Die Haftung von IT- und Softwareunternehmen für Cybersicherheit minimieren

Mit der sich rasant entwickelnden Technologielandschaft und Digitalisierung legen Unternehmen zunehmend mehr Wert auf ihre Cyber- und Datenhygieneprotokolle. Infolgedessen erkennen IT- und Softwareunternehmen die Notwendigkeit, ihr Haftungsrisikomanagement zu priorisieren, um das Vertrauen ihrer Kunden aufzubauen und zu erhalten und sich gleichzeitig vor potenziellen Cyberbedrohungen zu schützen. In diesem Artikel schlagen die Experten der Technology Industry Practice von Chubb einige Maßnahmen vor, die IT- und Softwareunternehmen ergreifen können, um ihr Risiko durch Cyberbedrohungen und Haftungsansprüche minimieren zu können.

Transparenz und Kommunikation sind das A und O 

Richtlinie zur Offenlegung von Softwareschwachstellen (Software Vulnerability Disclosure Policy, VDP): Fördern Sie eine Kultur der verantwortungsvollen Meldung von Schwachstellen, indem Sie eine klar definierte VDP einführen. Kunden sollten dazu ermutigt werden, ihrem IT- oder Softwareanbieter Schwachstellen zu melden. In der VDP sollte klar geregelt sein, wie Schwachstellen zu melden sind, wie der Prozess zur Behebung von Schwachstellen aussieht und dass Hinweisgebern Anonymität und Schutz vor Vergeltungsmaßnahmen zugesichert wird. 

Patch-Management: Richten Sie ein System ein, um Schwachstellen, die durch interne Tests oder Kundenberichte identifiziert wurden, shcnell zu beheben. Wenn Schwachstellen gefunden werden, sollten IT-Unternehmen ihre Kunden klar und deutlich über die Art des Problems, die möglichen Auswirkungen und die Verfügbarkeit von Patches oder Updates informieren.  

Klare Kommunikation: Vermeiden Sie Fachjargon oder eine zu technische Sprache, wenn Sie Kunden über Sicherheitsprobleme oder Updates informieren. Durch eine klare und prägnante Sprache erleichtern Sie die Kommunikation für Ihre Kunden. 

Dokumentieren Sie alles: IT-Unternehmen sollten klar definierte Prozesse einrichten, um alle Interaktionen mit Kunden zu dokumentieren, einschließlich erteilter Empfehlungen und getroffener Vereinbarungen. Im Falle einer Meinungsverschiedenheit mit einem Kunden oder einer drohenden Haftung kann eine detaillierte Dokumentation helfen, die eigene Position zu stützen. 

Kundenvertrauen: Der Erwerb von Zertifizierungen oder SOC2-Auditberichten kann Kunden die Gewissheit geben, dass die Sicherheitskontrollen ihres IT-Anbieters sicher sind und einem hohen Standard entsprechen. Seien Sie bereit, Kunden und Aufsichtsbehörden unter bestimmten Umständen Nachweise über Kontrolltests zur Verfügung zu stellen.  

Bedrohungsorientierte Penetrationstests (Threat-Led Penetration Testing, TLPT): Auf Anfrage von Kunden sollten IT-Unternehmen die Teilnahme an regelmäßigen bedrohungsorientierten Penetrationstests einschließlich Pooling Tests planen. 

Vorteile von Verträgen  nutzen

Klare Haftungsausschlüsse: Software-Anbieter sollten in Software-Lizenzvereinbarungen auch Haftungsausschlüsse aufnehmen, die die Grenzen der Sicherheitsfunktionen der Software darlegen, um klare Erwartungen zu schaffen. Wichtig ist es, klar zu kommunizieren, wofür die Software konzipiert ist und welche Sicherheitsmaßnahmen im Rahmen der Funktionen implementiert wurden. 

Leistungsumfang: Ein klar definierter Vertrag und/ oder eim Service Level Agreement (SLA) beschreibt die spezifischen Dienstleistungen und Verpflichtungen eines Technologieunternehmens. So wird genau festlegt, wofür das Technologieunternehmen verantwortlich ist. Es ist auch sinnvoll, festzuhalten, welche Leistungen der IT-Anbieter nicht erbringen wird, um Missverständnisse zu vermeiden. 

Pflichten des Kunden: Der Vertrag sollte die Sicherheitsverantwortung des Kunden klar festlegen, insbesondere die Meldung von Vorfällen. Zu den Pflichten können auch fristgerechte Software-Updates, ordnungsgemäße Benutzerzugriffskontrollen und die Einhaltung bewährter Sicherheitsstandards gehören. Bei der Zusammenarbeit mit großen Unternehmen, die über eigene interne IT-Abteilungen verfügen, ist eine klare Formulierung der Pflichten jeder einzelnen Partei besonders wichtig.  

Einschränkung der Gewährleistung: In Vereinbarungen zwischen einem IT-Anbieter und einem Kunde kann es Sinn machen, beschränkte Gewährleistungen auszunehmen, die die Haftung für indirekte Schäden oder Folgeschäden durch Cyberangriffe ausschließen und die Haftung dauerhaft auf einen angemessenen Betraf begrenzen. Diese Einschränkungen können dabei helfen, das potenzielle Haftungsrisiko zu steuern

Haftungsfreistellungsklauseln: In bestimmten Fällen können IT- und Softwareunternehmen in Erwägung ziehen, Haftungsfreistellungsklauseln in ihre Verträge aufzunehmen. Außerdem kann die Aufnahme von Force-Majeure-Klauseln, etwa die vertragliche Definition eines Cyberangriffs als höhere Gewalt, sinnvoll sein. Solche Klauseln können einen Teil der Haftung auf den Kunden verlagern, sind jedoch komplex und nicht in allen Rechtsordnungen durchsetzbar. Die Beratung durch einen Rechtsanwalts ist hier unerlässlich.

Schulung und Unterstützung von Kunden 

Sicherheitsdokumentation: Umfassende IT-Sicherheitsdokumentation kann Kunden darin stärken, ihre Software sicher zu nutzen. Diese Dokumentation sollte Best Practices für die sichere Konfiguration und den Einsatz von Software enthalten und den Kunden dabei helfen, die Sicherheitsfunktionen optimal zu nutzen. Wie bereits erwähnt, sollte die Sprache in dieser Dokumentation präzise und leicht verständlich sein.  

Information an Kunden: IT- und Softwareunternehmen sollten ihre Kunden informieren, wenn ihr bestehendes oder geplantes IT-Sicherheitsniveau unzureichend ist, beispielsweise, wenn keine Multi-Faktor-Authentifizierung verwendet wird oder die Firewall unzureichend ist. Wenn Kunden über solche Schwachstellen informiert werden, sollte dies klar dokumentiert werden.   

Schulung zu Sicherheitsbewusstsein: Technologieunternehmen sollten ihren Kunden Schulungen zum Thema Cybersicherheit anbieten. Diese Schulungen können Kunden zeigen, wie sie ihre IT-Systeme sicher nutzen und potenzielle Bedrohungen erkennen können. Ebenso wichtig ist es für IT-Unternehmen, dass sie solche Schulungen auch intern durchführen.  

Fazit 

Dies sind lediglich allgemeine Empfehlungen. Die Einführung konkreter Prozesse hängt von der Art der Geschäftstätigkeit und den Produkten, dem Zielmarkt und dem rechtlichen Umdeld eines Technologieunternehmens ab. Die Beratung durch einen Rechtsanwalt und einen Versicherungspartner ist entscheidend, um sicherzustellen, dass das Vorgehen den geltenden Vorschriften und Best Practices entspricht. Die hier vorgestellten Grundsätze können IT- und Softwareunternehmen jedoch helfen, ein robusteres und widerstandsfähigeres Rahmenwerk zu schaffen, um Risiken und Haftungsansprüche zu reduzieren. 

Von der allgemeinen Haftpflicht über Cyberversicherung und Sachversicherung bis hin zur E&O-Deckung bietet die Industry Practice Technology von Chubb Versicherungslösungen für Technologieunternehmen jeder Größe in einer Vielzahl von Branchen an. Gemeinsam mit unseren Underwritern und Risk Engineers beraten wir Sie gerne.