IT-Sicherheit bei Steuerberatern, Wirtschaftsprüfern und Rechtsanwälten – das Back-up für Ihre Sicherheit

Hackerangriffe – sogenannte Cyberattacken – auf Kanzleien sind in allen Medien präsent. Das Thema Cyberkriminalität nimmt im Zuge einer immer weiter digitalisierten Welt stark zu. Insbesondere die Bereiche, bei denen sensible Daten verwandt werden, bergen ein hohes Risiko.

Noch immer fokussieren sich vor allem kleine und mittlere Kanzleien in Sachen IT-Sicherheit allein auf die technische Absicherung ihrer Systeme, ohne drohende wirtschaftliche oder rechtliche Folgen eines Hackerangriffs zu berücksichtigen. Das ist die Erfahrung, die die Berater der HDI Versicherung häufig bei ihren Kundenterminen machen. Die Kanzleien setzen fast ausnahmslos technische Maßnahmen wie Firewall oder Virenscanner ein, um ihre Systeme zu sichern. „Die wirtschaftlichen Konsequenzen z. B. eines Betriebsstillstands oder schadenersatzrechtliche Folgen eines Hackerangriffs, der ermöglicht wird, weil die getroffenen technischen Schutzvorrichtungen einmal nicht greifen, werden von vielen jedoch unterschätzt, ganz zu schweigen von möglichen Imageschäden“, weiß Markus Rehle, Bereichsvorstand der HDI Versicherung AG. Steuerberater, Wirtschaftsprüfer und Rechtsanwälte gehen damit ein hohes Risiko ein. „Dass Kriminelle immer wieder Sicherheitslücken finden und diese ausnutzen, zeigen unter anderem die Ereignisse Ende November“, ergänzt Rehle. Mit dem Versuch, Internetrouter von Privatpersonen und Unternehmen zum Aufbau eines Bot-Netzes zu nutzen, hatten Hacker bundesweit Daten und Telefonverbindungen lahmgelegt. „Die Installation der Schadsoftware und der Aufbau des Bot-Netzes schlugen zwar fehl, trotzdem macht der Vorfall deutlich, wie verwundbar auch Unternehmen in Sachen IT weiterhin sind“, warnt der HDI Experte.

Natürlich ist und bleiben die technische Absicherung des firmeneigenen IT-Systems über Sicherheitssoftware und regelmäßige Systemupdates Hauptbestandteile eines wirksamen Schutzes gegen Cyberkriminalität. „Zur Absicherung der potenziellen wirtschaftlichen Folgen eines Cyberangriffs sollten diejenigen, die das Internet professionell nutzen, aber auch einen passenden Versicherungsschutz abschließen“, ergänzt Rehle. Im Kern geht es dabei um die Absicherung des Risikos von Eigenschäden auf der einen Seite sowie des Risikos, von Dritten auf Schadenersatz in Anspruch genommen werden zu können, auf der anderen Seite.

Was ist unter einem Cyberangriff zu verstehen?

Bei Cyberangriffen wird zwischen „gezielten“ und „nicht gezielten“ Attacken unterschieden. Ein gezielter Cyberangriff richtet sich immer an einen bestimmten Empfänger. Unter nicht gezielten Angriffen versteht man beispielsweise den Versand von Schadsoftware per Mail an eine große Anzahl von E-Mail-Adressen mit dem Ziel, einen Schaden in den Systemen der Betroffenen zu verursachen. Dabei ist es dem Initiator der Cyberattacke meist völlig egal, ob es sich um eine Privatperson, eine Kanzlei oder um ein Unternehmen handelt. Häufig zielt ein Cyberangriff darauf ab, Mandantendaten rechtsmissbräuchlich zu erlangen und für eigene Zwecke zu missbrauchen.

Cyberrisiken: ein relevantes Thema für alle Steuerberater, Wirtschaftsprüfer und Rechtsanwälte?

 Ja! Grundsätzlich muss heutzutage jeder, der nicht nur personenbezogene, sondern auch vertrauliche oder sonstige sensible Daten im Rahmen seiner beruflichen Tätigkeit verarbeitet, mit Angriffen auf seine IT-Infrastruktur rechnen. Viele Steuerberater, Wirtschaftsprüfer und Rechtsanwälte glauben, dass sie nichts zu befürchten haben, weil ihre Kanzlei zu klein oder ihre Mandantendaten nicht weiter interessant sind. Doch besonderes Gefährdungspotenzial besteht zumindest bei zufälligen Angriffen. Wenn das unternehmenseigene IT-System oder die für die berufliche Tätigkeit genutzte Software „gehackt“ oder mit einem Schadprogramm infiziert wird, kann das weitreichende Konsequenzen haben. Dabei geht es nicht nur vordergründig um die Störung des eigenen Geschäftsbetriebs. Deutlich relevanter können darüber hinausgehende datenschutzrechtliche Sanktionen aufgrund von Verstößen gegen gesetzliche Bestimmungen des Bundesdatenschutzgesetzes oder der jeweiligen Landesdatenschutzgesetze sein. Schließlich besteht bei einem Cyberangriff immer die Gefahr, dass die Beeinträchtigung oder gar Zerstörung projektbezogener Daten massiv in die Abwicklung bestehender Aufträge eingreift und unkalkulierbare Schadenersatzansprüche Dritter auslöst. 

Welche Schäden können bei einem Cyberangriff entstehen?

Der Stillstand des Kanzleibetriebs durch Cyberangriffe löst auf der einen Seite eigene Kosten aufseiten des Angegriffenen aus, die entstehen, um z. B. den eigenen Betriebsablauf wiederherzustellen (Eigenschäden). Systemstörungen oder -ausfälle beim Betroffenen können aber auch externe Dritte beeinträchtigen, wenn mit den Geschäftspartnern elektronische Schnittstellen bedient oder auf digitalem Wege Daten ausgetauscht werden:

Drittschäden Drittschäden sind Schäden, die einem Dritten entstehen: Darunter fallen Schäden aus dem Verlust, der Veränderung oder der Nichtverfügbarkeit von elektronischen Daten Dritter oder Informationssicherheitsverletzung wie Datenschutzverletzungen, Datenvertraulichkeitsverletzungen oder Netzwerksicherheitsverletzungen.

Bei einer bestehenden Cyberversicherung prüft der Versicherer eine mögliche Haftung, wehrt unberechtigte Schadenersatzansprüche ab oder übernimmt die Regulierung berechtigter Schadenersatzforderungen. Dazu zählt auch die Kostenübernahme in einem Straf- oder Ordnungswidrigkeitenverfahren aufgrund einer Informationssicherheits- oder Datenschutzverletzung. Eigenschäden Eigenschäden sind Schäden, die dem Versicherungsnehmer selbst entstanden sind: Eigenschäden sind normalerweise nicht in einer Vermögensschaden-Haftpflichtversicherung gedeckt. Dies ist bei einer Cyberdeckung anders. Hier ist die Eigenschadendeckung der zentrale Mehrwert für den Versicherungsnehmer.

Unser Tipp: Mehrwert einer Cyberversicherung

Der Mehrwert einer Cyberversicherung liegt primär in der Absicherung von Eigenschäden. Die versicherten Leistungen umfassen z. B. die Benachrichtigung von Betroffenen und Datenschutzbehörden, die Wiederherstellung von Daten und Software, Bußgeldzahlungen wegen Datenschutzverletzungen, Dienstleistungen zur Kreditkartenüberwachung, die finanzielle Absicherung von forensischen Untersuchungen oder einer Betriebsunterbrechung.

Bei der regelmäßigen Überprüfung Ihrer Vermögensschaden-Haftpflichtversicherung empfiehlt es sich, ebenfalls die Absicherung von Cyberrisiken zu prüfen.

Bei HDI kann die Vermögensschaden-Haftpflichtversicherung um eine Cyberzusatzdeckung erweitert werden.

Sprechen Sie Ihren betreuenden Vertriebspartner oder den Ansprechpartner für den Verband gern aktiv auf das Thema an:

HDI Vertriebs AG
Thilo Schütte
Buchholzer Str. 98
30655 Hannover
mailto: thilo.schuette@hdi.de