann. Je nachdem, wie die Resonanz auch der Zuhörenden da dazu ist. Aber, Sie merken, ich betone immer gerne den den Ausschluss, um um da nicht zu viel, Erwartungen zu wecken, was von so einer Cyberversicherung eventuell abgedeckt ist. Aber lasst uns doch mal noch mal zu den Sachen kommen, die tatsächlich abgedeckt sind, weil das finde ich auch ehrlich gesagt eine ganz spannende Idee, da nochmal genau hinzugucken, weil es ja ganz, ganz viele Aspekte, Die insbesondere bei Attacken auch spannend sind. Das fand ich auch im Vorgespräch interessant, wie wenn wir, dann geht’s ja um um Erpressung und die Zahlung von Lösegeld und das fand ich halt auch einen ganz spannenden Aspekt übernehmen wir vielleicht nochmal sprechen können. Was was ist da abgedeckt. Ja und das ist natürlich ein sehr kontroverser Aspekt, dass die Versicherer auch Lösegeldzahlungen übernehmen. Wenn’s wenn’s wenn die Situation es erfordert, so wie dies mal formulieren, Wir haben ja die Situation, dass im Falle einer Rensonbär-Attacke mittlerweile das Unternehmen in der Lage ist, Gut aufgestellt ist und auch im Notfall gute Unterstützung erhält, sich selber aus dieser Erpressungssituation zu befreien. Das wissen die Angreifer natürlich auch und ähm, Haben deshalb ihre Methoden, leider muss ich sagen, brutal verschärft. Wir wir sprechen da von dem Prinzip der dreifachen Erpressung, erläutere ich das mal ganz kurz, also die die erste Erpressung ist natürlich die ganz offensichtliche. Ich habe Daten des Unternehmens verändert, verschlüsselt, Und bietet dem Unternehmen einen Entschließungscode an, um die Daten wieder zu nutzen. Meistens ist die Verschlüsselung so brutal, dass die Unternehmen aber sogar, Vollständig stillstehen und hier rede ich nicht nur von Werbeagenturen, mit MacBook, sondern wir reden von Unternehmen mit mehreren tausend Mitarbeitern, wo teilweise sieben Tage, 24 Stunden die Woche die Bänder laufen und Zulieferteile für die Automobilindustrie hergestellt werden. Auch diese Unternehmen stehen still. Wenn oben in der Verwaltung eine eine Attacke einschlägt, aber da kommen wir vielleicht gleich nochmal ganz äh äh darauf zurück, weil es doch das auch ein ein Schadensszenarius, was nicht unrelevant ist, Wenn das so in der jetzt merkt, dass das betroffene Unternehmen nicht auf seine Forderung eingeht, dann werden die Daten meistens ad hoc veröffentlicht. Das haben sie im Fall von Continental im DAX-Unternehmen gesehen, um natürlich den Druck auf, Äh den betroffenen Betrieb zu erhöhen. Das heißt, hier kommt es sehr häufig, wenn der Lösebezahlung nicht nachgekommen wird, ja, zu einer massiven Datenschutzverletzung, die sowohl für die Betroffenen, aber auch für das Unternehmen, was die Daten verarbeitet, erhebliche Folgen haben können. Die dritte Erpressungsstufe ist jetzt die, wenn ich sage jetzt mal nach dem, nach der Veröffentlichung des ersten Teils, der der Daten immer noch keine Lösekehrzahlung durchsetzbar ist, dass man an die Betroffenen rangeht. Nämlich an den Kunden Hanno Kingsmann über dessen Bestell in einem Onlineshop man. Einiges über sein Konsumverhalten oder vielleicht sogar höchst private Details herausfinden kann. Und das dazu dazu führen, dass es einen massiven Reputationsschaden gibt, der sich über all das hinaus hinaussteigt, was das Unternehmen schon erleiden muss in dieser in dieser Krisensituation. Es kann aber auch noch ganz andere äh schwerwiegende Folgen haben und hier möchte ich äh die Zuhörer mal auf den Fall der Wastamo Klinik Das ist in der Klinikkette für Psychotherapie. In Finnland hinweisen, was Damos schreibt sich mit V, V S T A A M O. Dort haben dann die Erpresser, die Patientenakten ähm. Durchgeforstet und äh nach öffentlich bekannten Personen, Politikern, Polizeibeamten gesucht und die dann ähm auf dem direkten Wege erpresst. Und ich glaube, Hier muss ich nicht weiter ausmalen, äh welche Folgen das haben kann, wenn äh das Sitzungsprotokoll, was ich mit meinem Therapeuten, Produziert habe, äh wenn wenn das in die Hände von, genauso können Sie das Beispiel auch vorsetzen auf den gesamten medizinischen Bereich. Wenn ich beruflich erfolgreich bin und vielleicht an einer schweren unhaltbaren Krankheit leide oder an einer chronischen Krankheit, die eventuell meine berufliche Karriere weiter, An dem Punkt zu Ende bringen kann, ne? Ähm und das das sind einfach äh Situationen, in die, sollte ein Unternehmen versuchen seine Kunden, seine Patienten nicht zu bringen. Jetzt kommen wir zurück zu dem Thema Lösegeld, wo ich hier so die Stimmung jetzt komplett auf den auf den Tiefpunkt gebracht habe. Ich weiß, dass es sehr kontrovers ist. Es ist auch in einigen Ländern schon verboten und, Es ist im Versicherungsschutz aber enthalten nur wir als Versicherungsmakler, weshalb bei Risiken weisen unsere Kunden immer drauf hin, dass wenn er die Auswahl hat ein Tarif mit Lösegeld äh Übernahme abzuschließen, dass er das tun ließ machen sollte, Als privatwirtschaftliches Unternehmen habe ich irgendwo den Freiheitsgrad zu entscheiden. Wieder einem Beispiel. Wir stehen jetzt hier drei Wochen still. Die Männer stehen still, die Mitarbeiter fragen sich, wie geht’s weiter mit der Firma und ich verliere pro Tag vielleicht 200.000 Euro Ertrag, dann kann es eine Lösung sein, Wenn die IT-Foren sicher ist, drei Wochen vergeblich versucht haben, die Daten zu entschlüsseln. Ein Lösegeld in hoher sexueller Höhe mit dem Kunden zu verhandeln Entschuldigung, mit dem mit dem ähm mit dem Erpresser zu verhandeln, um letztendlich die Überlebensfähigkeit des Betriebs oder auch den letztendlichen Schutz höchstpersönlicher Daten sicherzustellen. Das erfolgt natürlich nicht per per Plancode. Nee, ich finde finde es durchaus eine eine ähm unternehmerische Entscheidung, wobei natürlich offiziell finde ich die die Lösung jetzt zu bezahlen auch nicht gut, Wenn man da natürlich das ganze System weiterhin anfeuert ähm und jede Lösegeldzahlung dann dafür sorgt, dass wieder neue Menschen auf die Idee kommen, das als Geschäftsmodell zu betreiben, aber ähm ansonsten bin ich völlig dabei, Unternehmerische Entscheidung zu treffen, die Versicherung in Anspruch zu nehmen für ähm das Lösegeld und damit wieder, am Markt agieren zu können oder einfach zu warten bis irgendwelche Dienstleister mich dabei unterstützt haben und im besten Fall das Unternehmen wieder zum Laufen gebracht haben. Das ist übrigens auch noch noch ein Stichwort, wenn wenn ich da einhaken darf, was ja auch mit abgedeckt ist, dass das Thema der Support, Dienstleistung, die ich einkaufen muss. Also nehmen wir mal an, ich bin als Geschäftsführer nicht gewillt, das Lösegeld zu bezahlen und möchte gerne, mit eigenen Mitteln oder mit Unterstützung von fremden Mitteln mich wieder geschäftsfähig zu machen. Das wäre auch mit dabei, ne. Absolut und ich glaube der Einsatz von speziellen Dienstleistern in seiner Cyberkrisensituation, der ist ganz wichtig. Der ist ähm, Für mich einer der die mich einer der wichtigsten Funktionen, denen die Cyberversicherung auch leisten können, denn im Vergleich zu anderen Versicherungsprodukten, wo sie vielfach nur den finanziellen Schaden ausgeglichen bekommen, Alten, die die Versicherungsnehmer vom Cyberschutz sehr, sehr viel Dienstleistungs-Aspekte mitgeliefert. Das fängt an bei der also bei der Reaktion auf den Verdachtsfall oder den direkten ähm Cyberschadensfall. Hier haben alle Versicherungsnehmer, Praktisch rund um die Uhr Zugriff auf spezialisierte IT-Dienstleister. Äh die tagein tagaus nichts anderes machen, als sich mit mit Hackerangriffen äh zu beschäftigen und auch diese zu bewältigen. Damit verbunden ist auch der Einsatz vom Krisenmanagern, diese Schadenswelle schon, Durch durchlebt haben und natürlich im Vergleich zum Unternehmen ähm oder zu den Entscheidern des Unternehmens, was zum ersten Mal in so eine Situation gekommen ist, hier mit mehr Routine und mit ein bisschen mehr, Kontrolle an die Sache rangehen können. Das kann dazu führen, dass der gesamte Schaden zum Schluss geringer ausfällt, als wenn das Unternehmen unkontrolliert in die Krise gerät. Diese gesamten Kosten. Durch die Cyber-Versicherung abgedeckt, dass der zweite große Leistungsbereich. Wir hatten ja zuerst die Haftung, die Informationskosten und Rechtsarbeitskosten für Datenschutzverletzungen jetzt immer im Bereich der, Der Dienstleisterkosten, insbesondere, für die Wiederherstellung des Unternehmens zur ursprünglichen Leistungsfähigkeit. Übrigens auch die Lösegeldverhandlung würde niemals blanko, erfolgen, sondern durch einen speziellen Verhandlungsführer, der auch so was schon mehrfach gemacht hat, der teilweise sogar die Hackergruppen auf der anderen Seite kennt, und auch in ihrer Zuverlässigkeit kategorisieren kann. Also damit würde niemals ein Kunde allein gelassen werden bevor der Versicherer, das Mandat gibt, in so mehreres Erlösegeld zu bezahlen. Der Geschäftsführer muss also nicht mit der Papiertüte alleine sich mit dem Erpresser im Park treffen, sondern dass wir damit halt auch mit übernommen werden. Das auch beruhigend. Genau, also es es wäre natürlich die Zahlung laufen immer und nur Bitcoin-Konten ab, aber auch solche an solchen Details scheitert’s natürlich dann im Schadensfall, ne. Also wer hat schon ein Bitcoin-Konto mal eben mit mit einer Million Euro. Ich nicht, definitiv. Vielleicht wenn sie früh eingestiegen sind aber das, Glück war mir leider auch nicht zu Teil, deshalb ähm müsste ich müsste ich ja auch andere Wege finden, aber ich hoffe, dass ich’s niemals tun muss. Die ähm Lösegeldfahndung läuft, du musst immer so ab, dass die Verhandlungsführer es schaffen, maximal 20, fünfzehn, 20 Prozent der ursprünglichen Forderungen der Erpresser dann auch zu leisten. Und das läuft parallel dann mit den ähm, Anstrengung der IT-Dienstleister, der die Daten doch wiederherzustellen und ähm nach zwei Wochen zum Beispiel enthält man sich dann, okay, den Weg weiter, versuchen wir’s selber oder zahlen wir. Viele Unternehmen zahlen offiziell nicht, beteuern das dann auch, ähm was unter der, was hinter den Kulissen passiert. Das möchte ich nicht weiter kommentieren, Es ist durchaus möglich, dass die als privater Gesellschafter eines Familienunternehmens eine Zahlung leisten. Trotzdem hat das Unternehmen nicht gezahlt oder dass der Versicherer die Zahlung leistet, glaube ich da den den Schilderungen in der Presse nicht immer vollends Glauben schenken, weil tatsächlich ist es so wie bei Entführungsfällen mit Menschen, Zum Schluss wird sehr häufig gezahlt und das ist leider das Problem. Erzähl, das sagten Sie auch schon, dass die dass das System der Kriminellen weiter äh mit mit Geld versorgt und wir eigentlich das Problem eigentliche Problem nicht in den Griff bekommen. Wird das Thema Kommunikation auch mit mit abgedeckt werden, jetzt gerade wenn die die ähm IT gesprochen? Ich denke, das werden ja auch dann Forensiker sein, die die eventuell auch bei den bei den Strafverfolgungen mit äh unterstützend vorbereiten, aber auch Das Thema Presse schon erwähnt, würden auch so Kommunikationsthemen mit abgedeckt, also würde ich auch mal, die Versicherungen ähm Beratung bekommen, wie ich mit dem Thema an die Öffentlichkeit gehe und wann ich damit an die Öffentlichkeit gehe. Absolut. Ja, also danke für die Nachfrage. Bei einigen Tarifen ist das tatsächlich enthalten und das ist auch ein sehr, sehr wichtiges Instrument, selbst wenn es nicht versichert wäre, würde ich jedem Unternehmen raten, hier ein Kommunikationsberater hinzuzuziehen. Denn ähm gerade der Reputationsschaden Der lässt sich zum Schluss eigentlich daran messen, wie gut kommuniziert wurde oder wie kommuniziert wurde und bei einigen Fällen denken sie vielleicht mal an die Uniklinik Düsseldorf, der sehr präsent war, ähm weil es hier vermeintlich ja auch ein Todesfall ähm gegeben hatte, der sich später übrigens nicht als, Gar nicht im direkten Zusammenhang mit diesem mit diesem Hackangriff äh herausgeschüttet hat, denn äh leider wäre die Patientin, auch bei der rechtzeitigen Einlieferung verstorben. Das ist ja sehr traurig, aber äh in der Presse wurde es anders aufgegriffen und äh bei diesem Schadensfall haben sie über die Verhandlungsstufen oder die einzelnen Phasen sehr wenig erfahren. Also hier gab’s eine, Sehr professionelle Kommunikation, die aufgrund des Ausmaßes dieses äh der Exponierung des äh des Betroffenen äh Betriebs natürlich auch ganz anders hätte aussehen können, Wir haben einige Fälle, wo unkontrolliert kommuniziert wurde, grade auch bei kleineren Unternehmen. Das sind natürlich dann auch Schlagzeilen, die es mal schnell in die Presse schaffen. Ich erinnere mich an den Fall einer Supermarktkette aus Hessen, die von einem Cyberangriff getroffen betroffen gewesen ist und dort hat irgendjemand von einer Regionalzeitung es geschafft, eine Mitarbeiterin zu der Aussage zu bewegen, dass sie in zwei Tagen die Regale leer sind. Keine Ware nachgeliefert wird und das ist natürlich eine Schlagzeile, die es dann in die in die Presse geschafft hat. Das ist natürlich schade, aber ähm ich glaube, es ist es wird klar, eine offene, transparente, aber auch zielgerichtete Kommunikation mit den Betroffenen kann hier das Schadensmaß erheblich beeinflussen und das das ist jedem Unternehmen geraten, Hier auch in die Kommunikation mit professionellen Dienstleistern einzusteigen. Das ist in Krisensituation ja immer gut ein vernünftiges Kommunikationsmanagement zu betreiben. Also wer kommuniziert wann eigentlich mit wem was, Jetzt haben sie schon schon einige Beispiele aus der Praxis angesprochen bevor wir vielleicht noch noch ein, zwei weitere dazu haben. Für uns als Beratungsunternehmen, wir machen ja nicht nur Datenschutzberatung, sondern auch Informationssicherheitsberatung wie Ratenunternehmen ja auch. Mit dem Thema der Zertifizierung zu beschäftigen. Das fand ich persönlich auch im Vorgespräch sehr, sehr interessant. Ihr Hinweis zum Thema der Zertifizierung ISO siebenundzwanzig null null eins, vielleicht können Sie da noch ein, zwei Sätze zu verlieren? Ja, absolut. Sie finden in der in den Fragebögen die Versicherer für Großunternehmen herausgeben, um um die Versicherungsfähigkeit, für Cyber und äh und Datenschutzrisiken, festzustellen, finden sie sehr viele Merkmale der ESO 7undzwanzig null eins. Teilweise äh sind die Controls äh sogar in der in derselben Struktur nach äh finden sich eine Ergliederung der Frage Bürgung wieder. Das heißt, wer hier Sprudel aufgestellt ist, der kommt viel einfacher durch diesen durch diesen Risikoprüfungsprozess durch. Die ISO 2701 Zertifizierung ist auch bei einigen Versicherern ein Merkmal, was abgefragt wird, Ähm man hier ein Nägelchen setzen können, dann weiß der zuständige Underwriter, der das Cyber-Risiko prüfen muss, dass er schon auf ein Unternehmen mit einem gewissen Reifegrad und einer gewissen auch Dokumentierungsgrad trifft und das äh ist sicherlich nicht von Nachteil. Kann ich denn überhaupt eine Cyber-Versicherung abschließen, wenn ich nicht zertifiziert bin, ISO siebenundzwanzig null null eins? Ja können Sie. Wenn Sie. Wenn Sie allerdings ein Unternehmen ausm Finanzdienstleistungssektor sind oder, ich sage mal ein Unternehmen mit einer sehr hohen Exponierung, dann kann es aber auch schon eng werden. Die der Cyber Versicherungsmarkt ist ein privatwirtschaftlicher, Bereich. Hier hat’s jedes Unternehmen die Wahl, eine Versicherung abzuschließen. Es gibt keine Pflicht in Deutschland. Hier hat aber auch jeder Versicherer, die ihr Wahl, äh Risiken anzunehmen oder abzulehnen. Und ähm diese sogenannte Risikotrainerschaft, die, die äh stellen die Versicherer nicht unbegrenzt zur Verfügung, Und mit der Zeit haben wir jetzt beobachtet, dass in einigen hochexponierten Risikobereichen, äh die auch extrem abgenommen hat. Also es gibt Unternehmen, Aus der Zahlungsverkehrsbranche zum Beispiel, Oder aus dem Bereich, äh äh wo sehr viele Daten verarbeitet werden. Ähm ich spreche von Hosting zum Beispiel, kritische Infrastrukturen. Die sind äh sind nur sehr schwer zu versichern und äh ich kann es sogar manchmal sein, dass wir nur einen Versicherer finden, der unter dem gegebenen Rahmenbedingungen den Versicherungsschutz anbietet. Ähm das zeigt ja, dass da offensichtlich auch auf der Versichererseite die Awareness gewachsen ist, ähm was so das Thema ähm Risiken angeht und dass es tatsächlich dann irgendwann zu dem Ergebnis kommt, dass man Risiken irgendwann auch nicht mehr versichern kann, auch sehr unangenehm, sehr unangenehm und das zeigt, wie wichtig Prävention tatsächlich ist, damit man im besten Fall gar nicht erst dahin kommt, dass man eine Versicherung in Anspruch nehmen muss. Absolut, Sie sagen es, also die kein kein Unternehmen schließt so eine Versicherung ab, um sie letztendlich dann im Wissen, dass wir sie in drei Jahren nutzen möchte. Es ist aber so, dass wir die Anforderungen der die die Versicherer nie an die Kunden stellen, die wachsen, Wirklich kontinuierlich von Jahr zu Jahr. Das heißt, ohne. Weitere Investitionen in technische und orsatorische Maßnahmen. Kann der Versicherungsschutz auch zukünftig nicht weiter gewährt werden, beziehungsweise wenn ich noch keinen habe, ähm laufe ich Gefahr, dass ich gar nicht mehr in die Deckung komme. Und ähm deshalb, die Cyberversicherung ein eine für mich ist ein ergänzender, sehr sinnvoller Baustein in einem in einem, in einem ganzheitlichen Konzept. Mein Unternehmen ging Risiken zu schützen, grade Risiken informationstechnischen Bereich, und es kann nicht sein, dass die Cyberversicherung anderer Maßnahmen substituiert. Umgekehrt muss man aber auch die Awareness wecken, das mache ich sehr gerne von Berufs wegen, Das allein die Investitionen in technische oder organisatorische Sicherheit keine keine hundertprozentigen Schutz anbietet. Und hier haben wir aufgrund der jungen Historie des Cyber-Versicherungsmarkts auch immer noch die Situation des vielen Entscheidern gar nicht bekannt ist, dass es diesen Schutz gibt oder dass man hinterfragt, äh ob man das wirklich braucht. Und, habe ich Gespräche geführt, wo ich gemerkt habe, ja selber Geschäftsführer, der verantwortet auch einen Fuhrpark von 20 Fahrzeugen Und jedes Fahrzeug ist wahrscheinlich Vollkasko versichert. Wenn sie bei einem durchschnittlichen deutschen Dienstwagen, Mal tausend Euro für den Vollkaskoanteil der Versicherung pro Jahr ansetzen, dann zahlt er 20.000 Euro pro Jahr dafür, dass einzelne Autos auf der Autobahn verunfallt Also, wenn das Unternehmen, ich sage mal, 20 Außendienstmitarbeiter hat, hat’s vielleicht insgesamt hundert Mitarbeiter. Will ich nicht den Umsatz hochrechnen, weil das vielleicht zu alter Meinung wäre, aber es für dasselbe Unternehmen könnte eine Cyberversicherung zwischen 5 und 10.000 Euro pro Jahr kosten. Und, Möchte ich einfach nur mal die äh das teilweise noch paradoxe verhalten ähm ansprechen, dass Versicherungsschutz gegen Feuer und Unfallrisiken als absolut selbstverständlich wahrgenommen wird, weil wir es seit jeher so kennen, aber für die viel schwerwiegenden das Unternehmen betreffenden Risiken, nämlich dass man da Meine Daten zerstört werden oder meine Kundendaten offengelegt werden. Hier besteht teilweise noch eine andere Risikoaversion, weil man davon ausgeht, dass man das Problem auch mit, Gefahr mit äh mit technischen Maßnahmen in den Griff bekommen kann und das ist leider nicht so. Es gibt immer ein Restrisiko und ähm genauso sind Sie wahrscheinlich, wie ich hoffentlich auch seit seit vielen Jahren an unsere freie Autofahrer. Wir fahren alle Wir fahren alle moderne Autos mit acht Airbags und ABS äh und die bremsen sogar automatisch, wenn das Dauerende kommt. Trotzdem haben eine Versicherung gegen das undenkbare Risiko, das etwas auch im Straßenverkehr passieren kann und ich glaube genauso diese diese Einstellung sollte man auch festhalber und datensicherheit an den Tag legen. Mich hat ja gesagt, dass ich so ein bisschen kritisch dem dem ganzen Thema gegenüberstehe. Sie haben mir natürlich jetzt ein bisschen, Erkenntnis geliefert und ich ich bin dabei, also wenn das die Idee ist, dass es ein Restrisiko absichert und im Vorfeld wirklich präventiv. Gearbeitet worden ist, insbesondere natürlich auch was so den den Datenschutz angeht und, sich da an die gesetzlichen Vorgaben gehalten hat, dann dann ist es okay und ähm ich glaube, das ist ja auch die Grundvoraussetzung, um überhaupt äh die Versicherung in Anspruch nehmen zu können. Ich ich glaube, das das vielfach aber auch, Bei den Entscheidern, die genau die falsche Idee ist, sie haben das auch schon angedeutet, dann habe ich doch die Versicherung abgeschlossen, dann muss ich doch vorne nichts mehr tun, aber das ist, glaube ich, wirklich genau die falsche, falsche Erwartungshaltung, die damit geweckt wird und ganz klar, für das Restrisiko, dann kann es eine gute Ergänzung sein und ich finde insbesondere den Hinweis, den sie gegeben haben, dass es zusätzliche ähm Nebenkosten auch mit miterstattet werden können, gerade was so die Aufarbeitung angeht und auch die Meldung angeht, finde ich super. Sie hatten ja auch gesagt im Vorgespräch schon, dass sogar die Portokosten ersetzt werden zum Teil, wenn ich Briefe schreiben muss, weil ich die betroffenen Personen anderweitig nicht erreichen kann und das das finde ich halt, wenn wenn’s auch so Detail gerade runtergeht, finde ich das ehrlich gesagt eine gute Ergänzung Wichtig dabei aus meiner Sicht, eine gute Ergänzung zu einem ganzheitlichen ähm Aspekt. Haben sie noch nicht so ein, zwei, Total spannende Geschichten, die sie mit uns teilen dürfen. Also sie hatten ja gerade schon das das erwähnt mit dem finnischen ähm Beispiel, wo es nachher dann auch dazu kommt, dass Betroffene direkt erpresst werden vielleicht. Was nicht so dramatisch ist zum Abschluss, so. Ich will ja nicht, dass dass die Leute nachts nicht mehr schlafen können. Wenn es ich glaube dieses äh diese diese Horrorgeschichten die können zwar Wellness ficken, aber letztendlich ähm muss man auch davon ausgehen, dass dass das hinter sich sehr viele menschliche Stückzahlen verbirgen und ähm, Damit damit möchten wir die möchten wir nicht für unsere Zwecke nutzen. Ich möchte Ihnen noch zwei weitere Beispiele erzählen, die vielleicht ein bisschen seid ihr auch sehr interessant sind von der Natur ihrer, Ihrer Entwicklung des äh des Falls. Das eine ist ein Fall, um das DSGVO-Bußgeld, das da haben wir heute noch gar nicht drüber gesprochen. Ich glaube, ich muss ihren Zuhörern wahrscheinlich hier äh ähm nicht erläutern, dass Bußgelder nicht versicherbar sind, sonst hätten sie keine Längerungsfunktion mehr. Lassen sie sich bitte aber davon nicht irritieren. Es wird teilweise im Versicherungsvertrieb, grade bei den Angestelltenvertrieblern, Tue ich allen Leuten hier Unrecht, aber es wird teilweise noch verwechselt auch so erzählt, ja? Einige Unternehmen erklärt bekommen von von ihrer von ihrer Versicherungsagentur, dass äh Bußgeld damit versichert sind, was ist damit tatsächlich gemeint? Damit ist gemeint, dass wenn ein äh Bußgeld verhängt wird im Rahmen einer Datenschutzverletzung, die durch einen Hackerangriff äh entstanden ist, dass die ähm äh Kosten für Rechtsberatung in behördlichen Verfahren auch ähm von der Versicherung erstattet werden Fall, da hat ein Unternehmen 300.000 Euro Bußgeld angedroht bekommen von der Behörde und der Versicherer hat, insgesamt, ich glaube 40.000 Euro Kosten erstattet und zwar für einen Rechtsanwalt, der sich hier sehr engagiert eingesetzt hat, aber auch für einen IT-Forensikal, der im Rahmen seiner Tätigkeit einen Bericht verfasst verpasst hat, um so ein bisschen abzugrenzen, wie viel dieses Risiko letztendlich jetzt auf ich sage mal so nachlässige Softwareentwicklungstätigkeiten eigentlich, entfallen ist und wie viel auf die kriminelle Energie des des äh Eindringlings hin. Hier war’s so, dass jemand, Kein Leichtes hatte in das Unternehmen quasi in die Datenbank einzugreifen. Letztendlich sind da 40.000 Euro Kosten entstanden und das Bußgeld wurde aber von 300.000 auf 100.000 Euro reduziert. Das heißt, der Kunde hat nach wie vor 1hundert000 Euro Bußgeld gezahlt. Der Versicherer hat 40.000 Euro darüber hinaus an Kosten erstattet. 200.000 Euro weniger finanziellen Schaden. Das ist glaube ich ein schönes Beispiel zu erläutern. Warum auch die Cyber-Versicherung ähm im Interesse des Versicherten im Bußgeldverfahren da ist. Aber natürlich, Straßen fabriziert das Bußgeld für zu schnelles Fahren, das das kann nicht geleistet werden. Ja vielleicht gibt’s ja eine Versicherung, die demnächst auch jemand äh für mich an meiner Stadt ins Gefängnis schickt. Das wäre ja auch eine schöne Idee und das wäre ja in Frankreich, dass ja auch zwei, zwei Manager, Freiheitsstrafen, die zwar auf Bewährung ausgesetzt worden sind, bekommen aber vielleicht, In dem nächsten Versicherungsmodell. Das das ähm ich die nicht selber antreten muss, die Hauptstrafe, sondern ein Stellvertreter für mich ins Gefängnis gehe. Ich glaube, die das wird dadurch klar, das ist ja auch die Idee von Bußgelder. Die kann ich halt nicht an jemand anderen abfilzen und eben auch nicht eine Versicherung. Genau, also das äh das wäre einfach dann ähm ich weiß gar nicht, wie das mit der juristischen Begriff dafür ist, ob es sittenwidrig ist, aber letztendlich können Bußgelder nicht versichert werden. Ein anderes Beispiel, was ich aus persönlicher Perspektive indoor schildern kann. Ich bin selber betroffen gewesen vom Datenschutzvorfeld bei, Mastercard, das war 2019 waren 90.0000 deutsche Kunden betroffen, die dort an so einem kleinen Loyalitätsprogramm sich registriert hatten und letztendlich habe ich irgendwann mitbekommen, dass, mehrere Anwälte hier um, Mandate für die Vertretung der Betroffenen in meinem Klageverfahren äh werben. Ich habe mich da einfach mal der Neugier der Halbe angeschlossen. Das geht relativ schnell, indem man muss im Internet nur ein paar Formulare ausfüllen. Und letztendlich, gegen Ende zweiundzwanzig, kurz bevor die Verjährung für diese Ansprüche einsetzte, wurden dann die Vergleiche geschlossen und ich äh möchte jetzt nicht über den den Anwalt sprechen, der das für mich gemacht hat, war das glaube ich verschwinden wird unterlegt, aber es gab ein ein ähnliches Verfahren, wo jemand es geschafft hat, dann, 400 Euro Schadensersatz für alle seine Klärer durchzusetzen. Davon ging. 100 Euro an den an den Anwalt und 300 Euro an die an die Klära, das haben sie dann auch in der Bildzeitung, glaube ich, nachlesen können, 300 Euro für Mastercuten. Ist für mich das allererste Verfahren in so einer Größenordnung, was in Deutschland, stattgefunden hat und ja ich bin gespannt, ob sich das einbürgert das anwälte oder so eine Unternehmen hier um Mandate von äh Verbrauchern werben nie damit gerechnet, dass da irgendwann mal was draus wird, aber für mich war’s auch ein eindeutiger Überweis, dass dieses Risiko ernst zu nehmen ist ähm und klar Mastercard ins Unternehmen, was mehrere Milliarden Euro Gewinn pro Jahr macht wollten den Fall einfach beenden, aber stellen sich vor, ihr Unternehmen hat nicht diese Proviabilität und sie äh sie schleppen das drei, vier Jahre rum und müssen die entsprechende Rückstellung der Bilanz bilden. Das ist natürlich keine schöne Situation. Für die betroffenen äh Unternehmen und der äh Geschäftsführer. In den Folgen äh mit dem Baby-Tool schon darauf hingewiesen, der auch in der Silvesterfolge bei uns nochmal nochmal ein Update dazu geliefert hat und wir ähm haben ja auch ähm in unseren Weekly Folgen immer wieder das Thema auch Schadenersatz mit mitreferenzieren und in Österreich gab’s ja diesen diesen Sachverhalt dass da die österreichische Post war’s glaube ich ja Verglichen hat in in einem Verfahren, wo dann ich glaube circa tausend Personen, 1400 Euro zugesprochen worden sind oder umgekehrt. Ähm auf jeden Fall, dass eine sich natürlich dann in einem Rahmen bewegt, der der über diese 400 Euro oder 300 Euro hinausgeht, die sie grade geschildert haben und da ist man dann vielleicht als Unternehmen doch schon gut beraten, Rückstellungen auch zu bilden, wenn man halt gerade, So heiße Fisticated Sachen macht wie ein Bankengeschäft oder eine Post zu betreiben, wo wo dann viele Kundendaten und durchaus auch sensitive Kundendaten, Runde spielen, ne. Ja, die die die äh das Benzin glaube ich auch alles schon thematisiert haben in in in anderen Folgen. Also je sensibler der Datensatz, desto höher der Schadensersatzanspruch. Es gibt einen, Finanzdienstleister aus München, da waren’s glaube ich 2.500 Euro für eine äh Personalausweiskopie. Die dies davon Gesetzes wegen erheben musste zur GWG-Nidierung und das war nur ein Kunde, der es durchgesetzt hat, ne und dieses Unternehmen hat, glaube ich, 33.000 Kunden gehabt zu dem Zeitpunkt, die betroffen gewesen sind und das äh, Es gibt natürlich eine hohe Summe, wenn man das äh letztendlich dann auch mal sich ausrechnet. Ich ich denke, das könnte zukünftig ein Geschäftsmodell werden und da ist man dann vielleicht wirklich gut beraten, wenn man ein Versicherungsunternehmen hat. Was eben nicht nur dazu beiträgt, äh die die Schadensumme zu minimieren, sondern vielleicht auch in die Kommunikation mit einzusteigen und vielleicht das hatten sie auch gesagt, den einen oder anderen, Experten noch hinzuzieht, der dann auch im Rahmen von Rechtsgutachten feststellt, dass ja doch gar nicht so schlimm gewesen ist, wie wie vielleicht die Datenschutzaufsichtsbehörde das auch dargestellt hat. Im Prinzip soll die Haftung ja äh dazu führen, dass die Verbraucherrechte ähm ähm, Gestärkt werden, das Unternehmen, das das Risiko ähm ernst nehmen ähm und ähm wenn in diesem Zuge auch Versicherungsprodukte entstehen, die dieses Risiko ein bisschen abmildern können, dann glaube ich, ist es eine gesunde und natürliche Marktentwicklung, Und ich bin sicher, dass auch die Cyberversicherungsbranche diese Risiken nicht umgedeckelt grenzenlos tragen können, ähm denn dafür ist der Topf der Prämien in die die Unternehmen einzahlen. Wir haben jetzt, schätzen das sogar 400 bis 500 Millionen Euro Jahresbeiträge in Deutschland generiert werden, der ist dafür nicht ausreichend. Vielen Dank. Wie gesagt, wir haben an äh schon in unterschiedlichen Sachverhalten auf genau diese Risiken für Unternehmen hingewiesen, die sich daraus ergeben in unseren Weekly-Folgen. Wir haben auch das Thema ähm Informationssicherheit und Prävention ja schon referenziert und, entsprechend auch in die in die noch die Links zu den Themenfolgen mit packen, ich bedanke mich bei ihnen für für den Einblick und tatsächlich habe ich den den Eindruck, dass wir ein bisschen mehr Licht ins Dunkel gebracht haben, insbesondere so ein bisschen Unsicherheit wegnehmen konnten, was tatsächlich versichert ist und was eben auch nicht versichert ist und. Jetzt nicht behaupten, dass ich ein Fan von von Server-Versicherungen geworden bin, aber ich werde ähm meine Perspektive auf das Thema nochmal hinterfragen. Vielen. Vielen Dank und ich freue mich, dass ich dazu beitragen durfte. Danke für die Einladung.