[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
Re: [FYI] Hacking Insurance
- To: debate@fitug.de
- Subject: Re: [FYI] Hacking Insurance
- From: Martin Lesser <m-lesser@lesser-com.de>
- Date: 11 Jul 2000 10:11:36 +0200
- Comment: This message comes from the debate mailing list.
- In-Reply-To: Kristian Köhntopp's message of "Mon, 10 Jul 2000 21:23:57 +0200"
- Organization: Not interesting
- References: <396A22CD.35E2BC57@koehntopp.de>
- Sender: owner-debate@fitug.de
- User-Agent: Gnus/5.0803 (Gnus v5.8.3) XEmacs/21.1 (Bryce Canyon)
Kristian Köhntopp <kris@koehntopp.de> writes:
> Dies wird mehr für die Rechnersicherheit tun als alles andere vorher,
> denn nun müssen die betreffenden Läden Standards von Versicherungen
> erfüllen, damit sie ihre Prämien drücken können.
Schön wärs - ich befürchte, das wird sich entwickeln wie in der
industriellen Feuerversicherung: Preiskampf ohne Ende und tiefrote
versicherungstechnische Ergebnisse für die Versicherer, die nur aus den
Gewinnen im Privatkundengeschäft subventioniert werden können.
Zur Zeit gibt es in D ja schon mindestens 3 VU, die *Einzellösungen*
anbieten (Gothaer, Chubb und Gerling) - dies aber i.d.R. für die
"kleineren" Kunden. Dort erfolgt dann auch eine Überprüfung - die ist
allerdings meist oberflächlich.
Sobald ein Großunternehmen im Bereich eBusiness über Deckungen
nachdenkt, wird das i.d.R. in bestehende Verträge, wie z.B. Elektronik-
oder Haftpflichtverträge eingeschlossen und gut ist. Oder es wird -
sinnvollerweise - im Eigenbehalt getragen.
Das Schadenpotential (Possible Maximum Loss - PML) wird zur Zeit noch
nicht so hoch eingeschätzt, wie es z.B. in der Feuerversicherung
vorhanden ist, wenn ein ganzes Industriewerk abraucht.
Bisher war im eBusiness noch kein Großschaden vorhanden, der zu einem
Überdenken der Prämienpolitik seitens der VU geführt hätte. Die
genannten 2-4 Mrd.$, die im Rahmen der DDoS-Attacke von Seiten der
US-Regierung als Schaden angeführt wurden, sind bis heute auch nicht
nachgewiesen worden - das aber wäre Voraussetzung für eine Entschädigung
in entsprechender Höhe.
Ein aus meiner Sicht bestehendes Hauptrisiko "_unbemerktes_ Eindringen
in die Unternehmens-DV, Klau der Daten und Weiterverarbeitung mit
Schaden für den Versicherungsnehmer" ist heute (noch) nicht
versicherbar, weil der VN ja gar nicht merkt, daß er einen Schaden
erlitten hat, sondern sich vielleicht nur wundert, warum auf einmal
seine Umsätze zurückgehen.
Interessanter ist da der Weg, bei den Unternehmensverantwortlichen mit
dem Sargdeckel zu klappern unter Hinweis auf KonTraG, BDSG etc. - das
verstehen die am besten. Und wenn dann über Directors and Officers
Liability verhandelt wird und das IT-Thema auch Bestandteil der
D&O-Deckung werden soll, ja dann kann es in der Tat interessant werden -
aber das wird noch etwas dauern - bis zum ersten Großschaden, so dieser
denn denkbar ist.
Ein ordentlicher Risk-Manager weiß sowieso, daß die Versicherung nur der
letzte Rettungsanker ist und eine gute Vorsorge mehr Wert hat. Die
Risk-Manager werden in dieser Frage zur Zeit aber nicht vorrangig gehört
- im Moment bestimmen noch die Marketing-Leute, wie schnell und wo die
Claims abgesteckt werden - dabei sein ist alles.
Bei den mir bekannten Projekten aus der Industrie werden halt immer 7
bis 8 stellige Beträge in die Hand genommen, um überhaupt dabei zu sein
- das Thema Security ist da meistens nur von untergeordneter Bedeutung.
Martin