Cyber-Renewal 2022 – was steht uns bevor?

Nicht nur bei Neuabschlüssen werden Kapazitäten zurückgefahren und die Prämien erhöht – auch im kommenden Renewal ist absehbar, dass die Versicherungsnehmer mit teilweise stark ansteigenden Prämien konfrontiert werden. Auch die Versicherungswirtschaft spricht offen über die Prämiensteigerungen und macht dafür die hohen Schäden in der Sparte verantwortlich.

Hauptthemen Cyber-Renewal 2022

Einschätzung der aktuellen Situation

Dass die Preise sich in der Sparte Cyber auch in den kommenden Jahren noch nach oben entwickeln werden ist absehbar. Bereits dieses Jahr sind wir in einigen Segmenten mit starken Prämienerhöhungen konfrontiert.

Aktuell ist allerdings entgegen der Preisentwicklung keine Abschwächung hinsichtlich der Nachfrage zu spüren, sowohl bei Neukunden als auch bei bestehenden Kunden, welche Verlängerungsangebote erhalten haben. Die „Feuerversicherung des 21. Jahrhunderts“ wird in allen Unternehmen über kurz oder lang Einzug halten – davon sind wir überzeugt. Das Risikobewusstsein ist in den meisten Unternehmen vorhanden und aktuell lässt es auch das Prämienniveau noch zu, dass Unternehmen jeder Größe das Risiko eines Cybervorfalls durch eine Cyberversicherung mitigieren können – insofern man hinsichtlich IT-Sicherheit die Hausaufgaben erfüllt hat und die Mindestvoraussetzungen des Versicherers, welche ebenfalls kontinuierlich nach oben geschraubt werden, eingehalten werden.

Auf der Versicherungsseite sieht die Situation etwas anders aus – während sich manche Versicherer ganz oder teilweise aus dem Markt zurückziehen, verringern andere die Kapazitäten und erhöhen die Preise. In Einzelfällen kommt es auch vor, dass sich Versicherer auch von Verträgen trennen und erneuern diese nicht mehr, insbesondere wenn die Kunden hinsichtlich der IT-Sicherheit ungenügend aufgestellt sind.

Ukraine Krise verunsichert

Die Ukraine-Krise trägt zur Verunsicherung bei – die Bedrohungslage ist nach wie vor vorhanden und in die Verträge werden im Zuge der Verlängerungen, wenn nicht bereits vorhanden, territoriale Ausschlüsse aufgenommen und die Kriegsausschlüsse überarbeitet. So findet auch eine Selektion der Risiken hinsichtlich potentieller Angriffsziele statt. Deckungen für Tochterunternehmen in der Ukraine, Russland und Weißrussland sind aktuell kaum mehr möglich. Generell wird bei Anknüpfungspunkten in diese Länder nun sehr genau hingeschaut.

Einer Berufung der Versicherer auf die Kriegsausschlüsse stehen wir kritisch gegenüber – eine entsprechende Deckungsverweigerung wird in den meisten Fällen schwer nachvollziehbar sein, insbesondere da bei den meisten Hackergrupperungen ein staatlicher Anknüpfungspunkt schwer nachweisbar sein wird. Mehr hierzu zu unserem vorangegangen Beitrag.

Einschränkungen im Versicherungsschutz

Versicherer beginnen nun auch diverse Deckungsbausteine in Frage zu stellen bzw. starke Sublimits in die Deckungen einzuziehen, insbesondere die Zahlung von Lösegeldern für die Freigabe von verschlüsselten Daten. Dieses Thema wird bereits seit längerem diskutiert – auch hier ein Verweis auf einen früheren Artikel von uns. Lt. der Versicherungswirtschaft gibt es bereits Fälle, in denen die Angreifer gezielt nach Informationen zur Cyberversicherung im Unternehmensnetzwerk gesucht haben, um die Höhe des Lösegelds auf die Versicherungssumme abzustimmen. Nichts desto trotz ist es natürlich unsere Pflicht als Vertreter des Kunden, diesen bestmöglich abzusichern und auch dieses Risiko nach Möglichkeit abzudecken – insbesondere da es in manchen Fällen der einzige Ausweg sein kann, um einen noch größeren Schaden abzuwenden, für den der Versicherer dann erst recht wieder eintreten müsste.

Stolperfalle Allgemeine Geschäftsbedingungen im Schadensfall

Die Zunft der Steuerberater in unserem Land sah sich im Zusammenhang mit der Corona-Pandemie mit einer Vielzahl an neuen Aufgaben konfrontiert. Die Beantragung diverser Corona-Förder-Maßnahmen für ihre Klienten bestimmte in den meisten Kanzleien immer mehr den Arbeitsalltag. Aufgrund der Vielzahl der zu verarbeitenden Anträge und der sich ständig ändernden gesetzlichen Grundlagen, kam es mitunter dazu, dass ein Antrag übersehen und nicht fristgerecht eingebracht wurde. Derartige Fehler sind menschlich und aufgrund der wirklich großen Stückzahl an Anträgen, die zu einem fixen Datum abgearbeitet sein mussten, nachvollziehbar. Nachfristen gab es keine und es wurde auch sonst von den auszahlenden Stellen eine Null-Toleranz-Schiene gefahren.

War eine Frist verabsäumt, gab es keine Möglichkeit mehr, den Schaden abzuwenden.

Schadenersatzrechtlich sind derartige Schadensfälle eigentlich eine klare Angelegenheit. Eine Frist wurde versäumt und es konnte, für Steuerberaterschäden eher untypisch, in diesen Fällen auch der Schaden ganz konkret beziffert werden, da die Fördervorgaben dahingehend eindeutig waren. Wenn nun aber ein Anspruchsteller – der ganz eindeutig Anrecht auf Ersatz des Schadens hat – sich mit seiner Inanspruchnahme zu viel Zeit gelassen hat, droht die böse Überraschung bei der Schadensabwicklung, denn in den Allgemeinen Auftragsbedingungen für Wirtschaftstreuhandberufe (AAB) der meisten Wirtschaftstreuhandgesellschaften ist eine Haftungsbegrenzung enthalten, wonach ein Anspruch nur innerhalb von 6 Monaten ab Kenntniserlangung geltend gemacht werden kann.

Ist nun also die Inanspruchnahme der Kanzlei nach Ablauf dieser 6-Monatsfrist erfolgt, wird der Versicherer seinem Leistungsversprechen zwar nachkommen, aber nicht in dem Umfang, den der verursachende Steuerberater gerne hätte, denn in diesen Fällen wird der Versicherer Abwehrdeckung gewähren!

In diesen Fällen ist dies aber weder im Sinne des Versicherungsnehmers noch des Versicherers. Für den Versicherungsnehmer, der sich in derartigen Fällen seinem Verschulden vollumfänglich bewusst ist, ist die Abwehrdeckung das letzte was er braucht. Wer möchte schon gerne einen ohnehin durch einen Fehler der Kanzlei geschädigten Kunden mit einem ablehnenden Schreiben einer Rechtsanwaltskanzlei beglücken?

Aber auch für den Versicherer ist die Gewährung von Abwehrdeckung nicht risikolos. Schließlich ist keinesfalls gesagt, dass die Haftungsbeschränkungen, die in AGBs vereinbart werden, vor Gericht halten werden. Wenn nicht, müsste der Versicherer noch höhere Kosten in Kauf nehmen, als durch die Deckung des Primärschadens entstanden wären.

Es empfiehlt sich daher, sich um eine diplomatische Lösung zu bemühen, die im Sinne aller Beteiligten ist. Besonders berücksichtigt werden sollte dabei, inwieweit den Anspruchsteller ein Verschulden an der verspäteten Inanspruchnahme trifft.

Hoher Druck auf D&O-Versicherer

Es lastet weiterhin hoher Druck auf vielen D&O-Versicherern. Zu den Problemen aus der Vergangenheit im Bereich Schaden kommen nun durch den Krieg in der Ukraine weitere Probleme hinzu.

Prämienniveau nicht auskömmlich

Die D&O-Versicherung gilt für viele Versicherer als Verlustsparte. Dazu haben nicht zuletzt mehrere Großschäden beigetragen, insbesondere „VW-Dieselgate“. In Österreich gibt es durch den Versicherungsverband keine veröffentlichten Zahlen im Zusammenhang mit D&O. Anders stellt sich dies in Deutschland dar. Hier veröffentlicht der GDV jährlich auch Zahlen zum D&O-Versicherungsgeschäft. Die in 2021 veröffentlichten Zahlen zeigten deutlich, dass das bisherige Prämienniveau nicht auskömmlich ist. Deshalb ist in gewissen Bereichen, wie etwa der Industrie oder etwa bei Finanzinstitutionen weiterhin mit Prämienerhöhungen zu rechnen oder auch mit restriktiveren Bedingungen.

Haftungsrisiken steigen – der Krieg in der Ukraine verschärft die Situation

Die Haftungsrisiken für Manager steigen deutlich. Risikotreiber ist nicht mehr allein die Corona Krise. Vielmehr kommt es zu einer sprungartigen Änderung der rechtlichen und wirtschaftlichen Rahmenbedingungen. Dabei spielen die steigende Inflation, ESG, Cyberrisiken und der Krieg in der Ukraine eine große Rolle. Mit dem Krieg in der Ukraine verbunden sind vor allem die Unterbrechung bislang nie hinterfragter Lieferantenketten. Diese müssen oft völlig neu konzipiert und umgesetzt werden.
Gerade Manager, deren Business stark von Rohstoffpreisen abhängt, leben sehr exponiert. Wenn nicht Rohstoffabsicherungen gegen Preissteigerungen gekauft wurden (Futures, Optionen) oder im Liefervertrag die Preissteigerungen an den Abnehmer weitergegeben werden können, können die Unternehmen gegen die Manager vorgehen, weil sie diesen eine Pflichtverletzung vorwerfen, da sie eben nicht eine entsprechende Absicherung des Rechtsgeschäftes getätigt haben.

Individuelle Risikobewertung und Besinnung auf den Kern

Das vorangegangene Beispiel zeigt, wie wichtig eine individuelle Risikobewertung in einem schwierigen Marktumfeld ist. Um Portfolios erfolgreich zu steuern, wird es nötig sein, Risiken individueller zu betrachten. Das bedeutet konkret, dass stark von Rohstofflieferungen abhängige Unternehmen in der D&O-Versicherung künftig einen höheren Risikoaufschlag für D&O-Versicherungsschutz zahlen müssen. Zudem sollte der D&O-Versicherer den Kunden auch stärker nach seinen alternativen Beschaffungsstrategien befragen, um ein abgerundetes Bild zum Risiko zu erhalten. Dazu wird es künftig nötig sein, stärker mit den Organen des Unternehmens im Underwriting-Prozess in Kontakt zu treten. Hier sollten stärker die digitalen Möglichkeiten wie etwa Videokonferenzen und andere Tools genutzt werden.
Letztlich wird es auch wichtiger werden, dass sich die D&O-Versicherer auf den Kern der D&O-Versicherung besinnen. Der Deckungsschutz gehört in Bereichen entrümpelt, die auf die Kosten drücken. Das betrifft insbesondere den Bereich Large Corporates, wo häufig die Schadenssätze sehr schlecht sind. Im Bereich der KMU wird diese Vorgangsweise nicht nötig sein.

Verknappung der Kapazitäten bei höheren Preisen

Wenn auch der Preisanstieg bei gleichzeitiger Verknappung der Kapazitäten für viele Kunden sehr unangenehm ist, so sichert dies das Überleben der Sparte. Da es sich bei der D&O-Versicherung um ein systemrelevantes Versicherungsprodukt handelt, erachte ich diesen Schritt der Versicherer als verantwortungsvoll und richtig. Gerade die benannten Risiken dürften zu weiteren Preissteigerungen in der D&O-Versicherung führen, welche aber notwendig sein werden, um die steigenden Haftungsrisiken von Managern solide abzusichern.

Telefonbetrug: Wenn Hacker die Telefonanlage kapern

Wie viele andere Systeme, welche früher eigenständig betrieben wurden und früher eigentlich nicht mit den IT-Systemen in Verbindung gebracht wurden, sind Telefonanlagen heutzutage in die IT-Systeme eingebunden und werden inzwischen häufig auch nicht durch Unternehmen, welche sie verwenden, selbst betrieben, sondern als Service zugekauft. Diese virtuellen Telefonanlagen, welche inzwischen als Standardsoftware vertrieben werden, erlauben eine schnelle Einrichtung und Nutzung mit einer hohen Servicequalität, da die Anbieter ihre Telefonanlagen professionell betreuen können und Anpassungen an der Infrastruktur jederzeit vorgenommen werden können.

Telefonanlage = IT-System

Durch die Nutzung von Standardsoftware entstehen Vorteile, da es aber nun viele Nutzer derselben Software gibt (welche auch direkt mit dem Internet verbunden ist, damit die Telefonanlage in Zeiten von Home-Office auch von außerhalb genutzt werden kann), entstehen dadurch auch lohnende Angriffsvektoren für Angriffe auf die Infrastruktur der Telefonanlagen. Bei einem erfolgreichen Angriff auf die Telefonanlage kann diese für eigene Zwecke genutzt werden und die Angreifer können ohne großen Aufwand einen beträchtlichen Schaden bei den betroffenen Unternehmen verursachen.

Neben der Telefonanlage gibt es dann noch den VOIP-Betreiber mit dem man einen separaten Vertrag schließen muss, welcher für die Vermittlung der Verbindungen in die fremden Netze zuständig ist. Die Zugangsdaten zum VOIP-Provider müssen in der Telefonanlage hinterlegt werden, damit diese über die zugewiesene Rufnummer erreichbar ist bzw. man auch Teilnehmer außerhalb der eigenen Telefonanlage erreichen kann.

Schematische Darstellung der Funktionsweise einer VOIP-Telefonanlage

Was ist passiert?

Einer unserer Kunden betreibt bereits seit längerem eine virtuelle Telefonanlage in Verbindung mit einem VOIP-Provider. Der Kunde hatte Zugriff auf die Telefonanlage, damit er auch selbst die Möglichkeit hat, Änderungen an den Einstellungen vorzunehmen. Im Frühjahr verschaffte sich ein Angreifer Zugriff auf die Telefonanlage – ob der Angreifer eine Sicherheitslücke in der Software der Telefonanlage ausnutzte oder beispielsweise über Phishing zu den Zugangsdaten kam, ist unklar.

Nachdem sich der Angreifer Zugriff verschafft hatte, wartete er einen günstigen Zeitpunkt ab, an dem die Telefonanlage nicht genutzt wird (Sonntag), um die Systeme für seine Zwecke auszunutzen. Mit Hilfe eines Software-Bots wurden innerhalb von kürzester Zeit auf allen verfügbaren Leitungen Gespräche über Satellitentelefone auf Mehrwertnummern in ein entlegenes Land geführt. Somit summierten sich innerhalb von kürzester Zeit immens hohe Telefongebühren. Ein noch größerer Schaden konnte durch die Geistesgegenwart eines Mitarbeiters beim VOIP-Betreiber vermieden werden, da ihm das System diese ungewöhnliche Aktivität anzeigte und er sich dadurch veranlasst sah, ausgehende Auslandsverbindungen auf der Ebene des VOIP-Providers für den Kunden zu sperren. Damit wurde dem Angreifer die Möglichkeit genommen, weitere schädigende Anrufe über die Telefonanlage zu tätigen.

Nichtsdestotrotz sind innerhalb des kurzen Zeitraums bis zur Sperrung durch den VOIP-Betreiber Telefongebühren in der Höhe von ca. EUR 4.000 (ca. 70 Telefonate mit insg. ca. 700 Minuten) angefallen, welche auch vom VOIP-Provider beim Kunden eingefordert wurden, da dem VOIP-Betreiber durch die getätigten Telefonate ja auch selbst Kosten entstehen – auf einen Teil der Forderungen wurde vom VOIP-Anbieter verzichtet. Weiters musste die Telefonanlage neu aufgesetzt werden, um sicherzustellen, dass der Angreifer nicht weiter im System verankert ist und dies für einen weiteren Angriff ausnutzt  – auch dafür entstanden Kosten in der Höhe von ca. EUR 1.000.

Wie sieht es mit dem Versicherungsschutz aus?

Grundlage für einen Leistungsanspruch auf die entstandenen Telefongebühren aus einem solchen Ereignis kann einerseits eine Cyber-Versicherung sein, welche einen entsprechenden Deckungsbaustein mit Vertrauensschaden oder Telefon-Hacking bietet, oder eine eigenständige Vertrauensschadenversicherung. Die Voraussetzungen für eine Leistung aus der Vertrauensschadenversicherung sind meist die rechtswidrige Handlung (was hier durch § 148a StGB unserer Ansicht verwirklicht wurde), der unmittelbare Schaden und ggfls. auch die Bereicherungsabsicht des Dritten.  Auch die Wiederherstellungskosten können über die Vertrauensschadenversicherung oder den entsprechenden Baustein meist abgerechnet werden, da diese Kosten auch unmittelbar durch das Schadenereignis ausgelöst werden. Eine individuelle Prüfung der zugrunde liegenden Bedingungen und des genauen Hergangs ist natürlich jedenfalls erforderlich.

Besteht kein Vertrauensschadenbaustein werden zumindest die Wiederherstellungskosten für die Telefonanlage erstattbare Kosten im Rahmen der Cyberversicherung sein, insofern die Telefonanlage durch den VN selbst betrieben wird und nicht als Service von einem Drittanbieter genutzt wird.

In diesem konkreten Fall war keine Cyberversicherung vorhanden, jedoch konnte über die durch den Kunden bei uns abgeschlossene Vermögensschadenhaftpflichtversicherung, welche auch einen Vertrauensschadenbaustein enthält, der Schaden vollumfänglich abzüglich dem vereinbarten Selbstbehalt abgerechnet werden.

Auch im Rahmen unseres Cyber-Antragsmodells wäre dieser Schaden natürlich auch vollumfänglich versichert.

Klitschko und die Bürgermeister: Deepfakes – Eine Cyberbedrohung, die man ernst nehmen sollte?

Deepfakes sind eine neue Cyber-Bedrohung, die in der Welt der Internetsicherheit und Cyberkriminalität kürzlich für Aufsehen sorgte. Deepfakes imitieren reale Personen und werden mit Hilfe von künstlicher Intelligenz erzeugt. So wurden vergangene Woche die Bürgermeister von Wien, Berlin und Madrid von einem gefälschten Vitali Klitschko kontaktiert und alle drei Bürgermeister trafen sich in Folge zu einer Videokonferenz mit dem vermeintlichen Bürgermeister der ukrainischen Stadt Kiew. Während die Bürgermeister von Berlin und Madrid nach kurzer Zeit Unstimmigkeiten bemerkten und den Videocall abgebrochen haben, hat Medienberichten zufolge der Wiener Bürgermeister fast eine Stunde mit dem gefakten Vitali Klitschko konferiert.

Wir möchten in diesem Artikel beleuchten, was Deepfakes sind und wie sie erstellt werden, aber auch welche Möglichkeiten Betrügern unter der Zuhilfenahme von Deepfakes offenstehen. Weiters möchten wir beleuchten, welche Möglichkeiten grundsätzlich zur Absicherung eines Schadens bestehen, welcher durch Deepfakes verursacht wurde.

Inhalt:

  1. Was sind Deepfakes und wie erstellt man sie?
  2. Was ist der Zweck von Deepfakes?
  3. Wie erkenne ich Deepfakes?
  4. Ein entstandener Schaden durch Deepfakes – kann ich diesen versichern?

1. Was sind Deepfakes und wie erstellt man sie?

Das Wort Deepfake setzt sich zusammen auf den Begriffen „Deep Learning“ und „Fake“. Darunter werden gefälschte oder modifizierte Medieninhalte (Videos, Bilder, Audio) verstanden, die unter Zuhilfenahme von künstlicher Intelligenz erstellt werden. Während die Erstellung solcher Inhalte vor einigen Jahres noch so rechenintensiv war, dass die erstellten Inhalte leicht als Fälschungen zu identifizieren waren, ist es mittlerweile möglich auch in Live-Feeds wie Videokonferenzen ein Gegenüber darzustellen, welches in Bezug auf die Mimik und Gestik – welche ja zu den gesprochenen Worten in Quasi-Echtzeit berechnet werden müssen –  nur schwer von der Originalperson zu unterscheiden ist. Gleichzeit wird auch die Stimme noch in Echtzeit imitiert, sodass die Fälschung rundum stimmig ist.

Ein eindrucksvolles Deepfake-Video findet man z.B. von Tom Cruise, das Anfang 2021 viral ging:

YouTube

Mit dem Laden des Videos akzeptieren Sie die Datenschutzerklärung von YouTube.
Mehr erfahren

Video laden

Hier werden verschiedene Methoden der Deepfake-Technologie kombiniert:

  • face-swapping: Austausch des Gesichts einer Person
  • voice-swapping: Austausch der Stimme einer Person
  • body-puppetry: Übertragung von Körperbewegungen auf eine andere Person

Während die ersten Deepfakes noch leicht zu erkennen waren, sieht man am obigem Beispiel, dass solche Videos bereits eine eindrucksvolle Qualität erreichen können. Mit zunehmender Verfügbarkeit von Software-Tools, die von jedermann leicht zu bedienen sind, wird sich auch die Verbreitung von Deepfakes erhöhen. Auch ist davon auszugehen, dass sich auch die Qualität der erstellten Fakes weiter verbessern wird.

Für die Erstellung von Deepfakes ist für die Qualität des Ergebnisses aktuell noch die Menge an Datenmaterial (bestehende Videos, Audioaufzeichnungen, Bildmaterial) von der zu imitierenden Person ausschlaggebend, anhand dessen die künstliche Intelligenz das Imitieren der Person erlernen kann. Daher sind bisher auch meist Personen, die in der Öffentlichkeit stehen, Opfer dieses Identitätsdiebstahls. Da es in den letzten Wochen viel Bild- und Tonmaterial von Vladimir Klitschko gab, war es wahrscheinlich ein leichtes, die KI für die Täuschung entsprechend zu trainieren.

2. Was ist der Zweck von Deepfakes?

Während es durchaus legitime Anwendungsszenarien für Deepfakes gibt – z.B. die Darstellung einer Szene mit einem Schauspieler, welcher für die betreffende Szene einfach schon zu alt ist (siehe Star Wars: Mandalorian – der Ersteller des Deepfakes wurde übrigens von Lucasarts dann auch eingestellt), besteht durch diese Inhalte auch eine sehr große Missbrauchsgefahr, wie man im Eingangs erwähnten Beispiel auch gut sehen kann. Grundsätzlich können mit dieser Technologie Inhalte erstellt werden, welche Personen Dinge tun lassen und Worte sagen lassen, welche sie selbst nie getan oder gesagt hätten. Aufgrund dieser Möglichkeiten hat die Technologie auch sehr vielfältige Einsatzmöglichkeiten in den Bereichen der Wissenschaft und Kunst, lässt aber auch vielfältige Betrugsmöglichkeiten zu.

Das Potenzial für Deepfakes, in Fehlinformationskampagnen eingesetzt zu werden, ist enorm. Die Technologie wird bereits verwendet, um Fake News an die Massen zu verbreiten (siehe z.B. Kapitulation durch den ukrainischen Präsidenten Selenskyi). Insofern ist es wichtig, die Bedrohung durch Deepfakes ernst zu nehmen und auch die Grenzen der Technologie zu kennen, um einen etwaigen Betrugsversuch zu erkennen. Diesbezügliche Informationskampagnen sind noch selten wahrzunehmen, wobei manche Medien die Bedrohung allerdings bereits prominent dargestellt haben wie z.B. Buzzfeed:

YouTube

Mit dem Laden des Videos akzeptieren Sie die Datenschutzerklärung von YouTube.
Mehr erfahren

Video laden

Durch die Aktualität des Themas darf nun gehofft werden, dass dieses Thema nun auch bei Awareness-Kampagnen aufgegriffen wird.

3. Wie erkenne ich Deepfakes?

Hierzu muss gesagt werden, dass mit weiter fortgeschrittener Technologie die Erkennung immer schwieriger werden wird. Aktuell gibt es allerdings noch einige Möglichkeiten, Deepfake-Videos zu erkennen, wenn man aufmerksam hinsieht:

  • Unnatürliche Mimik und Gestik: Wenn das Gesagte und der Ausdruck der Person nicht zusammen passen, kann dies ein Hinweis auf einen Deepfake sein.
  • Unscharfe Übergänge: unscharfe Übergänge zwischen Gesicht und Haaren oder Hals: da meist nur das Gesicht von der KI erstellt wird, ist an den Übergängen zwischen generiertem und echtem Video oft ein unscharfer Übergang zu erkennen
  • Unterschiedliche Qualität: Wenn das Video im Gesichtsbereich eine geringere Qualität zeigt als das restliche Video, sollte man misstrauisch werden.
  • Fehlendes Blinzeln: Wenn Personen nicht alle paar Sekunden blinzeln, sollte man vorsichtig sein
  • Bei Verdacht – Geste einfordern: Wenn man in einem Videocall den Verdacht hat, kann man das Gegenüber bitten, sich z.B. mit dem Finger auf die Nase zu tippen – mit solchen Gesten haben (gerade im Live-Betrieb) die meisten Deepfakes ein Problem und das Bild zeigt dann deutliche Artefakte

4. Ein entstandener Schaden durch Deepfakes – kann ich diesen versichern?

Wie bereits dargestellt ist das Missbrauchspotential von Deepfakes enorm und eröffnen Betrügern in Zukunft viele Möglichkeiten. Auch die Schadenszahlen sprechen dafür, dass über eine Absicherung solcher Betrugsmaschen nachgedacht werden sollte. So wurde bereits 2019 ein britischer Geschäftsführer telefonisch vom vermeintlichen deutschen Vorstandschef seines Mutterkonzerns kontaktiert und um Überweisung von EUR 220.000 auf ein ungarisches Konto gebeten (Link: Allianz Trade). Da der britische Geschäftsführer die Stimme des deutschen Kollegen vermeintlich erkannt, veranlasste er die Überweisung und das Geld war nicht mehr zurückzubekommen. Der Betrug flog schlussendlich auf, da der Betrüger noch eine weitere Überweisung einforderte, nachdem die erste Überweisung so gut geklappt hat.

Da davon auszugehen ist, dass entsprechende Betrugsmaschen in Zukunft weiter zunehmen werden, ist der Abschluss einer Cyber-Versicherung mit einem entsprechenden Vertrauensschaden-Baustein oder einer klassischen Vertrauensschadenversicherung empfehlenswert.

Auch unser Antragsmodell INFINCO MARKEL Pro Cyber umfasst einen entsprechenden Versicherungsschutz für Fake President-Betrugsmaschen.

Versicherungsverbot von Lösegeldzahlen-Zahlungen bei Ransomware-Angriffen?

Kürzlich haben IT-Sicherheitsexperten aus Bildung und Wirtschaft in einem offenen Brief Maßnahmen gefordert, welche die Zahlung von Lösegeld bei Ransomware-Angriffen einschränken bzw. verbieten sollen. Wir haben dies zum Anlass genommen, dieses Thema anhand der durch die Verfasser/Unterzeichner vorgebrachten Punkte kritisch zu betrachten.

Unstrittig ist, dass Ransomware-Angriffe aktuell ein massives Problem darstellen, was sich alleine anhand der zahlreichen täglichen Meldungen über erfolgreiche Cyber-Angriffe auf Unternehmen und öffentliche Einrichtungen nachvollziehen lässt. Die Schäden durch Daten-Diebstahl, Spionage und Sabotage beziffert die aktuelle Bitkom-Studie mit ca. 6% des deutschen Bruttoinlandsprodukts – umgelegt auf österreichische Zahlen würde dies einen Schaden an der österreichischen Wirtschaft von EUR 26 Mrd. bedeuten – eine Hausnummer. Die Autoren führen ins Feld, dass die Zahlung von Lösegeld, insbesondere da es sich über Cyber-Versicherungen budgetär planen lässt, sehr häufig für die Unternehmen die günstigere Variante ist, um den Betrieb schneller wieder aufnehmen zu können. Auch die Versicherer würden diese Praxis unterstützen, wenn sich im konkreten Schadensfall der Schaden minimieren lässt.

Geopolitisch wird argumentiert, dass der Wirtschaft mehr geholfen wäre, wenn die Unternehmen die gezahlten Lösegelder zur Verbesserung der eigenen IT-Sicherheit und Ihrer Leistungsfähigkeit investieren würden. Das Geld würde nicht den Verbrecherbanden bzw. anderen Staaten zukommen, was die eigene Marktposition schwächt.

Es werden mehrere Maßnahmen gefordert, die Lösegeldzahlungen unterbinden sollen bzw. unattraktiv für die Unternehmen machen – während einige Maßnahmen nicht konkret spezifiziert sind, gibt es auch sehr spezifische Forderungen, auf die wir näher eingehen möchten:

Abschaffung der steuerlichen Absetzbarkeit von Ransomware-Zahlungen

Unserer Einschätzung nach ein sehr heikler Punkt, da das betroffene Unternehmen über die eigentliche Lösegeldforderung hinaus somit nochmals im Rahmen der Ertragssteuern bestraft wird.

Meldepflicht von Ransomware-Angriffen und Lösegeldzahlungen

An einer Meldepflicht stehen auch wir grundsätzlich positiv gegenüber, da durch diese auch ein Rückschluss und ggfls. schnelle Reaktion auf die aktuelle Bedrohungslage gewährleistet werden kann, wenn eine Auswertung der Meldungen auch kurzfristig erfolgt. Da Cyber-Angriffe keine Ländergrenzen kennen, wäre hier ein koordinierter europäischer Ansatz hilfreich.

Verbot der Versicherung von Lösegeldern

Ein Verbot der Versicherung von Lösegeldzahlungen klingt im ersten Moment nach einem wirkungsvollen Mittel, das Ransomware-Problem im Keim zu ersticken, weil es impliziert, dass dadurch deutlich weniger Lösungsgelder gezahlt werden – dafür fehlen allerdings die Belege. Aus unserer Schadenserfahrung heraus waren von Lösegeldzahlungen hauptsächlich Unternehmen betroffen, welche zum Zeitpunkt der Forderung des Lösegeldes noch keinen Versicherungsschutz hatten und aufgrund der Umstände keine andere Wahl hatten, das entsprechende Lösegeld zu bezahlen, um die Existenz des Unternehmens zu gewährleisten. Auch die Versicherer sind i.d.R. nicht daran interessiert leichtfertig auf eine entsprechende Forderung durch die Erpresser einzugehen. Der Abschluss einer Cyberversicherung gibt darüber hinaus auch den finanziellen Spielraum, eine ggfls. auch etwas aufwändigere Wiederherstellung der Daten zu stemmen, ohne auf die Lösegeldforderung einzugehen, welche meist immer bedingungsgemäß an das Einverständnis des Versicherers gebunden ist.

Ein Verbot der Versicherung von Lösegeldern würde unseres Erachtens nur eingeschränkt auf die tatsächlich gezahlten Lösegelder Wirkung haben, da die Unternehmen diese auch bisher ohne Versicherungsschutz gezahlt haben, aber nun durch Abschluss einer Cyberversicherung auch eine finanziell für den Versicherten indifferente Option geschaffen wurde – auch ist durchaus bereits in das Bewusstsein gedrungen, dass die Zahlung eines Lösegeldes bei Verschlüsselung von Daten die Wiederherstellung der Daten nicht garantiert bzw. bei angedrohter Veröffentlichung der Daten die Zahlung meist nur weitere Begehrlichkeiten der Täter weckt.

Die Verfasser selbst schreiben in ihrem offenen Brief, dass die Versicherer zunehmend starke Sicherheitsmaßnahmen einfordern, um Versicherungsschutz zu erlangen. Die Erfahrung der letzten Jahre zeigt uns, dass dieser Prozess für die Unternehmen mit Abschluss der Cyberversicherung  nicht abgeschlossen ist, sondern eher den Anfang eines Weges darstellt – durch die jährlichen Renewals, in welchen durch die Versicherungswirtschaft auch die durch den Versicherten ergriffenen Maßnahmen zu den aktuellen Bedrohungslagen einfließen, sind die Versicherten dazu angehalten, IT-Sicherheit als einen kontinuierlichen Prozess im Unternehmen zu etablieren. Falls dies nicht umgesetzt wird, hat dies über kurz oder lang wohl auch den Verlust des Versicherungsschutzes zur Folge.

Förderung der Cyber-Betriebsunterbrechungsversicherung und Versicherung der Wiederherstellungsmaßnahmen

Im Rahmen der üblichen Versicherungslösungen am Markt sind diese beiden Punkte die Kernbestandteile auf die natürlich nicht verzichtet werden kann. Inwiefern diese Deckungen gefördert werden sollen, lassen die Verfasser offen. Hier bringen die Verfasser auch ins Feld, dass Cyber-Versicherungsschutz auf breiter Front auch die IT-Sicherheit erhöht – gefördert durch die Voraussetzungen der Versicherungswirtschaft an die Versicherten um Cyber-Versicherungsschutz zu erlangen bzw. zu behalten.

Unterstützung von betroffenen Unternehmen bspw. über einen Hilfsfonds

Die Einrichtung und entsprechende Dotierung – insbesonders in den notwendigen Größenordnungen, wenn man sich die o.g. geschätzten Schadenssummen ansieht – von Hilfsfonds, in Bereichen wo Versicherungen sich zurück gezogen haben bzw. nur mehr eingeschränkt Leistung erbringen können, ist nicht kurzfristig zu stemmen. Die Ausstattung dieser Fonds hängt dann auch immer vom politischen Willen der aktuellen Akteure ab, was für die Unternehmen ein unabschätzbares Risiko ist.

Auch hier soll wiederum das Ziel verfolgt werden, dass die Unternehmen in die Lage versetzt werden, auf die Zahlung des Lösegelds zu verzichten. Hier besteht die Gefahr das bei nicht ausreichender Dotierung der Fonds die trügerische Sicherheit vermittelt wird, dass eine Absicherung der Risiken nicht notwendig ist. Sollte hier auf eine Absicherung durch eine Versicherungslösung verzichtet werden und im Schadensfall die zu erwartende Leistung aus dem Hilfsfonds zu gering ausfällt, hat diese Lösung seine berabsichtigte Wirkung verfehlt.

Fazit

Auch wir sind der Meinung, dass die Zahlung von Lösegeldern immer der letzte Ausweg sein kann, welcher nur dann beschritten werden sollte, wenn die Existenz des betroffenen Unternehmens auf dem Spiel stehen würde. Zuvor sollten alle anderen verfügbaren Mittel ausgeschöpft werden. Wir können jedoch einem Versicherungsverbot von Lösegeldzahlungen in der aktuellen Situation nichts abgewinnen, da ein generelles Verbot im Einzelfall die Existenz eines Unternehmens gefährden kann. Lösegelder wurden auch in Zeiten, wo Cyberversicherungen noch nicht so verbreitet waren, bezahlt – ein Versicherungsverbot dieser Zahlungen würde daran unseres Erachtens nichts ändern – durch einen passenden Versicherungsschutz würde sich allerdings die finanziellen Einbußen bei einem Unternehmen in Grenzen halten bzw. auch die Option offen lassen, den (manchmal vielleicht umständlicheren) Weg der Datenwiederherstellung zu beschreiten.

Stolpersteine im D&O-Versicherungsfall

Gerade das aktuelle politische und unternehmerische Umfeld stellt das Management von Unternehmen vor noch größere Herausforderungen, wenn es darum geht, unternehmerische Entscheidungen zu treffen. Das Haftungspotenzial des Managements steigt deutlich – viele Manager werden in Anspruch genommen – was nun?

Stolperstein Anwaltswahl

Der erste Stolperstein für einen versicherten Manager beginnt schon bei der Anwaltswahl. Selbstverständlich möchte der Manager erfahrene und renommierte Rechtsanwaltskanzleien beauftragen. Der Modus der Beauftragung ist in vielen D&O-Policen aber unbestimmt, bedarf der Zustimmung des Versicherers oder darf die Gebührenordnung nicht überschreiten. An dieser Stelle ist es wichtig, dass der Versicherte auch bedingungsgemäß individuelle Honorarvereinbarungen mit der Anwaltskanzlei vereinbaren können soll. Denn auf Organhaftung spezialisierte Kanzleien und Rechtsanwälte und ihre Ressourcen sind Mangelware und ihre Honorare liegen oft deutlich über den oft vereinbarten Gebührenordnungen. Für die versicherte Person ist es wichtig, einen auf das Spezialgebiet vertieften und erfahrenen Rechtsanwalt beauftragen zu können. Wenn der Rechtsanwalt einen entsprechenden „track record“ vorweisen kann, so wird der Versicherer auch weniger mit dem Argument der „angemessenen Stundensätze“ argumentieren können oder etwa mit „gebotenen Kosten“.

Stolperstein Auskunftspflicht der versicherten Person

Einen weiteren Stolperstein stellt die Auskunftspflicht dar. Denn der Manager will sich gegen die Inanspruchnahme verteidigen. Dazu bedarf es natürlich der Dokumente und Unterlagen des Ex-Arbeitgebers. Oft jedoch erhält der ehemalige Manager keine Unterlagen mehr. Denn der Ex-Arbeitsgeber beruft sich auf Geschäftsgeheimnisse oder etwa auf die Verschwiegenheitspflicht. Deshalb ist es notwendig, dass in diesen Fällen der Versicherer das Unternehmen auffordert, die notwendigen Unterlagen bereit zu stellen und herauszugeben. Nicht selten droht der Versicherer in dieser Phase mit Leistungsfreiheit aufgrund einer vorliegenden Auskunftspflichtverletzung.

Oftmals, um den Schadenersatzanspruch gegen einen Manager durchsetzen zu können erhebt der Ex-Arbeitgeber vor Gericht schwere Vorwürfe gegen den Manager. Häufig wird der Prozess gegen den Manager auf diese Weise gewonnen. Die Situation für den Manager spitzt sich dann noch mehr zu, wenn nun der Versicherer den Ausschluss der „wissentlichen Pflichtverletzung“ einwendet. Dann nämlich muss der Manager nun im Deckungsstreit zunächst die Vorwürfe aus dem Haftungsverfahren entkräften.

Neue Ausschlüsse und zahlreiche Obliegenheiten

Weitere Problemfelder können weitere Obliegenheitsverletzungen darstellen oder etwa neue Ausschlüsse wie Pandemie oder Cyberrisiken; aber auch alt bekannte Ausschlüsse wie der Insolvenzausschluss oder der Ausschluss wegen nicht ordnungsgemäßer Wahrnehmung von Versicherungsgeschäft können ein Deckungshindernis darstellen. Abgesehen davon sollten die verantwortlichen Organe auch einen stärkeren Fokus auf Gefahrerhöhungen legen, welche dem Versicherer angezeigt werden müssen.

Tipps für den Manager

Schon vor dem Schadensfall sollte sich ein Manager D&O-Versicherungsschutz auf einem hohen Niveau durch eine sogenannte Verschaffungsklausel zusichern lassen; dabei sollten Versicherungssumme und eine lange, unverfallbare Nachmeldefrist eine bedeutende Rolle spielen. Die Versicherungspolice muss jedenfalls in Kopie vom Manager verwahrt werden. Zuvor muss ein Check der Police stattfinden. Um die Beweislast vor Gericht zu erleichtern ist es von essentieller Bedeutung, dass der Manager wichtige Dokumente stets persönlich archiviert. Zudem empfehlen wir auch potentiell gefahrerhöhende Umstände wie etwa größere Transaktionen, Expansionen, den Aufbau neuer Märkte und Geschäftsfelder dem Versicherer anzuzeigen, sodass der Versicherer im Schadensfall nicht den Einwand einer Gefahrerhöhung geltend machen kann.

Chubb stellt D&O-Geschäft ein – was tut sich sonst in D&O?

Es ist nun amtlich. Der Industrieversicherer Chubb zieht sich aus dem Geschäft mit D&O-Versicherungen für Gewerbe- und Industriekunden in Österreich und in Deutschland zurück. Weiterhin betrieben wird das Geschäft mit Financial Institutiones, also mit Banken, Versicherern und Fondsgesellschaften. Denn in diesen Segmenten war der Versicherer seit jeher stark und das Prämienniveau bei Financial Institutiones ist wesentlich attraktiver als bei Kunden im Bereich Commercials.

Mögliche Gründe für den Ausstieg

Der unerwartete Rückzug von Chubb bedeutet für deren Kunden, dass sie sich nach einem neuen Versicherer umsehen müssen. Denn seit dem ersten Mai werden Verträge gekündigt. Die Hintergründe des überraschenden Rückzuges sind unklar, dürften aber mit den Schadensbelastungen des Versicherers zu tun haben und mit dem negativen Ausblick hinsichtlich der Prämienerwartung. Bezüglich der Schäden darf nicht vergessen werden, dass Chubb in teure Schäden verwickelt war, wie etwa im Zusammenhang mit dem Dieselskandal. Zudem kam es durch das Oberlandesgericht Hamm zu einer überraschenden Entscheidung, die für Aufsehen sorgte. Denn es hält die Ansprüche des Insolvenzverwalters des pleitegegangenen Touristikkonzerns Arcandor gegen ehemalige Aufsichtsratsmitglieder von bis zu 54 Millionen Euro für gerechtfertigt. Es ist wohl davon auszugehen, dass auch in diesem Fall die D&O-Versicherer zur Kasse gebeten werden.

Auch der Wirecard-Skandal dürfte Chubb treffen. Denn Chubb ist der führende D&O-Versicherer des mehr als 100 Millionen schweren D&O-Programms. Das OLG Frankfurt hat nämlich entschieden, dass die Versicherer vorab für die Kosten aufzukommen haben, die für die Abwehr von Schadenersatzansprüchen für den ehemaligen CEO Markus Braun anfallen. Zudem haben ihm die Versicherer vorläufig Versicherungsschutz für die PR-Kosten zu gewähren.

Ungemach durch starke Rohstoffpreisänderungen

Ungemach droht derzeit den versicherten Organen aus Branchen, welche stark von Rohstoffpreisen abhängig sind. Besonders betroffen ist das Management von Unternehmen, welche in ihren Produkten Metalle und Öl verarbeiten und welche die Rohstoffpreise nicht abgesichert haben aber selbst zu fixen Preisen an Kunden liefern müssen. Dies kann dazu führen, dass Unternehmen Lieferverpflichtungen nachkommen müssen ohne dass sie die Möglichkeit besitzen Preiserhöhungen an Kunden weiterzugeben. Dies führt bei zahlreichen Lieferunternehmen zu Verlusten, die oft im Bereich mehrerer Millionen Euro liegen. Freilich versuchen Unternehmen diese Verluste nicht selbst tragen zu müssen. Deshalb nehmen die Gesellschafter vieler Unternehmen jetzt ihr Management in Anspruch, wenn sie nicht dafür Vorsorge getroffen haben, den Einkauf von Rohstoffen durch Derivate abzusichern oder keine Preisänderungsklauseln zu Gunsten der Lieferanten abgeschlossen haben.

Bei diesen Vorwürfen (keine Preisänderungsklausel, keine Rohstoffabsicherung) kann es sich auch um Pflichtverletzungen des Managements handeln, die Gegenstand einer D&O-Versicherung sind. Gerade in den letzten Monaten haben uns dazu gleich mehrere Schadensmeldungen erreicht. Man darf gespannt sein, wie die Gerichte diese Fälle beurteilen. Wir rechnen in der D&O-Versicherung gerade im Segment von rohstoffabhängigen Lieferunternehmen weiterhin mit einer steigenden Schadenslast.

Die Verantwortung von Unternehmensorganen für Schäden im Zusammenhang mit der IT-Sicherheit

Mittlerweile erlangt der Einsatz von IT eine immer wichtigere Bedeutung und zwar nicht nur im von Information getriebenen Business, sondern auch beispielsweise in Handwerksbetrieben. Viele Endgeräte wie Smartphones und Laptops befinden sich in den Unternehmen im Einsatz. Dadurch stellt sich die Frage wie es um die IT-Sicherheit dieser Geräte bestellt ist, aber auch, inwiefern die Geschäftsführung für einen IT-Sicherheitsvorfall verantwortlich gemacht werden kann?

Der Cybervorfall als Katastrophenrisiko

Die Schäden, die etwa durch Schadsoftware in einem Unternehmensnetzwerk verursacht werden, können verheerend sein und die Dimension eines Großschadens erreichen. Im Extremfall steht die Existenz des Unternehmens auf dem Spiel.

Es besteht nicht nur das Risiko, dass Cyber-Kriminelle sensible Daten des Unternehmens veröffentlichen, sondern auch, dass Betroffene Schadenersatz geltend machen. Oft einher gehen mit einem Cybervorfall auch hohe Betriebsunterbrechungsschäden und Wiederherstellungskosten. Sowohl für große als auch kleinere Unternehmen können sich diese Aufwände als sehr schmerzhaft erweisen und stark auf die GuV der Bilanz durschlagen.

IT-Sicherheit als Managementaufgabe

Deshalb ist die Wahrnehmung der IT-Sicherheit für die Unternehmensorgane von zentraler Bedeutung, um rechtliche Konsequenzen zu vermeiden. Denn die Geschäftsführung bleibt für die IT-Sicherheit des Unternehmens verantwortlich und zwar auch dann, wenn der Betrieb der IT an einen IT-Dienstleister ausgelagert wird. Die Haftung der Unternehmensorgane bleibt unabhängig von der Frage bestehen, ob man eine persönliche Expertise als Geschäftsführung im Bereich IT besitzt oder nicht. Die Haftung gegenüber Dritten (z.B. Kunden) aber auch gegenüber der eigenen Gesellschaft bleibt bestehen. Generell haftet die Geschäftsführung persönlich, solidarisch mit ihrem Privatvermögen. Aufgrund der solidarischen Haftung wird auch in einem Schadensfall der Umstand, „dass die IT etwa nicht ins eigene Ressort falle“, nicht vor einer persönlichen Haftung schützen. Denn auch die Überwachung der Geschäftsführerkollegen gehört zu den Kernaufgaben der Unternehmensorgane.

Die zahlreichen Folgen eines Cyberangriffs

Zu bedenken sind auch die (Rechts-)Folgen eines Cyberangriffs. Denn der durch einen Cyberangriff entstandene Schaden ist nämlich nicht auf die Kosten der Wiederherstellung der IT-Systeme und den Betriebsunterbrechungsschaden begrenzt. Hinzu kommen die Schadensfeststellungskosten, Zusatzkosten für eigenes Personal, das Überstunden leisten muss oder Kosten für Rechtsanwälte und technische Experten.

Zudem können Kunden und Lieferanten das Unternehmen auch im Falle von Lieferausfällen oder Lieferverzug in Anspruch nehmen. Wenn persönliche Daten veröffentlicht werden, so kann die Datenschutzbehörde auch ein Bußgerld verhängen und die Betroffenen können Schadenersatzforderungen geltend machen. Es liegt auf der Hand, dass die Gesellschafter nach einem Cyber-Vorfall die Frage nach der Verantwortlichkeit stellen werden, insbesondere wenn der Schaden hoch ist oder gar die Existenz des Unternehmens gefährdet. Immer öfter werden Unternehmensorgane, welche sich nicht ausreichend um die IT-Sicherheit des Unternehmens gekümmert haben, sogar nach einem Cyber-Vorfall gekündigt.

Cyberversicherung als Absicherung des unvermeidbaren Restrisikos

Um das eigene Unheil abzuwenden, sollten die geschäftsführenden Organen die IT-Sicherheit sehr ernst nehmen. Dazu empfehlen wir den Status der IT-Sicherheit durch externe IT-Experten z.B. im Rahmen eines Sicherheits-Audits und eines Penetration-Tests überprüfen zu lassen und alle Maßnahmen nach einer Prioritätenliste zeitnah abzuarbeiten. Erst dann wird wohl der Abschluss einer Cyberversicherung möglich sein.

Der Abschluss einer Cyberversicherung gehört sicherlich zum modernen Risikomanagements eines jeden Unternehmens und ist somit unseres Erachtens nun ein Grundpfeiler eines Versicherungskonzepts für, der von einer Geschäftsführung eingehalten werden muss. Zudem, um auch vor ungerechtfertigten Ansprüchen sicher zu sein, empfehlen wir den Leitungsorganen von Unternehmen jedenfalls auch den Abschluss einer D&O-Versicherung mit ausreichender Versicherungssumme und einer unverfallbaren, zeitlich unbegrenzten Nachmeldefrist.

Was ist ein SOC (Security Operations Center)?

Im Zusammenhang mit der Cyberversicherung, insbesondere bei größeren Unternehmen, fällt immer wieder der Begriff eines SOC (Security Operations Center). Der Betrieb eines SOC wird auch von manchen Cyberversicherern ab einer gewissen Größenordnung eines zu versichernden Unternehmens zur Voraussetzung gemacht. Ein SOC kann durch eine eigene Abteilung betrieben werden oder als externe Dienstleistung zugekauft werden. Gerade im Mittelstand wird sehr häufig zu externen Lösungen gegriffen, da entsprechend spezialisiertes Personal rar und auch nicht gerade günstig ist.

Was genau ein SOC ist und welche Aufgaben es hat, soll in diesem Artikel kurz erläutert werden.

Zusammenfassend lässt sich ein Security Operations Center als das Zentrum aller sicherheitsbezogenen Aktivitäten einer IT-Umgebung beschreiben – es soll die IT-Infrastruktur und die beherbergten Daten vor Gefahren von außen aber auch von innen schützen.

Der Sicherheitsmanager der eigenen IT

Das SOC ist somit der Sicherheitsmanager der eigenen IT. Um diese Aufgabe bewältigen zu können, muss das SOC in der Lage sein, alle sicherheitsrelevanten Systeme zu überwachen und die dortigen Vorgänge zu analysieren:

  • Unternehmensnetzwerk (Switches, Router)
  • Server (Datenbanken, EMail)
  • Arbeitsstationen
  • mobile Geräte (Smartphones, Tablets)
  • evtl. Produktionsmaschinen
  • Internet of Things (zentrale Gerätesteuerungen, Smart Devices)
  • Internetservices

Während dies ein Umfang technischer Natur ist erfüllt ein SOC eine Vielzahl von Aufgaben, alle natürlich mit dem Ziel, die IT-Sicherheit des Unternehmens bestmöglich auszugestalten. Zu diesen Aufgaben gehören daher insbesondere:

Aufgaben eines SOC

Daten sammeln und analysieren

Um zu gewährleisten, dass das SOC effektiv arbeiten kann, ist vorab ein vollständiges Inventar aller Systemkomponenten erforderlich. Dieses gewährleistet, dass die erforderlichen Informationen aus den verschiedenen Strukturen und Log-Informationen vollständig zusammengetragen werden können. Diese Sammlung von sicherheitsrelevanten Informationen stellt auch die erste Aufgabe dar, die ein SOC ausübt.

Weiters überwacht ein SOC nicht nur die eigenen Informationen aus der eigenen IT, sondern es werden auch relevante weitere Informationen analysiert, welche nicht direkt mit der eigenen IT in Verbindung stehen:

  • Verfügbarkeit von Sicherheitspatches von Herstellern
  • Meldungen über Sicherheitslücken
  • Überwachung des Internet-Traffics z.B. Erkennung von DOS-Attacken

Prävention

Auf Grundlage der gesammelten Daten erarbeitet das SOC präventiv Sicherheitskonzepte, welche den Schutz des Unternehmensnetzwerks gewährleisten sollen. Dazu zählen z.B. auch Prozesse, die eine schnelle Verteilung von Sicherheitsupdates gewährleisten sollen und ein zentrales Sicherheitsmanagement der unterschiedlichen Devices – dazu gehört aber auch die Erarbeitung und Aktualisierung von Benutzer-Richtlinien der Anwender. Auch regelmäßige Sicherheitsschulungen der Mitarbeiter werden häufig vom SOC inhaltlich beeinflusst oder auch selbst durchgeführt, da hier die Daten von tatsächlichen Sicherheitsvorfällen im Unternehmen zusammen laufen, was in den Schulungsinhalten jedenfalls mitberücksichtigt werden sollte. Die Risikoabschätzung ist ebenfalls Aufgabe des eigenen SOC als Grundlage für Budget- und Schwerpunktentscheidungen des Managements.

Überwachen

Die aktive Überwachung der IT-Systeme stellt sicherlich die zentrale Aufgabe des SOC dar. Dies umfasst einerseits die Überwachung der laufend gesammelten Daten, um einen Angriff zu erkennen aber auch die das Erkennen von bestehenden Sicherheitslücken und deren Beseitigung in den eigenen Systemen. Verdächtige Aktivitäten im Netzwerk sollen erkannt werden und entsprechend eine entsprechende Alarmierung zur Folge haben, damit der Vorfall analysiert werden kann.

Maßnahmen ergreifen

Die Analyse der gesammelten Daten bildet die Grundlage für die weiteren Services eines SOC – bei erkannten Angriffen ist es erforderlich, dass die Entscheidungsketten aufeinander abgestimmt sind und klare Handlungsanweisungen vorliegen. Einerseits ist es wichtig dass möglichst direkt Abwehrmaßnahmen gegen einen Cyber-Angriff vorgenommen werden – diese Maßnahmen können je nach Gefährdungslage folgendermaßen aussehen:

  • Veranlassung von gemeinsamen Maßnahmen mit externen Providern
  • Beobachtung der Aktivitäten des Angreifers zur Abschätzung des Ausmaßes des Angriffs
  • Abschottung der betroffenen Systeme bis hin zum
  • Shutdown der gesamten IT

Reporting

Eine wichtige Aufgabe des SOC ist auch das Reporting an das Management – dazu gehören die Einschätzungen in Bezug auf die eigenen Sicherheitslage und Empfehlungen in Bezug auf die sicherheitsrelevanten Systeme. Darüber hinaus kann das SOC in verschiedensten Bereichen des Unternehmens beratend zur Seite stehen um Sicherheitsstrategien von Anfang an bei der Unternehmens- und Projektplanung mitzudenken. So unterstützt lassen sich Pflichten hinsichtlich Datenschutz und Compliance wesentlich effizienter erfüllen.

Fazit

Der Betrieb eines SOC ist für Unternehmen, die eine bestimmte Größenordnung überschreiten und deren Dienstleistung/Produktion in großem Maße von IT-Systemen abhängig sind, heutzutage unerlässlich. Auch der Zukauf eines externen SOC ist möglich und es gibt für diese Leistungen zahlreiche Anbieter am Markt – deren Angebote können auf jede Unternehmensgröße abgestimmt werden. Die externe Vergabe ist in jedem Fall eine Überlegung wert, da entsprechend qualifiziertes Personal im aktuellen Umfeld sehr schwierig zu akquirieren ist und eine externe Verantwortlichkeit sicherlich zu begrüßen ist. Falls man sich für einen externen Anbieter entscheidet, sollte man bei der Auswahl jedenfalls die nötige Sorgfalt walten lassen, da aufgrund der weitreichenden Berechtigungen, die man dem Anbieter erteilt –  die für die Durchführung der Aufgabe durchaus nötig sind – Vertrauen zum gewählten Partner Voraussetzung ist.