Neue Masche bei Cyberangriffen – „BazarCall“

Aktuell gibt es diese Art der Cyberangriffe erst im englischsprachigen Raum, aber es ist davon auszugehen, dass über kurz oder lang auch ähnliche Systeme bei uns aufschlagen werden.

Vorgehensweise

Es beginnt alles mit einem Phishing-Mail – danach ändert sich die Vorgangsweise allerdings, da dem Mail nicht ein böser Anhang mit Schadsoftware beiliegt.

Das Mail geht an Unternehmens-Anwender und bezieht sich auf eine Service (Medical Reminder Service) von dem in Kürze die Testphase ablaufen wird und man den angeschriebenen Personen noch die Möglichkeit geben möchte, die Testphase kostenlos zu beenden, um eine Abbuchung der Kosten in der Höhe von ca. 90 USD zu vermeiden. Mit angegeben wird eine Telefonnummer, an die man sich wenden kann, wenn man stornieren möchte.

Diese Vorgehensweise ist insofern neu, da bei einem geforderten Telefonanruf nicht unbedingt an einen Cyberangriff denkt. Wenn man den Anruf tätigt, kommt man auch in ein echtes Call-Center und wird dort freundlich nach einer ID gefragt, die im E-Mail enthalten ist, um den Kunden schnell identifizieren zu können – damit können die Angreifer genau feststellen, welche Phishing-Mail nun zum Erfolg geführt hat. Interessant ist auch, dass wenn man eine falsche Nummer hinterlässt, keine weitere Aktion erfolgt und man mitteilt, dass das Service bereits deaktiviert wurde (das ja nie bestanden hat).

Die Infektion

Bei einer echten ID wird der Anrufer auf eine (gut gemachte) Website gelotst und darum gebeten, diese ID hier nochmals einzugeben. Es wird dann ein Excel-Dokument heruntergeladen und der Call-Center-Mitarbeiter ist dann auch noch dabei behilflich, das Excel zu öffnen und etwaige Sicherheitsmaßnahmen wie Makro- und Virenschutz zu deaktivieren.

Sobald dies alles geschafft ist, hat man erfolgreich die BazarCall-Malware installiert – der weitere Verlauf ähnelt dann weiteren Cyberangriffen.

Fazit

Es ist davon auszugehen, dass ähnliche Angriffe auch im Laufe der Zeit bei uns aufkommen werden. Insofern ist es wichtig für die IT-Abteilungen aller Unternehmen immer am Ball zu bleiben und auch die eigenen Mitarbeiter auf neue Angriffsmethoden zu sensibilisieren.

 

 

Lloyd’s spricht Machtwort – Entwicklungen der Cyber-Wordings

Kürzlich hat sich Lloyd’s dazu geäußert, wie der Versicherungsschutz ausgestaltet werden muss, um gerade die immanenten Risiken in Bezug auf staatlich geführte Angriffe versicherbar zu halten. Entsprechend werden sich die Wordings auch im kommenden Jahr wieder angepasst werden.

Die zentralen Punkte aus der Veröffentlichung sind die folgenden:

  • Ausschluss von Kriegsrisiken (unabhängig von einer formalen Kriegserklärung)
  • Ausschluss von staatlich unterstützten Cyber-Angriffen
  • Klarstellungen in Bezug Deckung von Systemen die sich außerhalb des Zielstaats befinden
  • Solide Grundlagen für die Zuordnung
  • Klare Definition von Begriffen

Diese Zielsetzungen sollen beginnend mit 31.03.2023 in den Wordings umgesetzt werden – in der Folge werden in den nächsten Monaten die Wordings überarbeitet. Die kurzen Zeitspannen zur Umsetzung deuten daraus hin, dass die Sparte Cyber aktuell sehr kritisch gesehen wird und Maßnahmen gesetzt werden müssen, um sie versicherbar zu halten. Andererseits ist aufgrund der weiten Vorgaben abzuwarten, wie die einzelnen Versicherer dies umsetzen werden, die von dieser Anordnung betroffen sind.

Wir sind jedenfalls gespannt, wie sich diese allgemeinen Formulierungen dann in den Wordings des nächsten Jahres wiederfinden werden.

Abmahnwelle Google Fonts

Es wird eine Datenschutzverletzung im Zusammenhang mit der Verwendung von Google Fonts behauptet und ein Schadenersatzanspruch und ein Auskunftsbegehren gem. DSGVO gestellt. Die Höhe der Forderung beträgt in allen bekannten Fällen EUR 190,00 was auch die Kosten der rechtsanwaltlichen Vertretung der Anspruchstellerin umfasst.

Worauf begründet sich der Anspruch?

Durch die Einbindung von Google Fonts auf der eigenen Website in der üblichen/vorgesehen Form, werden die verwendeten Schriftarten durch den Browser des Website-Besuchers von Google-Servern zur Darstellung der Website auf den eigenen PC geladen. Für diesen Datentransfer ist die Übermittlung der IP-Adresse des Besuchers an die Google-Server notwendig, damit der Download erfolgen kann.

Google Fonts Ablauf

Wie läuft die beanstandete Kommunikation ab? – vereinfachte Darstellung

Die Datenschutzverletzung besteht nach Meinung der betreibenden Partei eben genau darin, dass die IP-Adresse, welche einen User in bestimmten Fällen identifizierbar macht und daher als personenbezogenes Datum bezeichnet wird, an Google weitergegeben wird.

Wie sind die Ansprüche einzuordnen?

Vorab muss gesagt werden, dass die Ansprüche sich auf ein erstinstanzliches Urteil des Landgerichts München beziehen, welches keinerlei Präjudizcharakter für Österreich hat. Aufgrund der DSGVO, welche europaweit gilt, gelten ähnliche Rechtsvorschriften, einen konkreter Fall aus Österreich ist aktuell nicht bekannt. Auch die Datenschutzbehörde hat noch keine Prüfung von Google Fonts vorgenommen – weitere Informationen dazu in der verlinkten Stellungnahme weiter unten.

Es deuten außerdem viele Punkte darauf hin, dass der Abruf der Vielzahl an Webseiten nicht manuell durch die Mandantin erfolgt ist, sondern automatisiert mithilfe eines sog. Crawlers. Dieser prüft Webseiten ohne zutun eines Users auf bestimmte Kriterien – in diesem Falle nach Code, welcher auf die Verwendung von Google Fonts hinweist. Inwiefern der wissentliche automatisierte Aufruf einen Schadenersatzanspruch auslösen kann, wird hierzu recht in Frage gestellt. Auch wenn die betroffene Person selbst alle Seiten besucht hätte, hätte sie die Übermittlung ihrer Daten an Google damit selbst veranlasst bzw. in Kauf genommen.

Was ist zu tun?

Das Vorgehen des betreibenden Rechtsanwalts hat zu einer Vielzahl an Medienberichten geführt und sorgt auch im Berufsstand der Rechtsanwälte für ungewöhnlich klare Aussagen, wie diese zu beurteilen ist – Begeisterung sieht anders aus! Da es bereits zahlreiche Empfehlungen im Netz bzgl. der Vorgehensweise gibt, werden wir hier keine entsprechende Auflistung vornehmen, aber auf einige seriöse Quellen verlinken, die Empfehlungen abgeben:

Wirtschaftskammer Österreich – Handlungsempfehlungen der WKO

Harlander & Partner Rechtsanwälte GmbH – interessante tiefgehende Informationen und aktuelle Gegenmaßnahmen

Datenschutzbehörde – Stellungnahme zu den Vorfällen

Deckungsrechtliche Einschätzung

In erster Linie denkt man bei diesem Fall wahrscheinlich an die Rechtsschutzversicherung und aufgrund der Schadenersatzansprüche an die Haftpflichtversicherung. Wir wollen uns auf die einzelnen Sparten kurz eingehen und auch die Cyber-Versicherung hier nicht unerwähnt lassen.

Vorausschicken möchten wir allerdings, dass aufgrund des relativ geringen Forderungsbetrags immer damit zu rechnen ist, dass die größte Hürde meist ein Selbstbehalt sein wird.

Rechtsschutzversicherung

Zutreffend wird hier in den meisten Fällen der Baustein des Daten-Rechtsschutzes sein, wobei dieser die Abwehr von Ansprüchen Betroffener bei der Geltendmachung der Rechte nach dem Datenschutzgesetz bzw. der Datenschutz-Grundverordnung

  • Auskunft
  • Berichtigung
  • Löschung
  • Einschränkung der Verarbeitung
  • Datenübertragbarkeit
  • Widerspruch

umfasst.

Nicht versichert ist in den gängigen Bedingungswerken allerdings die Abwehr von Schadenersatzansprüchen, die damit in Zusammenhang stehen. Einige Versicherer sind allerdings dazu über gegangen, hier trotzdem die Kosten für ein Anwaltsschreiben durch einen Vertragsanwalt zu übernehmen.

Eine Anfrage an den eigenen Rechtsschutzversicherer ist somit jedenfalls sinnvoll und in den meisten Fällen aufgrund der oben genannten Sebstbehaltsproblematik der erfolgsversprechendste Weg um Kostendeckung für die ersten Schritte zu erhalten.

Haftpflichtversicherung

Bei Bestehen einer Haftpflichtversicherung ist jedenfalls zu prüfen, inwiefern immaterielle Schadenersatzansprüche von der Haftpflichtversicherung gedeckt sind. In manchen Fällen sind solche Ansprüche unter dem Titel Verletzung von Persönlichkeitsrechten bzw. Veröffentlichungsrisiken im Rahmen der Vermögensschadenhaftpflichtversicherung gedeckt.

Für bestimmte Berufsgruppen wie Webdesigner und Werbeagenturen ist auch das Risiko zu sehen, dass Auftraggeber auf einen zukommen können und sich diesbezüglich beim Experten schadlos halten möchten, wenn der Auftraggeber selbst eine entsprechende Aufforderung erhalten hat.

Cyber-Versicherung

Auch im Rahmen der Cyber-Haftpflichtversicherung kann eine Deckungsprüfung lohnend sein, da auch hier entsprechende Ansprüche gedeckt sein können.

Fazit

Es wird interessant sein mitzuverfolgen, wie die Angelegeheit sich in den nächsten Wochen entwickelt. Ggfls. werden wir an dieser Stelle ein Update über die neuen Entwicklungen posten.

 

Cyber-Renewal 2022 – was steht uns bevor?

Nicht nur bei Neuabschlüssen werden Kapazitäten zurückgefahren und die Prämien erhöht – auch im kommenden Renewal ist absehbar, dass die Versicherungsnehmer mit teilweise stark ansteigenden Prämien konfrontiert werden. Auch die Versicherungswirtschaft spricht offen über die Prämiensteigerungen und macht dafür die hohen Schäden in der Sparte verantwortlich.

Hauptthemen Cyber-Renewal 2022

Einschätzung der aktuellen Situation

Dass die Preise sich in der Sparte Cyber auch in den kommenden Jahren noch nach oben entwickeln werden ist absehbar. Bereits dieses Jahr sind wir in einigen Segmenten mit starken Prämienerhöhungen konfrontiert.

Aktuell ist allerdings entgegen der Preisentwicklung keine Abschwächung hinsichtlich der Nachfrage zu spüren, sowohl bei Neukunden als auch bei bestehenden Kunden, welche Verlängerungsangebote erhalten haben. Die „Feuerversicherung des 21. Jahrhunderts“ wird in allen Unternehmen über kurz oder lang Einzug halten – davon sind wir überzeugt. Das Risikobewusstsein ist in den meisten Unternehmen vorhanden und aktuell lässt es auch das Prämienniveau noch zu, dass Unternehmen jeder Größe das Risiko eines Cybervorfalls durch eine Cyberversicherung mitigieren können – insofern man hinsichtlich IT-Sicherheit die Hausaufgaben erfüllt hat und die Mindestvoraussetzungen des Versicherers, welche ebenfalls kontinuierlich nach oben geschraubt werden, eingehalten werden.

Auf der Versicherungsseite sieht die Situation etwas anders aus – während sich manche Versicherer ganz oder teilweise aus dem Markt zurückziehen, verringern andere die Kapazitäten und erhöhen die Preise. In Einzelfällen kommt es auch vor, dass sich Versicherer auch von Verträgen trennen und erneuern diese nicht mehr, insbesondere wenn die Kunden hinsichtlich der IT-Sicherheit ungenügend aufgestellt sind.

Ukraine Krise verunsichert

Die Ukraine-Krise trägt zur Verunsicherung bei – die Bedrohungslage ist nach wie vor vorhanden und in die Verträge werden im Zuge der Verlängerungen, wenn nicht bereits vorhanden, territoriale Ausschlüsse aufgenommen und die Kriegsausschlüsse überarbeitet. So findet auch eine Selektion der Risiken hinsichtlich potentieller Angriffsziele statt. Deckungen für Tochterunternehmen in der Ukraine, Russland und Weißrussland sind aktuell kaum mehr möglich. Generell wird bei Anknüpfungspunkten in diese Länder nun sehr genau hingeschaut.

Einer Berufung der Versicherer auf die Kriegsausschlüsse stehen wir kritisch gegenüber – eine entsprechende Deckungsverweigerung wird in den meisten Fällen schwer nachvollziehbar sein, insbesondere da bei den meisten Hackergrupperungen ein staatlicher Anknüpfungspunkt schwer nachweisbar sein wird. Mehr hierzu zu unserem vorangegangen Beitrag.

Einschränkungen im Versicherungsschutz

Versicherer beginnen nun auch diverse Deckungsbausteine in Frage zu stellen bzw. starke Sublimits in die Deckungen einzuziehen, insbesondere die Zahlung von Lösegeldern für die Freigabe von verschlüsselten Daten. Dieses Thema wird bereits seit längerem diskutiert – auch hier ein Verweis auf einen früheren Artikel von uns. Lt. der Versicherungswirtschaft gibt es bereits Fälle, in denen die Angreifer gezielt nach Informationen zur Cyberversicherung im Unternehmensnetzwerk gesucht haben, um die Höhe des Lösegelds auf die Versicherungssumme abzustimmen. Nichts desto trotz ist es natürlich unsere Pflicht als Vertreter des Kunden, diesen bestmöglich abzusichern und auch dieses Risiko nach Möglichkeit abzudecken – insbesondere da es in manchen Fällen der einzige Ausweg sein kann, um einen noch größeren Schaden abzuwenden, für den der Versicherer dann erst recht wieder eintreten müsste.

Wie kann künstliche Intelligenz die Netzwerksicherheit verbessern?

Ist Künstliche Intelligenz die Lösung für mehr Sicherheit im Netzwerk?

Zusätzlich zu den traditionellen Methoden wie Firewalls und Antivirensoftware setzen manche Unternehmen bereits auf Technologien für künstliche Intelligenz (KI) und maschinelles Lernen (ML), um sich zu schützen. Diese Technologien wurden nun eingesetzt, um verdächtige Aktivitäten zu erkennen, bösartige Datenverkehrsmuster zu identifizieren und sogar Spam-E-Mails zu blockieren und helfen damit bei der Verbesserung der Netzwerksicherheit.

Künstliche Intelligenz und maschinelles Lernen werden zu immer wichtigeren Werkzeugen für Cybersicherheitsexperten. Sie können in verschiedenen Bereichen der IT-Security eingesetzt werden, z. B. bei der Reaktion auf Vorfälle, der Erkennung von Bedrohungen, der Netzwerkforensik und der Risikoanalyse. Doch was steckt eigentlich dahinter und ist KI wirklich das Allheilmittel?

Warum ist künstliche Intelligenz für die Cybersicherheit so wichtig?

Herkömmliche Abwehrmechanismen verlassen sich auf festgelegte Richtlinien und die Erkennung bekannter Bedrohungen. Diese Systeme sind aber mit der zunehmenden Geschwindigkeit, mit der neue Bedrohungen entstehen, überfordert.

KI kann dabei helfen Anomalien im Netzwerkverkehr und an den Schnittstellen zum Internet zu erkennen, indem es den Datenverkehr fortlaufend analysiert und Abweichungen vom Normzustand aufzeigt.

Für Menschen ist es sehr aufwändig, große Mengen von Bedrohungsindikatoren auszuwerten. Bei vielen Warnmeldungen und Fehlalarmen ist das IT-Team wahrscheinlich schon überfordert, so dass echte Angriffe potentiell unentdeckt bleiben. Künstliche Intelligenz kann dabei unterstützen, Zeit zu sparen, mehr Informationen zu korrelieren, schnellere Entscheidungen zu treffen, menschliche Fehler zu reduzieren und potenzielle Bedrohungen vorherzusagen, was die Sicherheit deutlich verbessert kann.

Zusammenhang zwischen KI und Machine Learning

Maschinelles Lernen ist ein Teilbereich der künstlichen Intelligenz. Im Wesentlichen geht es darum, Maschinen beizubringen, wie sie etwas tun können, ohne ausdrücklich dafür programmiert zu sein. So kann man einem Computer beispielsweise beibringen, Objekte auf Bildern zu erkennen, Text in eine andere Sprache zu übersetzen, Schach zu spielen oder eben den Netzwerkverkehr zu analysieren. Diese Art des maschinellen Lernens wird als überwachtes Lernen bezeichnet, weil wir dem System Beispiele dafür geben, was es lernen soll.

Im Gegensatz dazu ist es beim unüberwachten Lernen nicht erforderlich, dass wir spezifische Trainingsbeispiele liefern. Stattdessen werden Algorithmen verwendet, um Muster in großen Datensätzen zu finden. Unüberwachtes Lernen kann beispielsweise verwendet werden, um ähnliche Elemente auf der Grundlage ihrer Merkmale in Gruppen zusammenzufassen. So können Sie beispielsweise Dokumente nach ihrem Thema gruppieren oder anhand ihres Surfverhaltens feststellen, ob Kunden wahrscheinlich ein bestimmtes Produkt kaufen werden.

Erkennung von Bedrohungen

Die Strukturen eines Unternehmens, die Standorte der Mitarbeiter, die Services und Datenzentren, welche genutzt werden, zeichnen ein sehr detailliertes Netz des internen und externen Datenverkehrs. Immer wieder kehrende Muster im Datenverkehr definieren für die KI den Sollzustand der Netzkommunikation während der Lernphase der KI.

Nach der Lernphase kann die KI in den Überwachungsmodus gehen und KI und ML helfen bei der Erkennung von Anomalien im Netzwerkverkehr. Anomalien können auf eine potenzielle Bedrohung oder einen Angriff hinweisen. Wenn beispielsweise der Netzwerkverkehr eines Unternehmens plötzlich um 50 % ansteigt, könnte dies bedeuten, dass es einen Verstoß gegeben hat und jemand Zugang zu sensiblen Informationen erhalten hat und diese nun abfließen lässt. Oder zwei Systeme, welche nie miteinander kommuniziert haben, beginnen im Netzwerk plötzlich miteinander Daten auszutauschen, was auf eine Kompromittierung eines Systems und die beginnende laterale Bewegung des Angreifers hindeuten kann.

In solchen Fällen können KI und ML diese Anomalien erkennen und die zuständigen Mitarbeiter alarmieren oder auch automatisiert erste Eindämmungsmaßnahmen ergriffen werden. Ob man einer KI solch weitgehende Rechte für das eigene Netzwerk erteilen möchte, darf jeder selbst entscheiden.

Beispiele für verdächtige Aktivitäten

Es gibt zahlreiche Indikatoren für verdächtige Aktivitäten im Unternehmensnetzwerk. Während einzelne Vorfälle für sich möglicherweise unproblematisch wären, kann eine korrekt trainierte KI hier Zusammenhänge herstellen, was für einen Menschen aufgrund der schieren Datenmenge schlicht nicht möglich bzw. nur durch Zufall möglich wäre.

Wenn man sich die einzelnen Indikatoren ansieht, wird klar, das ein Vorkommnis für sich alleine genommen, kaum auffallen wird:

Beispiele für verdächtige Aktivitäten in Computernetzwerken

Die Vor- und Nachteile künstlicher Intelligenz

Wie immer hat der Einsatz jeder neuen Technologie Vor- und Nachteile – auch der Einsatz von künstlicher Intelligenz wird sicherlich kein Allheilmittel hinsichtlich Cyber-Security sein. KI kann aber durchaus einen wichtigen Beitrag zur Netzwerksicherheit leisten.

Vorteile

  • KI macht die Bewältigung datenintensiver Aufgaben erst möglich und liefert weniger falsch positive Meldungen als traditionelle Überwachungsmethoden
  • KI liefert konsistente Ergebnisse, wenn sie richtig trainiert wurde.
  • KI steht zur Überwachung des Netzwerkverkehrs zu jeder Tages und Nachtzeit zur Verfügung.

Nachteile

  • Die Implementierung von KI erfordert technisches Fachwissen.
  • Eine KI kann nur Analysen durchführen auf die sie trainiert wurde – weitergehende Analysen und die Herstellung von darüber hinausgehenden Zusammenhängen sind nicht möglich
  • Die Aussagekraft der KI-gestützten Auswertungen steht und fällt mit der zugrundeliegenden Datenbasis – wird die KI falsch oder unvollständig trainiert, werden die Ergebnisse konsistent sein – allerdings konsistent falsch.

Fazit

In vielen Unternehmen werden in Zukunft KI-Lösungen, die inzwischen von zahlreichen Anbietern von Sicherheitssoftware angeboten werden, in die Unternehmensnetzwerke Einzug halten. Nicht zuletzt auch aus dem Interesse der Softwarehersteller heraus, dass sie ihren Kunden etwas neues anbieten können. In den Unternehmen verspricht man sich neben einer Verbesserung der Netzwerksicherheit davon, auch Mitarbeiter wieder für produktivere Aufgaben als die Überwachung des Netzwerkverkehrs einsetzen zu können.

Nichts desto trotz darf auch die Wahrnehmung der klassischen Hausaufgaben hinsichtlich IT-Sicherheit nicht darunter leiden, da auch die die Bedrohungen immer vielfältiger werden und sich im Laufe der Zeit auch an die neuen Gegebenheiten anpassen werden.

Ressourcen zur Cyber-Beratung

Die Cyber-Versicherung wird auch als die Feuerversicherung des 21. Jahrhunderts bezeichnet. Führende Versicherungsunternehmen gehen davon aus, dass eine Cyber-Police in 5-10 Jahren die selbe Verbreitung haben wird. Wir als Versicherungsvermittler haben immer wieder Schwierigkeiten, entsprechendes Anschauungsmaterial zu finden, welches man verwenden kann, um die Kunden zu sensibilisieren bzw. auch um sich selbst in die Materie einzulesen.

Wir möchten Ihnen hier einige Ressourcen an die Hand geben, die Sie auch im Rahmen Ihrer Beratungsgespräche verwenden können – beachten Sie bitte die jeweiligen Copyrights der entsprechenden Quellen, die wir bei den jeweiligen Quellenangaben auch angeben. Bei der Auswahl der verlinkten Quellen haben wir auch auf leicht „verdauliche“ Informationen geachtet, die auch für einen reinen Software-Anwender verständlich aufbereitet wurden.

Ursachen für Cyber-Angriffe

Quelle:
https://www.sichere-industrie.de/angriff-kritische-infrastruktur-beispiele/

Dass es aktuell zu Cyber-Angriffen kommt ist keine Überraschung mehr – auch dass der Faktor Mensch in den meisten Fällen bei Cyber-Angriffen die maßgebliche Schwachstelle darstellt, wird den meisten von Ihnen nicht neu sein. In den meisten Fällen kommt die Schadsoftware über eine menschliche Aktion oder ein menschliches Fehlverhalten in das System. Hier sind wir alle gefordert, die grundsätzlich bekannten Gefahren ernst zu nehmen und für entsprechende Awareness in den Unternehmen (aber auch im privaten Umfeld) zu sorgen. In der Pflicht sehen wir hier jeden einzelnen, die Unternehmen aber auch die Softwarehersteller und auch die öffentliche Hand, entsprechende Maßnahmen zu ergreifen.

Im Zusammenhang mit dem Faktor Mensch werden die folgenden Punkte am häufigsten genannt:

  • Korrupte Dateianhänge und Internetseiten
  • USB-Sticks
  • Private Geräte im Unternehmensnetzwerk (Bring-Your-Own-Device)
  • Unachtsamer Umgang mit Zugangsdaten
  • Erreichbarkeit produktiver Systeme aus dem Internet

Aber es gibt auch rein auf technischen Schwachstellen basierende Angriffe – wobei die Behebung dieser technischen Schwachstellen natürlich auch der menschlichen Kontrolle unterliegt:

  • Veraltete Betriebssysteme und Software
  • unzureichend abgesicherte Fernwartungslösungen
  • fehlende Netzsegmentierung
  • fehlende Inventarisierung

Die verlinkte Quelle bezieht sich in den Beispielen insbesondere auf Industrierisiken, wobei grundsätzlich die Risiken für alle Unternehmen die gleichen sind – bei Industriebetrieben mit computergesteuerter Automation sind jedoch die Auswirkungen eines Cyberangriffs in der Regel weitaus dramatischer.

Welche Arten von Cyber-Angriffen gibt es?

Quelle:
https://www.crowdstrike.de/cybersecurity-101/cyberattacks/most-common-cyberattacks/

Bei Cyberangriffen denkt man in den meisten Fällen zuerst an Ransomware-Angriffe, welche aktuell in den Medien sehr präsent sind oder an Phishing-Attacken, da man mit diesen meist täglich konfrontiert ist, wobei diese in den meisten Fällen (zum Glück) sehr generisch und leicht zu erkennen sind – man muss diese auch von gezielten Phishing-Angriffen (sog. Spear-Phishing) unterscheiden, wo die EMails täuschend echt aussehen und kaum von echten EMails zu unterscheiden sind.

Dabei vergisst man allerdings gerne auf zahlreiche andere Angriffsarten – hier ein Auszug:

  • DoS- und DDoS-Angriffe
  • MITM-Angriff (Man-in-the-Middle-Angriff)
  • Cross-Site Scripting (XSS)
  • SQL-Injektionen
  • Cryptojacking
  • IoT-basierte Angriffe

Auch wenn Ihnen die o.g. Begriffe vorerst nicht sagen – der oben verlinkte Artikel liefert einen guten Überblick inkl. Beispiele zu den zahlreichen beschrieben Angriffen.

Cyber-Angriffe in Zahlen

Quellen (Beachten Sie: Teilweise ist zum Download der vollständigen Studien die Angabe einer Email-Adresse und/oder eine Registrierung erforderlich):
https://home.kpmg/at/de/home/insights/2022/05/cyber-security-oesterreich-2022.html
https://www2.deloitte.com/at/de/seiten/risikomanagement/artikel/deloitte-cyber-security-report.html
https://www.bitkom-research.de/de/Vertrauen-IT-Sicherheit-2021
https://www.pwc.de/de/im-fokus/cyber-security/ceosurvey.html

Die im Netz veröffentlichten Zahlen zu Schadenszahlen durch Cyber-Angriffe sind teilweise schwer nachzuvollziehen und nach unserer Schadenserfahrung höchst unterschiedlich und kaum vorhersehbar. Seriöse Schätzungen  und Erhebungen erfordern eine gute Datenbasis – somit sollte man sich hier auf seriöse Unternehmen verlassen, welche auch Einblicke in die Bewertungsmethodik zulassen und insofern Zahlen auf Umfragen basieren, diese auch einen guten Querschnitt über die befragten Teilnehmer ausweisen.

Dass Cyberangriffe einen beträchtlichen volkswirtschaftlichen Schaden auslösen stellt heutzutage eigentlich niemand mehr in Frage. Ca. 2/3 der Unternehmen geben an innerhalb der letzten 12 Monaten Opfer einer Cyber-Attacke gewesen zu sein, wobei 20% ein finanzieller Schaden durch Cyberkriminelle entstanden ist. Es vergeht kaum ein Tag, an dem nicht von einem Cyber-Angriff berichtet wird und teilweise haben wir die Einschränkungen dadurch auch selbst schon erleben müssen.

Kennzahlen aus verschiedenen Studien zur Sparte Cyber

Empfehlungen für Versicherungsprodukte sollten auch mit konkreten Zahlen zur Schadenswahrscheinlichkeit einhergehen – wir denken, dass die o.g. Quellen sich durchaus eignen, die Empfehlungen zu einer Cyberversicherung mit entsprechendem Zahlenmaterial zu untermauern.

Wie stellt man Cyberangriffe dar?

Wohingegen man die Auswirkungen von Schadensfällen in der Sachversicherung meist leicht anhand von Fotodokumentationen darstellen kann, tut man sich bei einer Cyber-Attacke naturgemäß schwer, diese zu visualisieren. Am ehesten ist dies noch möglich, wenn man vor einem System sitzt, welches gerade verschlüsselt wurde und nun von der Software aufgefordert wird, das entsprechende Lösegeld zu transferieren.

Aber auch diese Zahlungsaufforderungen sind wenig eindrucksvoll, wie einige Beispiele unten zeigen:

Die Ryuk Ransomware legt nur eine Textdatei mit den Anweisungen in den Verzeichnissen des betroffenen Computers ab.

 

Etwas mehr Mühe auch hinsichtlich der Benutzerfreundlichkeit geben sich dann schon die Entwickler der Ransomware Wannacry.

 

Viel besser als am Beispiel dieser FBI Ransomware wird es nicht.

Was passiert aktuell im Netz?

Eindrucksvoll wird es, wenn man auf Visualisierungen von weltweit aktuell laufenden Cyber-Angriffen zurückgreift. Anhand der folgenden Beispiele sieht man, was sich aktuell im Netz abspielt und welche Bedrohungen gerade aktuell sind. Die unten verlinkten Visualisierungen dar man als grobe Verallgemeinerung verstehen – die Daten basieren auf den Daten von IT-Security-Dienstleistern, welche Daten Ihrer Kunden anonym auswerten und diese dann aggregiert darstellen. Rückschlüsse auf individuelle Bedrohungslagen lassen diese Karten nicht zu.

Übersicht über aktuell aktive Bedrohungen auf weltweiter Karte:
https://threatmap.checkpoint.com/

Übersicht über aktuell laufende DDOS-Angriffe:
https://www.digitalattackmap.com/

Weitere Visualisierung ohne weitergehende Informationen, aber eignet sich gut als reduzierte Darstellung:
https://www.fireeye.com/cyber-map/threat-map.html

Fazit

Wir hoffen, dass wir Ihnen mit den Ressourcen aus dem Netz einige hilfreiche Informationen zum Thema Cyber-Security zur Verfügung stellen konnten. Uns ist auch bewusst, dass sich mit dem Thema Cyber-Security auch nicht jeder wohl fühlt – kommen Sie in diesem Fall gerne auf uns zu und wir können sicherlich gemeinsam einen Weg finden, wie Sie auch Ihre Kunden in dieser wichtigen neuen Sparte absichern können.

INFINCO Financial Lines baut aus

Neue Niederlassung – WIEN

Insider von INFINCO Financial Lines wissen, dass wir schon seit längerer Zeit mit dem Gedanken spielen, näher zu unseren Kooperationspartnern in Ostösterreich zu rücken, um unsere Partnerbroker in den östlichen Bundesländern besser betreuen zu können. Diese Zielsetzung konnten wir nun endlich durch die Inbetriebnahme unseres neuen Standortes in Wien erreichen.

Wir sitzen seit 1. Juni nun auch in der Marokkanergasse 7, 1030 Wien.

Senior Account Manager und Financial Lines Assistant für Wien

Ab dem ersten September werden am Standort Wien ein Senior Account Manager tätig sein und ein Financial Lines Assistant. Beide werden sich um die Beratung und Betreuung unserer Partnerbroker in den östlichen Bundesländern kümmern. Es ist uns gelungen für diese Tätigkeit einen langjährigen Fachmann aus dem Financial Lines Bereich zu gewinnen. Er wird für alle Financial Lines Sparten Ansprechpartner sein. Auch die Stelle des Assistants konnten wir mit einer Fachkraft aus diesem Bereich besetzen.

Weitere Verstärkung im Financial Lines Team

Zusätzlich hat unsere Betreuerin Laura Visocnik ins Financial Lines Team gewechselt. Sie wird künftig unsere Partnerbroker schwerpunktmäßig vor allem in den Sparten D&O- und Vermögensschadenhaftpflichtversicherung unterstützen. Aber auch Standardanfragen im Bereich Cyber gehören zu ihrem Aufgabengebiet. Damit haben Sie als Partnerbroker ab September also zwei weitere Mitarbeiter als Ansprechpartner für Ihre Anfragen zur Verfügung.

Aufstieg: Sabrina Schnitzler wird Head of Financial Lines

Persönlich gratulieren darf ich meiner langjährigen Mitarbeiterin Sabrina Schnitzler (Sabsi), die seit 2008 für unser Haus tätig ist, zur Beförderung zum Head of Financial Lines. Sabsi leitet das Financial Lines Team, da ich mich noch stärker auf die Bereiche Großkunden, Vertrieb und Unternehmensentwicklung konzentrieren werde.

Stolperfalle Allgemeine Geschäftsbedingungen im Schadensfall

Die Zunft der Steuerberater in unserem Land sah sich im Zusammenhang mit der Corona-Pandemie mit einer Vielzahl an neuen Aufgaben konfrontiert. Die Beantragung diverser Corona-Förder-Maßnahmen für ihre Klienten bestimmte in den meisten Kanzleien immer mehr den Arbeitsalltag. Aufgrund der Vielzahl der zu verarbeitenden Anträge und der sich ständig ändernden gesetzlichen Grundlagen, kam es mitunter dazu, dass ein Antrag übersehen und nicht fristgerecht eingebracht wurde. Derartige Fehler sind menschlich und aufgrund der wirklich großen Stückzahl an Anträgen, die zu einem fixen Datum abgearbeitet sein mussten, nachvollziehbar. Nachfristen gab es keine und es wurde auch sonst von den auszahlenden Stellen eine Null-Toleranz-Schiene gefahren.

War eine Frist verabsäumt, gab es keine Möglichkeit mehr, den Schaden abzuwenden.

Schadenersatzrechtlich sind derartige Schadensfälle eigentlich eine klare Angelegenheit. Eine Frist wurde versäumt und es konnte, für Steuerberaterschäden eher untypisch, in diesen Fällen auch der Schaden ganz konkret beziffert werden, da die Fördervorgaben dahingehend eindeutig waren. Wenn nun aber ein Anspruchsteller – der ganz eindeutig Anrecht auf Ersatz des Schadens hat – sich mit seiner Inanspruchnahme zu viel Zeit gelassen hat, droht die böse Überraschung bei der Schadensabwicklung, denn in den Allgemeinen Auftragsbedingungen für Wirtschaftstreuhandberufe (AAB) der meisten Wirtschaftstreuhandgesellschaften ist eine Haftungsbegrenzung enthalten, wonach ein Anspruch nur innerhalb von 6 Monaten ab Kenntniserlangung geltend gemacht werden kann.

Ist nun also die Inanspruchnahme der Kanzlei nach Ablauf dieser 6-Monatsfrist erfolgt, wird der Versicherer seinem Leistungsversprechen zwar nachkommen, aber nicht in dem Umfang, den der verursachende Steuerberater gerne hätte, denn in diesen Fällen wird der Versicherer Abwehrdeckung gewähren!

In diesen Fällen ist dies aber weder im Sinne des Versicherungsnehmers noch des Versicherers. Für den Versicherungsnehmer, der sich in derartigen Fällen seinem Verschulden vollumfänglich bewusst ist, ist die Abwehrdeckung das letzte was er braucht. Wer möchte schon gerne einen ohnehin durch einen Fehler der Kanzlei geschädigten Kunden mit einem ablehnenden Schreiben einer Rechtsanwaltskanzlei beglücken?

Aber auch für den Versicherer ist die Gewährung von Abwehrdeckung nicht risikolos. Schließlich ist keinesfalls gesagt, dass die Haftungsbeschränkungen, die in AGBs vereinbart werden, vor Gericht halten werden. Wenn nicht, müsste der Versicherer noch höhere Kosten in Kauf nehmen, als durch die Deckung des Primärschadens entstanden wären.

Es empfiehlt sich daher, sich um eine diplomatische Lösung zu bemühen, die im Sinne aller Beteiligten ist. Besonders berücksichtigt werden sollte dabei, inwieweit den Anspruchsteller ein Verschulden an der verspäteten Inanspruchnahme trifft.

Hoher Druck auf D&O-Versicherer

Es lastet weiterhin hoher Druck auf vielen D&O-Versicherern. Zu den Problemen aus der Vergangenheit im Bereich Schaden kommen nun durch den Krieg in der Ukraine weitere Probleme hinzu.

Prämienniveau nicht auskömmlich

Die D&O-Versicherung gilt für viele Versicherer als Verlustsparte. Dazu haben nicht zuletzt mehrere Großschäden beigetragen, insbesondere „VW-Dieselgate“. In Österreich gibt es durch den Versicherungsverband keine veröffentlichten Zahlen im Zusammenhang mit D&O. Anders stellt sich dies in Deutschland dar. Hier veröffentlicht der GDV jährlich auch Zahlen zum D&O-Versicherungsgeschäft. Die in 2021 veröffentlichten Zahlen zeigten deutlich, dass das bisherige Prämienniveau nicht auskömmlich ist. Deshalb ist in gewissen Bereichen, wie etwa der Industrie oder etwa bei Finanzinstitutionen weiterhin mit Prämienerhöhungen zu rechnen oder auch mit restriktiveren Bedingungen.

Haftungsrisiken steigen – der Krieg in der Ukraine verschärft die Situation

Die Haftungsrisiken für Manager steigen deutlich. Risikotreiber ist nicht mehr allein die Corona Krise. Vielmehr kommt es zu einer sprungartigen Änderung der rechtlichen und wirtschaftlichen Rahmenbedingungen. Dabei spielen die steigende Inflation, ESG, Cyberrisiken und der Krieg in der Ukraine eine große Rolle. Mit dem Krieg in der Ukraine verbunden sind vor allem die Unterbrechung bislang nie hinterfragter Lieferantenketten. Diese müssen oft völlig neu konzipiert und umgesetzt werden.
Gerade Manager, deren Business stark von Rohstoffpreisen abhängt, leben sehr exponiert. Wenn nicht Rohstoffabsicherungen gegen Preissteigerungen gekauft wurden (Futures, Optionen) oder im Liefervertrag die Preissteigerungen an den Abnehmer weitergegeben werden können, können die Unternehmen gegen die Manager vorgehen, weil sie diesen eine Pflichtverletzung vorwerfen, da sie eben nicht eine entsprechende Absicherung des Rechtsgeschäftes getätigt haben.

Individuelle Risikobewertung und Besinnung auf den Kern

Das vorangegangene Beispiel zeigt, wie wichtig eine individuelle Risikobewertung in einem schwierigen Marktumfeld ist. Um Portfolios erfolgreich zu steuern, wird es nötig sein, Risiken individueller zu betrachten. Das bedeutet konkret, dass stark von Rohstofflieferungen abhängige Unternehmen in der D&O-Versicherung künftig einen höheren Risikoaufschlag für D&O-Versicherungsschutz zahlen müssen. Zudem sollte der D&O-Versicherer den Kunden auch stärker nach seinen alternativen Beschaffungsstrategien befragen, um ein abgerundetes Bild zum Risiko zu erhalten. Dazu wird es künftig nötig sein, stärker mit den Organen des Unternehmens im Underwriting-Prozess in Kontakt zu treten. Hier sollten stärker die digitalen Möglichkeiten wie etwa Videokonferenzen und andere Tools genutzt werden.
Letztlich wird es auch wichtiger werden, dass sich die D&O-Versicherer auf den Kern der D&O-Versicherung besinnen. Der Deckungsschutz gehört in Bereichen entrümpelt, die auf die Kosten drücken. Das betrifft insbesondere den Bereich Large Corporates, wo häufig die Schadenssätze sehr schlecht sind. Im Bereich der KMU wird diese Vorgangsweise nicht nötig sein.

Verknappung der Kapazitäten bei höheren Preisen

Wenn auch der Preisanstieg bei gleichzeitiger Verknappung der Kapazitäten für viele Kunden sehr unangenehm ist, so sichert dies das Überleben der Sparte. Da es sich bei der D&O-Versicherung um ein systemrelevantes Versicherungsprodukt handelt, erachte ich diesen Schritt der Versicherer als verantwortungsvoll und richtig. Gerade die benannten Risiken dürften zu weiteren Preissteigerungen in der D&O-Versicherung führen, welche aber notwendig sein werden, um die steigenden Haftungsrisiken von Managern solide abzusichern.

Telefonbetrug: Wenn Hacker die Telefonanlage kapern

Wie viele andere Systeme, welche früher eigenständig betrieben wurden und früher eigentlich nicht mit den IT-Systemen in Verbindung gebracht wurden, sind Telefonanlagen heutzutage in die IT-Systeme eingebunden und werden inzwischen häufig auch nicht durch Unternehmen, welche sie verwenden, selbst betrieben, sondern als Service zugekauft. Diese virtuellen Telefonanlagen, welche inzwischen als Standardsoftware vertrieben werden, erlauben eine schnelle Einrichtung und Nutzung mit einer hohen Servicequalität, da die Anbieter ihre Telefonanlagen professionell betreuen können und Anpassungen an der Infrastruktur jederzeit vorgenommen werden können.

Telefonanlage = IT-System

Durch die Nutzung von Standardsoftware entstehen Vorteile, da es aber nun viele Nutzer derselben Software gibt (welche auch direkt mit dem Internet verbunden ist, damit die Telefonanlage in Zeiten von Home-Office auch von außerhalb genutzt werden kann), entstehen dadurch auch lohnende Angriffsvektoren für Angriffe auf die Infrastruktur der Telefonanlagen. Bei einem erfolgreichen Angriff auf die Telefonanlage kann diese für eigene Zwecke genutzt werden und die Angreifer können ohne großen Aufwand einen beträchtlichen Schaden bei den betroffenen Unternehmen verursachen.

Neben der Telefonanlage gibt es dann noch den VOIP-Betreiber mit dem man einen separaten Vertrag schließen muss, welcher für die Vermittlung der Verbindungen in die fremden Netze zuständig ist. Die Zugangsdaten zum VOIP-Provider müssen in der Telefonanlage hinterlegt werden, damit diese über die zugewiesene Rufnummer erreichbar ist bzw. man auch Teilnehmer außerhalb der eigenen Telefonanlage erreichen kann.

Schematische Darstellung der Funktionsweise einer VOIP-Telefonanlage

Was ist passiert?

Einer unserer Kunden betreibt bereits seit längerem eine virtuelle Telefonanlage in Verbindung mit einem VOIP-Provider. Der Kunde hatte Zugriff auf die Telefonanlage, damit er auch selbst die Möglichkeit hat, Änderungen an den Einstellungen vorzunehmen. Im Frühjahr verschaffte sich ein Angreifer Zugriff auf die Telefonanlage – ob der Angreifer eine Sicherheitslücke in der Software der Telefonanlage ausnutzte oder beispielsweise über Phishing zu den Zugangsdaten kam, ist unklar.

Nachdem sich der Angreifer Zugriff verschafft hatte, wartete er einen günstigen Zeitpunkt ab, an dem die Telefonanlage nicht genutzt wird (Sonntag), um die Systeme für seine Zwecke auszunutzen. Mit Hilfe eines Software-Bots wurden innerhalb von kürzester Zeit auf allen verfügbaren Leitungen Gespräche über Satellitentelefone auf Mehrwertnummern in ein entlegenes Land geführt. Somit summierten sich innerhalb von kürzester Zeit immens hohe Telefongebühren. Ein noch größerer Schaden konnte durch die Geistesgegenwart eines Mitarbeiters beim VOIP-Betreiber vermieden werden, da ihm das System diese ungewöhnliche Aktivität anzeigte und er sich dadurch veranlasst sah, ausgehende Auslandsverbindungen auf der Ebene des VOIP-Providers für den Kunden zu sperren. Damit wurde dem Angreifer die Möglichkeit genommen, weitere schädigende Anrufe über die Telefonanlage zu tätigen.

Nichtsdestotrotz sind innerhalb des kurzen Zeitraums bis zur Sperrung durch den VOIP-Betreiber Telefongebühren in der Höhe von ca. EUR 4.000 (ca. 70 Telefonate mit insg. ca. 700 Minuten) angefallen, welche auch vom VOIP-Provider beim Kunden eingefordert wurden, da dem VOIP-Betreiber durch die getätigten Telefonate ja auch selbst Kosten entstehen – auf einen Teil der Forderungen wurde vom VOIP-Anbieter verzichtet. Weiters musste die Telefonanlage neu aufgesetzt werden, um sicherzustellen, dass der Angreifer nicht weiter im System verankert ist und dies für einen weiteren Angriff ausnutzt  – auch dafür entstanden Kosten in der Höhe von ca. EUR 1.000.

Wie sieht es mit dem Versicherungsschutz aus?

Grundlage für einen Leistungsanspruch auf die entstandenen Telefongebühren aus einem solchen Ereignis kann einerseits eine Cyber-Versicherung sein, welche einen entsprechenden Deckungsbaustein mit Vertrauensschaden oder Telefon-Hacking bietet, oder eine eigenständige Vertrauensschadenversicherung. Die Voraussetzungen für eine Leistung aus der Vertrauensschadenversicherung sind meist die rechtswidrige Handlung (was hier durch § 148a StGB unserer Ansicht verwirklicht wurde), der unmittelbare Schaden und ggfls. auch die Bereicherungsabsicht des Dritten.  Auch die Wiederherstellungskosten können über die Vertrauensschadenversicherung oder den entsprechenden Baustein meist abgerechnet werden, da diese Kosten auch unmittelbar durch das Schadenereignis ausgelöst werden. Eine individuelle Prüfung der zugrunde liegenden Bedingungen und des genauen Hergangs ist natürlich jedenfalls erforderlich.

Besteht kein Vertrauensschadenbaustein werden zumindest die Wiederherstellungskosten für die Telefonanlage erstattbare Kosten im Rahmen der Cyberversicherung sein, insofern die Telefonanlage durch den VN selbst betrieben wird und nicht als Service von einem Drittanbieter genutzt wird.

In diesem konkreten Fall war keine Cyberversicherung vorhanden, jedoch konnte über die durch den Kunden bei uns abgeschlossene Vermögensschadenhaftpflichtversicherung, welche auch einen Vertrauensschadenbaustein enthält, der Schaden vollumfänglich abzüglich dem vereinbarten Selbstbehalt abgerechnet werden.

Auch im Rahmen unseres Cyber-Antragsmodells wäre dieser Schaden natürlich auch vollumfänglich versichert.