INFINCO bei der KSW-Arbeitstagung – 18.-20. Mai 2023

Die Arbeitstagung der Kammer für Steuerberater:innen und Wirtschaftsprüfer:innen findet dieses Jahr vom 18.-20. Mai 2023 statt.

Teils über 1.000 Mitglieder des Berufsstandes finden Sich zu diesen Arbeitstagungen ein.

Wie letztes Jahr sind wir auch dieses Jahr mit unserem Vermögensschadenhaftpflicht-Konzept und überzeugenden Cyberversicherungskonzepten vor Ort und freuen uns auf den interessanten Austausch mit der Berufsgruppe.

Details zur Veranstaltung:
https://www.akademie-sw.at/seminare//veranstaltungsdetail/arbeitstagung-2023_31971

Sind Sie selbst Wirtschaftstreuhänder oder betreuen Kunden aus dieser Berufsgruppe? Vergleichen Sie die Prämie und die Leistungen Ihrer Vermögensschadenhaftpflicht-Versicherung mit unserem Konzept!

Top Trends Cybercrime 2023

Die Welt der Cyberkriminalität verändert sich ständig. In den ersten Monaten des Jahres haben sich bereits einige Trends gezeigt, was 2023 die bestimmenden Themen im Bereich Cybercrime sein werden. Wir geben unsere Einschätzung darüber ab, welche Trends die IT-Security Landschaft nachhaltig beeinflussen werden.

Künstliche Intelligenz: Wie KI die Cyberkriminalität verändert

Die künstliche Intelligenz (KI) ist eine der am schnellsten wachsenden Technologien unserer Zeit. In den letzten Jahren hat sie die Art und Weise verändert, wie wir arbeiten und kommunizieren. Aber mit der zunehmenden Verbreitung von KI-Systemen gibt es auch Bedenken darüber, wie sie von Cyberkriminellen genutzt werden können, um noch effektivere Angriffe durchzuführen.

Unserer Einschätzung nach wird KI in den kommenden Jahren eine wichtige Rolle spielen. Kriminelle nutzen bereits heute KI-Systeme, um komplexe Angriffe durchzuführen, die schwer zu erkennen und zu verhindern sind. Die Technologie ermöglicht es ihnen, personalisierte und überzeugende Phishing-E-Mails zu erstellen, Malware-Angriffe zu verfeinern und sogar Deepfake-Videos zu erstellen, um Opfer zu täuschen. Auch konnte bereits gezeigt werden, dass KI auch bei der Ausnützung von Sicherheitslücken unterstützen kann.

Aber KI bietet auch Möglichkeiten, um die Cybersecurity zu verbessern. Unternehmen setzen bereits KI-Systeme ein, um Angriffe schneller zu erkennen und zu neutralisieren. Durch maschinelles Lernen können KI-Systeme ungewöhnliche Aktivitäten im Netzwerk oder auf Endgeräten erkennen und daraufhin Alarm schlagen. Zudem können KI-Systeme genutzt werden, um Schwachstellen in den eigenen Systemen zu identifizieren und zu beheben, bevor Kriminelle sie ausnutzen können.

Es sieht in diesem Bereich nach einem weiteren Technologiewettbewerb aus, welcher beiden Seiten nützen und schaden kann.

Digitale Supply-Chain-Angriffe

Die digitale Supply-Chain ist mittlerweile zu einem wichtigen Teil der globalen Wirtschaft geworden. Unternehmen sind auf eine effektive Zusammenarbeit zwischen Zulieferern, Herstellern und Händlern angewiesen, um ihre Produkte und Dienstleistungen erfolgreich auf den Markt zu bringen. Doch diese Zusammenarbeit birgt auch Risiken in Form von digitalen Supply-Chain-Attacken.

Eine digitale Supply-Chain-Attacke findet statt, wenn ein Angreifer eine Schwachstelle in der IT-Infrastruktur eines Lieferanten ausnutzt, um Zugang zum Netzwerk eines anderen Unternehmens zu erhalten. Die Angreifer können auf diese Weise zum Beispiel Schadsoftware auf den Computern der Opfer installieren oder vertrauliche Daten stehlen. Diese Art von Cyberangriffen kann verheerende Auswirkungen auf Unternehmen haben, da sie dazu führen können, dass wichtige Geschäftsprozesse gestört oder sogar lahmgelegt werden. Kürzlich konnte man einen solchen Angriff in einer verbreiteten VOIP-Software feststellen.

Unternehmen sollten daher proaktiv handeln und Maßnahmen ergreifen, um ihre Lieferketten zu schützen. Eine Möglichkeit, sich gegen digitale Supply-Chain-Attacken zu schützen, besteht darin, eine umfassende Risikoanalyse durchzuführen und Regularien in Bezug auf IT-Security aufzustellen. Unternehmen sollten ihre Lieferanten und Partner genau unter die Lupe nehmen und sicherstellen, dass diese ausreichende Sicherheitsmaßnahmen implementiert haben. Zudem ist es wichtig, die eigene IT-Infrastruktur regelmäßig auf Schwachstellen zu überprüfen und diese schnellstmöglich zu beheben, damit man nicht selbst zur Ursache einer Supply-Chain-Attacke wird.

Der Klassiker – Phishing – nur anders – und besser

In der heutigen digitalen Welt ist Phishing eine der am häufigsten verwendeten Methoden, um an vertrauliche Daten von Nutzern zu gelangen. Dabei werden E-Mails, SMS oder Social-Media-Nachrichten verwendet, um den Nutzer dazu zu bringen, auf einen bösartigen Link zu klicken oder vertrauliche Informationen preiszugeben. Doch eine neue Bedrohung hat sich in den letzten Jahren entwickelt – Multi-Channel-Phishing. Multi-Channel-Phishing ist eine fortschrittliche Form des Phishings, bei der Angreifer mehrere Kanäle gleichzeitig nutzen, um ihre Opfer zu täuschen. Dazu können E-Mails, SMS, Social-Media-Nachrichten und sogar Anrufe gehören. Durch die Verwendung von mehreren Kanälen wird es für Nutzer schwieriger, den Betrug zu erkennen und sich dagegen zu schützen. Diese Methode des Phishings wird voraussichtlich in den nächsten Jahren weiter zunehmen – auch da im Zusammenhang mit KI, viele dieser Prozesse auf „Autopilot“ laufen können.

Unternehmen und Nutzer sollten daher proaktiv handeln und sich gegen diese Bedrohung schützen. Die wichtigsten Maßnahmen, um sich gegen (Multi-Channel-) Phishing zu schützen, sind umfassende Schulungsmaßnahmen der Mitarbeiter. Nutzer sollten darüber informiert werden, wie sie verdächtige E-Mails, SMS oder Nachrichten in sozialen Medien erkennen und vermeiden können, auf bösartige Links zu klicken oder vertrauliche Informationen preiszugeben. Weitere Maßnahmen sind die Implementierung von Multi-Faktor-Authentifizierung, falls es doch zu einem erfolgreichen Phishing-Versuch kommt.

Ransomware-as-a-Service (RaaS) – Schadsoftware von der Stange

Ransomware-as-a-Service (RaaS) ist ein bereits 2022 weit verbreitetes Modell für Cyberkriminelle, bei dem sie Ransomware als Service anbieten. Dabei bieten sie anderen Kriminellen die Möglichkeit, Ransomware zu nutzen, um ihre Opfer zu erpressen. RaaS ist Teil des Trends der „as-a-Service“-Modelle, bei denen Cyberkriminelle verschiedene Arten von Dienstleistungen anbieten.

RaaS ist nach wie vor ein schnell wachsender Markt ist und immer mehr Cyberkriminelle nutzen auch die angebotenen Dienstleistungen. Das geht so weit, dass man für die erfolgreiche Durchführung eines Cyberangriffs gar kein tieferes technisches Verständnis benötigt, da man all die notwendigen Dienstleistungen zukaufen kann. Darüber hinaus gibt es auf den Markplätzen im Darkweb unkompliziert Informationen über Sicherheitslücken oder passende Zugangsdaten zu kaufen.

Auch wenn Ermittler immer wieder Erfolge feiern und diese auch medial ausschlachten, ist davon auszugehen, dass gerade in Ländern, wo die Täter keine Strafverfolgung zu befürchten haben, sich die Gruppen weiter professionalisieren und immer mehr wie Unternehmen agieren – erste Anzeichen dafür sieht man bereits, indem diese Netzwerke ihren „Beschäftigten“ Bonuszahlungen und eine Krankenversicherung  zukommen lassen.

Fazit

Cyberkriminalität wird sich auf 2023 weiterentwickeln und es ist davon auszugehen, dass sich diese Entwicklung weiter beschleunigen wird. Gerade KI hat in diesem Zusammnenhang enormes Skalierungspotential, sei es bei der Ausführung von Phishing-Kampagnen oder auch bei der automatisierten Ausnutzung von Sicherheitslücken. Im Zusammnhang mit „As-a-Service“-Modellen wird es wahrscheinlich nicht lange dauern, bis entsprechende KI-Tools mit böswilligen Absichten bereitgestellt werden. Unternehmen werden nach wie vor angehalten sein, ihre Schutzmaßnahmen auszubauen und ihre Mitarbeiter auf neue Bedrohungsszenarien zu sensibilisieren. Auch wir werden den Trends folgen und in unseren Artikeln darauf hinweisen.

Melden Sie sich für unseren Newsletter an oder folgen Sie uns auf LinkedIn, damit Sie nichts verpassen!

(D)DOS-Angriffe – Wenn nichts mehr geht

(D)DOS-Angriffe sind eine ernsthafte Bedrohung für Unternehmen jeder Größe und Branche. Diese Angriffe können dazu führen, dass Webseiten und Online-Services nicht mehr erreichbar sind und somit den Betrieb von Unternehmen erheblich beeinträchtigen. Gerade in letzter Zeit wird wieder häufiger über DDOS-Angriffe berichtet, welche politisch motiviert sind. In diesem Artikel werden wir uns genauer mit DDOS-Angriffen beschäftigen und untersuchen, welche Auswirkungen sie auf Unternehmen haben können.

  • Einleitung: Was ist ein DDOS-Angriff und wie funktioniert er?
  • Finanzielle Auswirkungen
  • Reputationsverlust
  • Datenschutz- und Sicherheitsbedenken, rechtliche Konsequenzen
  • Prävention und Schutzmaßnahmen
  • Fazit / Zusammenfassung

Einleitung: Was ist ein DDOS-Angriff und wie funktioniert er?

(D)DOS steht für (Distributed) Denial of Service und stellt einen Cyber-Angriff dar bei dem eine große Anzahl von Geräten (z.B. Computer, Smartphones, IoT-Geräte) gleichzeitig eine Website oder einen Online-Dienst mit Anfragen überflutet. Ziel des Angriffs ist es, die Ressourcen des Servers zu überlasten und so den Zugang zu der betroffenen Website oder dem Online-Dienst für reguläre Nutzer zu blockieren. Daher werden solche Angriffe oft durchgeführt, bei denen Erpressung, Sabotage oder politischer Aktivismus im Vordergrund stehen.

DOS-Angriffe (ohne dem voranstehenden zweiten „D“) finden heutzutage kaum mehr statt. Bei diesen handelt es sich ebenfalls um Überlastungsangriffe, aber fällt die Verteilungskomponente weg, d.h. die Angriffe erfolgen nur von einer Quelle. Solche Angriffe lassen sich heutzutage leicht blockieren und insbesondere auch leicht zurückverfolgen.

In einigen Fällen können DDOS-Angriffe auch als Ablenkungsmanöver genutzt werden, um andere Arten von Cyberangriffen durchzuführen. Die steigende Anzahl von IoT-Geräten hat DDOS-Angriffe einfacher gemacht, da viele dieser Geräte schlecht geschützt sind und oft mit Standard-Passwörtern betrieben werden. Diese sind für Hacker leicht zu übernehmen, aber für sich selbst meist kein lohnendes Angriffsziel. In der Masse können diese allerdings zu einem Botnetz zusammengefasst werden. Und wenn nun eine große Anzahl von Geräten – das Botnet – koordinierte Anfragen an den Zielserver sendet, kann der Server nicht mehr alle Anfragen bearbeiten und bricht unter der Last zusammen. Infolge wird die Website oder der Online-Dienst für reguläre Nutzer nicht mehr erreichbar.

Wichtig zu beachten ist, dass DDOS-Angriffe auch bei den Angreifern Kosten verursachen können, wenn sie nicht gerade selbst ein großes Botnet betreiben – für den Zugriff auf funktionierende Botnetze verlangen Hacker auch von Ihresgleichen einen Obulus für die Nutzung. Daher ist damit zu rechnen, dass entsprechend Angriffe nicht ewig anhalten werden.

Die Auswirkungen einer erfolgreichen DDOS-Attacke können je nach Ziel mannigfaltig sein – im besten Fall ist die rein repräsentative Website des Unternehmens nicht mehr erreichbar – hier sprechen wir schwer bestimmbaren Reputationsschäden, da einige Kunden oder Geschäftspartner kurzfristig keinen Zugriff auf Informationen hatten. Schlimmer kann es sein, wenn die Mail-Server stundenlang blockiert werden und keine Korrespondenz mit Kunden und Geschäftspartnern mehr möglich ist. Kritisch wird es, wenn auf den blockierten Servern der Online-Shop betrieben wurde, oder sonstige kritische Systeme Ziel der Angriffe sind – beispielsweise der VPN-Server, mit dem sich die gesamte Workforce aus dem Homeoffice verbindet.

Bei einem gut ausgewählten Ziel können die Auswirkungen auf ein Unternehmen drastisch sein und dieses stark unter Druck setzen.

Ablauf einer DDOS-Attacke

Abbildung: typischer Ablauf eines DDOS-Angriffs

Finanzielle Auswirkungen

Ein DDOS-Angriff kann für Unternehmen erhebliche finanzielle Auswirkungen haben. Wenn eine Website oder ein Online-Dienst aufgrund eines DDOS-Angriffs nicht mehr erreichbar ist, können Kunden davon abgeschreckt werden und zu einem Wettbewerber wechseln. Gerade im schnelllebigen Online-Business können hier schnell signifikante Umsätze verloren gehen. Wenn Online-Dienst angeboten werden, welche für Dritte in Ihrer Leistungserbringung verwendet werden, ist man darüber hinaus schnell mit Schadenersatzforderungen konfrontiert. Darüber hinaus können zusätzliche Kosten für die Wiederherstellung der IT-Infrastruktur und die Implementierung von Sicherheitsmaßnahmen für die Zukunft anfallen. Gerade wenn mit finanziellen Verlusten zu rechnen ist, ist es wichtig, proaktiv Maßnahmen zu ergreifen, damit die IT-Infrastruktur geschützt werden kann.

Reputationsverlust

Ein DDOS-Angriff kann nicht nur finanzielle Auswirkungen haben, sondern auch das Vertrauen von Kunden und Geschäftspartnern in das betroffene Unternehmen beeinträchtigen. Wenn eine Website oder ein Online-Dienst aufgrund eines DDOS-Angriffs nicht mehr erreichbar ist, kann dies den Eindruck erwecken, dass das Unternehmen nicht in der Lage ist, seine IT-Infrastruktur zu schützen. Dies kann das Vertrauen von Kunden und Geschäftspartnern in das Unternehmen beeinträchtigen und zu einem Reputationsschaden führen. Ein schlechter Ruf kann sich auf die langfristige Geschäftsentwicklung auswirken und das Wachstum des Unternehmens behindern. Um einen Reputationsverlust zu vermeiden, sollten Unternehmen schnell und transparent auf DDOS-Angriffe reagieren und ihre Kunden und Geschäftspartner über die Situation informieren.

Datenschutz- und Sicherheitsbedenken, rechtliche Konsequenzen

In Art. 32 DSGVO ist auch die Verfügbarkeit von Daten als Verpflichtung genannt. Wenn ein System durch einen DDOS-Angriff in Mitleidenschaft gezogen wird, ist diese Verfügbarkeit der Daten nicht mehr gewährleistet. Wenn personenbezogene Daten von Kunden oder Mitarbeitern betroffen sind, kann dies zu einem Verlust des Vertrauens und der Loyalität dieser Personen führen. Es stehen auch Strafen im Raum, wenn gegen Datenschutzbestimmungen verstoßen wurde und auch Schadensersatzforderungen durch Kunden oder Geschäftspartner sind vorstellbar, wenn ein Unternehmen nicht in der Lage ist, die sicherheitsrelevanten Anforderungen zu erfüllen und diese dadurch einen finanziellen oder Reputationsschaden erleiden.

Prävention und Schutzmaßnahmen

Um sich gegen DDOS-Angriffe zu schützen, gibt es verschiedene Maßnahmen, die Unternehmen ergreifen können. Eine Möglichkeit ist das Einrichten von Firewalls und Intrusion Prevention Systemen, um verdächtigen Datenverkehr zu blockieren. Darüber hinaus können Unternehmen auch DDOS-Mitigation-Services einsetzen, um den Datenverkehr zu analysieren und bösartige Anfragen zu blockieren. Es ist auch wichtig, regelmäßig Backups der Daten zu erstellen, um im Falle eines Angriffs schnell wiederherstellen zu können.

Präventiv ist es hilfreich, den Angreifern möglichst wenig Angriffsfläche im Internet zu präsentieren, sodass man nicht so leicht zum Ziel für die Angreifer wird. Öffentliche DNS-Einträge im „Vermittlungssystem des Internets“ können von jedermann ausgelesen werden und sind in vielen Fällen nicht notwendig, wenn es sich um privat betriebene Infrastruktur handelt. Systeme, die mit der Außenwelt in Kontakt stehen, sollten regelmäßig auf Sicherheitslücken überprüft werden und durch Updates auf dem aktuellen Stand gehalten werden.

Unternehmen sollten sich aber bewusst sein, dass es keine absolute Sicherheit gibt und dass sie im Falle eines Angriffs schnell handeln müssen, um den Schaden zu minimieren und das Vertrauen der Kunden und Geschäftspartner nicht zu gefährden.

Es ist auch wichtig, dass Unternehmen ihre IT-Infrastruktur regelmäßig überprüfen und aktualisieren, um Schwachstellen zu beheben und den Schutz gegen neue Angriffsvektoren zu verbessern. Eine gute Zusammenarbeit mit IT-Sicherheitsdienstleistern und eine regelmäßige Schulung der Mitarbeiter sind ebenfalls von entscheidender Bedeutung. Zusammenfassend lässt sich sagen, dass DDOS-Angriffe eine reale Bedrohung für Unternehmen und ihre Kunden darstellen, aber durch proaktive Maßnahmen und eine umfassende Sicherheitsstrategie minimiert werden können.

Fazit

DDOS-Angriffe können schwerwiegende Auswirkungen auf Unternehmen haben, von Ausfallzeiten und Verlusten bis hin zu rechtlichen Konsequenzen. Durch proaktive Maßnahmen und eine schnelle Reaktionsfähigkeit können Unternehmen ihre Chancen erhöhen, einen DDOS-Angriff zu überstehen und die Auswirkungen zu minimieren – dies sollte insbesondere in Betracht gezogen werden, wenn Online-Dienste erbracht werden, welche für den Unternehmenserfolg kritisch sind.

INFINCO bei den AssCompact Beratertagen Innsbruck, Graz und Wien!

 

INFINCO ist auch dieses Jahr wieder an folgenden Asscompact-Beratertagen für Sie vor Ort:

  • AssCompact Beratertag – INNSBRUCK/Mils
    Donnerstag, 13. April 2023, Hotel Reschenhof
  • AssCompact Beratertag – GRAZ
    Dienstag, 18. April 2023, NOVAPARK Flugzeughotel Graz
  • AssCompact Beratertag – WIEN/NÖ
    Mittwoch, 19. April 2023, VZ BRUNO – Brunn am Gebirge

Wir sind offizieller Partner des AssCompact Beratertags und mit einem Ausstellungsstand vertreten. Wir möchten Sie ganz herzlich einladen, uns dort zu besuchen und freuen uns auf interessante Gespräche mit Ihnen!

Zur Programmübersicht für alle Beratertage kommen Sie <<hier>>.

Die Anmeldung für Vermittler für alle Tage ist kostenfrei.

 

Eine Besonderheit dürfen Sie sich nicht entgehen lassen:

Unser Geschäftsführer Joe Kaltschmid wird in Mils den Beratertag mit dem ersten Vortrag zwischen 09:00 und 10:00 Uhr mit dem interessanten Thema

„Die passgenaue Absicherung von Financial Lines Risiken in KMU – Haftungsrisiken unter der Lupe!“

einleiten.

 

Sichern Sie sich eine Stunde IDD Modul 2 durch Ihre Teilnahme an dem Vortrag.

 

Prämieninkasso durch INFINCO für MARKEL Verträge

Liebe Partnermakler,

wir werden für MARKEL das Prämieninkasso beginnend mit der Hauptfälligkeit 01.04.2023 übernehmen. Für Ihre Kunden bedeutet dies bei einem erteilten Einziehungsauftrag eine kleine Umstellung. Einige von Ihnen haben bereits die ersten aktualisierten SEPA-Mandate für Ihre Kunden erhalten. Die Umstellung der weiteren Verträge erfolgt dann über im Laufe des kommenden Jahres – jeweils zur Hauptfälligkeit des Vertrages. Die vorbereiteten SEPA-Mandate für Bestandsverträge erhalten Sie von uns zeitgerecht. Bei entsprechender vorliegender Vollmacht können Sie uns die SEPA-Mandate natürlich in Vollmacht gezeichnet retournieren.

Im Zusammenhang mit dem INFINCO-Calculator wurden die notwendigen Änderungen ebenfalls bereits eingeführt – die Deckungsvorschläge der folgenden Sparten wurden aktualisiert und enthalten nun das aktuelle SEPA-Mandat:

  • Cyber Dienstleister
  • Cyber Vermittler
  • Vermögensschadenhaftpflicht Medienagenturen
  • Vermögensschadenhaftpflicht IT- und Telekommunikationsunternehmen

Falls noch alte Deckungsvorschläge mit den nun nicht mehr aktuellen SEPA-Mandaten bei Kunden liegen, können Sie diese selbstverständlich neu erstellen, dann wird der Deckungsvorschlag mit dem richtigen SEPA-Mandat erzeugt. Sollten wir Deckungsvorschläge oder Antragsmodelle zur Policierung erhalten, welche noch ein MARKEL-SEPA-Mandat enthalten, kommen wir natürlich auf Sie zu.

Sie haben noch keinen Zugang zum INFINCO-Calculator? – dann melden Sie sich >>hier<< gleich an.

Unsere Cyber-Antragsmodell für Dienstleistungsunternehmen wurde analog dazu ebenfalls überarbeitet und das SEPA-Mandat aktualisiert – wir bitten Sie zukünftig nur noch die aktualisierte Version zu verwenden, welches Sie hier zum Download finden:

Antragsmodell Cyber 2023

Durch die Umstellung auf eigenes Prämieninkasso können wir Sie zukünftig schneller über den Status der Zahlungen Ihrer Kunden informieren.

Auswirkungen einer erfolgreichen Cyber-Attacke auf Unternehmen und Management

In den Medien wird täglich über die Auswirkungen von Cyberattacken auf Unternehmen und das Management berichtet. In den meisten Fällen denkt man an die unmittelbaren Folgen eines Ausfalls der IT-Systeme und der damit einhergehenden Betriebsunterbrechung. Es sind im Rahmen einer Cyber-Attacke allerdings mehrere Aspekte zu bedenken und diese gehen über die unmittelbaren Folgen für das Unternehmen hinaus. Auch muss gar nicht immer ein tatsächlicher Cyber-Angriff vorliegen, wenn von einem Cyber-Vorfall gesprochen wird.

Die Fälle, die in Österreich in den letzten Wochen medial aufgearbeitet wurden, haben bereits ein recht breites Spektrum:

Welch schwerwiegende Folgen ein Cyberangriff auf ein Unternehmen haben kann, zeigt auch die Insolvenz des Fahrradherstellers Prophete Ende 2022. Dem bereits angeschlagenen Unternehmen wurde durch den Cyber-Angriff der Todesstoß versetzt und im Rahmen der Insolvenz lt. Medienberichten an einen Investor verkauft.

In der jüngsten Vergangenheit hat sich gezeigt, dass die Effektivität der Cyberangriffe zunehmend steigt – die Hacker haben sich professionalisiert und durch Arbeitsteilung, Spezialisierung und fertige Hacking-Tools führen die Angriffe häufiger und schneller zum Ziel.

Von welchen Cyber-Vorfällen sind Unternehmen betroffen?

Die häufigsten Cybervorfälle lassen sich in die folgenden Kategorien einordnen, wobei es Vorfälle gibt, welche durchwegs in mehrere Kategorien fallen:

Im Rahmen von weiteren Artikeln werden wir in den nächsten Wochen auf die Folgen der einzelnen Vorfälle detailliert eingehen, wobei wir das Thema der Data Breaches bereits detailliert aufgearbeitet haben.

Auch gibt es weitere Cybervorfälle, von denen Unternehmen und Privatpersonen betroffen sein können, wie Cyber-Spionage, oder Adware – auch der Bedien- und Programmierfehler bzw. auch ein Hardware-, Software- oder Netzwerkfehler können lt. aktuellen Versicherungsbedingungen als Cyber-Vorfall gesehen werden.

Die Folgen für das Unternehmen können je nach Ereignis vielfältig sein:

  • Eine Betriebsunterbrechung, da kein Zugriff mehr auf die Systeme besteht
  • DSGVO-Verstöße
  • Melde- und Benachrichtigungsverpflichtungen
  • Reputationsschäden
  • Kommunikationsausfall
  • Schadenersatzforderungen
  • usw.

Nicht nur das Unternehmen befindet sich nach einem schwerwiegenden Cybervorfall in einer Ausnahmesituation, sondern natürlich auch die betroffenen Personen, darunter auch das Management. Auch auf dieser Ebene möchten wir die Auswirkungen beleuchten und die Folgen abschätzen, die ebenso vielfältig wie auf Unternehmensebene sein können.

Auswirkungen auf das Management

Auf Managementebene müssen im Falle eines Cybervorfalls zahlreiche Entscheidungen getroffen werden und das Management wird sich auch die Frage stellen, ob es ausreichend auf einen Cyber-Vorfall vorbereitet ist und es alle notwendigen und gebotenen Schritte unternommen hat, um die Auswirkungen Vorfalls so gering wie möglich zu halten. Insofern hier Verfehlungen erkennbar sind, wird sich auch die Frage nach etwaigen rechtlichen Konsequenzen stellen – sei es zivilrechtlich oder (verwaltungs-)strafrechtlich.

Durch das Management gesetzte Maßnahmen können Einfluss auf die Schadenseintrittswahrscheinlichkeit und auf die Schadenshöhe haben – die folgende Übersicht soll verdeutlichen, wo die jeweiligen Maßnahmen schwerpunktmäßig ansetzen:

Maßnahmen zur Verringerung der Eintrittswahrscheinlichkeit vs. Schadenshöhe

Maßnahmen zur Verringerung der Eintrittswahrscheinlichkeit bzw. Schadenshöhe eines Cybervorfalls

Man muss beachten, dass die obigen Maßnahmen hier nicht schwarz/weiß zu sehen sind, es kann durchaus sein, dass eine Netzwerksegmentierung einen Cybervorfall verhindert, wenn die Angreifer in den unkritischen Systemen keine lohnenden Ziele finden. Auch ist es durchaus üblich, dass im Zuge des Abschlusses einer Cyberversicherung Sicherheitslücken oder organisatorische Schwachstellen aufgedeckt wurden, welche in weiterer Folge einen Cyber-Vorfall verhindern.

Neue Regelungen für Cybersicherheit

Dass Cyber-Vorfälle schwere Schäden verursachen und auch volkswirtschaftlich durchaus relevant sind, ist auch an den Behörden nicht vorbeigegangen. Daher wurde auch kürzlich die Cybersicherheitsrichtline NIS 2 durch die Europäische Union in Kraft gesetzt und muss daher bis Oktober 2024 von den Nationalstaaten umgesetzt werden. Sie enthält die gesetzlichen Vorgaben für Sicherheitsmaßnahmen und Meldepflichten für wesentliche bzw. wichtige Einrichtungen.

Direkt betroffen werden von dieser Richtlinie in Österreich nach aktuellen Schätzungen ca. 3.500 Betriebe sein. Die Maßnahmen, welche von den Unternehmen gefordert werden, sind durchaus umfangreich:

  • Risikoanalyse- und Informationssicherheitskonzepte
  • Maßnahmenpläne präventiv und im Krisenfall
  • Konzepte für Zugriffskontrollen / Verpflichtung Multi-Faktor-Authentifizierung
  • Cyberhygiene
  • Zero-Trust-Prinzip
  • Software-Updates
  • Netzwerksegmentierung
  • Identitäts- und Zugriffsmanagement
  • Sensibilisierung der Nutzer:innen
  • Schulungen für Mitarbeiter:innen

Aufgrund der enthaltenen Vorschriften zur Cyber-Hygiene (auch in Bezug auf Lieferketten) ist allerdings davon auszugehen, dass weitaus mehr Betriebe die Auswirkungen der Richtlinie zu spüren bekommen.

Erstmalig enthalten sind in der Richtlinie auch definierte Aufsichts- und Durchsetzungsmaßnahmen, welche laufende Kontrollen ohne Anlassfall umfassen und eine explizite Verantwortung der Unternehmensleitung bei der Umsetzung der Maßnahmen definieren. Nicht zuletzt wird auch die Sanktionierung von Verstößen deutlich verschärft – der Strafrahmen erinnert hier in seiner Ausgestaltung an die Strafen lt. DSGVO und geht bis zu EUR 10 Mio. bzw. 2% des weltweiten Umsatzes.

Fazit

Die Auswirkungen eines Cybervorfalls sind vielfältig und müssen differenziert betrachtet werden. Je nach Betriebsart müssen Maßnahmen getroffen werden, welche auf die vordergründigen Risiken des Unternehmens abgestimmt sind. Die Personen im Management sind in der Verantwortung, diese Risiken zu identifizieren und die geeigneten Maßnahmen einzuleiten. Die aktuellen Erfahrungen zeigen, dass alle Unternehmen von den aktuellen Entwicklungen betroffen sein können, da die Digitalisierung inzwischen auch in den traditionellsten Branchen Fuß fasst und die Unternehmen damit angreifbar macht.

Data Breach – Meldeverpflichtungen und Konsequenzen

Oft liest man im Zusammenhang mit Cybervorfällen von einem Data Breach – was ist jedoch damit gemeint und was sind die Folgen für das Unternehmen bzw. das Management, wenn es zu einem solchen kommt? In diesem Artikel möchten wir dieses Thema etwas näher beleuchten.

Data Breach – Definition

Ein Data Breach (Datenpanne) tritt auf, wenn unautorisierte Personen auf sensible, vertrauliche oder geschützte Daten zugreifen, diese kopieren, stehlen oder die Daten anderweitig offengelegt werden. Ein Data Breach kann auf verschiedene Weise erfolgen, z.B. durch den Diebstahl von Geräten, die Malware-Infektion von Systemen, Phishing-Angriffe, Schwachstellen in der IT-Infrastruktur oder auch schlicht und einfach menschliches Versagen.

Data Breach – Die Folgen

Data Breaches können erhebliche Auswirkungen auf Unternehmen und Einzelpersonen haben, da sie dazu führen können, dass vertrauliche Informationen, wie personenbezogene Daten, geistiges Eigentum oder Geschäftsgeheimnisse, in die falschen Hände fallen.

1. Verlust von Vertrauen: Wenn ein Unternehmen Opfer eines Data Breach wird, kann dies das Vertrauen seiner Kunden und Partner beeinträchtigen. Viele Menschen sind zu Recht besorgt über den Schutz ihrer persönlichen Daten, und ein Data Breach kann dazu führen, dass sie das Vertrauen in das betroffene Unternehmen verlieren.

2. Rufschädigung: Ein Data Breach kann auch zu einer Rufschädigung des betroffenen Unternehmens führen. Wenn die Medien Wind von dem Vorfall bekommen, was aufgrund der umfassenden Melde- und Benachrichtigungspflichten meist der Fall sein wird, kann dies zu einer negativen Berichterstattung führen, die das Image des Unternehmens nachhaltig beeinträchtigen kann.

3. Finanzielle Schäden: Ein Data Breach kann auch erhebliche finanzielle Schäden verursachen. Das Unternehmen kann mit hohen Kosten für die Behebung des Vorfalls, wie z.B. das Engagement von IT-Sicherheitsexperten, die Aufrüstung der IT-Infrastruktur und die Durchführung von Ermittlungen und Rechtsstreitigkeiten, konfrontiert sein. Darüber hinaus können Bußgelder, Strafen und Schadenersatzforderungen von Betroffenen oder Behörden entstehen.

4. Identitätsdiebstahl: Wenn personenbezogene Daten gestohlen werden, können Kriminelle diese nutzen, um Identitätsdiebstahl zu begehen. Die entsprechenden Folgen können für die betroffenen Personen im besten Fall lästig sein, aber auch teils erhebliche finanzielle und persönliche Schäden verursachen. Lässt sich der Schaden dem Data Breach zuordnen, können entsprechende Schadenersatzforderungen an das Unternehmen gestellt werden.

Melde- und Benachrichtigungspflichten

Data Breaches stehen sehr oft im Zusammenhang mit personenbezogenen Daten, auch aus dem Grund, da der Gesetzgeber diese Daten als besonders schützenswert erachtet. Die DSGVO sieht die Verpflichtung der oder des Verantwortlichen zur Meldung von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde (in Österreich ist dies die Datenschutzbehörde) vor (Artikel 33).

Die Meldung einer Datenschutzverletzung an die Aufsichtsbehörde muss unverzüglich und möglichst binnen 72 Stunden erfolgen, nachdem dem Verantwortlichen diese Verletzung bekannt wurde. Erfolgt die Meldung erst nach Ablauf von 72 Stunden, so ist diese Verzögerung zu begründen.

Eine Meldung ist jedenfalls zu erstatten, wenn die Verletzung des Schutzes personenbezogener Daten voraussichtlich zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt.

Die Folgenabschätzung hat durch den Verantwortlichen zu erfolgen und birgt, wenn auch ein Haftungsrisiko.

Eine Mustermeldung gem. Art 33 DSGVO kann von der Datenschutzbehörde bezogen werden.

Eine Benachrichtigung an die betroffenen Personen hat zu erfolgen, wenn die Verletzung des Schutzes personenbezogener Daten voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen zur Folge hat.

Es gibt jedoch auch Ausnahmen von der Verpflichtung zur Benachrichtigung – so kann die Benachrichtigung unterbleiben, wenn:

  • der Verantwortliche geeignete technische und organisatorische Sicherheitsvorkehrungen getroffen hat und diese Vorkehrungen auf die von der Verletzung betroffenen personenbezogenen Daten angewandt wurden, insbesondere solche, durch die die personenbezogenen Daten für alle Personen, die nicht zum Zugang zu den personenbezogenen Daten befugt sind, unzugänglich gemacht werden, etwa durch Verschlüsselung (wenn beispielsweise eine Kundendatenbank nur verschlüsselt in falsche Hände gekommen ist)
  • der Verantwortliche durch nachfolgende Maßnahmen sichergestellt hat, dass das hohe Risiko für die Rechte und Freiheiten der betroffenen Personen gemäß Absatz 1 aller Wahrscheinlichkeit nach nicht mehr besteht (wenn die öffentliche Zugangsmöglichkeit beispielsweise temporär bestanden hat, dies behoben wurde und durch Zugriffsprotokolle nachgewiesen werden kann, dass keine missbräuchliche Verwendung stattgefunden hat)
  • dies mit einem unverhältnismäßigen Aufwand verbunden wäre. In diesem Fall hat stattdessen eine öffentliche Bekanntmachung oder eine ähnliche Maßnahme zu erfolgen, durch die die betroffenen Personen vergleichbar wirksam informiert werden (hierauf dürfte sich mutmaßlich die GIS im Zusammenhang mit dem Datenleck berufen).

Mögliche Schäden für ein Unternehmen durch einen Data Breach

Die konkreten Folgen für ein Unternehmen können vielfältig sein. Unmittelbare Kosten durch die Datenpanne können folgendermaßen entstehen:

  • Beratung durch Rechtsbeistand
  • Benachrichtigung der betroffenen Kunden und Personen
  • Schadensersatzforderungen durch betroffene Personen
  • Kosten für die forensischen Untersuchungen des Data Breaches

Es gibt jedoch auch langfristige Probleme, die durch einen Data Breach entstehen können:

  • Kunden bzw. Lieferanten kündigen ihre Zusammenarbeit – Verlust von Aufträgen
  • Erhöhung der Prämie oder Verlust des Versicherungsschutzes der Cyber-Versicherung
  • langfristige Imageschäden

Es ist durchaus möglich, dass ein Data Breach ein Unternehmen bis hin zur Insolvenz begleitet, wenn im Vorfeld die falschen Entscheidungen getroffen werden. Aufgrund der recht jungen Rechtsmaterie gibt es noch kaum tragfähige höchstgerichtliche Entscheidungen dazu. Einschlägige Vergleiche von Unternehmen mit Betroffenen lassen aber vermuten, dass man Ansprüche aufgrund DSGVO-Verletzungen nicht auf die leichte Schulter nehmen darf, insbesondere, wenn sich Betroffene in Sammelklagen zusammenschließen – die Gleichartigkeit der Ansprüche im Falle eines Data Breach erleichtert diese Vorgehensweise und minimiert für die einzelnen Betroffenen das Kostenrisiko.

Entscheidungen durch die Unternehmensleitung

Für die Unternehmensleitung stehen im Falle eines Data Breach schwerwiegende Entscheidungen an – vorab muss festgestellt werden, welchen Umfang der Data Breach hat. Dies klingt trivial, ist jedoch meist nicht so einfach festzustellen und erfordert oft die Hinzuziehung von forensischen Experten. Im Zuge der Analyse wird dann festgestellt, welche Daten wie lange zugänglich waren und ob bzw. wie viele Zugriffe darauf stattgefunden haben.

In weiterer Folge muss durch das Management eine Folgenabschätzung getroffen werden, um daraus etwaige Melde- und Benachrichtigungspflichten ableiten zu können.

Ist der Fall bereits über die Medien publik geworden, muss man auch entscheiden, wie medial damit umgegangen wird und welche Maßnahmen getroffen werden können, um die Folgen dadurch möglichst gering zu halten.

Es sind hier viele Entscheidungen zu treffen, welche den unternehmerischen Erfolg zukünftig beeinflussen werden.

 

Cybersicherheit & Datenschutz gehen Hand in Hand

Cybersicherheit und Datenschutz sind eng miteinander verwoben, und jedes Unternehmen, das in einer digitalen Umgebung tätig ist, muss sich beider Aspekte bewusst sein, wenn es das Risiko einer Datenschutzverletzung verringern will und Cyberangriffe erfolgreich abgewehrt werden sollen. Fast alle Unternehmen sind zwischenzeitlich davon betroffen, da sich kaum ein Unternehmen diesen Trends entziehen kann.

Hier erfahren Sie, warum Cybersicherheit und Datenschutz Hand in Hand gehen müssen, um Ihr Unternehmen vor den Folgen einer Datenschutzverletzung zu schützen:

Warum Cybersicherheit und Datenschutz eng miteinander verknüpft sind

Der Datenschutz stützt sich in hohem Maße auf gute Cybersicherheitspraktiken, um sicherzustellen, dass personenbezogene Daten vor böswilligen Akteuren geschützt sind. Um Ihre Daten richtig zu schützen, benötigen Sie sichere Systeme, die Angriffsversuche vereiteln und unbefugten Zugriff verhindern können. An dieser Stelle kommt die Cybersicherheit ins Spiel – ein wirksames Cybersicherheitssystem erleichtert durch technische und organisatorische Maßnahmen die Abwehr von Cyberangriffen und den Schutz von sensiblen Informationen des Unternehmens. Um dieses Ziel zu erreichen, werden Techniken wie Firewalls, Antivirensoftware, Multifaktorauthentifizierung, Awareness-Schulungen u.v.m. eingesetzt.

Die Bedeutung einer guten Cyber-Hygiene

Zu einer guten Cyber-Hygiene gehört die Umsetzung von Maßnahmen wie die regelmäßige Änderung von Passwörtern, die Sicherstellung, dass alle Computer und Systeme mit den neuesten Sicherheitsupdates gepatcht sind, die Verwendung der Multi-Faktor-Authentifizierung (MFA), die Aktualisierung des Virenschutzes und noch vieles mehr. Eine gute Cyber-Hygiene hilft Unternehmen, ihre Anfälligkeit gegenüber böswilligen Akteuren zu verringern, die ausgeklügelte Tools verwenden, um in Netzwerke einzudringen und wertvolle Daten aus ihnen zu extrahieren.

Insbesondere die Abwehr von Ransomware-Angriffen, über die tagtäglich in den Medien berichtet wird, spielt hier eine große Rolle. Durch diese Angriffe werden die Daten auf den eigenen Systemen verschlüsselt und sind somit für die Nutzer nicht mehr zugänglich. Allein diese mangelnde Verfügbarkeit der Daten stellt schon eine Datenschutzverletzung gem. der DSGVO dar, da diese auf Dauer sicherzustellen ist. Falls durch den Ransomware-Angriff Daten ausgespäht oder entwendet werden, ist nicht nur die Verfügbarkeit der Unternehmensdaten in Gefahr, sondern auch deren Vertraulichkeit.

Um all diese Maßnahmen in den Unternehmen umsetzen zu können, ist spezialisiertes Personal unabdingbar oder man bedient sich für diese Aufgabe eines externen Dienstleisters, dem man vertraut und der die entsprechenden Voraussetzungen mitbringt. Beim Outsourcing der Umsetzung dieser Maßnahmen darf allerdings nicht übersehen werden, dass externe Dienstleister sich zwar sehr gut um die technische Seite kümmern können, organisatorische Maßnahmen jedoch im eigenen Unternehmen hier weitgehend unberücksichtigt bleiben.

Maßnahmen zur Verbesserung der Informationssicherheit

Unternehmen haben eine große Anzahl an Themen im Zusammenhang mit Informationssicherheit zu bewältigen, welche sich grob in technische und organisatorische Maßnahmen unterteilen lassen. Die konkrete Umsetzung von Maßnahmen erfordert jedoch in den meisten Fällen eine Anpassung von technischen Parametern und auch eine Verhaltensänderung der Personen innerhalb des Unternehmens.  Das macht die Umsetzung oft mühsam und langwierig – nur die wenigsten Maßnahmen lassen sich automatisiert per Mausklick umsetzen.

Elemente Cybersicherheit & Datenschutz

Elemente Cybersicherheit & Datenschutz

In der Folge nennen wir einige Maßnahmen, welche zu den Basisaufgaben jedes Unternehmens gehören sollten und jedenfalls umzusetzen sind:

Verschlüsselung von Daten

Die Datenverschlüsselung ist eine der wichtigsten Sicherheitstechniken, wenn es um den Schutz vertraulicher Informationen geht. Mit ihr kann sichergestellt werden, dass Dokumente nicht leicht zugänglich sind, wenn sie auf Festplatten gespeichert oder per E-Mail oder über das Netzwerk verschickt werden. Bei der Verschlüsselung wird lesbarer Text in einen unlesbaren Code umgewandelt, der nur mit einem dem Absender und dem Empfänger bekannten Schlüssel entschlüsselt werden kann. Dies klingt  zuerst kaum handhabbar, ist aber in den meisten Fällen innerhalb des Unternehmens durch Automatisierung gut in den Arbeitsalltag zu integrieren.

Anti-Viren-Schutz

Es gibt eine Vielzahl an Möglichkeiten, wie eine Schadsoftware auf Systeme gelangen kann: Der Besuch einer präparierten Website, der Download einer infizierten Datei, das Anstecken eines unbekannten USB-Sticks oder auch per EMail sind nur ein paar der Methoden, wie sog. Malware verbreitet werden kann.  Daher ist ein entsprechender Schutz vor solcher Software unumgänglich. Glücklicherweise bringen die großen Hersteller von Betriebssystemen bereits durchwegs brauchbare Lösungen und Werkzeuge mit, damit man die Systeme absichern kann. Natürlich gibt es auch deutlich fortschrittlichere (und kostenintensivere) Lösungen, um die Gefahren durch Schadsoftware noch effektiver eindämmen. Doch auch diese Systeme sind nicht unfehlbar, daher ist in diesem Zusammenhang immer auch die Awareness der Anwender zu schärfen, damit der aktive Schutz durch die Anti-Viren-Software erst gar nicht eingreifen muss.

Firewalls einrichten

Firewalls fungieren als Barriere zwischen Netzwerken und bieten zusätzlichen Schutz vor bösartigen Aktivitäten wie Viren, Trojanern und Hackern, die versuchen, sich aus der Ferne Zugang zu verschaffen. Firewalls blockieren ein- und ausgehende Datenpakete, wenn sie verdächtige Inhalte enthalten. So wird verhindert, dass ein bösartiger Angriff schädlichen Code in das System einschleust und Dateien beschädigt. Auch von diesen Systemen bekommen die Nutzer meist wenig mit, da Firewalls ihre Aufgabe still und heimlich im Hintergrund verrichten und nur bei Verdachtsfällen sichtbar „einschreiten“.

Beschränkung des Zugangs zu sensiblen Daten

Unternehmen sollten den Zugang zu sensiblen Dateien nur auf diejenigen beschränken, die ihn für ihre Aufgaben benötigen – so lassen sich potenzielle Risiken minimieren, die damit verbunden sind, dass Personen zu viel Kontrolle über wichtige Unternehmensdaten haben. Die Einrichtung verschiedener Berechtigungsstufen ermöglicht es den Benutzern, auf die erforderlichen Informationen zuzugreifen, schränkt aber gleichzeitig die Möglichkeit ein, diese ohne Genehmigung zu ändern oder zu löschen. Das senkt einerseits die Risiken einer Fehlbedienung der Computersysteme, aber schützt auch vor Datenmissbrauch durch eigene MitarbeiterInnen. Auch im Falle einer Infektion eines einzelnen Systems mit Schadsoftware besteht hier die Möglichkeit, dass dies nur eingeschränkte Auswirkungen hat, wenn es dem Angreifer nicht gelingt, die fehlenden Berechtigungen anderweitig zu umgehen.

Durchsetzung von Sicherheitsrichtlinien und -verfahren

Unternehmen sollten Richtlinien und Verfahren einführen, damit die MitarbeiterInnen wissen, was von ihnen erwartet wird, wenn sie mit sensiblen Informationen wie Passwörtern und persönlichen Daten von Kunden umgehen. Mit einer klaren Führung durch die Geschäftsleitung ist es wahrscheinlicher, dass sich jeder im Unternehmen seiner Verantwortung für die Cybersicherheitsmaßnahmen bewusst ist und potenzielle Bedrohungen erkennt, die sich gegen sein System richten könnten. Die Einführung entsprechender Richtlinien erfordert Disziplin auf allen Ebenen, da Veränderungen im Umgang mit den IT-Systemen meist schlecht angenommen werden, insbesondere wenn zuvor nicht das Bewusstsein der MitarbeiterInnen gefördert wurde. Auch die IT-Abteilungen sind hier oftmals sehr zögerlich, da die  Umsetzung entsprechender Maßnahmen einen erheblichen Mehraufwand (Planung, Umsetzung, Dokumentation, Support) bei der ohnehin knapp bemessenen Arbeitszeit bedeuten. Daher ist es dringend notwendig, dass dieses Thema im Management der Unternehmen Platz findet und von dort gesteuert wird.

Fazit

Zusammenfassend lässt sich sagen, dass gute Cybersicherheits- und Datenschutzpraktiken für jedes Unternehmen, das online tätig ist, immer Hand in Hand gehen sollten – es ergibt keinen Sinn, die privaten Informationen von Kunden zu schützen, wenn über ein unsicheres System oder eine unsichere Anwendung darauf zugegriffen wird. Die Entwicklung eines Ansatzes, der beide Strategien umfasst, trägt nicht nur zum Schutz der Privatsphäre der Kunden bei, sondern gibt auch die Gewissheit, dass persönlichen Daten mit Sensibilität und Sorgfalt behandelt werden.

Darüber hinaus schützt die entsprechende Sorgfalt auch vor Ansprüchen Dritter, vor Strafen durch Verwaltungsbehörden und nicht zuletzt vor massiven Betriebsbeeinträchtigungen.

Sollte es trotz aller Sorgfalt zum Datenleck kommen und der Datenschutz verletzt worden sein, kann eine Cyberversicherung Schutz vor den finanziellen Folgen einer Datenschutzverletzung bieten.

Einwände gegen eine Cyber-Versicherung – Teil 2

Im letzten Monat ging es darum, inwiefern es sinnvoll ist, die Entscheidung, ob eine Cyberversicherung abgeschlossen werden soll, mit den IT-Verantwortlichen abgestimmt werden soll oder nicht. Aus technischer Sicht ist aber die Abstimmung mit der IT-Abteilung oder dem eigenen IT-Dienstleister meist unumgänglich und dann kann es durchaus passieren, dass man als Vermittler mit Einwänden konfrontiert wird.

Wir werden uns in diesem Artikel die häufigsten Einwände ansehen und ihre Berechtigung diskutieren. Bei einzelnen Einwänden werden wir aber auch mögliche andere Motive beleuchten, die dafür verantwortlich sein können, dass der Abschluss einer Cyberversicherung kritisch betrachtet wird:

Hohe Prämie einer Cyberversicherung

Wie auch jede andere Versicherung kostet eine Cyber-Versicherung Prämie. Dass der Versicherungsbeitrag im Bereich der Cyberversicherung für exponierte Risiken auch durchaus hoch sein kann, ist kein Geheimnis. Dem gegenüber steht allerdings auch das hohe Risiko, von einem Cyber-Angriff oder einer Datenschutzverletzung betroffen zu sein. Die hohe Anzahl an Cybervorfällen hat die Versicherer in den letzten Jahren dazu gezwungen, die Prämien anzupassen. Auch die durchschnittliche Schadenshöhe hat natürlich einen Einfluss auf die Prämienhöhe. Die Kosten für einen Cybervorfall, auch wenn dieser glimpflich ausgefallen ist, summieren sich schnell auf 5-stellige Beträge – insofern ist die Prämienhöhe immer im Verhältnis zur Schadenswahrscheinlichkeit und der Schadenshöhe zu sehen.

Fehlende Deckungen für bestimmte Risiken

Cyber-Versicherungen sind im Vergleich zu anderen Versicherungssparten ein sehr junges Absicherungsinstrument. Ein Standard für Cyberversicherungen ist am Markt noch nicht zu sehen. Musterbedingungen für Cyberversicherungen sind ebenfalls erst seit wenigen Jahren verfügbar, werden aber von den Produktanbietern zurzeit kaum berücksichtigt. Aufgrund der vielen unterschiedlichen Deckungsbausteine, die im Rahmen einer Cyberversicherung gebündelt werden, sind Ausschlüsse unumgänglich – insbesondere um die Abgrenzung zu anderen Sparten herzustellen.

Diese teils unübersichtliche Situation führt dazu, dass man für den Abschluss von Cyberversicherungen auf spezialisierte Vermittler zurückgreifen sollte, welche einen Überblick über den Markt bieten können.

Lange Bearbeitungszeit von Schadensfällen

Schadensfälle in der Cyberversicherung ziehen sich meist über mehrere Wochen, während anfänglich immer die Wiederherstellung eines Notbetriebs im Vordergrund steht. Nachdem der Betrieb wieder aufgenommen wurde, wird meist nach Prioritäten in der Wiederherstellung vorgegangen und die Systeme nach und nach wieder aufgesetzt. Dies erfordert bei komplexen Systemen oft eine Vielzahl an externen Dienstleistern. Auch die Erstellung der Schadensdokumentation benötigt Zeit, damit die Kosten dem Versicherungsunternehmen zur Prüfung vorgelegt werden können. Für die Bearbeitung von Betriebsunterbrechungsschäden ist darüber hinaus die gesamte Haftzeit zu berücksichtigen, damit auch Wiederaufholeffekte berücksichtigt werden können.

Ablehnungen aufgrund der Verletzung vorvertraglicher Anzeigepflichten

Anbieter von Cyberversicherungen stellen Anforderungen an die Versicherungsnehmer hinsichtlich der IT-Standards – sei es durch einen Risikofragebogen und/oder technische Obliegenheiten in den Versicherungsbedingungen. Wenn diese Anforderungen vom Versicherungsnehmer nicht eingehalten werden, wird es im Zuge der Schadensabwicklung zu Problemen kommen. Daher ist eine gewissenhafte Beantwortung der Risikofragebögen notwendig und auch die Aufrechterhaltung der Sicherheitsmaßnahmen während der Vertragslaufzeit.

Obliegenheiten und Risikofragebögen sind auch in anderen Versicherungssparten durchaus üblich – und sind hier teilweise an die Einhaltung von Normen geknüpft. Wir sind der Meinung, dass sich dies auch in der Sparte Cyber in diese Richtung entwickeln wird und sich somit der Prozess für die Risikoprüfung wieder verkürzen wird. Dazu wird es notwendig sein, Standards für Cybersicherheit zu erarbeiten, welche objektiv geprüft werden können – was durchaus keine triviale Aufgabe ist.

Niedrige Haftungsgrenzen für einzelne Bausteine

Versicherer versuchen Ihre Leistungspflichten durch Haftungsgrenzen für einzelne Bausteine zu begrenzen. Dass diese Haftungsgrenzen für Bereiche eingezogen werden, welche die Versicherungsunternehmen als besonders kritisch erachten, ist nicht weiter überraschend. Auch hier sind allerdings noch keine Branchenstandards zu erkennen, daher ist ein gewissenhafter Vergleich über mehrere Anbieter notwendig.

Haftungsgrenzen im Bereich der Cyber-Haftpflichtversicherung sind jedenfalls als kritisch zu erachten, da die Schadenssummen schwer abschätzbar sind. Auch geringe Sublimits für die Bezahlung von Erpressungsgeldern oder auch der gänzliche Ausschluss dieser sind genau zu betrachten, da man auf diese Forderungen als Versicherungsnehmer nur geringen Einfluss hat. Im Bereich der Haftpflichtversicherung hat es sich bewährt, insbesondere die Art und den Umfang der im Unternehmen verwalteten personenbezogenen Daten zu bewerten, um für den Fall eines Data Breaches eine ausreichende Versicherungssumme zur Verfügung zu haben. Eigene Kosten im Falle eines Cybervorfalles wie beispielsweise Wiederherstellungskosten lassen sich hingegen unternehmensintern für verschiedene Szenarien mit einem kompetenten IT-Dienstleister gut abschätzen. Bei der notwendigen Versicherungssumme für die Cyber-Betriebsunterbrechung kann man sich an den üblichen Bemessungsgrundlagen für die die Sach-BU orientieren, wobei man berücksichtigen muss, dass ein Cyber-Vorfall tendenziell eine kürzere Betriebsunterbrechung verursacht, welche allerdings oft das gesamte Unternehmen betrifft und nicht wie in der Sach-BU nur einen Standort. Je nach Branche sind auch mögliche Wiederaufholeffekte zu berücksichtigen.

Ständig neue Anforderungen

Im Rahmen der Cyberversicherung ist es durchaus üblich, dass sich die Anforderungen für die Beibehaltung des Versicherungsschutzes im Laufe der Zeit ändern. Dies ist dem starken Anstieg und der Professionalisierung der Cybervorfälle in den letzten Jahren geschuldet. Sicherheitsmaßnahmen, welche vor wenigen Jahren noch als „Stand der Technik“ bezeichnet werden konnten, sind heutzutage in vielen Fällen für die Angreifer kein großes Hindernis mehr. Daher wird von den Versicherungsunternehmen auch eine Weiterentwicklung der Schutzmaßnahmen eingefordert, um den Versicherungsschutz aufrechtzuerhalten.

In Bezug auf IT-Sicherheitsmaßnahmen bedeutet Stillstand einen stetigen Rückgang der eigenen Cybersicherheit. Dies haben auch die Versicherer erkannt und treffen diesbezüglich Maßnahmen, welche nicht nur das Neugeschäft betreffen. Auch im Bestandsgeschäft sehen die Versicherer die Notwendigkeit sicherzustellen, dass die Versicherten ihre Sicherheitsvorkehrungen aktuell halten. Die Stand-der-Technik-Klauseln, welche in vielen früheren Bedingungswerken enthalten waren und noch sind – und auch Anlass zu Kritik gegeben haben –  waren im Schadensfall hier wohl nicht ausreichend.

Es kann durchaus vorkommen, dass Anforderungen der Cyberversicherung die IT-Abteilung unter Druck setzen und die Verschiebung von Prioritäten erfordert, insbesondere wenn der Versicherungsschutz dadurch in Gefahr ist. Da die IT-Abteilungen meist projektbezogen am Anschlag und damit sehr unter Druck stehen, kann es durchaus sein, dass man hier auf etwas Gegenwehr stößt. Hier kann eine Geschäftsleitungen, die die Prioritäten unterstützt, durchaus hilfreich sein.

Fazit

Da sich der Markt hinsichtlich der Schadens- und Risikosituation in den letzten Jahren sehr zu Ungunsten der Versicherer entwickelt hat, ist es aktuell nicht überraschend, dass die Versicherungsunternehmen hier auf verschiedenen Ebenen gegensteuern müssen. Erschwerend dazu kommt, dass die Wettbewerbssituation durchaus ebenfalls gegeben ist und daher eine starke Erhöhung der Prämien auch nicht immer infragekommt. Wir sehen es daher aktuell als unsere Aufgabe, dass wir für den Versicherungsnehmer –  trotz dieser erschwerten Marktbedingungen – immer noch einen sehr umfassenden Versicherungsschutz bei verlässlichen Partnern zu einer akzeptablen Prämie zur Verfügung stellen können.

Antragsmodell INFINCO Markel Pro Cyber 2023

Liebe Partnerbroker!

In unserem Cyber-Spotlight vom Januar haben wir Sie bereits darauf hingewiesen, dass aufgrund der Dynamik im Segment Cyberversicherung Änderungen auf uns zukommen.

Deshalb war es notwendig, unser Cyber-Antragsmodell INFINCO Markel Pro Cyber prämienmäßig geringfügig anzupassen – die entsprechenden Änderungen wurden auch bereits im INFINCO Calculator Cyber Dienstleister bereits vorgenommen.

Sie haben noch keinen Zugang zum INFINCO Calculator? Dann melden Sie sich gleich hier an!

Wir bitten Sie deshalb ab sofort nur noch das aktuelle Antragsmodell, welches Sie unter dem untenstehenden Link herunterladen können, zu verwenden:

Bitte verwenden Sie im interaktiven Antragsmodell den Acrobat Reader zur Anzeige und Berechnung – die fehlerfreie Funktion in anderen PDF-Programmen kann leider nicht gewährleistet werden.

Sehr positiv zu vermerken ist, dass Ihnen weiterhin alle Klauseln unseres sehr breit gefächerten Besonderen Bedingungswerkes INFINCO MARKEL PRO CYBER uneingeschränkt zur Verfügung stehen und Sie haben nach wie vor mit 7 Risikofragen die Möglichkeit, Ihre Kunden schnell und unkompliziert abzusichern:

• Mitversicherung von Vertrauensschäden (Social Engineering)
• Umfangreiche Berufsbilddeckungen
• Mitversicherung von Cloud-Dienstleistern
• nach wie vor ein erstklassiges Preis-Leistungs-Verhältnis

Wie bei allen Produkten, die Sie über uns beziehen, stehen wir Ihnen und Ihren Kunden nicht nur, aber insbesondere im Schadensfall dann auch tatkräftig zu Seite, um die Ansprüche Ihrer Kunden durchzusetzen. Auch in Bezug auf die Vertragsabwicklung finden Sie mit uns einen unbürokratischen Partner, der Ihre Bedürfnisse als Makler versteht.