Tipp des Monats: WordPress absichern!

Zahlreiche Webseiten verlassen sich auf das CMS (Content Management System) WordPress für den Betrieb Ihrer Website. Das ist auch verständlich – ist es doch eines der verbreitetsten Open-Source-Systeme für den Betrieb einer Website – Schätzungen zufolge werden über 40% aller Websites, deren CMS bekannt ist, durch WordPress betrieben.

Diese Verbreitung macht WordPress natürlich auch zu einem beliebten Angriffsziel – hat man die Möglichkeit eine der Webseiten zu hacken, sind auch zahlreiche andere Ziele potentiell verwundbar. Daher sollte man sich an einige Empfehlungen halten, um nicht selbst Opfer einer gehackten Website zu werden – was im besten Fall lästig ist, im schlimmsten Fall aber, wenn das eigene Geschäftsmodell stark vom durchgehenden Betrieb der Website abhängt, für das Unternehmen existenzbedrohend sein kann.

Die hier ausgesprochenen Empfehlungen sollen nicht allzu technisch ausgeführt werden – aber vielleicht dazu anregen, die Punkte mit dem eigenen IT-Betreuer oder dem Entwickler der Website zu besprechen.

WordPress (& Plugins) aktualisieren

So wie jede andere Software enthält auch WordPress Fehler, was sich nicht nur in fehlender Funktionalität niederschlagen kann, sondern manchmal auch zu Sicherheitslücken führt. Bei ganz eklatanten Sicherheitslücken kann es dazu kommen, dass diese auch von jedermann, der es darauf anlegt, ausgenutzt werden können. Deshalb wird WordPress regelmäßig durch die Entwickler aktualisiert, um bekannte Fehler zu beheben. WordPress selbst enthält eine sehr komfortable Update-Funktion und in den meisten Fällen spricht nichts dagegen, die neuen Versionen schnellstmöglich nach Veröffentlichung einzuspielen oder WordPress sogar anzuweisen, die Updates automatisch zu starten, sobald sie verfügbar sind.

Manchmal wird hier von Entwicklerseite argumentiert, dass es bei zu schnellen Updates zu Schwierigkeiten kommen kann, da evtl. unbekannte Fehler enthalten sind oder das Update möglicherweise mit selbst entwickelter Software nicht kompatibel sein könnte.

Dies mag im Einzelfall zutreffen, ist aber für die Mehrheit der Websites meist unerheblich – jedenfalls sollte hier mit den Website-Zuständigen eine Vereinbarung getroffen werden, dass die WordPress-Version möglichst zeitnah aktuell zu halten ist.

Über sog. Plugins kann man WordPress mit allen erdenklichen Zusatzfunktionen ausstatten – man muss aber dabei beachten, dass auch diese Plugins wieder Sicherheitslücken enthalten können und WordPress damit angreifbar wird. Hier gilt grundsätzlich, dass man nur die unbedingt notwendigen Plugins installieren sollte und dabei auch darauf achten sollte, wie oft auch diese Updates erhalten. Auch hier verfügt WordPress über eine komfortable Update-Funktion, die nur wenige Augenblicke in Anspruch nimmt.

Sichere Passwörter

Für alle Bestandteile einer WordPress-Installation (Admin-Zugänge, Autoren-Zugänge, Datenbank, FTP, Hosting) sollten sichere Passwörter verwendet werden. Dies mag banal klingen, wird aber oft vernachlässigt. Außerdem sollte man darüber nachdenken, die WordPress-Zugänge mit Multi-Faktor-Authentifizierung abzusichern. WordPress bringt die Fähigkeiten dazu mit Bordmitteln mit, erforderlich ist dazu nur die Installation einer Authenticator App, wie z.B. den Google Authenticator.

HTTPS-Verschlüsselung für die Seite verwenden

Dies sollte heutzutage für alle Websites eigentlich schon Standard sein – trotzdem stolpert man immer wieder über Seiten, auf die nach wie vor nicht verschlüsselt zugegriffen werden kann.

Sollte das bei der eigenen Website noch der Fall sein, sollte man dies unbedingt ändern. Auch weil man mit der verschlüsselten Übertragung ein angemessenes Datenschutzniveau z.B. für ein enthaltenes Kontaktformular auf der Website herstellen kann. Hier sollte man sich dessen bewusst sein, dass man hier auch datenschutzrechtliche Verpflichtungen gegenüber seinen Website-Besuchern hat.

Security-Plugin installieren

Natürlich gibt es für WordPress auch Security-Plugins. Diese beheben meist eine Reihe von technischen Security-Themen bzw. weisen zumindest auf die Problematik hin. Zu den populärsten gehören Wordfence, Hide my WP, iThemes Security oder NinjaFirewall – was verwendet werden soll, sollte der IT-Verantwortliche selbst entscheiden, da er hier meist eigene Präferenzen hat. Diese Plugins können die meisten automatisierten Angriffe auf die eigene Website stoppen. Auch hier gilt natürlich, dass diese Plugins auf dem aktuellen Stand gehalten werden müssen, damit sie Ihre Aufgabe erledigen können.

Regelmäßige Backups

Auch für die Website gilt, dass eine regelmäßige Sicherung durchgeführt werden sollte – idealerweise auf ein Medium, das nicht ohne gesonderte Authentifizierung zugänglich ist. Wenn es doch zu einer Kompromittierung der eigenen Website kommt, hat man so zumindest die Möglichkeit kurzfristig ein Backup wiederherzustellen. Idealerweise sollte man allerdings vor dem Einspielen des Backups wissen, wie sich der Angreifer Zugriff verschafft hat, damit man nicht kurz nach der erfolgreichen Wiederherstellung neuerlich Opfer eines Angriffs wird. Da viele dieser Hacks automatisiert erfolgen, kann es bereits nach wenigen Minuten wieder soweit sein und das ganze Spiel beginnt von Neuem.

Wahl eines renommierten Hosters

Die Wahl einer renommierten Hosting-Umgebung hat maßgeblichen Einfluss auf die Sicherheit der eigenen Website. Einerseits sind hier die einzelnen WordPress-Instanzen meist voneinander isoliert, sodass es nicht zu einem Massenhack kommen kann und man kann davon ausgehen, dass die Server, welche die Seite bereitstellen, regelmäßig gewartet werden und sicherheitsrelevante Updates eingespielt werden.

DDOS-Schutz

Eine DDOS-Attacke zerstört die Seite im Regelfall nicht, sondern verhindert meist nur den Zugriff darauf, solange der Angriff anhält. Es werden aus verschiedensten Quellen Anfragen an die Seite geschickt, sodass der Server ausgelastet ist und auf „echte“ Zugriffe nicht mehr reagieren kann. Ein DDOS-Angriff hält meist nur ein paar Stunden oder Tage an und wird dann wieder eingestellt, da er auch den Angreifer Ressourcen kostet. Ein DDOS-Schutz wird vor allem dann von Vorteil sein, wenn die eigene Website durchgehend erreichbar sein sollte und ein Ausfall mit wirtschaftlichen Einbußen einhergeht. In diesen Fällen kann ein DDOS-Schutz sinnvoll sein. Bei einigen Hosting-Anbietern ist dieser bereits inkludiert oder man kann diesen auch separat erwerben, wie z.B. bei Couldflare.

Cybercrime as a Service – Verbrechen auf Bestellung

Dass sich Cyberkriminalität über die letzten Jahre so großer Beliebtheit erfreut und die Anzahl der Vorfälle jedes Jahr neue Rekordzahlen erreicht, hat gute Gründe.  Die Zeiten, wo man über umfassendes Wissen verfügen musste, um Schadsoftware in fremden Netzwerke zu platzieren, Phishing-Kampagnen zu starten oder Server für die Steuerung der Schadsoftware aufzusetzen, sind vorbei. All diese Services lassen sich für vergleichsweise kleines Geld als Service zukaufen.

Man kann zu Recht behaupten, dass sich um Cybercrime zwischenzeitlich ein Ökosystem gebildet hat, welches die Einstiegsbarrieren verringert und damit einen Zustrom von neuen Kriminellen in das Betätigungsfeld ermöglicht. Da Cybercrime ein sehr weiter Begriff ist und sich auch laufend verändert, versuchen wir uns an einer Bestandsaufnahme zum aktuellen Zeitpunkt (November 2022), wobei wir beleuchten möchten, welche „Services“ aktuell von den Cyberkriminellen zur Verfügung gestellt werden. Es ist davon auszugehen, dass wir diesen Artikel in wenigen Monaten zumindest um einige Punkte erweitern müssen, da sich die Wertschöpfungsketten laufend verändern und erweitern.

Einen Bereich, auf welchen wir in diesem Artikel außerdem nicht eingehen werden, ist der Verkauf von illegalen physischen Gütern wie Drogen und Waffen, wobei auch hier das Internet und insbesondere das Darknet eine große Rolle spielen. Aber auch die anderen Cybercrime-Dienste werden meist über das Darknet gehandelt, weshalb wir uns dies zuvor einmal etwas ansehen sollten.

Was ist das Darknet?

Das Darknet ist ein Teil des Internets, welcher grundsätzlich nicht per se illegal ist, aber nur durch Anonymisierungsnetzwerke wie Tor zugänglich ist. Die Seiten des Darknets sind nur durch Darknet-Suchmaschinen oder über direkte Links zugänglich und werden von regulären Suchmaschinen nicht erfasst.

Der Zugang ist jedoch für jeden interessierten Anwender trotzdem leicht möglich und auch per se nicht illegal. Man muss sich allerdings bewusst sein, dass man sich durch unbedachte Nutzung der angebotenen Inhalte strafbar machen kann und eine Verfolgung trotz der gebotenen Anonymität möglich ist.

RaaS - Anzeige

Anzeige für Ransomware im Darknet

Diese Anonymität im Darknet betrifft sowohl Anbieter als auch Suchende – und wird neben illegalen Aktivitäten auch für durchaus sinnvolle Zwecke genutzt. Die verschlüsselte Struktur eröffnet Möglichkeiten für Journalisten, für Verfolgte oder die politische Opposition – sei es der Zugriff auf zensierte oder regional gesperrte Inhalte oder die Kommunikation mit anderen Personen. Auch für Whistleblower eröffnet sich die Möglichkeit, Entdeckungen bekannt zu machen, aber selbst unerkannt zu bleiben.

Wie in vielen Szenarien kommt es immer auf den Nutzungszweck an, das Darknet selbst unterscheidet nicht zwischen guten und schlechten Absichten.

Cybercrime-as-a-Service

Cybercrime-as-a-Service hat sich erst in den letzten 2-3 Jahren unter diesem Namen manifestiert, wobei auch vorher schon Dienste angeboten wurden, welche heute unter diesen Begriff fallen, so z.B. der Datendiebstahl und natürlich wurden auch früher schon Hacker beauftragt, um Systeme auszuspionieren, lahmzulegen und vieles mehr. Diese Beauftragungen sind allerdings früher meist individuell erfolgt. In den letzten Jahren haben sich jedoch regelrechte Marktplätze gebildet, über welche entsprechende Services von jedermann „gebucht“ werden können, ohne dass Beziehungen zu Personen aus der Szene bestehen müssen.

Datendiebstahl, Verkauf sensibler Daten

Kriminelle, welche auf der Suche nach bestimmten Daten waren, haben auch schon vor Jahrzehnten Personen angeworben, die Ihnen Zugang zu den gewünschten Daten verschaffen konnten. Was sich geändert hat, ist, dass in den letzten Jahren Datendiebstahl ohne konkreten Auftrag erfolgt. Die Daten werden nach dem erfolgten Diebstahl entweder an Zwischenhändler verkauft, direkt an den oder die Meistbietenden oder einfach zum Download gegen Einwurf von Bitcoins angeboten.

Der Markt mit sensiblen Daten floriert im Darknet – sei es von Zugangsdaten zu gültigen Accounts (Netflix, Paypal, Ebay, Crypotservices etc.) über Sammlungen gültiger EMail-Adressen bis hin zu Kreditkartendaten und Scandokumenten von Führerscheinen und Reisepässen.

Die Website Privacy Affairs führt seit längerer Zeit einen Index darüber, wie sich die verschiedenen Preise im Darknet entwickeln.

Nach erfolgreichen Hacks eines Unternehmens werden die gesammelten Datensätze oft im Rahmen einer Auktion versteigert – als Beweis für die Echtheit der Daten werden dazu Auszüge aus den Daten bereitgestellt. Gebote für die gesammelten Daten eines Hacks erreichen durchwegs einige zehntausend USD, in manchen Fällen gehen hier die Gebote bis zu rund einer Million USD. In einigen Fällen kommt es durchaus auch vor, dass die Hacker Ihre Opfer auf die Auktion hinweisen, da sie sich dadurch höhere Einkünfte erwarten, wenn diese versuchen, durch eigene Gebote ihre Daten zu schützen

Ransomware-as-a-Service (RaaS)

Im Darknet können entsprechend motivierte Personen alles einkaufen, was für einen Angriff mit Ransomware benötigt wird. Schätzungen gehen davon aus, dass weit über zwei Drittel der durchgeführten Ransomware-Angriffe von Akteuren initiiert werden, welche die Ressourcen nicht selbst mitbringen, sondern diese auf den Plattformen zugekauft haben. Und man darf sich diese durchaus als professionell geführte Software-Dienste vorstellen, mit umfassendem Support, Community-Foren zum Erfahrungsaustausch, mehrsprachiger Dokumentation usw.

Administrationsoberfläche der Satan-Ransomware

Begehrtes Objekt – Sicherheitslücken

Sicherheitslücken können im Darknet ebenfalls gut gehandelt werden. Sei es nun eine Schwachstelle in einer Software, die ausgenutzt werden kann, oder der Hinweis auf eine löchrige Firewall.

Für die Entdecker dieser Sicherheitslücken gibt es grundsätzlich mehrere Handlungsoptionen – er kann die gefundene Sicherheitslücke dem betreffenden Softwarehersteller oder Unternehmen, das davon betroffen ist, melden – gerade Software-Unternehmen bieten teilweise sog. Bug-Bounty-Programme an, welche die Entdecker dieser Sicherheitslücken finanziell entschädigen. Die Meldung einer Sicherheitslücke kann allerdings auch nach hinten losgehen, wie dieses Beispiel zeigt: spiegel.de – CDU entschuldigt sich für Anzeige gegen Sicherheitsforscherin

Im Darknet lassen sich diese Sicherheitslücken sehr gut zu Geld machen, insbesondere, wenn diese noch nicht anderweitig bekannt geworden sind (sog. Zero-Day-Exploits). Die Käufer haben dann die Möglichkeit ihrerseits selbst einen Hack zu versuchen oder, falls es sich um die Lücke in einer Software handelt, entsprechende Malware (kostenpflichtig) bereitzustellen, die die Sicherheitslücke effektiv ausnutzt. Damit werden die Entwickler der Malware selbst wieder zum Teil der Wertschöpfungskette.

Zugang zu Firmennetzwerken

Eine weitere sehr einträgliche Einkommensquelle ist das Bereitstellen von Zugriffsmöglichkeiten auf ein Firmennetzwerk. Dies kann auf mehrere Arten passieren – einerseits durch die Bereitstellung einer konkreten Sicherheitslücke im Firmennetzwerk, welche weiter ausgenutzt werden kann oder auch indem man bereits über gültige Zugangsdaten zum Firmennetzwerk verfügt, welche einfach weiter verkauft werden. Eine weitere Möglichkeit kann durchaus sein, wenn man bereits erfolgreich Schadsoftware im Netzwerk des Opfers installieren konnte, welche durch den Käufer weiter ausgenutzt werden kann.

Die Preise für die Zugänge zu Firmennetzwerken variieren stark – einerseits hängen die Preise davon ab, wie weitgehend der Zugang ist und andererseits auch von der Größe und Art des Unternehmens zu dem Zugang gewährt werden kann. Nicht selten kommt es vor, dass die Zugänge noch am selben Tag verkauft werden, an dem sie angeboten werden.

Angebote für alles

Grundsätzlich gibt es für jeden noch so kleinen Teil der „Wertschöpfungskette“ von Cyberangriffen passende Angebote im Darknet – es besteht daher durchaus die Möglichkeit, dass ein motivierter Angreifer den gesamten Ablauf einer Cyberattacke inkl. „Projektmanagement“ fremdvergibt. Die Anbieter stehen dafür bereit und haben sich auf stark auf spezielle Aufgaben spezialisiert.

Fazit

Der Marktplatz, der sich in den letzten Jahren entwickelt hat, beschleunigt die rasante Entwicklung rund um Cyberkriminalität weiter. Durch die Arbeitsteilung entsteht eine Effizienz, die durch Einzelakteure niemals möglich wäre. Des weiteren ist es so auch möglich für Tätigkeiten ohne exponierte Ermittlungsrisiken (Datenanalyse, Zusammenstellen von Datensätzen usw.) Leute für die Mitarbeit zu gewinnen, die normalerweise davor zurückschrecken würden, aber diese Tätigkeiten nun unter dem Schutz der Anonymität übernehmen.

Im Ergebnis wird diese Entwicklung in den kommen Jahren dafür sorgen, dass die Anzahl und Schwere der Cyberangriffe weiter zunehmen wird – die Einkommensquellen sind lukrativ und die Gefahr gefasst zu werden, ist meist recht gering. Wenn man außerdem im richtigen Land sitzt, muss man generell keine Ermittlungen fürchten, solange man sich die passenden Ziele aussucht.

Cybercrime aufgeklärt – Erfolge bei Ermittlungen

Man muss sich nichts vormachen – der Großteil der Fälle von Cyberkriminalität bleibt ungelöst – oder kann aufgrund nationaler Grenzen nicht weiter verfolgt werden, da man der Täter, die in vielen Fällen sogar bekannt sind, nicht habhaft wird. Dies verdeutlichen auch Zahlen der Strafverfolgungsbehörden, die von einer sehr hohen Dunkelziffer nicht angezeigter Delikte ausgehen. Wenn hinterfragt wird, warum keine Anzeige erstattet wurde, wird häufig angegeben, dass die Anzeige nur weiteren Aufwand bedeuten würde und zu nichts führen wird.

Doch manchmal führen Ermittlungen zum Erfolg – wir haben Ihnen interessante, teilweise historische aber auch etwas kuriose Fälle herausgesucht – zu den einzelnen Fällen bieten wir Ihnen weitere Links an, wenn Sie sich weiter vertiefen möchten:

Der Morris-Wurm

Dieser Internet-Wurm gilt als die erste sich selbst replizierende Schadsoftware, die sich 1988 im damals noch jungen Internet verbreitete. Zweck der Software war eigentlich nur die Anzahl der an das Netzwerk angeschlossenen Systeme zu zählen, aber aufgrund eines Programmierfehlers verbreitete sie sich so massiv, dass damals rund 10% aller Internet-Systeme betroffen waren – das waren damals rund 6.000 Systeme.  Der Fehler führte außerdem dazu, dass die Systeme mehrfach infiziert wurden und aufgrund er hohen Frequenz teilweise lahmgelegt wurden. Der Programmierer, der die Software entwickelt hat, lautete Robert Tappan Morris und war in den USA die erste Person, die wegen Computermissbrauchs angeklagt wurde – das Gesetz wurde nur 2 Jahre zuvor eingeführt. Er bekannte sich damals schuldig, beteuerte allerdings, dass es ein Versehen war – heute ist Morris Professor auf dem Massachusetts Institute of Technology (MIT), wo damals die Infektion der Computersysteme ihren Anfang genommen hat.

Mehr dazu:

https://www.heise.de/security/meldung/Vor-20-Jahren-Erster-Internetwurm-verzaehlt-sich-214802.html

Operation Shrouded Horizon

Eine international konzertierte Aktion geleitet vom FBI führte 2015 zu zahlreichen Festnahmen und Beschlagnahmungen in ca. 20 Ländern rund um den Globus. Ziel waren die Mitglieder des Untergrundforums Darkode, was zum damaligen Zeitpunkt ein Umschlagplatz für Schadsoftware und gestohlene Informationen war. Das FBI konnte das Forum infiltrieren und sammelte Beweise gegen die einzelnen Mitglieder des Forums. Große Schläge wie dieser sind selten und benötigen viel Vorbereitungszeit.

Mehr dazu:

https://www.fbi.gov/news/stories/cyber-criminal-forum-taken-down

„AIDS“ oder auch „PC Cyborg“ – Die erste Ransomware

Ein Evolutionsbiologe mit dem Namen Dr. Joseph L. Popp verteilte im Rahmen einer AIDS-Konferenz der WHO 1989 Disketten mit angeblichen Daten zur damals noch sehr unerforschten Krankheit. Nach Installation des enthaltenen Programms wurden die Daten der User verschlüsselt und zu einer Zahlung von ca. 200 USD aufgefordert. Dr. Popp gilt damit als der Erfinder von Ransomware. Er wurde schließlich gefasst – über die Motive von Dr. Pott ist man sich allerdings bis heute im Unklaren. Aufgrund seiner psychischen Verfassung wurde er nach kurzer Zeit aus dem Gefängnis entlassen.

Mehr dazu:

https://www.golem.de/news/die-erste-ransomware-der-virus-des-wunderlichen-dr-popp-1607-121809.html

Fortezza – Der Kreditkartenhändler

David Benjamin Schrooten wurde 2012 auf Antrag der USA in Rumänien verhaftet und an diese ausgeliefert. Ihm wurde vorgeworfen, zehntausende Datensätze zu Kreditkartendaten zum Verkauf angeboten zu haben – die Schadenssumme wurde auf 63 Millionen USD geschätzt. Schrooten wurde zu 12 Jahren Gefängnis verurteilt. Im Jahr 2014 wurde er in die Niederlande überstellt und wurde noch im selben Jahr aus der Haft entlassen – über seine Erlebnisse hat er dann das Buch „Alias Fortezza“ geschrieben.

Mehr dazu:

https://en.wikipedia.org/wiki/David_Schrooten

REvil Ransomware

Anfang Jänner 2022 wurde publik, dass der russische Geheimdienst 14 Mitglieder der Hackergruppe REvil, die aus Russland operierte, festgenommen hatte. Diese Gruppe war unter anderem für den Angriff auf den IT-Dienstleister Kaseya verantwortlich. Im Mai 2022 kündigte sich jedoch ein Comeback der Hackergruppe an. Da sich zwischen diesen beiden Zeitpunkten die weltpolitische Lage grundlegend verändert hat, ist unklar, inwieweit hier die Strafverfolgung weiter fortgesetzt wird.

Mehr dazu:

https://t3n.de/news/hackerbande-revil-zurueck-1469601/

Ransomwaregruppe Lapsus$

Nachdem Anfang 2022 mehrere Mitglieder der Ransomwaregruppe Lapsus$ festgenommen wurden, überraschte hier das Alter der mutmaßlichen Täter. Sieben Personen zwischen 16 und 21 Jahren wurden von der britischen Polizei festgenommen und danach wieder auf freien Fuß gesetzt. Der Drahtzieher der Gruppe war offensichtlich ein 16-Jähriger aus der Umgebung von Oxford. Verantwortlich war die Gruppe unter anderem für Hacks auf Microsoft, Nvidia und andere Großkonzerne – während andere Hackgruppen versuchen im Geheimen zu operieren, kündigte Lapsus$ seine Angriffe meist groß an und rühmte sich auch auf Social Media-Kanälen, was dann schlussendlich auch die Ermittlungen der Behörden erleichtert haben soll.

Mehr dazu:

https://www.dailymail.co.uk/news/article-10648287/English-boy-16-living-mom-mastermind-Lapsus-hacking-group.html

Aktuelle Cybervorfälle – wie eine Cyberversicherung davor schützen kann

In den letzten Wochen berichteten die Medien über zahlreiche aktuelle Cyber-Vorfälle. Darunter finden sich durchaus größere, prominente Unternehmen. Das haben wir zum Anlass genommen, um die Vorfälle durch die verfügbaren Informationen aus den Medien näher zu betrachten. Weiters versuchen wir auch zu zeigen, wie eine Cyberversicherung bei den einzelnen Vorfällen den Versicherungsnehmer unterstützen kann und welche Leistungen aus dem Versicherungsvertrag jeweils folgen.

 

DISCLAIMER

Wir haben zu den einzelnen Vorfällen keine genaue Kenntnis über den tatsächlichen Vorfall, sondern bewerten nur die in den Medien berichtete Faktenlage. Falls für die Bewertung notwendig, werden wir Annahmen treffen, die wir jedoch auch klar als solche kennzeichnen werden. Darüber hinaus haben wir auch keine Kenntnis darüber, ob und welchem Umfang bei den genannten Unternehmen Cyberversicherungsschutz besteht.

METRO AG

Quellen Stand 25.10.2022:
METRO AG – Mitteilung
heise.de – Artikel vom 20.10.2022
futurezone.at – Artikel vom 21.10.2022
winfuture.de – Artikel vom 22.10.2022

Was wissen wir?

Seit Anfang letzter Woche gab es bereits Berichte, dass der Verdacht auf einen Cyberangriff auf den Großhändler naheliegt. Zwischenzeitlich hat METRO den Cyberangriff bzw. IT-Sicherheitsvorfall auch auf der eigenen Website bestätigt. Interessant sind hier die Auswirkungen auf das Tagesgeschäft – die IT-Systeme sind wohl nicht vollständig lahmgelegt, sondern es kommt bei der Verarbeitung von Vorgängen an der Kasse zu Verzögerungen und auch bei der Preisauszeichnung komme es zu Problemen. Die betroffenen Filialen in Deutschland, Frankreich und Österreich bleiben allerdings unverändert geöffnet.

Die IT-Abteilung des Hauses ist im Zusammenhang mit externen Experten auf Ursachensuche – weitere Details sind darüber allerdings nicht bekannt.

Was wissen wir nicht?

Es gibt keine offiziellen Informationen darüber, ob Daten des Unternehmens verschlüsselt oder ausgeleitet wurden. Auch über die Art des Cyberangriffs ist nichts bekannt gegeben worden – vorstellbar ist, dass Teilsysteme durch den Cyberangriffs kompromittiert wurden und vom Netz genommen werden mussten, ausgefallen sind oder durch eine DDoS-Attacke lahmgelegt wurden.

Wie kann hier die Cyberversicherung helfen?

Lt. den Unternehmensinformationen handelt es sich um einen Cyberangriff. In Frage kommen zu diesem Zeitpunkt forensische IT-Dienstleistungen, welcher der Ermittlung der Schadensursache und der betroffenen Systeme dienen und auch für die Wiederherstellung der Systeme eine wichtige Grundlage liefern.

Die Hinzuziehung von externen Spezialisten zeigt hier auch, dass auch bestens vorbereitete IT-Abteilungen eines Unternehmens im Ernstfall Unterstützung von Experten anfordern – hier leistet die Cyberversicherung wertvolle Unterstützung, da vom Versicherer Vereinbarungen mit entsprechenden Experten getroffen werden – je schneller diese in einem Schadensfall tätig werden können, desto wahrscheinlicher ist es, dass das volle Ausmaß des möglichen Schadens gar nicht erst erreicht wird und das Unternehmen früher wieder handlungsfähig wird, was sowohl im Sinn des Kunden als auch der Versicherung ist.

Falls es zu einer Infektion der Systeme mit Schadsoftware gekommen ist, muss sichergestellt werden, dass die Systeme vor der Wiederinbetriebnahme „sauber“ sind, was die Kosten für die Wiederherstellungsmaßnahmen weiter in die Höhe treibt – eine weitere Re-Infektion nach der Wiederherstellung der Systeme soll jedenfalls ausgeschlossen werden – was die forensischen Maßnahmen zur Ermittlung der genauen Schadensursache unerlässlich macht.

Auch die Cyber-Betriebsunterbrechungsversicherung kann die finanziellen Folgen eines solchen Hackerangriffs abfedern. Auch wenn der Filialbetrieb momentan aufrecht ist, kann man davon ausgehen, dass aufgrund der Verzögerungen und der Berichterstattung in den Medien die Umsätze bis zu Behebung möglicherweise geringer ausfallen werden, als ursprünglich angenommen. Weiters ist denkbar, dass die betroffenen Systeme zumindest teilweise durch angemietete Systeme ersetzt werden müssen, um den Betrieb aufrechtzuerhalten. Die dadurch anfallenden Mehrkosten können auch von der Cyber-Betriebsunterbrechungsversicherung gedeckt sein.

Insofern es sich um eine Cyber-Erpressung durch einen Ransomware-Angriff handelt, sind in diesem Zusammenhang auch die Beratungsleistungen und ggfls. auch die Zahlung eines etwaigen Lösegelds regelmäßig Teil der Versicherungsleistung.

Auch begleitende PR-Maßnahmen sind bei Vorfällen dieser Art durchaus sinnvoll, um den Image-Schaden für das Unternehmen und damit verbundene Ertragsausfälle möglichst gering zu halten.

Dass das Unternehmen in der Lage ist, seinen Betrieb trotz des Cyber-Angriffs aufrechtzuerhalten, lässt darauf schließen, dass passende Reaktionspläne im Unternehmen vorhanden sind und auch umgesetzt werden können. Gerade bei Großunternehmen werden diese Notfallpläne inzwischen auch durch die Versicherungen vorausgesetzt – und zwar nicht nur das Bereithalten, sondern auch die regelmäßige Übung und Aktualisierung dieser Pläne.

jö bonus Club (Unser Ö-Bonus Club GmbH)

Quellen Stand 25.11.2022:
Mitteilung jö Bonus Club
puls24.at – Artikel vom 24.10.2022

Was wissen wir?

Der Betreiber des österreichischen Treue-Programms wurde nicht direkt Opfer eines Hacker-Angriffs, jedoch wollten sich Cyber-Kriminelle persönlich bereichern, indem Sie Bonus-Punkte aus Accounts von Usern missbräuchlich einzulösen versuchten.

Vom jö Bonus Club wurden am 23.11.2022 alle Mitglieder informiert, dass im großen Stil – ca. 12.000 Accounts sind betroffen – versucht werde, Accounts zu übernehmen, indem Passwörter aus anderen Quellen verwendet werden. Es wird auf bisher 15 Fälle verwiesen, in denen Punkte missbräuchlich verwendet wurden. Um weiteren Missbrauch zu verhindern, wurde die Möglichkeit deaktiviert, online Punkte einzulösen – dies hat jedoch auch zur Folge, dass eine Online-Anmeldung durch die User aktuell nicht möglich ist, und damit auch die Möglichkeit bei Online-Partnern Punkte zu sammeln, eingeschränkt ist. Das Punkte-Sammeln bei Filialeinkäufen ist hingegen weiterhin möglich.

Im Darknet werden auf zahlreichen Seiten Kombinationen aus Username/EMail-Adresse und Passwort angeboten – diese Daten stammen aus Leaks von anderen Seiten und Diensten, die bereits gehackt wurden oder einen Datenschutzvorfall hatten, wo diese Daten abgezogen wurden. Und da viele User dieselbe Kombination aus Email-Adresse und Kennwort für verschiedene Dienste nutzen, ist es für Cyber-Betrüger ein leichtes, diese Kombinationen bei lohnenden Diensten durchzuprobieren, was natürlich meist automatisiert geschieht.

Was wissen wir nicht?

Unklar ist, welche Rückschlüsse das Unternehmen daraus ziehen wird und wann das Online-Programm wieder angeboten wird. Es ist davon auszugehen, dass für die Konten, bei denen ein Anmeldeversuch durch die Angreifer erfolgreich war oder zukünftig erfolgreich durchgeführt werden könnte, die Neuvergabe des Passworts eine geeignete Maßnahme sein wird. Denkbar ist ein Abgleich der eigenen Kundendatenbank mit entsprechenden Dienstleistern, um überprüfen zu können, welche Kunden bzw. EMail-Adressen bereits einmal von einem entsprechenden Leak betroffen waren. Das stellt das Unternehmen mit seinen aktuell 4,2 Millionen jö Bonus-Club-Mitgliedern

Übrigens:
Einen Check, ob auch Daten zu Ihrer Email-Adresse bereits geleakt wurden, können Sie z.B. auf folgender Seite nachprüfen: https://haveibeenpwned.com/

Wie kann hier die Cyberversicherung helfen?

Auch bei einem solchen Vorfall können Cyber-Versicherungen unterstützend wirken.

Einerseits bei der Ermittlung der Ursache – gerade derart missbräuchliche Nutzung von Online-Diensten ist schwer festzustellen und zu ermitteln, da sich die Täter ja mit grundsätzlich gültigen Zugangsdaten beim Dienst anmelden. Trotz alledem kann es damit auch zu Informationssicherheitsverletzungen und Datenschutzverletzungen kommen. Die Kosten für eine entsprechende Sicherheitsanalyse und die Ergreifung von Sicherheitsverbesserungen kann Gegenstand der Leistung der Cyberversicherung sein.

Obwohl sich im konkreten Fall der Schaden für die einzelnen Betroffenen und damit verbundene Haftpflichtansprüche in Grenzen handeln dürfte, ist durch die teilweise Betriebsunterbrechung (die Online-Dienste können aktuell ja nicht genutzt werden) ein Ertragsausfall des Betreibers möglich.

Entstandene Schäden bei den einzelnen Mitgliedern könnten im Rahmen einer Vertrauensschadendeckung oder im Falle der Erhebung von Ansprüchen durch die Geschädigten für die Cyber-Haftpflichtversicherung ein Thema sein.

Hervorzuheben ist in diesem Fall die schnelle Information der Kunden durch die „Unser Ö-Bonus Club GmbH“, welche vor den ersten Medienberichten erfolgte und dass auch klar kommuniziert wurde, was vorgefallen ist und auch welche Maßnahmen ergriffen wurden.

Datenpanne Peek & Cloppenburg KG, Düsseldorf

Quellen 25.10.2022:
focus.de, Artikel vom 15.10.2022, 13.03 Uhr
focus.de, Artikel vom 15.10.2022, 19:41 Uhr
heise.de, Artikel vom 17.10.2022

Was wissen wir?

Am 13.10.2022 wurden durch eine fehlerhafte Konfigurationsänderung am Webshop von Peek & Cloppenburg Daten von Webshop-Benutzer am Server zwischengespeichert und anderen Webshop-Besuchern angezeigt. Betroffen waren lt. Aussage des Unternehmens nur Daten von aktiven Webshop-Besuchern. Das Unternehmen hat den Fehler behoben und den entsprechenden Konfigurationsfehler eingeräumt – maximal wären die Kundendaten von 340 Personen betroffen gewesen – bei diesen jedoch unter anderem offene Warenkörbe, ehemalige Bestellungen, die letzten vier Stellen der Kreditkartennummer und Ablaufmonat und -jahr der Kreditkarte.

Was wissen wir nicht?

Der genaue Zeitraum der Datenpanne ist unklar, da sich das Unternehmen den Medien gegenüber unklar äußerte – auch auf der eigenen Website des Unternehmens ist keine Stellungnahme dazu zu finden. Es dürfte sich jedoch um eine vergleichsweise kleine Datenpanne handeln.

Wie kann hier die Cyberversicherung helfen?

In erster Linie kann es hier aufgrund der Datenpanne zu Haftpflichtansprüchen aufgrund des DSGVO-Verstoßes kommen und ggfls. könnten Anspruchsteller auch immateriellen Schadensersatz fordern. Auch kann in solchen Fällen auch das Ausmaß der Datenschutzverletzung oft nur mit Hilfe von IT-Forensiker:innen festgestellt werden. Auch für die anwaltliche Prüfung von Melde- und Anzeigepflichten können Kosten anfallen. Da allerdings in solchen Fällen oft kein Cyber-Vorfall gem. der Versicherungsbedingungen vorliegt, muss hier genau geprüft werden, ob Versicherungsschutz besteht. Manche Cyber-Bedingungswerke leisten beispielsweise für Haftpflichtansprüche aufgrund von Datenschutzverletzungen oder Geheimhaltungspflichten unabhängig davon, ob ein Cybervorfall (Hackan- bzw. eingriff, Infektion mit Schadsoftware) vorliegt.

 

Joe Kaltschmid, CEO Infinco, und Alexander Kirchknopf, Key Account Manager Infinco Wien vor deren neuen Standort in der Marokkanergasse © LEADERSNET

Wir stellen vor: INFINCO Wien – Alexander Kirchknopf

Mitte dieses Jahres haben wir die Eröffnung unseres neuen Standorts in 1030 Wien in der Marokkanergasse 7 bekannt gegeben. Die Niederlassung in Wien, wo zumindest 50 Prozent unserer Kunden sitzen, war für uns wichtig, um auch unsere Ernsthaftigkeit am Wiener Markt zu zeigen.

Seit September hat dieser Standort auch ein Gesicht und wir möchten diese Gelegenheit nutzen, Ihnen unseren Standortleiter und Key Account Manager Alexander Kirchknopf vorzustellen:

Joe Kaltschmid, CEO Infinco, und Alexander Kirchknopf, Key Account Manager Infinco Wien vor deren neuen Standort in der Marokkanergasse © LEADERSNET

Alexanders beruflicher Werdegang ist für unsere Branche eher untypisch verlaufen – ursprünglich kommt Alexander aus dem Maschinenbau, wo er von der Luftfahrt (Lauda Air) bis hin zur Autoindustrie (Opel Austria) in mehreren Firmen und Positionen tätig war. Von der Überprüfung von Flugzeugteilen bis hin zur Produktionsleitung bei einem Zulieferer der Autoindustrie gehörte alles zu seinen Aufgaben – in dieser Branche lernt man Zeitmanagement, Projektplanung und Ressourcenmanagement und vor allem präzises und genaues Arbeiten.

2005 erfolgte dann der Wechsel in den Bereich der Versicherungsberatung – zuerst als Versicherungsmakler im Gewerbe und Privatbereich mit eigenem Bestand und eigenem Team in weiterer Folge ab 2015 beim Volksbanken Versicherungsdienst für den Bereich Bankenversicherung. Hier verantwortete er den Aufbau des Versicherungsgeschäfts des Bankensektors – von den bankentypischen Versicherungen für Bargeld, Sachversicherungen, Kassentransportversicherungen bis hin zu D&O, Cyber-, Vertrauensschaden-, Strafrechtschutz- und Vermögensschadenhaftpflichtversicherung.

Anfang 2022 war Alexander auf der Suche nach einer neuen Herausforderung und dabei hat die geplante Expansion von INFINCO in Richtung Osten gut ins Bild gepasst – nun wird Alexander dafür sorgen, dass INFINCO auch im Osten Österreichs präsent ist und wahrgenommen wird.

Bei Interesse an einer Kooperation oder sonstigen Anfragen können Sie gerne ab sofort auch Hrn. Alexander Kirchknopf direkt ansprechen – die Kontaktdaten finden Sie direkt auf unserer Unternehmensseite, wo auch unser Team vorgestellt wird.

 

Nur mehr Vorzeigekunden in der Sparte Cyber?

Ein kürzlich veröffentlichter Artikel im Versicherungsmonitor (im Volltext kostenpflichtig) zeigt, wie sehr sich die Sparte Cyber in den letzten beiden Jahren verändert hat. Aufgrund steigender Schadens- und Kostenquoten zeichnen inzwischen nicht nur die AGCS, sondern zahlreiche weitere Versicherungsunternehmen die Sparte Cyber nur mehr, wenn die Antragssteller gewisse Kriterien erfüllen. In diesem Artikel möchten wir auf den Bereich Mindestanforderungen in der Cyber-Versicherung näher eingehen.

Mindestkriterien beim Versicherungs-Abschluss

Die jeweiligen Mindestkriterien des Versicherers müssen beim Versicherungsabschluss erfüllt werden – diese Mindestanforderungen dürfen zwischenzeitlich auch wirklich als solche bezeichnet werden, da diese von den Cyber-Anbietern auch rigoros durchgesetzt werden. Der Spielraum, welcher bis vor kurzem noch gewährt wurde, ist bei den meisten Anbietern nun nicht mehr vorhanden. Früher gewährte Fristen für die Umsetzung einzelner Maßnahmen waren in den letzten Jahren möglich, spielen aktuell aber keine Rolle mehr – auch weil die Nachverfolgung dieser Fristen praktisch kaum möglich ist.

Die Mindestkriterien der Versicherer unterscheiden sich jeweils, können jedoch grob in technische und organisatorische Anforderungen unterteilt werden:

Technische Anforderungen

Im Rahmen der Technik werden Anforderungen an das IT-System des Versicherungsnehmers formuliert – diese Anforderungen werden meist in den folgenden Bereichen gestellt:

  • Qualität der Backuplösung (separiert, getestet)
  • Vorhandene und qualitativ hochwertige Anti-Viren-Lösungen und End-Point-Protection
  • Passwortsicherheit und Multi-Faktor-Authentifizierung
  • Härtung von Admin-Accounts zur Verwaltung der IT
  • Segmentierung von kritischen Netzwerkabschnitten (IT-OT)

Organisatorische Anforderungen

Ein nicht zu unterschätzender Teil der Anforderungen bezieht sich auf die Unternehmensorganisation und dort ablaufende Entscheidungs- und Managementprozesse – hier wird anhand der Mindestanforderungen festgelegt, dass IT-Sicherheit fix in der Führungsebene verankert sein muss und auch Prozesse, die die IT-Sicherheit gewährleisten sollen, vorhanden sind:

  • Weiterbildungsangebot zu IT-Sicherheit
  • Reaktionspläne für Sicherheitsvorfälle
  • Patchmanagement
  • externe Audits, Penetrationstests
  • 4-Augen-Prinzip im Zahlungsverkehr
  • schriftliche Anweisungen an die Mitarbeiter zu IT-Security-Themen

Die obigen Aufzählungen sind selbstverständlich nicht als vollständig anzusehen, geben aber einen Einblick, in welche Richtung die Anforderungen gehen. Auch variieren diese natürlich je nach Versicherer und Unternehmensgröße, was es auch gerade im Bereich der Anbietersuche sehr umständlich macht, da aktuell fast jeder Marktteilnehmer auf den eigenen Risikofragebogen besteht – über unsere Bestrebungen dahingehend etwas zu ändern, können Sie in diesem Artikel etwas lesen.

Nachholbedarf bei IT-Security

Auswertungen haben gezeigt, dass gerade im Bereich der KMUs großer Nachholbedarf hinsichtlich IT-Sicherheit besteht, im Besonderen in den Bereichen Netzwerksegmentierung, Patch-Management und Reaktionspläne für Cybervorfälle. Auch die Verankerung von IT-Security als feste Aufgabe im Management hat sich bei dem Großteil der Unternehmen bisher noch nicht durchgesetzt.

Dieser Nachholbedarf führt dazu, dass Kunden nicht oder nicht in dem Umfang wie gewünscht versichert werden können und es ist auch davon auszugehen, dass dieser Trend sich über die nächsten Jahre weiter verschärfen wird.

Ransomware als Kosten- und Prämientreiber

Hinzu kommt, dass auch die Prämien in der Cyberversicherung stark ansteigen – nicht nur Neukunden – auch gut aufgestellte Bestandskunden sind von diesen Preissteigerungen betroffen.

Argumentiert wird dies mit der starken Zunahme an Schadensfällen, insbesondere im Bereich Ransomware, welche ca. 80% der Schäden ausmachen. Während die Anzahl der Schäden von 2020 auf 2021 um das 4-fache zugenommen haben, stieg die Schadenssumme gar um das Siebenfache. Das erklärt auch den Anstieg der Schaden- und Kostenquote aller deutschen Cyberversicherer von 64% im Jahr 2020 auf 124% im Jahr 2021. AGCS stellt bei diesen Zahlen sogar einen Fortbestand der Sparte in Frage, wenn dieser Trend nicht gestoppt wird.

Die verschärfte Schadenssituation führt auch dazu, dass die vom Versicherungsnehmer beim Abschluss bzw. in der Verlängerung getätigten Antworten auf Risikofragen eingehend auf Ihren Wahrheitsgehalt geprüft werden. Da die Aufarbeitung eines Cyber-Schadensfalls fast immer durch IT-Forensiker erfolgt, werden fehlerhafte Angaben im Fragebogen jedenfalls offenkundig und sofern schadenskausal, steht auch die Versicherungsleistung auf dem Spiel.

Fazit

Gerade in der aktuellen Situation ist es für Unternehmen, die Cyberversicherungsschutz suchen, empfehlenswert, sich an spezialisierte Anbieter zu wenden. Der Markt ist aktuell undurchschaubar und ändert sich laufend. Auch gibt es vereinzelt noch Anbieter, die der Anforderungsspirale noch nicht vollumfänglich folgen – hier steht noch das Interesse an Neugeschäft im Vordergrund. Es ist jedoch auch hier abzusehen, dass die Anforderungen über kurz oder lang zunehmen werden. Als Bestandskunde ist man allerdings gegenüber Neukunden jedenfalls im Vorteil und profitiert in der Vertragsverlängerung meist von günstigeren Konditionen.

Gerne beraten wir auch Ihre Kunden in Bezug auf einen umfassenden Cyber-Schutz.

Wie erkennt man Telefonbetrug?

Telefonbetrug ist eine beliebte Masche und sorgt bei den Betroffenen oft für hohe finanzielle Schäden.  In diesem Artikel möchten wir einen Überblick über die aktuellen Betrugsmaschen geben und wie Sie sich davor schützen können. Ein Tipp gleich vorweg – lesen Sie den Artikel und Sie sind über die aktuellen gängigen Maschen der Betrüger informiert – und damit auch gewappnet, sollten Sie zum Ziel der Betrüger werden.

Auch die österreichischen Behörden warnen bereits vor einer starken Zunahme von Betrugsversuchen: Im Jahr 2021 wurden ca. 56.000 Beschwerden bei der RTR zu Rufnummernmissbrauch eingebracht – wie hoch die Dunkelziffer ist, kann nur abgeschätzt werden, aber es ist davon auszugehen, dass nur ein Bruchteil der Versuche auch gemeldet wird. Auch seit August ist das Thema nach etwas ruhigeren Monaten wieder brandaktuell und man hat alleine im August knapp 8.000 Beschwerden vermelden können.

Verbreitete Betrugsmaschen

In den letzten Jahren habe sich einige Betrugsmaschen entwickelt, welche immer wieder in leicht abgewandelter Form durch die Betrüger eingesetzt werden, da sich die Methoden als lukrativ herausgestellt haben:

Übersicht Telefonbetrug

Übersicht über die üblichen Telefonbetrugsmaschen

IT-Support

Hier melden sich vermeintliche Support-Mitarbeiter (z.B. von Microsoft) und teilen mit, dass sie ein Problem auf dem PC des Anwenders festgestellt haben und diesen dabei unterstützen möchten, das Problem zu beheben. In vielen Fällen wird auch versucht, auf das System des Anwenders mittels Fernwartung zuzugreifen. Dies öffnet viele weitere Türen für die Zahlung von vorgetäuschten Lizenzgebühren, Installation von Schadsoftware und vieles mehr.

Gewinnspiel

Ein hoher Gewinn wird vorgetäuscht. Um diesen „abzuholen“ ist ein Anruf bei einer Gewinnhotline erforderlich oder die Zahlung einer Bearbeitungsgebühr (natürlich unter Zeitdruck). Für die Gewinnhotline fallen enorme Gebühren an und eine überwiesene Bearbeitungsgebühr sieht man selbstverständlich nie wieder

Enkeltrick

Der Name stammt daher, dass mit dieser Masche häufig ältere Personen kontaktiert werden. Diese Anrufer stellen eine finanzielle Notsituation (Kosten für notwendige Operation, Kautionsleistung) von nahen Verwandten dar, welche nur durch eine schnelle Überweisung oder auch Übergabe der Gelder gelöst werden könne. Hier sind auch Fälle bekannt, wo das Geld oder die Wertgegenstände postwendend bei den Opfern abgeholt wurden. Häufig beginnen diese Aufforderungen über WhatsApp oder andere Messenger-Dienste, wo mitgeteilt wird, dass der nahe Verwandte eine neue Telefonnummer hat.

Änderungen von Bankverbindungen

Mitarbeiter von Unternehmen werden kontaktiert, dass zukünftige Zahlung für eine bestehende Lieferantenverbindung auf eine neue Kontoverbindung angewiesen werden sollen. Dies geht meist mit bereits kompromittierten Emails einher, sodass der Betrug sehr schwer aufzudecken ist bzw. erst nach Wochen auffällt, wenn der echte Lieferant den Zahlungsverzug einmahnt.

Ping-Anrufe

Eine unbekannte Rufnummer läutet nur kurz an – dies soll zum Rückruf verleiten. Entweder werden durch den Rückruf selbst hohe Gebühren ausgelöst oder man wird beim Rückruf durch eine automatisierte Ansage aufgefordert eine Tastenkombination einzugeben, welche eine kostenpflichtige Weiterleitung auf Mehrwertdienste auslöst. In diesem Zusammenhang werden Ähnlichkeiten zu lokalen Rufnummern ausgenutzt, welche schwer zu erkennen sind.

Anrufe der Exekutive

Diese Anrufe zeichnen sich durch eine ähnliche Herangehensweise wie beim Enkel-Trick aus, nur dass der Anruf durch die Polizei, Staatsanwaltschaft oder anderen Behörden vorgetäuscht wird und der Forderung damit mehr Nachdruck verliehen werden soll.

Worauf soll ich achten?

Auch wenn jeder von uns Opfer solcher Anrufe werden kann, ist mit etwas Vorsicht eine Betrugsmasche meist schnell aufgedeckt. Dazu gibt es einige Punkte zu beachten.

Achtung bei unbekannten Rufnummern oder unterdrückten Nummern

Diese Anrufe sollten immer mit etwas Skepsis angenommen werden, auch wenn es natürlich durchaus sein wird, dass Anrufe legitim sind. Wenn man sich über die Identität des Anrufers nicht im Klaren ist, können gezielte Nachfragen gestellt werden, die der Anrufer wissen müsste – oder fragen Sie einfach nach, ob Sie den Anrufer zurückrufen können. In den meisten Fällen wird sich der Schwindel dann schnell offenbaren.

Beachten Sie aber auch, dass den Anrufern Informationen aus den sozialen Netzwerken zur Verfügung stehen könnten. Prüfen Sie Ihre Privatsphäreeinstellungen, ob die Informationen, die fremde Personen sehen können, angemessen sind.

Bei Rufnummern ist außerdem zu beachten, dass es technisch leicht möglich ist, eine Telefonnummer zu fälschen, die Ihnen am Display angezeigt wird.

Keine Weitergabe von persönlichen Informationen

Geben Sie auf keinen Fall persönliche Informationen wie Bankverbindung, Zugangsdaten zu Accounts etc. weiter. Auch wenn diese eventuell nicht direkt durch den Betrüger verwertbar sind, landen diese Daten in unseriösen Datenbanken. Diese werden dann für den nächsten Betrugsversuch genutzt, welcher dadurch dann deutlich überzeugender sein kann.

Keinen Fernzugriff auf den PC erlauben

Damit öffnen Sie Betrügern Tür und Tor für weitere Handlungen – sei es die Installation von Schadsoftware, Diebstahl von Daten und Geldern usw.

Rückversicherung einholen

Auch wenn die Geschichte plausibel erscheint – scheuen Sie nicht die Mühe, sich bei den betroffenen Personen auf einem anderen Kanal rückzuversichern oder suchen Sie im Internet nach ähnlichen Erfahrungsberichten zu Vorfällen.

Eine Aufstellung der aktuellen Meldungen an die österreichische RTR finden Sie hier – diese liefert einen guten Überblick über das Thema – darüber hinaus lassen sich die Betrugsversuche melden, sodass ein guter Überblick darüber gewährt ist, welche Betrugsmaschen gerade aktuell sind:
https://www.rtr.at/

Fazit

Es ist zu erwähnen, dass die obigen Betrugsmaschen grundsätzlich nicht auf Telefonanrufe beschränkt sind, sondern sich in ähnlicher oder abgewandelter Form auch über andere Dienste wie Messenger, soziale Medien umsetzen lassen. Hier insbesondere in Verbindung mit übernommenen Accounts von bereits befreundeten Personen. Kontaktieren Sie diese Personen dann jedenfalls über einen anderen Kanal.

Wenn das Geld einmal überwiesen wurde, besteht in den meisten Fällen keine Möglichkeit mehr, das Geld zurückzuholen, da es meist entweder direkt ins Ausland fließt oder unmittelbar behoben wird.

Auch ist zukünftig davon auszugehen, dass neue Betrugsmaschen gefunden werden – es ist daher generell notwendig eine gesunde Portion Misstrauen an den Tag zu legen. Wenn man die Ratschläge allerdings befolgt, werden die Betrüger es schwer haben.

 

Cyber-Renewal 2022 – was steht uns bevor?

Nicht nur bei Neuabschlüssen werden Kapazitäten zurückgefahren und die Prämien erhöht – auch im kommenden Renewal ist absehbar, dass die Versicherungsnehmer mit teilweise stark ansteigenden Prämien konfrontiert werden. Auch die Versicherungswirtschaft spricht offen über die Prämiensteigerungen und macht dafür die hohen Schäden in der Sparte verantwortlich.

Hauptthemen Cyber-Renewal 2022

Einschätzung der aktuellen Situation

Dass die Preise sich in der Sparte Cyber auch in den kommenden Jahren noch nach oben entwickeln werden ist absehbar. Bereits dieses Jahr sind wir in einigen Segmenten mit starken Prämienerhöhungen konfrontiert.

Aktuell ist allerdings entgegen der Preisentwicklung keine Abschwächung hinsichtlich der Nachfrage zu spüren, sowohl bei Neukunden als auch bei bestehenden Kunden, welche Verlängerungsangebote erhalten haben. Die „Feuerversicherung des 21. Jahrhunderts“ wird in allen Unternehmen über kurz oder lang Einzug halten – davon sind wir überzeugt. Das Risikobewusstsein ist in den meisten Unternehmen vorhanden und aktuell lässt es auch das Prämienniveau noch zu, dass Unternehmen jeder Größe das Risiko eines Cybervorfalls durch eine Cyberversicherung mitigieren können – insofern man hinsichtlich IT-Sicherheit die Hausaufgaben erfüllt hat und die Mindestvoraussetzungen des Versicherers, welche ebenfalls kontinuierlich nach oben geschraubt werden, eingehalten werden.

Auf der Versicherungsseite sieht die Situation etwas anders aus – während sich manche Versicherer ganz oder teilweise aus dem Markt zurückziehen, verringern andere die Kapazitäten und erhöhen die Preise. In Einzelfällen kommt es auch vor, dass sich Versicherer auch von Verträgen trennen und erneuern diese nicht mehr, insbesondere wenn die Kunden hinsichtlich der IT-Sicherheit ungenügend aufgestellt sind.

Ukraine Krise verunsichert

Die Ukraine-Krise trägt zur Verunsicherung bei – die Bedrohungslage ist nach wie vor vorhanden und in die Verträge werden im Zuge der Verlängerungen, wenn nicht bereits vorhanden, territoriale Ausschlüsse aufgenommen und die Kriegsausschlüsse überarbeitet. So findet auch eine Selektion der Risiken hinsichtlich potentieller Angriffsziele statt. Deckungen für Tochterunternehmen in der Ukraine, Russland und Weißrussland sind aktuell kaum mehr möglich. Generell wird bei Anknüpfungspunkten in diese Länder nun sehr genau hingeschaut.

Einer Berufung der Versicherer auf die Kriegsausschlüsse stehen wir kritisch gegenüber – eine entsprechende Deckungsverweigerung wird in den meisten Fällen schwer nachvollziehbar sein, insbesondere da bei den meisten Hackergrupperungen ein staatlicher Anknüpfungspunkt schwer nachweisbar sein wird. Mehr hierzu zu unserem vorangegangen Beitrag.

Einschränkungen im Versicherungsschutz

Versicherer beginnen nun auch diverse Deckungsbausteine in Frage zu stellen bzw. starke Sublimits in die Deckungen einzuziehen, insbesondere die Zahlung von Lösegeldern für die Freigabe von verschlüsselten Daten. Dieses Thema wird bereits seit längerem diskutiert – auch hier ein Verweis auf einen früheren Artikel von uns. Lt. der Versicherungswirtschaft gibt es bereits Fälle, in denen die Angreifer gezielt nach Informationen zur Cyberversicherung im Unternehmensnetzwerk gesucht haben, um die Höhe des Lösegelds auf die Versicherungssumme abzustimmen. Nichts desto trotz ist es natürlich unsere Pflicht als Vertreter des Kunden, diesen bestmöglich abzusichern und auch dieses Risiko nach Möglichkeit abzudecken – insbesondere da es in manchen Fällen der einzige Ausweg sein kann, um einen noch größeren Schaden abzuwenden, für den der Versicherer dann erst recht wieder eintreten müsste.

Stolperfalle Allgemeine Geschäftsbedingungen im Schadensfall

Die Zunft der Steuerberater in unserem Land sah sich im Zusammenhang mit der Corona-Pandemie mit einer Vielzahl an neuen Aufgaben konfrontiert. Die Beantragung diverser Corona-Förder-Maßnahmen für ihre Klienten bestimmte in den meisten Kanzleien immer mehr den Arbeitsalltag. Aufgrund der Vielzahl der zu verarbeitenden Anträge und der sich ständig ändernden gesetzlichen Grundlagen, kam es mitunter dazu, dass ein Antrag übersehen und nicht fristgerecht eingebracht wurde. Derartige Fehler sind menschlich und aufgrund der wirklich großen Stückzahl an Anträgen, die zu einem fixen Datum abgearbeitet sein mussten, nachvollziehbar. Nachfristen gab es keine und es wurde auch sonst von den auszahlenden Stellen eine Null-Toleranz-Schiene gefahren.

War eine Frist verabsäumt, gab es keine Möglichkeit mehr, den Schaden abzuwenden.

Schadenersatzrechtlich sind derartige Schadensfälle eigentlich eine klare Angelegenheit. Eine Frist wurde versäumt und es konnte, für Steuerberaterschäden eher untypisch, in diesen Fällen auch der Schaden ganz konkret beziffert werden, da die Fördervorgaben dahingehend eindeutig waren. Wenn nun aber ein Anspruchsteller – der ganz eindeutig Anrecht auf Ersatz des Schadens hat – sich mit seiner Inanspruchnahme zu viel Zeit gelassen hat, droht die böse Überraschung bei der Schadensabwicklung, denn in den Allgemeinen Auftragsbedingungen für Wirtschaftstreuhandberufe (AAB) der meisten Wirtschaftstreuhandgesellschaften ist eine Haftungsbegrenzung enthalten, wonach ein Anspruch nur innerhalb von 6 Monaten ab Kenntniserlangung geltend gemacht werden kann.

Ist nun also die Inanspruchnahme der Kanzlei nach Ablauf dieser 6-Monatsfrist erfolgt, wird der Versicherer seinem Leistungsversprechen zwar nachkommen, aber nicht in dem Umfang, den der verursachende Steuerberater gerne hätte, denn in diesen Fällen wird der Versicherer Abwehrdeckung gewähren!

In diesen Fällen ist dies aber weder im Sinne des Versicherungsnehmers noch des Versicherers. Für den Versicherungsnehmer, der sich in derartigen Fällen seinem Verschulden vollumfänglich bewusst ist, ist die Abwehrdeckung das letzte was er braucht. Wer möchte schon gerne einen ohnehin durch einen Fehler der Kanzlei geschädigten Kunden mit einem ablehnenden Schreiben einer Rechtsanwaltskanzlei beglücken?

Aber auch für den Versicherer ist die Gewährung von Abwehrdeckung nicht risikolos. Schließlich ist keinesfalls gesagt, dass die Haftungsbeschränkungen, die in AGBs vereinbart werden, vor Gericht halten werden. Wenn nicht, müsste der Versicherer noch höhere Kosten in Kauf nehmen, als durch die Deckung des Primärschadens entstanden wären.

Es empfiehlt sich daher, sich um eine diplomatische Lösung zu bemühen, die im Sinne aller Beteiligten ist. Besonders berücksichtigt werden sollte dabei, inwieweit den Anspruchsteller ein Verschulden an der verspäteten Inanspruchnahme trifft.

Hoher Druck auf D&O-Versicherer

Es lastet weiterhin hoher Druck auf vielen D&O-Versicherern. Zu den Problemen aus der Vergangenheit im Bereich Schaden kommen nun durch den Krieg in der Ukraine weitere Probleme hinzu.

Prämienniveau nicht auskömmlich

Die D&O-Versicherung gilt für viele Versicherer als Verlustsparte. Dazu haben nicht zuletzt mehrere Großschäden beigetragen, insbesondere „VW-Dieselgate“. In Österreich gibt es durch den Versicherungsverband keine veröffentlichten Zahlen im Zusammenhang mit D&O. Anders stellt sich dies in Deutschland dar. Hier veröffentlicht der GDV jährlich auch Zahlen zum D&O-Versicherungsgeschäft. Die in 2021 veröffentlichten Zahlen zeigten deutlich, dass das bisherige Prämienniveau nicht auskömmlich ist. Deshalb ist in gewissen Bereichen, wie etwa der Industrie oder etwa bei Finanzinstitutionen weiterhin mit Prämienerhöhungen zu rechnen oder auch mit restriktiveren Bedingungen.

Haftungsrisiken steigen – der Krieg in der Ukraine verschärft die Situation

Die Haftungsrisiken für Manager steigen deutlich. Risikotreiber ist nicht mehr allein die Corona Krise. Vielmehr kommt es zu einer sprungartigen Änderung der rechtlichen und wirtschaftlichen Rahmenbedingungen. Dabei spielen die steigende Inflation, ESG, Cyberrisiken und der Krieg in der Ukraine eine große Rolle. Mit dem Krieg in der Ukraine verbunden sind vor allem die Unterbrechung bislang nie hinterfragter Lieferantenketten. Diese müssen oft völlig neu konzipiert und umgesetzt werden.
Gerade Manager, deren Business stark von Rohstoffpreisen abhängt, leben sehr exponiert. Wenn nicht Rohstoffabsicherungen gegen Preissteigerungen gekauft wurden (Futures, Optionen) oder im Liefervertrag die Preissteigerungen an den Abnehmer weitergegeben werden können, können die Unternehmen gegen die Manager vorgehen, weil sie diesen eine Pflichtverletzung vorwerfen, da sie eben nicht eine entsprechende Absicherung des Rechtsgeschäftes getätigt haben.

Individuelle Risikobewertung und Besinnung auf den Kern

Das vorangegangene Beispiel zeigt, wie wichtig eine individuelle Risikobewertung in einem schwierigen Marktumfeld ist. Um Portfolios erfolgreich zu steuern, wird es nötig sein, Risiken individueller zu betrachten. Das bedeutet konkret, dass stark von Rohstofflieferungen abhängige Unternehmen in der D&O-Versicherung künftig einen höheren Risikoaufschlag für D&O-Versicherungsschutz zahlen müssen. Zudem sollte der D&O-Versicherer den Kunden auch stärker nach seinen alternativen Beschaffungsstrategien befragen, um ein abgerundetes Bild zum Risiko zu erhalten. Dazu wird es künftig nötig sein, stärker mit den Organen des Unternehmens im Underwriting-Prozess in Kontakt zu treten. Hier sollten stärker die digitalen Möglichkeiten wie etwa Videokonferenzen und andere Tools genutzt werden.
Letztlich wird es auch wichtiger werden, dass sich die D&O-Versicherer auf den Kern der D&O-Versicherung besinnen. Der Deckungsschutz gehört in Bereichen entrümpelt, die auf die Kosten drücken. Das betrifft insbesondere den Bereich Large Corporates, wo häufig die Schadenssätze sehr schlecht sind. Im Bereich der KMU wird diese Vorgangsweise nicht nötig sein.

Verknappung der Kapazitäten bei höheren Preisen

Wenn auch der Preisanstieg bei gleichzeitiger Verknappung der Kapazitäten für viele Kunden sehr unangenehm ist, so sichert dies das Überleben der Sparte. Da es sich bei der D&O-Versicherung um ein systemrelevantes Versicherungsprodukt handelt, erachte ich diesen Schritt der Versicherer als verantwortungsvoll und richtig. Gerade die benannten Risiken dürften zu weiteren Preissteigerungen in der D&O-Versicherung führen, welche aber notwendig sein werden, um die steigenden Haftungsrisiken von Managern solide abzusichern.