Das müssen Smart-Insurtech-Kunden jetzt wissen

Vor wenigen Tagen vermeldete der Berliner-Software Anbieter Smart Insurtech einen Cyberangriff auf einzelne Systeme des Unternehmens. Wann genau die betroffenen Systeme wieder nutzbar sein werden, könne das Unternehmen noch nicht verbindlich sagen. Der Dienstleister bleibt vage und erklärt, man stelle sich auf einen mittelfristigen Ausfall ein.

Eine Aussage, die Harald Müller-Delius, Datenschutzbeauftragter und Experte für Datenschutz, irritiert: „Mir ist es unverständlich, dass ein originärer IT-Dienstleister nach erfolgreichem Cyber-Angriff – egal welcher Intensität und welcher Art – über 72 Stunden benötigt, um einen rudimentären Wiederbetrieb anzufahren.“

Müller-Delius stehe in Kontakt zu betroffenen Versicherungsmaklern und fordert von Smart Insurtech „viel mehr Unterstützung bezüglich der Meldepflichten, Alternativen, pragmatische Übergangslösungen und Hilfestellungen für den Notbetrieb“. Zwar sei es aus Haftungssicht verständlich, dass der Anbieter kein verbindliches Datum für die Wiederherstellung der Systeme nennen könne. Das allerdings „trägt in keinem Fall zur Beruhigung der betroffenen Makler bei“. Schließlich werde ein IT-Ausfall für ein Vermittlerbüro nach drei Werktagen betriebswirtschaftlich ernst. „Insbesondere, wenn keine Perspektive zur Wiederverfügbarkeit kommuniziert wird.“ Betroffene Kunden fühlten sich angesichts der aktuellen Lage hilflos.

Smart Insurtech selbst begründet das Vorgehen damit, dass die Schwachstelle, durch welche die Hacker eindringen konnten, nach wie vor geprüft werde. So will das Unternehmen ausschließen, „dass ein erneuter Angriff mit dieser Vorgehensweise und über diesen Weg nicht erneut möglich ist.“

Smart Insurtech rät seinen Kunden lediglich alle Passwörter – auch für andere Systeme – zu ändern. Das Unternehmen selbst tausche ebenfalls alle System-Passwörter für die zugehörigen Systeme aus.

Was Kunden jedoch ebenso dringend tun sollten: Die Datenpanne innerhalb von 72 Stunden nach Kenntnisnahme bei der jeweils zuständigen Datenschutzbehörde melden. Da Smart Insurtech den Angriff am 10. Februar gemeldet und Strafanzeige bei der zuständigen Ermittlungsbehörde erstattet hat, hätte die Meldung bis Donnerstagvormittag erfolgen müssen. „Das Nichtanzeigen kann zum Bußgeld führen“, warnt Müller-Delius. Maklern sei dieser Umstand vermutlich nicht bekannt, doch Unwissenheit schütze sie nicht. Ihre Kunden müssten Versicherungsmakler hingegen nicht zwingend informieren, schließlich seien nach aktuellem Stand keine Daten abgeflossen.

Hinsichtlich der Beratungssoftware „Smart Consult“ und der Cloud-Lösung „Smart Cloud“ spricht das Unternehmen von „großen Ausfällen“. Die Systeme sind seit dem Angriff vom Netz getrennt. Der Dokumentenservice „Smart Gevo“ sei noch teilweise betroffen. Kunden können sich hier eine Übersicht über die aktuellen Statusmeldungen verschaffen.

Müller-Delius rät Maklern, sie sollten am besten auf ihrer Homepage alternative Kommunikationsmöglichkeiten für die Kunden angeben. Da IT-Forensiker bei vergleichbaren Cyber-Attacken mit einem mehrwöchigen Ausfall rechnen, gelte es Maßnahmen für den alternativen Bürobetrieb zu treffen.

Smart Insurtech hatte erklärt, über Backups der Daten zu verfügen, die – Stand heute – nicht beschädigt oder verändert worden seien. „Nach derzeitigem Stand gehen wir weiterhin davon aus, dass aufgrund der engmaschigen Back Ups keine Datenverluste erfolgt sind“, so das Unternehmen.

Datenschutzexperte Müller-Delius sieht das ein wenig anders: Er nimmt an, dass der Datenbestand für den Zeitraum von einer bis zwei Wochen vor dem Cyberangriff nicht gespeichert worden ist. „Generell verliert man bei Backups einen gewissen Zeitraum des Datenbestandes.“

Betroffene Kunden sollten sich darauf einstellen, dass sie den verlorenen Datenbestand aus dem Gedächtnis wiederherstellen müssen. „Je früher Makler sich darauf einstellen, den verlorenen Datenbestand wiederherstellen zu müssen, desto besser wird das gelingen.“

Müller-Delius warnt, dass unvollständig, falsch oder nicht zugeordnete Vorfälle zur Maklerhaftung führen können. Makler sollten als präventive Maßnahme stets über funktionierende Backupstrategien, Notfallkontakte und geprüfte Notfallpläne verfügen.

Generell sei der Versicherungsmakler verantwortlich für den sicheren Betrieb der IT und die Verarbeitungsvorgänge personenbezogener Daten. Dazu gehöre es auch, die Sicherheit von IT-Dienstleistern zu bewerten. Müller-Delius geht von einem nachhaltigen Reputationsschaden für Smart Insurtech aus. Einige Vermittlerbüros werden sich ihm zufolge zukünftig nach anderen Anbietern umsehen. Er habe gehört, dass bereits Anwälte und Cyber-Versicherer in die aktuelle Behandlung des Falls durch Versicherungsmakler eingeschaltet worden sind. Auch wisse er von Prüfungen bezüglich der Leistungspflicht durch Betriebsunterbrechungen. 

Das Unternehmen erklärt, dass es seit Bestehen der Plattform 2017 sich um den bisher einzigen größeren Ausfall dieses Umfangs handele. „Wir arbeiten mit Hochdruck an der Lösung der Wiederinbetriebnahme“, so der Anbieter.

Der Cyberangriff auf die Hypoporttochter reiht sich ein in eine Serie von Hackerattacken innerhalb der Versicherungsbranche. Zuvor waren die Haftpflichtkasse, die Baloise und der Münchener Versicherer WWK Opfer von Cyberkriminellen geworden.