Heute lässt sich die Verwendung von Computern im Berufsleben nicht mehr wegdenken. Auch Museen und andere kulturelle Institutionen sind Teil dieser vernetzten Welt. Kein Bestandskatalog, keine Ausstellungsvorbereitung und schon längst keine wissenschaftliche Arbeit sind ohne Internet denkbar.
Der große Nutzen, der in der globalen Vernetzung besteht, wird aber auch von kriminellen Elementen ausgenutzt. Sie versuchen, die Grundlagen einer friedlich kooperierenden Welt zu stören. Auch öffentliche Institutionen werden gerne angegriffen, wie die Berichterstattung der Bundesanstalt für Informationssicherheit vor der Bundestagswahl berichtete.
Zwei wesentliche Kategorien von Angriffen
1. Verletzungen der Informationssicherheit: Darunter versteht man insbesondere Nachlässigkeiten bei Vereinbarungen zur Kreditkartenverarbeitung, Absprachen über Vertraulichkeit oder Geheimhaltung und insbesondere Verletzungen der gesetzlichen und vertraglichen Datenbestimmungen.
2. Verletzungen der Netzwerkssicherheit: Das ist der besonders sensible Teil, denn hier greifen Dritte auf die eigenen Datennetze zu. Hierzu gehören die sog. Denial of Service-Angriffe, die nicht autorisierte Nutzung, Vervielfältigung oder Zerstörung sowie der Diebstahl von fremden elektronischen Datenbeständen. Die Blockade autorisierter Zugänge für Servicedienstleister gehört ebenso zu diesen Schadenszenarien, wie die unberechtigte Aneignung von Zugangscodes oder besonders häufig das Einschleusen von Viren oder anderen Schadsoftwaremöglichkeiten. Wenn die eigene E-Mail-Adresse plötzlich von Dritten verwendet wird, um unberechtigte Zahlungsforderungen zu erheben, dann muss das nicht unbedingt bedeuten, dass ein Account gehackt wurde. Trotzdem bereitet es viel Ärger und Mühe, sich von dem Vorwurf der Datenmanipulation reinzuwaschen. Manchmal geht es nur mit einer neuen E-Mail-Adresse.
Zweierlei Schadenspotenziale für Institutionen
1.) Haftung gegenüber Dritten einschließlich der Tatsache, dass durch Kommunikation über das Netz Dritten Schaden zugefügt werden kann, auch wenn man selber gar nicht der Schädiger ist. Haftpflichtversicherungen bieten hierfür nur einen ungenügenden Schutz, weil in der Regel Vermögensschäden bei Dritten entstehen, die nicht Folge eines Personen- oder Sachschadens sind.
Beispiel 1: Im Zuge der Vorbereitung einer Ausstellung sendet der Registrar einen Leihvertrag über das Internet an die ausleihende Institution. Die darin befindliche Information über den Wert des Objektes wird von unberechtigten Dritten abgefischt und dazu genutzt, das Werk zu stehlen, um anschließend Lösegeldforderungen zu stellen.
Beispiel 2: Die Sicherheitssoftware eines Museums reicht nicht aus, was dazu führt, dass vertrauliche Daten von Dritten entwendet und deren Konten abgeräumt werden. Die Ursache liegt bei der Institution mit nicht ausreichendem Datenschutzprogramm. Die Haftung ist gegeben, weil Sicherheitsbestimmungen nicht eingehalten werden. Eine klassische Haushaftpflichtversicherung deckt den Fall allerdings nicht, weil der Schaden nicht Folge eines Personen- oder Sachschadens ist.
2.) Eigenschäden, die durch Dritte in der eigenen IT herbeigeführt werden und erhebliche Folgen haben können. Insbesondere, wenn plötzlich das Netz und die Informationen auf dem eigenen Computer erst dann wieder verfügbar werden, wenn man ein Lösegeld in Form von Bitcoin an Dritte gezahlt hat. Im Ernstfall kann das dazu führen, dass die Vorbereitungen einer Ausstellung unterbrochen werden müssen, allfällige Kosten für Transporte, Versicherungen etc. weiterlaufen und damit das Budget heftig überschritten wird. Auch die Kosten für die eher stille Wiederherstellung des eigenen Netzes können erheblich sein.
Auf der Suche nach praktikablen Versicherungslösungen
Die Versicherungswirtschaft versucht seit ca. vier Jahren die potentiellen Kunden davon zu überzeugen, dass Cyberrisiken heute ähnlich zu betrachten sind wie Feuerrisiken und mit einem hohen Schadenpotenzial belastet sind. In der Industrie hört man immer wieder einzelne Vorfälle, die ganze Produktionszweige für Tage beeinträchtigt haben. Aus den USA sind Manipulationen von Staaten bekannt geworden, die das Wahlergebnis beeinflussen wollten. Die Schadenfälle sind von daher nicht von der Hand zu weisen. Allerdings muss man sich fragen, ob Museen und andere kulturelle Institutionen existenziell betroffen sein können, wenn ihre Datenbasis manipuliert wird. Die Auswirkungen sind auf den ersten Blick vielleicht nicht so gravierend und öffentlichkeitswirksam wie bei einem Produktionsstillstand eines Automobilherstellers, aber die Folgen sind letztlich dieselben. Lediglich als Angriffsziel sind sie weniger exponiert.
Versicherer bieten unterschiedliche Formen von Cyberversicherungen an; diese decken entweder das Haftungsrisiko ab Ergänzungen zur bestehenden Haftpflichtversicherung können bereits helfen – oder das Eigenrisiko. Bei letzterem ist es allerdings unabdingbare Voraussetzung, dass die Datensicherheit in den jeweiligen Institutionen großgeschrieben wird. Die jeweilige Sicherheitssoftware muss immer auf dem neuesten Stand sein. Lücken, die dadurch entstehen, dass Updates nicht ausreichend zeitnah geladen werden, können nicht Bestandteil der Versicherung sein. Die Versicherung sieht ihre Aufgabe darin, für Situationen zur Verfügung zu stehen, die trotz aller erdenklichen Sicherheitsüberlegungen plötzlich und unvorhersehbar eingetreten sind. Alles in allem, ein komplexes Thema, für das die Lösungsmöglichkeiten erst am Anfang stehen. Öffentliche Unternehmungen, die ihre Haftung über den kommunalen Schadenausgleich regulieren, sollten mit ihrem Risikoträger darüber sprechen, ob er bereit ist, die Risiken auf die Gesamtheit der Kommunen zu verteilen. Institutionen, die ihren Versicherungsschutz auf dem freien Markt einkaufen, sollten mit ihren Maklern darüber sprechen, wie sie eine solche Gefahr versicherbar gestalten können.
Eines ist sicher: Der nächste Hacker-Angriff kommt bestimmt!
Zilkens Fine Art Insurance Broker GmbH
Dr. Stephan Zilkens, Geschäftsführer
Eupener Straße 70, 50933 Köln
Tel 0049 / 221 / 80068-420
Fax 0049 / 221 / 80068-421
zilkens(at)zilkens.com
www.zilkensfineart.com
Zilkens Fine Art Insurance Broker GmbH ist Förderer der Auszeichnung "Riegel - KulturBewahren".
Dieser Beitrag ist erstmals erschienen in KulturBetrieb, zwei 2017, S. 88 f.
