Der Beirat als versichertes Organ in der D&O-Versicherung

Versicherte Personen in der D&O-Versicherung sind üblicherweise jedenfalls die Mitglieder

  1. der geschäftsführenden Organe (Geschäftsführer, Vorstand, etc) und
  2. der Kontrollorgane (Aufsichtsrat, Beirat, Verwaltungsrat, etc).

Neben den zwingend gesetzlich vorgesehenen Organen (Geschäftsführung und Aufsichtsrat) ist somit auch Vorsorge für weitere fakultative Organe wie den Beirat getroffen. Die Kernaufgabe des Beirates liegt üblicherweise in der Beratung der Geschäftsführung – nicht zu den Aufgaben des Beirates zählt die Überwachung der Geschäftsführung, da dies Aufgabe des Aufsichtsrates ist.

Vorsicht bei der Ausgestaltung des Beirats

Vorsicht ist jedoch hinsichtlich der Ausgestaltung des Beirates geboten, da zwischen dem organschaftlichen Beirat und dem schuldrechtlichen Beirat zu unterscheiden ist.

  • Der organschaftliche Beirat ist entweder durch den Gesellschaftsvertrag oder die Satzung vorgesehen. Daher kommt dem organschaftlichen Beirat auch Organfunktion im Sinne der Bedingungen zu. Der organschaftliche Beirat kann, im Falle der Verletzung der Pflicht zur ordentlichen und gewissenhaften Ausübung der Aufgaben des Beirates, einer Schadenersatzhaftung ähnlich der anderen Gesellschaftsorgane unterliegen.
  • Der schuldrechtliche Beirat wird entweder durch eine vertragliche Regelung mit der Gesellschaft oder durch einfachen Gesellschafterbeschluss berufen. Daher ist er auch im Gesellschaftsvertrag nicht vorgesehen und somit kommt ihm keine Organstellung zu. Er wird lediglich auf Basis eines schuldrechtlichen Vertrages mit der Gesellschaft tätig. Eine Haftung für Mitglieder des schuldrechtlichen Beirates ist somit nur im Falle einer Vertragsverletzung gegeben.

Fazit

Während die Mitglieder des organschaftliche Beirats üblicherweise vom D&O-Versicherungsschutz umfasst sind, ist dies beim schuldrechtlichen Beirat nicht der Fall. Dies sollte bei der Begründung eines Beirats jedenfalls bedacht werden, auch wenn die Einrichtung eines organschaftlichen Beirats aufgrund der notwendigen Änderung des Gesellschaftsvertrags bzw. der Satzung ungleich aufwändiger ist.

Kostenübernahme von Rechtsanwaltskosten in der Rechtsschutzversicherung

Rechtliche Sonderrisken bedürfen spezieller Rechtsschutzversicherungslösungen, um eine geeignete Absicherung der erheblichen Kosten zu gewährleisten. Aber selbst bei Vorliegen solcher individuell zu vereinbarender Lösungen ist nicht gesagt, dass alle aus Anwaltstätigkeit resultierenden Kosten auch vollständig übernommen werden, wie das nachstehende Schadenbeispiel zeigt.

Ausgangslage

Diesem Schadenereignis lag bei einem Kunden, der Beteiligungen an Portfolios angesparter und laufender englischer Sekundärmarkt-Lebensversicherungen vertreibt, eine Anzeige gegen deren Geschäftsführer wegen des Verdachtes der Verletzung unter anderem des § 15 Abs 1 Z 1 KMG zugrunde.

Die Emittentin verwaltet diese Portfolios treuhändig für die Anleger. Für den öffentlichen Produktvertrieb wurde ein Veranlagungsprospekt erstellt und die Veranlagungsform im Kontrollvermerk zum Prospekt als Risikokapital kategorisiert. Ein Anleger, der einen Verlust von 80% hinnehmen musste, wandte sich an die FMA. Im Veranlagungsprospekt fand sich nämlich zum erworbenen Portfolio keine Aussage, weder in Bezug auf die Ausgestaltung noch auf die damit in Zusammenhang stehenden Risken.

Die FMA sah darin einen Verstoß gegen § 15 Abs 1 Z 1 KMG, da aus Sicht der FMA ein zu veröffentlichender Nachtrag erstellt hätte werden müssen, dies allerdings nicht vorgenommen worden war. Dieser Umstand bewog die FMA zu einer Sachverhaltsdarstellung an die Staatsanwaltschaft.

Verteidigung des Versicherungsnehmers

Um diesen strafrechtlichen Ermittlungen erfolgversprechend entgegentreten zu können, wurden vom Kunden zwei Rechtsanwälte beauftragt. Einer für die allgemeine Rechtsvertretung der Beschuldigten und ein weiterer mit Spezialisierung auf das KMG und dessen Feinheiten.

Die Rechtsvertretungen waren zielführend und in deren Folge das strafrechtliche Ermittlungsverfahren auch eingestellt.

Kostenübernahme

Im Zuge der Abrechnung der entstandenen Anwaltshonorare kam es aber zu Problemen:

  • Von dem zur allgemeinen Vertretung mandatierten Rechtsanwalt wurden sämtliche Kosten aus dem Rechtsschutzversicherungsvertrag übernommen.
  • Ausgenommen davon waren lediglich diejenigen Honorarpositionen, die als Mitwirkungspflichten des Kunden bzw. der versicherten Personen zu bewerten waren. Derartige Kosten werden grundsätzlich nicht erstattet, auch dann nicht, wenn der VN diese Verpflichtung an den vertretenden Rechtsanwalt überwälzt. Das sind und bleiben Obliegenheiten die durch den VN zu erfüllen sind. Und wenn sie delegiert werden, dann auf eigene Kosten.
  • Die Bezahlung der Kosten des auf KMG spezialisierten Anwaltes wurde abgelehnt. Zwar ist die Kostenübernahme von Sachverständigengutachten im Versicherungsvertrag garantiert, erforderlich dafür wäre aber die Erstellung eines konkreten Gutachtens zur notwendigen unterstützenden Begleitung der Rechtsvertretung gewesen. Die lediglich unterstützende Begleitung durch einen zusätzlichen Rechtsanwalt ist von dieser Risikoerweiterung allerdings nicht umfasst.

Quintessenz

Gerade bei komplexen Sachverhalten ist die laufende Abstimmung zwischen VN und Rechtsanwalt zu vorzunehmenden anwaltlichen Aktivitäten besonders wichtig, um vorab Klarheit darüber zu erlangen, welche Kosten auch tatsächlich aus der Versicherung getragen werden.

(Linz, 16.4.2022, Beitrag von Dr. Helmut Tenschert)

Kriegsausschlüsse in Cyber-Policen

Seit Ende Februar ist ein Versicherungs-Thema in Europa aus aktuellem traurigen Anlass wieder sehr aktuell: Kriegsausschlüsse in Versicherungspolicen – insbesondere wird das Thema auch im Zusammenhang mit Cyber-Versicherungsschutz ins Spiel gebracht.

Kriegsausschlüsse

Während sich bei Sachversicherungen Kriegshandlungen meist noch recht gut einem Schadensereignis zuordnen lassen, ist dies in der Cyber-Versicherung nicht mehr so einfach – was gilt als Kriegshandlung und wie sind die Ausschlussklauseln auszulegen – Fakt ist, dass zu diesem Thema aktuell viele Meinungen im Umlauf befinden – welche Meinungen sich durchsetzen werden, wird wahrscheinlich wie so oft von Gerichten entschieden werden.

Auch in der Vergangenheit wurde bereits versucht, isolierte Schadenereignisse in die Ausschlussklausel zu subsummieren. Herrschende Meinung bisher ist allerdings, dass sich der Kriegsausschluss nur auf Kriegsakte im physischen Sinn beziehen kann – und genau diese Voraussetzung ist nun erfüllt.

Grundsätzlich sind für einen Cyber-Schadensfall mehrere Szenarien vorstellbar, wo die Anwendung eines Kriegsausschlusses (unabhängig davon, wie die Klausel im Detail formuliert ist) denkbar ist:

  • Cyber-Angriffe zwischen Konfliktregionen: Unabhängig davon, ob in diesem Fall öffentliche Einrichtungen oder Unternehmen angegriffen werden, ist in diesen Fällen wohl anzunehmen, dass es sich hier meist um tatsächliche Kriegshandlungen handeln wird. Im Falle eines Cyber-Angriffs kann oft die Region, aus der die Angriffe kommen, zugeordnet werden, die Identität der Hacker, wenn diese staatlich gedeckt werden, bleibt bis auf wenige Ausnahmen oft im Dunkeln.
  • Cyber-Angriffe aus Konfliktregionen auf Unterstützter von Konfliktparteien in Drittländern: Es ist durchaus vorstellbar, dass sich eine Konfliktpartei versucht, einen Vorteil zu verschaffen, indem es Unterstützer aus Drittländern durch Cyberangriffe drangsaliert, um Informationen zu erlangen oder Lieferungen zu verzögern. Wenn man bedenkt, wie öffentlich von der Politik über Hilfslieferungen von Waffen und anderem militärischem Gerät gesprochen wird, sind auch die möglichen Ziele für entsprechende virtuelle Angriffe nicht schwer auszumachen. Ein Zusammenhang ist in so einem Fall dann wohl auch schnell hergestellt.
  • Cyber-Angriffe aus Konfliktregionen auf unbeteiligte Akteure in Drittländern: In diesem Fall ist grundsätzlich denkbar, dass die Cyberangriffe ein Mittel zur Kriegsfinanzierung darstellen. Doch auch vor den aktuellen Konflikten wurden bereits Zusammenhänge mit staatlich geförderten Akteuren vermutet – während sich im Nachhinein herausstellte, dass viele der Angriffe zwar staatlich geduldet (d.h. die Handlungen wurden im betroffenen Land nicht verfolgt) wurden, jedoch darüber hinaus nicht staatlich gelenkt waren.

Auch wenn sich in manchen Fällen ein Zusammenhang aufdrängen wird, wird sich wie so oft auch die Frage der Beweisbarkeit stellen. Es ist anzunehmen, dass es schwierig sein wird, die Angreifer ohne weiteres einzelnen Konfliktparteien zuzuordnen, da es von offizieller Seite kaum zu Bestätigungen der Cyberangriffe kommen wird.

Auch die Versicherungswirtschaft lässt sich zu dem Thema keine definitiven Stellungnahme entlocken, was angesichts der aktuellen Brisanz des Themas nicht überraschend ist. Die Vielzahl an verschiedenen Ausschlussklauseln macht es jedenfalls notwendig, jeden einzelnen Versicherungsfall entsprechend zu prüfen.

Sanktionen bei Lösegeldzahlungen

Ein weiteres Thema, das im Zusammenhang mit Erpressungsforderungen nicht vergessen werden darf, ist das Thema Sanktionen. Hier kann es aufgrund der aktuell geltenden Sanktionen gegen Russland zu Situationen kommen, dass die Lösegeldzahlungen zwar möglicherweise grundsätzlich versichert wären, aufgrund der geltenden Sanktionen die Zahlung allerdings an die Hackgruppe nicht vorgenommen werden darf. Die weitreichenden Sanktionen legen nahe, dass die meisten Zahlungen an russische Hackgruppen sanktionsbewährt sein werden.

Fazit

Wir sind davon überzeugt, dass uns dieses Thema über die nächsten Jahre begleiten wird und abschließend einige Punkte letztendlich von Gerichten geklärt werden müssen. Zu begrüßen wäre es natürlich, wenn die Versicherungswirtschaft mit konkreten Aussagen über die Handhabung von entsprechenden Claims aufwarten könnte – was angesichts der aktuellen Situation wohl eher in die Kategorie Wunschdenken einzuordnen sein wird.

AssCompact Beratertage – INFINCO ist als Partner dabei – Besuchen Sie uns!

AssCompact Beratertage 2022Besuchen Sie uns auf den AssCompact Beratertagen am

5. Mai in Wien/Vösendorf
10. Mai in Innsbruck/Mils

und am 19. Mai online.

Die AssCompact Beratertage sind das Branchenupdate des Jahres. Wir freuen uns darauf Sie kennenzulernen bzw. wiederzusehen. Außerdem haben Sie die Möglichkeit durch die Teilnahme an den Vorträgen unabhängige IDD Weiterbildungsstunden zu sammeln – die Teilnahme ist kostenlos.

Unsere Beiträge möchten wir Ihnen in der untenstehenden Übersicht zusammenfassen – wir freuen uns über Ihre Teilnahme:

Asscompact Beratertage

Melden Sie sich hier kostenlos zu den AssCompact Beratertagen an!

Wie verwende ich den INFINCO-Calculator richtig?

Digitale Prozesse sind auch in der Welt des Versicherungsmaklers nicht mehr wegzudenken. Deshalb bauen auch wir unsere digitalen Angebote, den INFINCO-Calculator und unsere smarte Regulierungsplattform weiter aus.

Welche Produkte finden Sie derzeit im INFINCO-Calculator?

Derzeit finden Sie die Sparten D&O-, Cyber-, Vermögensschadenhaftpflicht- und Vertrauensschadensversicherung in unserer Berechnungs- und Angebotsplattform.

Sparten INFINCO-Calculator

In CYBER können Sie zwischen zwei Varianten wählen. Unser Deckungskonzept, das wir zusammen mit unserem Partner MARKEL soeben neu aufgelegt haben, geht weit über das Standardkonzept des Versicherers hinaus. In Kürze werden wir Sie herzlich einladen, bei einer der Fachschulungen zum Deckungskonzept mit dabei zu sein. Das Konzept richtet sich insbesondere an Gewerbeunternehmungen und Dienstleistungsunternehmen. Gerade für etwas größere Unternehmen und Produktionsunternehmen können Sie auf unser weiteres Deckungskonzept mit AIG zurückgreifen. Hier können Sie Angebote für Kunden mit einem Umsatz von bis zu 100 Millionen Euro berechnen.

In der Vermögensschadenhaftpflichtversicherung können wir Ihnen bei den Berufen Steuerberater, Wirtschaftsprüfer, IT-Unternehmen, Werbung/Medien behilflich sein. Für alle genannten Berufe können Sie auf unsere Besonderen Deckungsvereinbarungen zurückgreifen.

Ebenso verfügen wir über ein Deckungskonzept in der Vertrauensschadensversicherung mit zahlreichen Sondervereinbarungen.

In der D&O-Versicherung haben Sie die Möglichkeit eine Quotierung für die Bereiche Unternehmens-D&O und persönliche D&O zu berechnen.

Warum nicht gleich ein annahmefähiges Angebot?

Wir haben uns dafür entschieden, dass wir durch die Vereinbarung von klar vorgegebenen Modellen mit unseren Versicherungspartnern vorab Prämien bekannt geben können, welche im Falle einer positiven Risikoprüfung auch halten werden.

Damit sind verständlicherweise die erstellten Angebote unter den Vorbehalt dieser Risikoprüfung zu stellen. Im Bereich der D&O haben wir dies insbesondere durch die Abgabe einer Quotierung klargestellt. Eine Quotierung definiert lediglich die Prämie eines Risikos, welche sich nach Mitteilung der individuellen Risikosituation noch ändern kann.

In Einzelfällen hat sich in der Risikoprüfung ergeben, dass ein Unternehmen aufgrund der Finanzdaten etwa gar nicht oder nur mit Einschränkungen angenommen werden kann. Dies ist insbesondere dann der Fall, wenn ein Unternehmen ein negatives Eigenkapital aufweist, ein Jahresverlust im Ergebnis erzielt wird oder das Unternehmen einer Unternehmensgruppe angehört.

Deshalb ist es in eurem Eigeninteresse, dass Sie – mit einer Quotierung ausgestattet – den Kunden die Risikofragen beantworten lassen können. Bei den Risikofragen geben wir Hilfestellungen mit, was zu tun ist, wenn eine Risikofrage einmal negativ beantwortet werden muss. Das vermeidet unnötige Schleifen mit dem Kunden und durch die vermittelte Transparenz sollen auch unrealistische Erwartungshaltungen eingefangen werden.

Im Anschluss erfolgt dann die Risikoprüfung und die Quotierung kann dann mittels Deckungswunsch durch Sie in die Policierung münden.

Sie haben noch keinen Zugang zu unserer Angebot und Berechnungsplattform – melden Sie sich gleich an:

Anmeldung zum INFINCO-Calculator

D&O: Warum die Managerhaftpflichtversicherung nicht zur Auffanglösung werden darf

Aufgrund des weit definierten Versicherungsgegenstands besteht durchwegs die Möglichkeit, dass die D&O-Versicherung auch für die nicht ordnungsgemäße Wahrnehmung der Versicherungsagenden aufgrund Versäumnisse der Geschäftsführung herangezogen wird. Hierzu sind gleich mehrere Fälle einer Inanspruchnahme der D&O-Versicherung möglich.

So wäre es durchwegs vorstellbar, dass ein Leitungsorgan eines Unternehmens um Prämie einzusparen, den Deckungsumfang eines Gewerbebündelvertrages reduziert und dadurch dem Unternehmen ein Schaden erwächst. Sollte der Schaden höher ausfallen, so werden die Gesellschafter auch nach Möglichkeiten suchen, gegen das Leitungsorgan rechtlich vorzugehen. Die Gesellschafter könnten dem Unternehmensleiter die Pflichtverletzung vorwerfen, dass es grob fahrlässig sei, etwa Witterungseinflüsse, die in der Vorpolice durch Sonderklausel – aber gegen Zusatzprämie – mitversichert waren, aus Kostengründen aus dem Versicherungsschutz herauszunehmen.

Der gleiche Vorwurf ist denkbar, wenn man sich vorstellt, dass ein Unternehmen durch einen Cybervorfall schwer getroffen wurde und mehrere Wochen stillstand und Daten wiederhergestellt werden mussten, ohne dass ein entsprechender Cyberversicherungsschutz für das betroffene Unternehmen eingekauft wurde. Auch hier ist durchwegs vorstellbar und vielleicht sogar wahrscheinlich, dass die Gesellschafter des Unternehmens die Unternehmensleitung in Anspruch nehmen. Aus unserer Sicht ist es auch nur eine Frage der Zeit, bis solche Ansprüche tatsächlich gegen Unternehmensleiter seitens der Gesellschafter oder anderer Geschädigter geltend gemacht werden.

Wir möchten daran erinnern , dass wohl nicht ohne Grund in alten D&O-Verträgen die nicht ordnungsgemäße Wahrnehmung von Versicherungsagenden in D&O-Deckungen größerer Unternehmungen standardmäßig ausgeschlossen war. Es weist dieser – heute schon fast historisch anmutende Ausschluss, den ältere Freunde der D&O-Versicherung durchwegs noch kennen werden – eine erschreckende Aktualität auf.

Denn vor dem Hintergrund massiver Cyberattacken, getrieben durch das Geschäftsmodell Ransomware und durch starke systemische Veränderungen, erhitzt durch den Ukrainekrieg, ist es wichtig, dass die D&O-Versicherung nicht zusehends zur Ventilversicherungssparte mutiert, die zum Zug kommt, wenn anderweitiger Versicherungsschutz nicht greift.

Dies wäre zwar vielleicht für Unternehmen und Manager praktisch, aber von der Gefahrengemeinschaft nicht finanzierbar. Dies würde sicherlich dazu führen, dass es noch schwieriger wird, D&O-Versicherungsschutz zu generieren, nicht nur für große Unternehmen und naturgemäß schwierige Bereiche wie Finanzinstitutionen oder Industrie, sondern auch generell für kleinere und mittlere Unternehmen.

NEUES CYBERPRODUKT: INFINCO Markel PRO Cyber 2022

In den letzten Monaten war der Markt für Cyber-Versicherungen sehr unübersichtlich und viele Anbieter zeichnen sich in Cyber zurück, Prämien steigen und vielfach verschlechtern sich die Bedingungen für Cyberkunden deutlich.

Umso mehr freut es uns, dass wir mit MARKEL  in der Sparte Cyber unser neues Deckungskonzept „INFINCO Markel PRO Cyber 2022 closen konnten, welche am Markt ihresgleichen sucht.

Keine Prämienanpassung

Es erfolgte im Rahmen des Antragsmodells keine Prämienanpassung, Ihre Kunden profitieren nach wir vor von den günstigen Prämien auf dem Niveau des Jahres 2019.

Deutlich erweiterte INFINCO-Sondervereinbarungen

Wir konnten im Rahmen der Sondervereinbarungen zahlreiche neue Deckungsvereinbarungen treffen, welche wir an dieser Stelle nur auszugsweise erwähnen möchten:

  • Berufsgruppenspezifische Zusatzdeckungen: Sinnvolle Deckungserweiterungen z.B. für Ärzte und beratende Berufe
  • Beweislastumkehr bei Unklarheit bei der Feststellung eines Versicherungsfalls
  • Vorleistung bei Nutzung von Cloud- und Hosting-Diensten bis EUR 2 Mio.

Update-Garantie für Bestandskunden

Das beste – unsere Partner, die bereits mit uns gemeinsam Cyber-Versicherungsverträge mit INFINCO Markel Pro Cyber in der Vergangenheit abgeschlossen haben, müssen diese Verträge nicht konvertieren, da unsere Innovationsgarantie automatisch für alle Verträge gilt, die über uns vermittelt wurden und die Innovationsklausel bereits vereinbart hatten. Diese wurde bei uns seit 2018 bei nahezu allen Verträgen vereinbart.

In der nächsten Woche werden wir Ihnen die Unterlagen zu unserer neuen Cyberdeckung zur Verfügung stellen – selbstverständlich werden wir in diesem Rahmen auch eine Schulung durchführen, damit Sie mit unserer neuen Cyberlösung auch gut und komfortabel in den Vertrieb starten können – und für die Nutzer unseres Calculators – die Anpassungen am Produkt sind ebenfalls bereits am Laufen!

Falls Sie noch keinen Zugang zu unserer digitalen Angebotsplattform haben – nutzen Sie die Gelegenheit und melden sich an!

Das Active-Directory als zentrale Drehscheibe bei IT-Security

Viele namhafte Cyberversicherer stellen einerseits beim Neuabschluss aber auch bei den jährlichen Vertragsverlängerungen sehr detaillierte Fragen zum Active Directory bzw. insbesondere zu den privilegierten Benutzern bzw. Domainadministratoren.  Warum diese Fragen gestellt werden und ob dies auch seine Berechtigung hat, soll hier kurz erläutert werden.

Was ist das Active Directory oder kurz AD?

Das Active Directory ist ein von Microsoft verwendeter Netzwerkverzeichnisdienst. Es ist einer der zentralen Bestandteile der Verwaltung von Windows-basierten Netzwerken und eine wichtige Komponente des Windows-Netzwerks. Informationen über Geräte, Dienste und Einstellungen werden in einer Datenbank gespeichert – es ist der zentrale Identitätsspeicher.

Da ein überwiegender Anteil der Unternehmen bei den Netzwerktechnologien auf Microsoft-basierende Technologien setzt, sind die hier besprochenen Technologien in Unternehmen weit verbreitet. Die hier verwendeten Begrifflichkeiten allerdings kaum, da diese Komponenten dafür sorgen sollen, das es „funktioniert“ – in den IT-Abteilungen sind diese natürlich bestens bekannt. Es geht hier um zahlreiche Grundfunktionen eines Netzwerks, von der Benutzerverwaltung, über die Speicher- und Ressourcenverwaltung bis hin zur Verwaltung der Rechte und noch vieles mehr.

Was sind privilegierte Benutzer bzw. Domain-Administratoren?

Die Rechteverwaltung erhält in Verbindung mit der Cyberversicherung besondere Aufmerksamkeit. Verständlich, da ein potentieller Angreifer meist nicht sofort die weitgehenden Rechte im Netzwerk hat, um eine erfolgreiche Cyber-Attacke auszuführen. In einem vorherigen Artikel haben wir den typischen Ablauf einer Cyber-Attacke bereits erläutert – kurzum, der Angreifer versucht mit verschiedenen Mitteln seine Rechte zu erhöhen.

Weiters muss man zwischen der Person bzw. Tätigkeit „IT-Administrator“ und den Accounts mit unterschiedlichen Berechtigungen unterscheiden, die ein IT-Administrator nutzen sollte. Die erhöhten Rechte sollten immer nur genutzt werden, wenn dies für die Erfüllung der aktuellen Aufgabe notwendig ist.

Grob unterscheiden kann man Benutzer-Accounts in Firmennetzwerken meist in drei bzw. vier Gruppen:

Unprivilegierte Benutzer: Diese Benutzer haben meist keine besonderen Rechte, außer dass sie sich anmelden dürfen und ihnen zugewiesene Ressourcen und Programme verwenden dürfen. Auch ein Administrator sollte mit einem solchen Account an seiner Arbeitsstation angemeldet sein. Dieser Account dient wie bei jedem anderen Mitarbeiter der täglichen Arbeit, sprich: er hat eine Mailbox, hat sein Office Programm und sonstige Standardsoftware.

Privilegierte Benutzer: Diese Benutzer werden von IT-Administratoren meist benutzt, um Ihre Administrationsaufgaben zu erfüllen – Anlage neue User, Einrichten/Anpassen der Server und Arbeitsstationen.

Domainadministrator: Dieser nochmals höher privilegierte Account dient der Administration des Active Directory selbst.

Organisationsadministratoren: In Unternehmen mit mehreren Domänen hat dieser User domänenübergreifen die meisten Berechtigungen, wobei für die einzelne Domäne der oben genannte Domainadministrator meist weitgehendere Rechte hat.

Active Driectory - Accounts

Abbildung: schematische Übersicht AD-Accounts

Je nach Anforderungen des Unternehmens können die Bezeichnungen der Rollen und die damit verbundenen Berechtigungen unterschiedlich ausfallen. Die obige Liste und Darstellung können daher abweichen und durchaus auch deutlich granularer aufgebaut sein.

Ziel eines Angreifers wird es im Regelfall sein, einen privilegierten Account und im besten Fall einen Account zur Domain-Administration zu erstellen bzw. zu übernehmen. Dem kann mit einem granularen Konzept vorgebeugt werden, welches dem Least-Privilege-Prinzip (= kein Benutzer soll mehr Rechte haben, als er für die Erfüllung seiner Aufgaben benötigt) folgt.

Welche Sicherheitslücken können sich ergeben?

Die Sicherheit des Active Directory hat in den letzten Jahren sehr an Bedeutung gewonnen und viele Empfehlungen, welche vor wenigen Jahren noch „state-of-the-art“ waren, gelten heute als überholt. Diese Fehler, die teils lange in der Vergangenheit gemacht wurden, beschäftigen Unternehmen teilweise noch bis heute.

Die häufigsten Sicherheitslücken im Active Directory stellen sich wie folgt dar:

  • Arbeit mit Admin-Konten: Aus Bequemlichkeit wird häufig mit den oben erläuterten privilegierten Konten im Alltag gearbeitet. Auch kommt es vor, dass mit diesen Accounts auf regulären Clients gearbeitet wird, welche meist viel leichter kompromittiert werden können als die gut abgesicherte Serverumgebung. Und wenn die Anmeldung auf einem bereits betroffenen Client stattfindet, ist es leicht möglich, dass der Angreifer über diese Anmeldung die unternehmensweit gültigen Zugangsdaten für den privilegierten Account erhält.
  • Fremde Software am Domain-Controller: Der Domain Controller steuert das gesamte AD, wird aber oft auch für andere Dienste verwendet – gerade in kleineren Netzwerken. Jeder darüber hinaus genutzte Dienst am Domain-Controller enthält potentiell weitere Sicherheitslücken und erhöht das Risiko von erfolgreichen Angriffen.
  • Dienstkonten in der Domainadministratoren-Gruppe: Automatisch ausgeführte Dienste sollten sich niemals in der DA-Gruppe sondern immer über eigene Dienstkonten ausgeführt werden, welche nur die notwendigen Rechte besitzen. Aus Bequemlichkeit, gerade bei Services, die weitgehende Rechte erfordern, werden diese gerne in der DA-Gruppe „geparkt“.
  • Fehlende 2-Faktor-Authentifizierung für Administrationsaufgaben: Für die privilegierten Konten sollte immer eine 2FA-Authentifizierung genutzt werden. Welche Vorteile eine 2FA hat und warum sie nach Möglichkeit immer eingesetzt werden sollte, lesen Sie hier.
  • Keine domainfremden Backups: Wenn es doch dazu kommt, dass das AD kompromittiert wird, sollte zumindest das Backup-System vom AD unabhängig aufgestellt sein. Natürlich versuchen die Hacker, um den Cyber-Angriff erfolgreich abschließen zu können, auch die Backup-Struktur anzugreifen – wenn sich diese im selben AD befindet und der Angreifer bereits erhöhte Rechte besitzt, kann man davon ausgehen, dass auch das Backup von der Cyber-Attacke betroffen sein wird.
Active Directory - häufige Sicherheitslücken

Abbildung: häufige Sicherheitslücken im Active Directory

Es gibt noch zahlreiche andere Fehler, welche im Umgang mit AD begangen werden können. Es wird sich daher auf lange Sicht lohnen, wenn man das eigene Active Directory einer Überprüfung (ggfls. auch extern) unterzieht.

Ein guter Anhaltspunkt dafür ist z.B. der Active Directory Security Halftime Report von Semperis.

Wie wird die Cybersicherheit in Europa verbessert?

Welche Initiativen gibt es eigentlich auf europäischer Ebene, um der wachsenden Cyber-Bedrohungslage zu begegnen und was sind die Ziele dieser Initiativen?

In erster Linie geht es hier natürlich um den Schutz der kritischen Infrastruktur und der Aufrechterhaltung der Wettbewerbsfähigkeit des europäischen Marktes.  Es gibt hier mehrere Vorhaben, welche die Resilienz gegenüber Cyberangriffen erhöhen sollen. Wenn auch viele dieser Maßnahmen für als kritisch eingestufte Sektoren vorgesehen sind, können einige Überlegungen auch von anderen Unternehmen in Erwägung gezogen werden.

Aktuell gibt es auf Europäischer Ebene folgende Einrichtungen und Initiativen zu dieser Thematik – wir versuchen, die unserer Ansicht nach relevantesten etwas genauer unter die Lupe zu nehmen:

EU-Agentur für Cybersicherheit (ENISA)

Die EU-Agentur für Cybersicherheit folgt seit 2019 ihrer Vorgängerin (Agentur der Europäischen Union für Netz- und Informationssicherheit) nach, hat jedoch nun eine deutlich gestärkte Rolle.

Die Aufgabenbereiche sind vielfältig, sie unterstützt bei der Vorbereitung auf und Vermeidung von Cyberangriffen auf europäischer Ebene und publiziert eine Vielzahl von Artikeln und Guidelines.

Die Agentur ist ein sehr informativer Anlaufpunkt für Informationen auf europäischer Ebene und durch die Kooperation mit den nationalen CSIRTs (Computer Security Incident Response Team) ein Knotenpunkt an dem viele Informationen zusammen laufen.

Für mehr Informationen empfehlen wir die Website der ENISA:
https://www.enisa.europa.eu/

Gemeinsame Cyber-Einheit

Viele Nationen in der EU haben bereits entsprechende Einrichtungen, die sich mit Cyber-Kriminalität und Cyber-Sicherheit beschäftigen und diese Aufgaben auf nationaler Ebene wahrnehmen. Die Einrichtungen sind zwar organisatorisch unabhängig, aber die Bedrohungen, denen sie gegenüber stehen, sind häufig dieselben. Cyber-Angriffe beschränken sich in den wenigsten Fällen auf eine Nation, es sei den sie sind politisch motiviert.

Die Gemeinsame Cyber-Einheit soll eine Plattform schaffen, welche die Koordination,  Erfahrungs- und Informationsaustausch und gemeinsame Warninstrumente ermöglichen soll.

Konkret vorgeschlagen wurde die Einheit 2021, soll aber im Rahmen eines sehr motivierten Zeitplans Mitte 2022 bereits seine Arbeit aufnehmen und ab Mitte 2023 voll funktionsfähig sein – in letzter Zeit ist es allerdings verdächtig ruhig zu diesem Thema geworden.

Dass eine solche Einheit, die auf Cyber-Sicherheitsvorfälle und Cyber-Krisen koordiniert auf europäischer Ebene agieren kann, notwendig ist, dürfte außer Frage stehen.

Cyber Resilience Act

Diese Initiative soll die Hersteller von IT-Produkten und -Services in die Pflicht nehmen auf die Cyber-Sicherheit Ihrer Produkte zu achten. In einer vernetzten Welt von heute sollte es eine Selbstverständlichkeit sein, dass auch die Hersteller von Soft- und Hardware bei der Entwicklung Ihrer Produkte auf Sicherheit achten – leider führen Zeit- und Kostendruck oft dazu, dass dieser Punkt in der Entwicklung nicht erste Priorität erhält.

Ziele dieser Initiative sind:

  • gleichbleibend hohes Cybersicherheitsniveau für digitale Produkte und Nebendienstleistungen in Europa
  • Nutzerinnen und Nutzer sollen in die Lage versetzt werden, die Sicherheitseigenschaften solcher Produkte auf ihre Bedürfnisse abzustimmen
  • gleiche Wettbewerbsbedingungen für Anbieter digitaler Produkte und Nebendienstleistungen
Ziele Cyber Resilience Act

Abbildung: Ziele des Cyber Resilience Acts

Zu dieser Initiative läuft noch bis zum 25. Mai 2022 eine Aufforderung zur Stellungnahme der Europäischen Kommission – Ziel der Konsultation ist es, die Ansichten verschiedener Interessenträger einzuholen.

Hier ist noch nicht abzusehen, welche Maßnahmen daraus folgen werden. Ein „Gütesiegel“ für Software und digitale Produkte wird schwer umsetzbar sein – allzu strenge Haftungsbestimmungen könnten eine Innovationsbremse sein.

Wir sind jedenfalls gespannt auf die Entwicklungen im Rahmen dieser Gesetzesinitiative.

Richtlinie über Maßnahmen für ein
hohes gemeinsames Cybersicherheitsniveau in der Union
(kurz: „überarbeitete NIS-Richtlinie“ oder „NIS 2“)

Wie der Name schon sagt, soll diese Richtlinie die NIS-Richtlinie 2016/1148 ersetzen und die darin enthaltenen Vorschriften decken eine Vielzahl von Bereichen ab und haben das Ziel, Risiken online und offline, von der Cyberattacke bis zur Naturkatastrophen, zu reduzieren.

Dies soll mit folgenden Maßnahmen erreicht werden:

  • höhere Sicherheitsanforderungen an Unternehmen, die der kritischen Infrastruktur angehören
  • Sicherheit der Lieferketten
  • Vereinfachung der Berichterstattungspflichten
  • Aufsichtsmaßnahmen und Durchsetzungsanforderungen durch die nationalen Behörden
Ziele NIS 2 Richtlinie

Abbildung: Ziele der NIS 2 Richtlinie

Während man bisher bei kritischer Infrastruktur hauptsächlich von den klassischen Sektoren Verkehr, Banken, Gesundheit und Energie gesprochen hat, zielt NIS darauf ab, diese als kritisch definierten Bereiche auszuweiten. Das wird dazu führen, dass weitaus mehr Unternehmen nun von der Richtlinie erfasst sein werden, was als positiv zu werten ist.

Die Berücksichtigung von Lieferketten und Abhängigkeiten in diesem Zusammenhang stellt sich in der heutigen vernetzten Welt als Notwendigkeit dar. Kaum ein Unternehmen kann es sich leisten, von unsicheren Partnern in der Lieferkette abhängig zu sein – insofern ist die Einhaltung gewisser Mindeststandards in der IT-Sicherheit jedenfalls eine Notwendigkeit, die manchmal unbequem sein mag, allerdings der langfristen Gesundheit der Wirtschaftsbeziehungen zuträglich ist und aufgrund der vielen unterschiedlichen Cyberbedrohungen nicht ignoriert werden kann.

Manche Unternehmen machen es bereit vor und erwarten in Ihren Geschäftsbeziehungen mit Lieferanten bereits entsprechende umgesetzte Sicherheitsvorkehrungen.

FAZIT

Wir sind im Rahmen unserer Recherchen noch auf zahlreiche andere Informationsquellen und Initiativen im europäischen Kontext gestoßen – wie leider so oft im Zusammenhang mit öffentlichen Institutionen ist es ein Dschungel bestehend aus Informationen, welche durchaus werthaltig sind, allerdings kaum in strukturierter und verwertbarer Form vorliegen.

Grundsätzlich sind wir Initiativen, welche die Cyber-Resilienz von Unternehmen stärken sollen, positiv gegenüber eingestellt – nicht zuletzt, da diese Initiativen auch zu einer Stabilisierung des Versicherungsmarktes beitragen können, wenn Sie erfolgreich und wirksam umgesetzt werden.

Denn trotz aller Initiativen müssen wir uns darüber im klaren sein, dass Cyber-Bedrohungen und -Krisen zukünftig nicht mehr aus dem Alltag verschwinden werden. Es muss allerdings das Ziel sein, dass man zumindest den meisten dieser Angriffe relativ gelassen entgegen sehen kann.

Asscompact Roundtable „Risiko Cybercrime“

Unser Geschäftsführer Joe Kaltschmid durfte am 3. März als Diskussionsteilnehmer beim Roundtable von Asscompact zum Thema „Risko Cybercrime“ teilnehmen.

Interessante Einblicke in die Einschätzungen des österreichischen Marktes für Cyber-Versicherungen finden Sie direkt in der Zusammenfassung bei Asscompact:
https://www.asscompact.at/