Die Verantwortung von Unternehmensorganen für Schäden im Zusammenhang mit der IT-Sicherheit

Mittlerweile erlangt der Einsatz von IT eine immer wichtigere Bedeutung und zwar nicht nur im von Information getriebenen Business, sondern auch beispielsweise in Handwerksbetrieben. Viele Endgeräte wie Smartphones und Laptops befinden sich in den Unternehmen im Einsatz. Dadurch stellt sich die Frage wie es um die IT-Sicherheit dieser Geräte bestellt ist, aber auch, inwiefern die Geschäftsführung für einen IT-Sicherheitsvorfall verantwortlich gemacht werden kann?

Der Cybervorfall als Katastrophenrisiko

Die Schäden, die etwa durch Schadsoftware in einem Unternehmensnetzwerk verursacht werden, können verheerend sein und die Dimension eines Großschadens erreichen. Im Extremfall steht die Existenz des Unternehmens auf dem Spiel.

Es besteht nicht nur das Risiko, dass Cyber-Kriminelle sensible Daten des Unternehmens veröffentlichen, sondern auch, dass Betroffene Schadenersatz geltend machen. Oft einher gehen mit einem Cybervorfall auch hohe Betriebsunterbrechungsschäden und Wiederherstellungskosten. Sowohl für große als auch kleinere Unternehmen können sich diese Aufwände als sehr schmerzhaft erweisen und stark auf die GuV der Bilanz durschlagen.

IT-Sicherheit als Managementaufgabe

Deshalb ist die Wahrnehmung der IT-Sicherheit für die Unternehmensorgane von zentraler Bedeutung, um rechtliche Konsequenzen zu vermeiden. Denn die Geschäftsführung bleibt für die IT-Sicherheit des Unternehmens verantwortlich und zwar auch dann, wenn der Betrieb der IT an einen IT-Dienstleister ausgelagert wird. Die Haftung der Unternehmensorgane bleibt unabhängig von der Frage bestehen, ob man eine persönliche Expertise als Geschäftsführung im Bereich IT besitzt oder nicht. Die Haftung gegenüber Dritten (z.B. Kunden) aber auch gegenüber der eigenen Gesellschaft bleibt bestehen. Generell haftet die Geschäftsführung persönlich, solidarisch mit ihrem Privatvermögen. Aufgrund der solidarischen Haftung wird auch in einem Schadensfall der Umstand, „dass die IT etwa nicht ins eigene Ressort falle“, nicht vor einer persönlichen Haftung schützen. Denn auch die Überwachung der Geschäftsführerkollegen gehört zu den Kernaufgaben der Unternehmensorgane.

Die zahlreichen Folgen eines Cyberangriffs

Zu bedenken sind auch die (Rechts-)Folgen eines Cyberangriffs. Denn der durch einen Cyberangriff entstandene Schaden ist nämlich nicht auf die Kosten der Wiederherstellung der IT-Systeme und den Betriebsunterbrechungsschaden begrenzt. Hinzu kommen die Schadensfeststellungskosten, Zusatzkosten für eigenes Personal, das Überstunden leisten muss oder Kosten für Rechtsanwälte und technische Experten.

Zudem können Kunden und Lieferanten das Unternehmen auch im Falle von Lieferausfällen oder Lieferverzug in Anspruch nehmen. Wenn persönliche Daten veröffentlicht werden, so kann die Datenschutzbehörde auch ein Bußgerld verhängen und die Betroffenen können Schadenersatzforderungen geltend machen. Es liegt auf der Hand, dass die Gesellschafter nach einem Cyber-Vorfall die Frage nach der Verantwortlichkeit stellen werden, insbesondere wenn der Schaden hoch ist oder gar die Existenz des Unternehmens gefährdet. Immer öfter werden Unternehmensorgane, welche sich nicht ausreichend um die IT-Sicherheit des Unternehmens gekümmert haben, sogar nach einem Cyber-Vorfall gekündigt.

Cyberversicherung als Absicherung des unvermeidbaren Restrisikos

Um das eigene Unheil abzuwenden, sollten die geschäftsführenden Organen die IT-Sicherheit sehr ernst nehmen. Dazu empfehlen wir den Status der IT-Sicherheit durch externe IT-Experten z.B. im Rahmen eines Sicherheits-Audits und eines Penetration-Tests überprüfen zu lassen und alle Maßnahmen nach einer Prioritätenliste zeitnah abzuarbeiten. Erst dann wird wohl der Abschluss einer Cyberversicherung möglich sein.

Der Abschluss einer Cyberversicherung gehört sicherlich zum modernen Risikomanagements eines jeden Unternehmens und ist somit unseres Erachtens nun ein Grundpfeiler eines Versicherungskonzepts für, der von einer Geschäftsführung eingehalten werden muss. Zudem, um auch vor ungerechtfertigten Ansprüchen sicher zu sein, empfehlen wir den Leitungsorganen von Unternehmen jedenfalls auch den Abschluss einer D&O-Versicherung mit ausreichender Versicherungssumme und einer unverfallbaren, zeitlich unbegrenzten Nachmeldefrist.

Was ist ein SOC (Security Operations Center)?

Im Zusammenhang mit der Cyberversicherung, insbesondere bei größeren Unternehmen, fällt immer wieder der Begriff eines SOC (Security Operations Center). Der Betrieb eines SOC wird auch von manchen Cyberversicherern ab einer gewissen Größenordnung eines zu versichernden Unternehmens zur Voraussetzung gemacht. Ein SOC kann durch eine eigene Abteilung betrieben werden oder als externe Dienstleistung zugekauft werden. Gerade im Mittelstand wird sehr häufig zu externen Lösungen gegriffen, da entsprechend spezialisiertes Personal rar und auch nicht gerade günstig ist.

Was genau ein SOC ist und welche Aufgaben es hat, soll in diesem Artikel kurz erläutert werden.

Zusammenfassend lässt sich ein Security Operations Center als das Zentrum aller sicherheitsbezogenen Aktivitäten einer IT-Umgebung beschreiben – es soll die IT-Infrastruktur und die beherbergten Daten vor Gefahren von außen aber auch von innen schützen.

Der Sicherheitsmanager der eigenen IT

Das SOC ist somit der Sicherheitsmanager der eigenen IT. Um diese Aufgabe bewältigen zu können, muss das SOC in der Lage sein, alle sicherheitsrelevanten Systeme zu überwachen und die dortigen Vorgänge zu analysieren:

  • Unternehmensnetzwerk (Switches, Router)
  • Server (Datenbanken, EMail)
  • Arbeitsstationen
  • mobile Geräte (Smartphones, Tablets)
  • evtl. Produktionsmaschinen
  • Internet of Things (zentrale Gerätesteuerungen, Smart Devices)
  • Internetservices

Während dies ein Umfang technischer Natur ist erfüllt ein SOC eine Vielzahl von Aufgaben, alle natürlich mit dem Ziel, die IT-Sicherheit des Unternehmens bestmöglich auszugestalten. Zu diesen Aufgaben gehören daher insbesondere:

Aufgaben eines SOC

Daten sammeln und analysieren

Um zu gewährleisten, dass das SOC effektiv arbeiten kann, ist vorab ein vollständiges Inventar aller Systemkomponenten erforderlich. Dieses gewährleistet, dass die erforderlichen Informationen aus den verschiedenen Strukturen und Log-Informationen vollständig zusammengetragen werden können. Diese Sammlung von sicherheitsrelevanten Informationen stellt auch die erste Aufgabe dar, die ein SOC ausübt.

Weiters überwacht ein SOC nicht nur die eigenen Informationen aus der eigenen IT, sondern es werden auch relevante weitere Informationen analysiert, welche nicht direkt mit der eigenen IT in Verbindung stehen:

  • Verfügbarkeit von Sicherheitspatches von Herstellern
  • Meldungen über Sicherheitslücken
  • Überwachung des Internet-Traffics z.B. Erkennung von DOS-Attacken

Prävention

Auf Grundlage der gesammelten Daten erarbeitet das SOC präventiv Sicherheitskonzepte, welche den Schutz des Unternehmensnetzwerks gewährleisten sollen. Dazu zählen z.B. auch Prozesse, die eine schnelle Verteilung von Sicherheitsupdates gewährleisten sollen und ein zentrales Sicherheitsmanagement der unterschiedlichen Devices – dazu gehört aber auch die Erarbeitung und Aktualisierung von Benutzer-Richtlinien der Anwender. Auch regelmäßige Sicherheitsschulungen der Mitarbeiter werden häufig vom SOC inhaltlich beeinflusst oder auch selbst durchgeführt, da hier die Daten von tatsächlichen Sicherheitsvorfällen im Unternehmen zusammen laufen, was in den Schulungsinhalten jedenfalls mitberücksichtigt werden sollte. Die Risikoabschätzung ist ebenfalls Aufgabe des eigenen SOC als Grundlage für Budget- und Schwerpunktentscheidungen des Managements.

Überwachen

Die aktive Überwachung der IT-Systeme stellt sicherlich die zentrale Aufgabe des SOC dar. Dies umfasst einerseits die Überwachung der laufend gesammelten Daten, um einen Angriff zu erkennen aber auch die das Erkennen von bestehenden Sicherheitslücken und deren Beseitigung in den eigenen Systemen. Verdächtige Aktivitäten im Netzwerk sollen erkannt werden und entsprechend eine entsprechende Alarmierung zur Folge haben, damit der Vorfall analysiert werden kann.

Maßnahmen ergreifen

Die Analyse der gesammelten Daten bildet die Grundlage für die weiteren Services eines SOC – bei erkannten Angriffen ist es erforderlich, dass die Entscheidungsketten aufeinander abgestimmt sind und klare Handlungsanweisungen vorliegen. Einerseits ist es wichtig dass möglichst direkt Abwehrmaßnahmen gegen einen Cyber-Angriff vorgenommen werden – diese Maßnahmen können je nach Gefährdungslage folgendermaßen aussehen:

  • Veranlassung von gemeinsamen Maßnahmen mit externen Providern
  • Beobachtung der Aktivitäten des Angreifers zur Abschätzung des Ausmaßes des Angriffs
  • Abschottung der betroffenen Systeme bis hin zum
  • Shutdown der gesamten IT

Reporting

Eine wichtige Aufgabe des SOC ist auch das Reporting an das Management – dazu gehören die Einschätzungen in Bezug auf die eigenen Sicherheitslage und Empfehlungen in Bezug auf die sicherheitsrelevanten Systeme. Darüber hinaus kann das SOC in verschiedensten Bereichen des Unternehmens beratend zur Seite stehen um Sicherheitsstrategien von Anfang an bei der Unternehmens- und Projektplanung mitzudenken. So unterstützt lassen sich Pflichten hinsichtlich Datenschutz und Compliance wesentlich effizienter erfüllen.

Fazit

Der Betrieb eines SOC ist für Unternehmen, die eine bestimmte Größenordnung überschreiten und deren Dienstleistung/Produktion in großem Maße von IT-Systemen abhängig sind, heutzutage unerlässlich. Auch der Zukauf eines externen SOC ist möglich und es gibt für diese Leistungen zahlreiche Anbieter am Markt – deren Angebote können auf jede Unternehmensgröße abgestimmt werden. Die externe Vergabe ist in jedem Fall eine Überlegung wert, da entsprechend qualifiziertes Personal im aktuellen Umfeld sehr schwierig zu akquirieren ist und eine externe Verantwortlichkeit sicherlich zu begrüßen ist. Falls man sich für einen externen Anbieter entscheidet, sollte man bei der Auswahl jedenfalls die nötige Sorgfalt walten lassen, da aufgrund der weitreichenden Berechtigungen, die man dem Anbieter erteilt –  die für die Durchführung der Aufgabe durchaus nötig sind – Vertrauen zum gewählten Partner Voraussetzung ist.

Möglichkeiten zum Schutz vor Phishing-EMails

Phishing stellt regelmäßig den Beginn eines Cyberangriffs dar, bei dem der Täter eine E-Mail (oder eine Nachricht in einem sozialen Netzwerk) sendet, um den Empfänger zu Aktionen zu verleiten, die dem Angreifer eine Tür öffnen, um einen erfolgreichen Cyberangriff einleiten zu können. Dabei ist es natürlich wichtig, dass der Empfänger nicht erkennt, dass die EMail aus einer unseriösen Quelle stammt und so der Empfänger dazu verleitet wird, verschiedene Aktionen durchzuführen – die häufigsten derartigen Aktionen sind:

  • auf einen Link klicken, der ihn auf eine gefälschte Website führt
  • persönliche Daten (z.B. Zugangsdaten) bekannt geben
  • einen Anhang der EMail-Nachricht öffnen

Insofern ist es natürlich wichtig sich selbst und das eigene Unternehmen vor Phishing-E-Mails zu schützen- dazu ist es einerseits wichtig zu verstehen, was die Angreifer mit dem Vorgehen bezwecken und andererseits gibt es auch wirksame Maßnahmen, um sich vor diesem Vorgehen zu schützen.

So funktioniert Phishing

Wie erwähnt startet Phishing meist mit einer scheinbar harmlosen Mail – und ja, in den meisten Fällen ist die Mail an sich noch recht ungefährlich. Mails mit bekanntem Schadcode werden nämlich in den meisten Fällen schon von den EMail-Anbietern „aussortiert“ und landen gar nie beim Empfänger – wobei auch hier grundsätzlich Vorsicht geboten ist, da nicht gewährleistet ist, dass auch einmal ein entsprechendes EMail mit einem schädlichen Anhang durch die diversen Filter schlüpft.

Die meisten Phishing-E-Mails die man erhält landen außerdem im SPAM-Filter und sind auch auf den ersten Blick als Fake-Mails zu erkennen – außer man ist hoffnungslos optimistisch und glaubt tatsächlich daran, dass ein nigerianischer Prinz oder ein mit einer Erbschaft bedachter Bankangestellter gegen hohe finanzielle Beteiligung die Hilfe bei diversen Geldtransfers benötigt. Aber es gibt sie auch, die EMails die sehr legitim aussehen, sodass es sehr schwierig ist, sie von echten EMails zu unterscheiden insbesonders wenn es sich um eine gezielte Phishing-Kampagne handelt, mit der Informationen z.B. eines bestimmten Unternehmens abgegriffen werden sollen. Hier kommt es dann häufig zum sogenannten Spear-Phishing, d.h. es werden gezielt bestimmte Personen oder Gruppen angeschrieben, um an die gewünschten Informationen zu gelangen – diese EMails sind meist deutlich besser gestaltet und viel schwieriger von legitimen E-Mails zu unterscheiden.

Für den Angreifer hat das Phishing in allen Fällen den selben Zweck – um an Informationen zu gelangen, sei es nun Zugangsdaten, Kreditkarteninformationen. In einigen Fällen sollen die Nutzer auch dazu verleitet werden, Schadsoftware, die natürlich nicht auf Anhieb als solche zu erkennen ist, auf Ihren PC zu starten oder zu installieren. Wenn der Angreifer bereits über Hintergrundinformationen zum Unternehmen verfügt, ist es durchaus möglich, dass die EMail so aussieht, als käme sie vom eigenen IT-Support und dann ist es durchaus vorstellbar, dass der User den Anweisungen im Mail folgt und die neue Version der „Fernwartungssoftware“ installiert.

Ablauf einer Phishing-Attacke

So schützen Sie sich vor Phishing-E-Mails

Eine der besten Möglichkeiten, sich vor Phishing-E-Mails zu schützen, besteht darin, folgende Grundregeln zu befolgen:

  • kein seriöser Anbieter/Dienstleister wird per EMail nach Ihren Zugangsdaten fragen, die Weitergabe der eigenen Zugangsdaten ist in den seltensten Fällen notwendig
  • Antworten Sie niemals auf EMails, die persönliche finanzielle Informationen fordern
  • Besuchen Sie Bank-Websites nie über den Link in einer Mail, sondern immer über die Eingabe der URL im Browser oder einen Bookmark den sie selbst gesetzt haben.
  • Prüfen Sie vor
  • Betrachten Sie Anhänge einer Mail immer mit einem gesunden Misstrauen – im Zweifelsfall fragen Sie telefonisch beim Versender der EMail nochmals nach
  • Öffnen Sie keine Anhänge von Personen, die Ihnen unaufgefordert EMails zusenden
  • Auch bei den IT-Verantwortlichen im Unternehmen nachzufragen, kann im Zweifel nicht schaden
  • Prüfen Sie die EMail-Adresse des Absenders und nicht nur den Namen, der im EMail-Programm angezeigt wird
  • Machen Sie es sich zur Angewohnheit, die Adressen der Seiten im Browser zu prüfen.

Manche gefakte Websites sind besser und manche schlechter erkennbar – ein guter Hinweis ist jedenfalls die URL bzw. die Adresse unter der die Seite erreichbar ist. Diese lässt sich im Browser gut überprüfen und gibt Hinweise darauf, ob eine Website legitim ist oder nicht.

Die untenstehende Grafik soll veranschaulichen, wie URLs angegeben werden können, ohne dass es möglicherweise groß auffällt.

Beispiele von Phishing-URLs anhand von Mustern bereits erfolgter Phishing-Angriffe

 

Auch das Unternehmen und insbesonders die IT-Abteilung kann natürlich dabei unterstützen, Phishing-EMails zu erkennen:

  • Kennzeichnung von externen EMails
  • EMail-Scanner die verdächtige EMails entsprechend kennzeichnen
  • Verwendung von Blacklists, die bekannte Versender von Phishing und
  • Endpoint-Sicherheitslösungen für Clients
  • Regelmäßige Schulungen der User und klare Handlungsempfehlungen
  • Phishing-Tests

In Zusammenhang mit Schulungen, Phishing- Tests und besserer Prävention möchten wir auch auf die Dienstleistungen der Cyber-Versicherer hinweisen, welche im Zusammenhang mit der Cyber-Versicherung oft deutlich günstiger und teilweise kostenlos angeboten werden – wenn Ihre Kunden dies Dienste Nutzen möchten, sprechen Sie uns darauf an – wir leiten gerne alles in die Wege.

Der Beirat als versichertes Organ in der D&O-Versicherung

Versicherte Personen in der D&O-Versicherung sind üblicherweise jedenfalls die Mitglieder

  1. der geschäftsführenden Organe (Geschäftsführer, Vorstand, etc) und
  2. der Kontrollorgane (Aufsichtsrat, Beirat, Verwaltungsrat, etc).

Neben den zwingend gesetzlich vorgesehenen Organen (Geschäftsführung und Aufsichtsrat) ist somit auch Vorsorge für weitere fakultative Organe wie den Beirat getroffen. Die Kernaufgabe des Beirates liegt üblicherweise in der Beratung der Geschäftsführung – nicht zu den Aufgaben des Beirates zählt die Überwachung der Geschäftsführung, da dies Aufgabe des Aufsichtsrates ist.

Vorsicht bei der Ausgestaltung des Beirats

Vorsicht ist jedoch hinsichtlich der Ausgestaltung des Beirates geboten, da zwischen dem organschaftlichen Beirat und dem schuldrechtlichen Beirat zu unterscheiden ist.

  • Der organschaftliche Beirat ist entweder durch den Gesellschaftsvertrag oder die Satzung vorgesehen. Daher kommt dem organschaftlichen Beirat auch Organfunktion im Sinne der Bedingungen zu. Der organschaftliche Beirat kann, im Falle der Verletzung der Pflicht zur ordentlichen und gewissenhaften Ausübung der Aufgaben des Beirates, einer Schadenersatzhaftung ähnlich der anderen Gesellschaftsorgane unterliegen.
  • Der schuldrechtliche Beirat wird entweder durch eine vertragliche Regelung mit der Gesellschaft oder durch einfachen Gesellschafterbeschluss berufen. Daher ist er auch im Gesellschaftsvertrag nicht vorgesehen und somit kommt ihm keine Organstellung zu. Er wird lediglich auf Basis eines schuldrechtlichen Vertrages mit der Gesellschaft tätig. Eine Haftung für Mitglieder des schuldrechtlichen Beirates ist somit nur im Falle einer Vertragsverletzung gegeben.

Fazit

Während die Mitglieder des organschaftliche Beirats üblicherweise vom D&O-Versicherungsschutz umfasst sind, ist dies beim schuldrechtlichen Beirat nicht der Fall. Dies sollte bei der Begründung eines Beirats jedenfalls bedacht werden, auch wenn die Einrichtung eines organschaftlichen Beirats aufgrund der notwendigen Änderung des Gesellschaftsvertrags bzw. der Satzung ungleich aufwändiger ist.

Kostenübernahme von Rechtsanwaltskosten in der Rechtsschutzversicherung

Rechtliche Sonderrisken bedürfen spezieller Rechtsschutzversicherungslösungen, um eine geeignete Absicherung der erheblichen Kosten zu gewährleisten. Aber selbst bei Vorliegen solcher individuell zu vereinbarender Lösungen ist nicht gesagt, dass alle aus Anwaltstätigkeit resultierenden Kosten auch vollständig übernommen werden, wie das nachstehende Schadenbeispiel zeigt.

Ausgangslage

Diesem Schadenereignis lag bei einem Kunden, der Beteiligungen an Portfolios angesparter und laufender englischer Sekundärmarkt-Lebensversicherungen vertreibt, eine Anzeige gegen deren Geschäftsführer wegen des Verdachtes der Verletzung unter anderem des § 15 Abs 1 Z 1 KMG zugrunde.

Die Emittentin verwaltet diese Portfolios treuhändig für die Anleger. Für den öffentlichen Produktvertrieb wurde ein Veranlagungsprospekt erstellt und die Veranlagungsform im Kontrollvermerk zum Prospekt als Risikokapital kategorisiert. Ein Anleger, der einen Verlust von 80% hinnehmen musste, wandte sich an die FMA. Im Veranlagungsprospekt fand sich nämlich zum erworbenen Portfolio keine Aussage, weder in Bezug auf die Ausgestaltung noch auf die damit in Zusammenhang stehenden Risken.

Die FMA sah darin einen Verstoß gegen § 15 Abs 1 Z 1 KMG, da aus Sicht der FMA ein zu veröffentlichender Nachtrag erstellt hätte werden müssen, dies allerdings nicht vorgenommen worden war. Dieser Umstand bewog die FMA zu einer Sachverhaltsdarstellung an die Staatsanwaltschaft.

Verteidigung des Versicherungsnehmers

Um diesen strafrechtlichen Ermittlungen erfolgversprechend entgegentreten zu können, wurden vom Kunden zwei Rechtsanwälte beauftragt. Einer für die allgemeine Rechtsvertretung der Beschuldigten und ein weiterer mit Spezialisierung auf das KMG und dessen Feinheiten.

Die Rechtsvertretungen waren zielführend und in deren Folge das strafrechtliche Ermittlungsverfahren auch eingestellt.

Kostenübernahme

Im Zuge der Abrechnung der entstandenen Anwaltshonorare kam es aber zu Problemen:

  • Von dem zur allgemeinen Vertretung mandatierten Rechtsanwalt wurden sämtliche Kosten aus dem Rechtsschutzversicherungsvertrag übernommen.
  • Ausgenommen davon waren lediglich diejenigen Honorarpositionen, die als Mitwirkungspflichten des Kunden bzw. der versicherten Personen zu bewerten waren. Derartige Kosten werden grundsätzlich nicht erstattet, auch dann nicht, wenn der VN diese Verpflichtung an den vertretenden Rechtsanwalt überwälzt. Das sind und bleiben Obliegenheiten die durch den VN zu erfüllen sind. Und wenn sie delegiert werden, dann auf eigene Kosten.
  • Die Bezahlung der Kosten des auf KMG spezialisierten Anwaltes wurde abgelehnt. Zwar ist die Kostenübernahme von Sachverständigengutachten im Versicherungsvertrag garantiert, erforderlich dafür wäre aber die Erstellung eines konkreten Gutachtens zur notwendigen unterstützenden Begleitung der Rechtsvertretung gewesen. Die lediglich unterstützende Begleitung durch einen zusätzlichen Rechtsanwalt ist von dieser Risikoerweiterung allerdings nicht umfasst.

Quintessenz

Gerade bei komplexen Sachverhalten ist die laufende Abstimmung zwischen VN und Rechtsanwalt zu vorzunehmenden anwaltlichen Aktivitäten besonders wichtig, um vorab Klarheit darüber zu erlangen, welche Kosten auch tatsächlich aus der Versicherung getragen werden.

(Linz, 16.4.2022, Beitrag von Dr. Helmut Tenschert)

Kriegsausschlüsse in Cyber-Policen

Seit Ende Februar ist ein Versicherungs-Thema in Europa aus aktuellem traurigen Anlass wieder sehr aktuell: Kriegsausschlüsse in Versicherungspolicen – insbesondere wird das Thema auch im Zusammenhang mit Cyber-Versicherungsschutz ins Spiel gebracht.

Kriegsausschlüsse

Während sich bei Sachversicherungen Kriegshandlungen meist noch recht gut einem Schadensereignis zuordnen lassen, ist dies in der Cyber-Versicherung nicht mehr so einfach – was gilt als Kriegshandlung und wie sind die Ausschlussklauseln auszulegen – Fakt ist, dass zu diesem Thema aktuell viele Meinungen im Umlauf befinden – welche Meinungen sich durchsetzen werden, wird wahrscheinlich wie so oft von Gerichten entschieden werden.

Auch in der Vergangenheit wurde bereits versucht, isolierte Schadenereignisse in die Ausschlussklausel zu subsummieren. Herrschende Meinung bisher ist allerdings, dass sich der Kriegsausschluss nur auf Kriegsakte im physischen Sinn beziehen kann – und genau diese Voraussetzung ist nun erfüllt.

Grundsätzlich sind für einen Cyber-Schadensfall mehrere Szenarien vorstellbar, wo die Anwendung eines Kriegsausschlusses (unabhängig davon, wie die Klausel im Detail formuliert ist) denkbar ist:

  • Cyber-Angriffe zwischen Konfliktregionen: Unabhängig davon, ob in diesem Fall öffentliche Einrichtungen oder Unternehmen angegriffen werden, ist in diesen Fällen wohl anzunehmen, dass es sich hier meist um tatsächliche Kriegshandlungen handeln wird. Im Falle eines Cyber-Angriffs kann oft die Region, aus der die Angriffe kommen, zugeordnet werden, die Identität der Hacker, wenn diese staatlich gedeckt werden, bleibt bis auf wenige Ausnahmen oft im Dunkeln.
  • Cyber-Angriffe aus Konfliktregionen auf Unterstützter von Konfliktparteien in Drittländern: Es ist durchaus vorstellbar, dass sich eine Konfliktpartei versucht, einen Vorteil zu verschaffen, indem es Unterstützer aus Drittländern durch Cyberangriffe drangsaliert, um Informationen zu erlangen oder Lieferungen zu verzögern. Wenn man bedenkt, wie öffentlich von der Politik über Hilfslieferungen von Waffen und anderem militärischem Gerät gesprochen wird, sind auch die möglichen Ziele für entsprechende virtuelle Angriffe nicht schwer auszumachen. Ein Zusammenhang ist in so einem Fall dann wohl auch schnell hergestellt.
  • Cyber-Angriffe aus Konfliktregionen auf unbeteiligte Akteure in Drittländern: In diesem Fall ist grundsätzlich denkbar, dass die Cyberangriffe ein Mittel zur Kriegsfinanzierung darstellen. Doch auch vor den aktuellen Konflikten wurden bereits Zusammenhänge mit staatlich geförderten Akteuren vermutet – während sich im Nachhinein herausstellte, dass viele der Angriffe zwar staatlich geduldet (d.h. die Handlungen wurden im betroffenen Land nicht verfolgt) wurden, jedoch darüber hinaus nicht staatlich gelenkt waren.

Auch wenn sich in manchen Fällen ein Zusammenhang aufdrängen wird, wird sich wie so oft auch die Frage der Beweisbarkeit stellen. Es ist anzunehmen, dass es schwierig sein wird, die Angreifer ohne weiteres einzelnen Konfliktparteien zuzuordnen, da es von offizieller Seite kaum zu Bestätigungen der Cyberangriffe kommen wird.

Auch die Versicherungswirtschaft lässt sich zu dem Thema keine definitiven Stellungnahme entlocken, was angesichts der aktuellen Brisanz des Themas nicht überraschend ist. Die Vielzahl an verschiedenen Ausschlussklauseln macht es jedenfalls notwendig, jeden einzelnen Versicherungsfall entsprechend zu prüfen.

Sanktionen bei Lösegeldzahlungen

Ein weiteres Thema, das im Zusammenhang mit Erpressungsforderungen nicht vergessen werden darf, ist das Thema Sanktionen. Hier kann es aufgrund der aktuell geltenden Sanktionen gegen Russland zu Situationen kommen, dass die Lösegeldzahlungen zwar möglicherweise grundsätzlich versichert wären, aufgrund der geltenden Sanktionen die Zahlung allerdings an die Hackgruppe nicht vorgenommen werden darf. Die weitreichenden Sanktionen legen nahe, dass die meisten Zahlungen an russische Hackgruppen sanktionsbewährt sein werden.

Fazit

Wir sind davon überzeugt, dass uns dieses Thema über die nächsten Jahre begleiten wird und abschließend einige Punkte letztendlich von Gerichten geklärt werden müssen. Zu begrüßen wäre es natürlich, wenn die Versicherungswirtschaft mit konkreten Aussagen über die Handhabung von entsprechenden Claims aufwarten könnte – was angesichts der aktuellen Situation wohl eher in die Kategorie Wunschdenken einzuordnen sein wird.

INFINCO Markel Pro Cyber 2022 – Produktvorstellung

Wie bereits Ende März angekündigt möchten wir Ihnen nun unser neues Cyberprodukt „INFINCO Markel Pro Cyber 2022“ detailliert vorstellen:

Bei INFINCO Markel Pro Cyber 2022 handelt es sich um eine sehr weit gehende Cyber-Versicherungslösung, welches an die Anforderungen von KMUs aus dem Dienstleistungssektor angepasst ist. Darüber hinaus zeichnet es sich dadurch aus, dass es durch verschiedene Parameter individuell auf die Kundenbedürfnisse anpassen lässt, ohne dabei den umfassenden Versicherungsschutz aus dem Auge zu verlieren.

Zielgruppe des Deckungskonzepts:

Dienstleistungsbetriebe mit einem Jahres-Umsatz von bis zu EUR 10 Mio – dazu zählen auch

  • freie Berufe (Rechtsanwälte, Steuerberater, Ärzte)
  • Gesundheits- und Heilwesen
  • Handel
  • Bildungseinrichtungen
  • Gastronomie, Hotellerie
  • Vereine
  • Verbände
  • Baugewerbe, Handwerk
  • Transport- und Logistikunternehmen

Selbstverständlich können wir auch Unternehmen mit einem höheren Umsatz als EUR 10 Mio. mit diesen zugrundeliegenden Bedingungen absichern – fragen Sie einfach an.

Produkthighlights:

Das Produkt zeichnet sich durch einen sehr umfassenden Versicherungsschutz aus, welcher durch den modularen Aufbau individuell auf die Bedürfnisse des Kunden angepasst werden kann.

Zu den wichtigsten versicherten Risiken gehören weiterhin die folgenden Punkte:
  • Soforthilfe über 24-Stunden-Schadenshotline
  • Cyber-Notfallpläne und -Trainings
  • Gezielte und ungezielte Hacker-Angriffe
  • Gezielte und ungezielte Vireninfektionen
  • Phishing von Bankdaten
  • Diebstahl von Kunden- und Auftragsdaten
  • Verschlüsselung von Firmendaten
  • Geldforderungen von Hackern infolge eines Cyber-Angriffs
  • Betrugsschäden durch Dritte
  • Vertragsstrafen bei Verletzung von Geheimhaltungs- und Datenschutzverpflichtungen
  • Ertragsausfallschäden durch Cyber-Vorfälle
  • Schäden durch DDoS-Angriff e (Distributed Denial of Service)
  • Schäden durch Fake President und Social-Engineering
  • Diebstahl von EC- und Kreditkarten-Daten
  • Cybervorfälle und Vertrauensschäden durch böswillige Mitarbeiter
  • Bedienfehler an IT-Systemen
  • Kosten bei behördlichen Verfahren
  • Mitversicherung interner Datenschutzbeauftragter
  • Schutz bei Abmahnungen und Urheberrechtsverletzungen
Tarifgrundlagen:
  • keine Prämienerhöhung im Vergleich zum Konzept INFINCO Markel Pro Cyber AT 04.2019
  • Versicherungssumme bis EUR 1 Mio im Antragsmodell (höhere Versicherungssummen auf individuelle Anfrage)
  • NEU: Versicherungssumme steht 2fach zur Verfügung.
  • Selbstbehaltsvarianten EUR 500 – 5.000 (höhere Selbstbehalte auf Anfrage)
  • modularer Aufbau mit wählbaren Bausteinen:
    • Cyber-Betriebsunterbrechung
    • Cyber-Forderung/Erpressung
    • Cyber-Zahlungsmittel
    • Cyber-Vertrauensschaden
    • Cyber-Haftpflicht
    • Cyber-Prävention
  • 3 Jahresvertrag nach wie vor möglich
INFINCO-Sondervereinbarung:

Unsere Sondervereinbarung für dieses Deckungskonzepts wurde gegenüber der Vereinbarung aus dem Jahr 2019 massiv ausgebaut – bewährtes haben wir beibehalten und viele neue Punkte wurden der Sondervereinbarung hinzugefügt – die wichtigsten Punkte möchten wir hier erwähnen:

  • NEU – Sonderdeckungen für Berufsgruppen:
    • Ärzte-Verrechnungsklausel bis EUR 250.000
    • Beratende Berufe: Haftpflicht-Versicherungsschutz infolge eines Cyberschadens für Berufsrisiken (Verabsäumung von Fristen, Verletzung von Vertraulichkeitspflichten, Erstellung unrichtiger Dokumente) subsidiär zu einer bestehenden Berufshaftpflichtversicherung
  • NEU – Beweislastumkehr bei unklarem Versicherungsfall
  • NEU – Erweiterung der Krisendienstleistungen
  • NEU – Cyber-Betriebsunterbrechung durch Bedienfehler
  • NEU – Cyber-Betriebsunterbrechung durch Wiederherstellung
  • NEU – Vorleistung bei Nutzung von Cloud- und Hosting-Diensten bis EUR 2 Mio.
  • NEU – Zusatzlimit EUR 50.000 für Abwehrkosten
  • NEU – zahlreiche Klarstellungen zugunsten des Versicherungsnehmers
  • Update-Garantie: für unsere bereits bestehenden Kunden gelten die Deckungsverbesserungen automatisch, insofern im Vorvertrag bereits die Innovationsklausel enthalten war

Es freut uns, dass wir ein bereits gutes Produkt mit dieser neuen Vereinbarung nochmals besser machen konnten.

Prämiengestaltung:

Auf der Prämienseite konnten trotz der gegenteiligen Marktentwicklung die Prämien von 2019 beibehalten werden.

Unterlagen:

Untenstehend finden Sie alle neuen Unterlagen zu INFINCO Markel Pro Cyber 2022:

Webinar „10 gute Gründe für unser neues Cyber-Deckungskonzept für KMUs“ am 11.05.2022 um 14:00 Uhr

Wir laden Sie herzlich zu unserem Webinar „10 gute Gründe für unser neues Cyber-Deckungskonzept für KMUs“ ein.

Melden Sie sich gleich zu diesem Webinar an, in dem wir Ihnen wertvolle Tipps für die Beratung von Cyber-Interessenten geben und Ihnen auch unser neues Deckungskonzept persönlich vorstellen.

Zur Webinar-Anmeldung

AssCompact Beratertage – INFINCO ist als Partner dabei – Besuchen Sie uns!

AssCompact Beratertage 2022Besuchen Sie uns auf den AssCompact Beratertagen am

5. Mai in Wien/Vösendorf
10. Mai in Innsbruck/Mils

und am 19. Mai online.

Die AssCompact Beratertage sind das Branchenupdate des Jahres. Wir freuen uns darauf Sie kennenzulernen bzw. wiederzusehen. Außerdem haben Sie die Möglichkeit durch die Teilnahme an den Vorträgen unabhängige IDD Weiterbildungsstunden zu sammeln – die Teilnahme ist kostenlos.

Unsere Beiträge möchten wir Ihnen in der untenstehenden Übersicht zusammenfassen – wir freuen uns über Ihre Teilnahme:

Asscompact Beratertage

Melden Sie sich hier kostenlos zu den AssCompact Beratertagen an!

Wie verwende ich den INFINCO-Calculator richtig?

Digitale Prozesse sind auch in der Welt des Versicherungsmaklers nicht mehr wegzudenken. Deshalb bauen auch wir unsere digitalen Angebote, den INFINCO-Calculator und unsere smarte Regulierungsplattform weiter aus.

Welche Produkte finden Sie derzeit im INFINCO-Calculator?

Derzeit finden Sie die Sparten D&O-, Cyber-, Vermögensschadenhaftpflicht- und Vertrauensschadensversicherung in unserer Berechnungs- und Angebotsplattform.

Sparten INFINCO-Calculator

In CYBER können Sie zwischen zwei Varianten wählen. Unser Deckungskonzept, das wir zusammen mit unserem Partner MARKEL soeben neu aufgelegt haben, geht weit über das Standardkonzept des Versicherers hinaus. In Kürze werden wir Sie herzlich einladen, bei einer der Fachschulungen zum Deckungskonzept mit dabei zu sein. Das Konzept richtet sich insbesondere an Gewerbeunternehmungen und Dienstleistungsunternehmen. Gerade für etwas größere Unternehmen und Produktionsunternehmen können Sie auf unser weiteres Deckungskonzept mit AIG zurückgreifen. Hier können Sie Angebote für Kunden mit einem Umsatz von bis zu 100 Millionen Euro berechnen.

In der Vermögensschadenhaftpflichtversicherung können wir Ihnen bei den Berufen Steuerberater, Wirtschaftsprüfer, IT-Unternehmen, Werbung/Medien behilflich sein. Für alle genannten Berufe können Sie auf unsere Besonderen Deckungsvereinbarungen zurückgreifen.

Ebenso verfügen wir über ein Deckungskonzept in der Vertrauensschadensversicherung mit zahlreichen Sondervereinbarungen.

In der D&O-Versicherung haben Sie die Möglichkeit eine Quotierung für die Bereiche Unternehmens-D&O und persönliche D&O zu berechnen.

Warum nicht gleich ein annahmefähiges Angebot?

Wir haben uns dafür entschieden, dass wir durch die Vereinbarung von klar vorgegebenen Modellen mit unseren Versicherungspartnern vorab Prämien bekannt geben können, welche im Falle einer positiven Risikoprüfung auch halten werden.

Damit sind verständlicherweise die erstellten Angebote unter den Vorbehalt dieser Risikoprüfung zu stellen. Im Bereich der D&O haben wir dies insbesondere durch die Abgabe einer Quotierung klargestellt. Eine Quotierung definiert lediglich die Prämie eines Risikos, welche sich nach Mitteilung der individuellen Risikosituation noch ändern kann.

In Einzelfällen hat sich in der Risikoprüfung ergeben, dass ein Unternehmen aufgrund der Finanzdaten etwa gar nicht oder nur mit Einschränkungen angenommen werden kann. Dies ist insbesondere dann der Fall, wenn ein Unternehmen ein negatives Eigenkapital aufweist, ein Jahresverlust im Ergebnis erzielt wird oder das Unternehmen einer Unternehmensgruppe angehört.

Deshalb ist es in eurem Eigeninteresse, dass Sie – mit einer Quotierung ausgestattet – den Kunden die Risikofragen beantworten lassen können. Bei den Risikofragen geben wir Hilfestellungen mit, was zu tun ist, wenn eine Risikofrage einmal negativ beantwortet werden muss. Das vermeidet unnötige Schleifen mit dem Kunden und durch die vermittelte Transparenz sollen auch unrealistische Erwartungshaltungen eingefangen werden.

Im Anschluss erfolgt dann die Risikoprüfung und die Quotierung kann dann mittels Deckungswunsch durch Sie in die Policierung münden.

Sie haben noch keinen Zugang zu unserer Angebot und Berechnungsplattform – melden Sie sich gleich an:

Anmeldung zum INFINCO-Calculator

D&O: Warum die Managerhaftpflichtversicherung nicht zur Auffanglösung werden darf

Aufgrund des weit definierten Versicherungsgegenstands besteht durchwegs die Möglichkeit, dass die D&O-Versicherung auch für die nicht ordnungsgemäße Wahrnehmung der Versicherungsagenden aufgrund Versäumnisse der Geschäftsführung herangezogen wird. Hierzu sind gleich mehrere Fälle einer Inanspruchnahme der D&O-Versicherung möglich.

So wäre es durchwegs vorstellbar, dass ein Leitungsorgan eines Unternehmens um Prämie einzusparen, den Deckungsumfang eines Gewerbebündelvertrages reduziert und dadurch dem Unternehmen ein Schaden erwächst. Sollte der Schaden höher ausfallen, so werden die Gesellschafter auch nach Möglichkeiten suchen, gegen das Leitungsorgan rechtlich vorzugehen. Die Gesellschafter könnten dem Unternehmensleiter die Pflichtverletzung vorwerfen, dass es grob fahrlässig sei, etwa Witterungseinflüsse, die in der Vorpolice durch Sonderklausel – aber gegen Zusatzprämie – mitversichert waren, aus Kostengründen aus dem Versicherungsschutz herauszunehmen.

Der gleiche Vorwurf ist denkbar, wenn man sich vorstellt, dass ein Unternehmen durch einen Cybervorfall schwer getroffen wurde und mehrere Wochen stillstand und Daten wiederhergestellt werden mussten, ohne dass ein entsprechender Cyberversicherungsschutz für das betroffene Unternehmen eingekauft wurde. Auch hier ist durchwegs vorstellbar und vielleicht sogar wahrscheinlich, dass die Gesellschafter des Unternehmens die Unternehmensleitung in Anspruch nehmen. Aus unserer Sicht ist es auch nur eine Frage der Zeit, bis solche Ansprüche tatsächlich gegen Unternehmensleiter seitens der Gesellschafter oder anderer Geschädigter geltend gemacht werden.

Wir möchten daran erinnern , dass wohl nicht ohne Grund in alten D&O-Verträgen die nicht ordnungsgemäße Wahrnehmung von Versicherungsagenden in D&O-Deckungen größerer Unternehmungen standardmäßig ausgeschlossen war. Es weist dieser – heute schon fast historisch anmutende Ausschluss, den ältere Freunde der D&O-Versicherung durchwegs noch kennen werden – eine erschreckende Aktualität auf.

Denn vor dem Hintergrund massiver Cyberattacken, getrieben durch das Geschäftsmodell Ransomware und durch starke systemische Veränderungen, erhitzt durch den Ukrainekrieg, ist es wichtig, dass die D&O-Versicherung nicht zusehends zur Ventilversicherungssparte mutiert, die zum Zug kommt, wenn anderweitiger Versicherungsschutz nicht greift.

Dies wäre zwar vielleicht für Unternehmen und Manager praktisch, aber von der Gefahrengemeinschaft nicht finanzierbar. Dies würde sicherlich dazu führen, dass es noch schwieriger wird, D&O-Versicherungsschutz zu generieren, nicht nur für große Unternehmen und naturgemäß schwierige Bereiche wie Finanzinstitutionen oder Industrie, sondern auch generell für kleinere und mittlere Unternehmen.