AssCompact Beratertage – INFINCO ist als Partner dabei – Besuchen Sie uns!

AssCompact Beratertage 2022Besuchen Sie uns auf den AssCompact Beratertagen am

5. Mai in Wien/Vösendorf
10. Mai in Innsbruck/Mils

und am 19. Mai online.

Die AssCompact Beratertage sind das Branchenupdate des Jahres. Wir freuen uns darauf Sie kennenzulernen bzw. wiederzusehen. Außerdem haben Sie die Möglichkeit durch die Teilnahme an den Vorträgen unabhängige IDD Weiterbildungsstunden zu sammeln – die Teilnahme ist kostenlos.

Unsere Beiträge möchten wir Ihnen in der untenstehenden Übersicht zusammenfassen – wir freuen uns über Ihre Teilnahme:

Asscompact Beratertage

Wie verwende ich den INFINCO-Calculator richtig?

Digitale Prozesse sind auch in der Welt des Versicherungsmaklers nicht mehr wegzudenken. Deshalb bauen auch wir unsere digitalen Angebote, den INFINCO-Calculator und unsere smarte Regulierungsplattform weiter aus.

Welche Produkte finden Sie derzeit im INFINCO-Calculator?

Derzeit finden Sie die Sparten D&O-, Cyber-, Vermögensschadenhaftpflicht- und Vertrauensschadensversicherung in unserer Berechnungs- und Angebotsplattform.

Sparten INFINCO-Calculator

In CYBER können Sie zwischen zwei Varianten wählen. Unser Deckungskonzept, das wir zusammen mit unserem Partner MARKEL soeben neu aufgelegt haben, geht weit über das Standardkonzept des Versicherers hinaus. In Kürze werden wir Sie herzlich einladen, bei einer der Fachschulungen zum Deckungskonzept mit dabei zu sein. Das Konzept richtet sich insbesondere an Gewerbeunternehmungen und Dienstleistungsunternehmen. Gerade für etwas größere Unternehmen und Produktionsunternehmen können Sie auf unser weiteres Deckungskonzept mit AIG zurückgreifen. Hier können Sie Angebote für Kunden mit einem Umsatz von bis zu 100 Millionen Euro berechnen.

In der Vermögensschadenhaftpflichtversicherung können wir Ihnen bei den Berufen Steuerberater, Wirtschaftsprüfer, IT-Unternehmen, Werbung/Medien behilflich sein. Für alle genannten Berufe können Sie auf unsere Besonderen Deckungsvereinbarungen zurückgreifen.

Ebenso verfügen wir über ein Deckungskonzept in der Vertrauensschadensversicherung mit zahlreichen Sondervereinbarungen.

In der D&O-Versicherung haben Sie die Möglichkeit eine Quotierung für die Bereiche Unternehmens-D&O und persönliche D&O zu berechnen.

Warum nicht gleich ein annahmefähiges Angebot?

Wir haben uns dafür entschieden, dass wir durch die Vereinbarung von klar vorgegebenen Modellen mit unseren Versicherungspartnern vorab Prämien bekannt geben können, welche im Falle einer positiven Risikoprüfung auch halten werden.

Damit sind verständlicherweise die erstellten Angebote unter den Vorbehalt dieser Risikoprüfung zu stellen. Im Bereich der D&O haben wir dies insbesondere durch die Abgabe einer Quotierung klargestellt. Eine Quotierung definiert lediglich die Prämie eines Risikos, welche sich nach Mitteilung der individuellen Risikosituation noch ändern kann.

In Einzelfällen hat sich in der Risikoprüfung ergeben, dass ein Unternehmen aufgrund der Finanzdaten etwa gar nicht oder nur mit Einschränkungen angenommen werden kann. Dies ist insbesondere dann der Fall, wenn ein Unternehmen ein negatives Eigenkapital aufweist, ein Jahresverlust im Ergebnis erzielt wird oder das Unternehmen einer Unternehmensgruppe angehört.

Deshalb ist es in eurem Eigeninteresse, dass Sie – mit einer Quotierung ausgestattet – den Kunden die Risikofragen beantworten lassen können. Bei den Risikofragen geben wir Hilfestellungen mit, was zu tun ist, wenn eine Risikofrage einmal negativ beantwortet werden muss. Das vermeidet unnötige Schleifen mit dem Kunden und durch die vermittelte Transparenz sollen auch unrealistische Erwartungshaltungen eingefangen werden.

Im Anschluss erfolgt dann die Risikoprüfung und die Quotierung kann dann mittels Deckungswunsch durch Sie in die Policierung münden.

Sie haben noch keinen Zugang zu unserer Angebot und Berechnungsplattform – melden Sie sich gleich an:

Anmeldung zum INFINCO-Calculator

D&O: Warum die Managerhaftpflichtversicherung nicht zur Auffanglösung werden darf

Aufgrund des weit definierten Versicherungsgegenstands besteht durchwegs die Möglichkeit, dass die D&O-Versicherung auch für die nicht ordnungsgemäße Wahrnehmung der Versicherungsagenden aufgrund Versäumnisse der Geschäftsführung herangezogen wird. Hierzu sind gleich mehrere Fälle einer Inanspruchnahme der D&O-Versicherung möglich.

So wäre es durchwegs vorstellbar, dass ein Leitungsorgan eines Unternehmens um Prämie einzusparen, den Deckungsumfang eines Gewerbebündelvertrages reduziert und dadurch dem Unternehmen ein Schaden erwächst. Sollte der Schaden höher ausfallen, so werden die Gesellschafter auch nach Möglichkeiten suchen, gegen das Leitungsorgan rechtlich vorzugehen. Die Gesellschafter könnten dem Unternehmensleiter die Pflichtverletzung vorwerfen, dass es grob fahrlässig sei, etwa Witterungseinflüsse, die in der Vorpolice durch Sonderklausel – aber gegen Zusatzprämie – mitversichert waren, aus Kostengründen aus dem Versicherungsschutz herauszunehmen.

Der gleiche Vorwurf ist denkbar, wenn man sich vorstellt, dass ein Unternehmen durch einen Cybervorfall schwer getroffen wurde und mehrere Wochen stillstand und Daten wiederhergestellt werden mussten, ohne dass ein entsprechender Cyberversicherungsschutz für das betroffene Unternehmen eingekauft wurde. Auch hier ist durchwegs vorstellbar und vielleicht sogar wahrscheinlich, dass die Gesellschafter des Unternehmens die Unternehmensleitung in Anspruch nehmen. Aus unserer Sicht ist es auch nur eine Frage der Zeit, bis solche Ansprüche tatsächlich gegen Unternehmensleiter seitens der Gesellschafter oder anderer Geschädigter geltend gemacht werden.

Wir möchten daran erinnern , dass wohl nicht ohne Grund in alten D&O-Verträgen die nicht ordnungsgemäße Wahrnehmung von Versicherungsagenden in D&O-Deckungen größerer Unternehmungen standardmäßig ausgeschlossen war. Es weist dieser – heute schon fast historisch anmutende Ausschluss, den ältere Freunde der D&O-Versicherung durchwegs noch kennen werden – eine erschreckende Aktualität auf.

Denn vor dem Hintergrund massiver Cyberattacken, getrieben durch das Geschäftsmodell Ransomware und durch starke systemische Veränderungen, erhitzt durch den Ukrainekrieg, ist es wichtig, dass die D&O-Versicherung nicht zusehends zur Ventilversicherungssparte mutiert, die zum Zug kommt, wenn anderweitiger Versicherungsschutz nicht greift.

Dies wäre zwar vielleicht für Unternehmen und Manager praktisch, aber von der Gefahrengemeinschaft nicht finanzierbar. Dies würde sicherlich dazu führen, dass es noch schwieriger wird, D&O-Versicherungsschutz zu generieren, nicht nur für große Unternehmen und naturgemäß schwierige Bereiche wie Finanzinstitutionen oder Industrie, sondern auch generell für kleinere und mittlere Unternehmen.

NEUES CYBERPRODUKT: INFINCO Markel PRO Cyber 2022

In den letzten Monaten war der Markt für Cyber-Versicherungen sehr unübersichtlich und viele Anbieter zeichnen sich in Cyber zurück, Prämien steigen und vielfach verschlechtern sich die Bedingungen für Cyberkunden deutlich.

Umso mehr freut es uns, dass wir mit MARKEL  in der Sparte Cyber unser neues Deckungskonzept „INFINCO Markel PRO Cyber 2022 closen konnten, welche am Markt ihresgleichen sucht.

Keine Prämienanpassung

Es erfolgte im Rahmen des Antragsmodells keine Prämienanpassung, Ihre Kunden profitieren nach wir vor von den günstigen Prämien auf dem Niveau des Jahres 2019.

Deutlich erweiterte INFINCO-Sondervereinbarungen

Wir konnten im Rahmen der Sondervereinbarungen zahlreiche neue Deckungsvereinbarungen treffen, welche wir an dieser Stelle nur auszugsweise erwähnen möchten:

  • Berufsgruppenspezifische Zusatzdeckungen: Sinnvolle Deckungserweiterungen z.B. für Ärzte und beratende Berufe
  • Beweislastumkehr bei Unklarheit bei der Feststellung eines Versicherungsfalls
  • Vorleistung bei Nutzung von Cloud- und Hosting-Diensten bis EUR 2 Mio.

Update-Garantie für Bestandskunden

Das beste – unsere Partner, die bereits mit uns gemeinsam Cyber-Versicherungsverträge mit INFINCO Markel Pro Cyber in der Vergangenheit abgeschlossen haben, müssen diese Verträge nicht konvertieren, da unsere Innovationsgarantie automatisch für alle Verträge gilt, die über uns vermittelt wurden und die Innovationsklausel bereits vereinbart hatten. Diese wurde bei uns seit 2018 bei nahezu allen Verträgen vereinbart.

In der nächsten Woche werden wir Ihnen die Unterlagen zu unserer neuen Cyberdeckung zur Verfügung stellen – selbstverständlich werden wir in diesem Rahmen auch eine Schulung durchführen, damit Sie mit unserer neuen Cyberlösung auch gut und komfortabel in den Vertrieb starten können – und für die Nutzer unseres Calculators – die Anpassungen am Produkt sind ebenfalls bereits am Laufen!

Falls Sie noch keinen Zugang zu unserer digitalen Angebotsplattform haben – nutzen Sie die Gelegenheit und melden sich an!

Das Active-Directory als zentrale Drehscheibe bei IT-Security

Viele namhafte Cyberversicherer stellen einerseits beim Neuabschluss aber auch bei den jährlichen Vertragsverlängerungen sehr detaillierte Fragen zum Active Directory bzw. insbesondere zu den privilegierten Benutzern bzw. Domainadministratoren.  Warum diese Fragen gestellt werden und ob dies auch seine Berechtigung hat, soll hier kurz erläutert werden.

Was ist das Active Directory oder kurz AD?

Das Active Directory ist ein von Microsoft verwendeter Netzwerkverzeichnisdienst. Es ist einer der zentralen Bestandteile der Verwaltung von Windows-basierten Netzwerken und eine wichtige Komponente des Windows-Netzwerks. Informationen über Geräte, Dienste und Einstellungen werden in einer Datenbank gespeichert – es ist der zentrale Identitätsspeicher.

Da ein überwiegender Anteil der Unternehmen bei den Netzwerktechnologien auf Microsoft-basierende Technologien setzt, sind die hier besprochenen Technologien in Unternehmen weit verbreitet. Die hier verwendeten Begrifflichkeiten allerdings kaum, da diese Komponenten dafür sorgen sollen, das es „funktioniert“ – in den IT-Abteilungen sind diese natürlich bestens bekannt. Es geht hier um zahlreiche Grundfunktionen eines Netzwerks, von der Benutzerverwaltung, über die Speicher- und Ressourcenverwaltung bis hin zur Verwaltung der Rechte und noch vieles mehr.

Was sind privilegierte Benutzer bzw. Domain-Administratoren?

Die Rechteverwaltung erhält in Verbindung mit der Cyberversicherung besondere Aufmerksamkeit. Verständlich, da ein potentieller Angreifer meist nicht sofort die weitgehenden Rechte im Netzwerk hat, um eine erfolgreiche Cyber-Attacke auszuführen. In einem vorherigen Artikel haben wir den typischen Ablauf einer Cyber-Attacke bereits erläutert – kurzum, der Angreifer versucht mit verschiedenen Mitteln seine Rechte zu erhöhen.

Weiters muss man zwischen der Person bzw. Tätigkeit „IT-Administrator“ und den Accounts mit unterschiedlichen Berechtigungen unterscheiden, die ein IT-Administrator nutzen sollte. Die erhöhten Rechte sollten immer nur genutzt werden, wenn dies für die Erfüllung der aktuellen Aufgabe notwendig ist.

Grob unterscheiden kann man Benutzer-Accounts in Firmennetzwerken meist in drei bzw. vier Gruppen:

Unprivilegierte Benutzer: Diese Benutzer haben meist keine besonderen Rechte, außer dass sie sich anmelden dürfen und ihnen zugewiesene Ressourcen und Programme verwenden dürfen. Auch ein Administrator sollte mit einem solchen Account an seiner Arbeitsstation angemeldet sein. Dieser Account dient wie bei jedem anderen Mitarbeiter der täglichen Arbeit, sprich: er hat eine Mailbox, hat sein Office Programm und sonstige Standardsoftware.

Privilegierte Benutzer: Diese Benutzer werden von IT-Administratoren meist benutzt, um Ihre Administrationsaufgaben zu erfüllen – Anlage neue User, Einrichten/Anpassen der Server und Arbeitsstationen.

Domainadministrator: Dieser nochmals höher privilegierte Account dient der Administration des Active Directory selbst.

Organisationsadministratoren: In Unternehmen mit mehreren Domänen hat dieser User domänenübergreifen die meisten Berechtigungen, wobei für die einzelne Domäne der oben genannte Domainadministrator meist weitgehendere Rechte hat.

Active Driectory - Accounts

Abbildung: schematische Übersicht AD-Accounts

Je nach Anforderungen des Unternehmens können die Bezeichnungen der Rollen und die damit verbundenen Berechtigungen unterschiedlich ausfallen. Die obige Liste und Darstellung können daher abweichen und durchaus auch deutlich granularer aufgebaut sein.

Ziel eines Angreifers wird es im Regelfall sein, einen privilegierten Account und im besten Fall einen Account zur Domain-Administration zu erstellen bzw. zu übernehmen. Dem kann mit einem granularen Konzept vorgebeugt werden, welches dem Least-Privilege-Prinzip (= kein Benutzer soll mehr Rechte haben, als er für die Erfüllung seiner Aufgaben benötigt) folgt.

Welche Sicherheitslücken können sich ergeben?

Die Sicherheit des Active Directory hat in den letzten Jahren sehr an Bedeutung gewonnen und viele Empfehlungen, welche vor wenigen Jahren noch „state-of-the-art“ waren, gelten heute als überholt. Diese Fehler, die teils lange in der Vergangenheit gemacht wurden, beschäftigen Unternehmen teilweise noch bis heute.

Die häufigsten Sicherheitslücken im Active Directory stellen sich wie folgt dar:

  • Arbeit mit Admin-Konten: Aus Bequemlichkeit wird häufig mit den oben erläuterten privilegierten Konten im Alltag gearbeitet. Auch kommt es vor, dass mit diesen Accounts auf regulären Clients gearbeitet wird, welche meist viel leichter kompromittiert werden können als die gut abgesicherte Serverumgebung. Und wenn die Anmeldung auf einem bereits betroffenen Client stattfindet, ist es leicht möglich, dass der Angreifer über diese Anmeldung die unternehmensweit gültigen Zugangsdaten für den privilegierten Account erhält.
  • Fremde Software am Domain-Controller: Der Domain Controller steuert das gesamte AD, wird aber oft auch für andere Dienste verwendet – gerade in kleineren Netzwerken. Jeder darüber hinaus genutzte Dienst am Domain-Controller enthält potentiell weitere Sicherheitslücken und erhöht das Risiko von erfolgreichen Angriffen.
  • Dienstkonten in der Domainadministratoren-Gruppe: Automatisch ausgeführte Dienste sollten sich niemals in der DA-Gruppe sondern immer über eigene Dienstkonten ausgeführt werden, welche nur die notwendigen Rechte besitzen. Aus Bequemlichkeit, gerade bei Services, die weitgehende Rechte erfordern, werden diese gerne in der DA-Gruppe „geparkt“.
  • Fehlende 2-Faktor-Authentifizierung für Administrationsaufgaben: Für die privilegierten Konten sollte immer eine 2FA-Authentifizierung genutzt werden. Welche Vorteile eine 2FA hat und warum sie nach Möglichkeit immer eingesetzt werden sollte, lesen Sie hier.
  • Keine domainfremden Backups: Wenn es doch dazu kommt, dass das AD kompromittiert wird, sollte zumindest das Backup-System vom AD unabhängig aufgestellt sein. Natürlich versuchen die Hacker, um den Cyber-Angriff erfolgreich abschließen zu können, auch die Backup-Struktur anzugreifen – wenn sich diese im selben AD befindet und der Angreifer bereits erhöhte Rechte besitzt, kann man davon ausgehen, dass auch das Backup von der Cyber-Attacke betroffen sein wird.
Active Directory - häufige Sicherheitslücken

Abbildung: häufige Sicherheitslücken im Active Directory

Es gibt noch zahlreiche andere Fehler, welche im Umgang mit AD begangen werden können. Es wird sich daher auf lange Sicht lohnen, wenn man das eigene Active Directory einer Überprüfung (ggfls. auch extern) unterzieht.

Ein guter Anhaltspunkt dafür ist z.B. der Active Directory Security Halftime Report von Semperis.

Wie wird die Cybersicherheit in Europa verbessert?

Welche Initiativen gibt es eigentlich auf europäischer Ebene, um der wachsenden Cyber-Bedrohungslage zu begegnen und was sind die Ziele dieser Initiativen?

In erster Linie geht es hier natürlich um den Schutz der kritischen Infrastruktur und der Aufrechterhaltung der Wettbewerbsfähigkeit des europäischen Marktes.  Es gibt hier mehrere Vorhaben, welche die Resilienz gegenüber Cyberangriffen erhöhen sollen. Wenn auch viele dieser Maßnahmen für als kritisch eingestufte Sektoren vorgesehen sind, können einige Überlegungen auch von anderen Unternehmen in Erwägung gezogen werden.

Aktuell gibt es auf Europäischer Ebene folgende Einrichtungen und Initiativen zu dieser Thematik – wir versuchen, die unserer Ansicht nach relevantesten etwas genauer unter die Lupe zu nehmen:

EU-Agentur für Cybersicherheit (ENISA)

Die EU-Agentur für Cybersicherheit folgt seit 2019 ihrer Vorgängerin (Agentur der Europäischen Union für Netz- und Informationssicherheit) nach, hat jedoch nun eine deutlich gestärkte Rolle.

Die Aufgabenbereiche sind vielfältig, sie unterstützt bei der Vorbereitung auf und Vermeidung von Cyberangriffen auf europäischer Ebene und publiziert eine Vielzahl von Artikeln und Guidelines.

Die Agentur ist ein sehr informativer Anlaufpunkt für Informationen auf europäischer Ebene und durch die Kooperation mit den nationalen CSIRTs (Computer Security Incident Response Team) ein Knotenpunkt an dem viele Informationen zusammen laufen.

Für mehr Informationen empfehlen wir die Website der ENISA:
https://www.enisa.europa.eu/

Gemeinsame Cyber-Einheit

Viele Nationen in der EU haben bereits entsprechende Einrichtungen, die sich mit Cyber-Kriminalität und Cyber-Sicherheit beschäftigen und diese Aufgaben auf nationaler Ebene wahrnehmen. Die Einrichtungen sind zwar organisatorisch unabhängig, aber die Bedrohungen, denen sie gegenüber stehen, sind häufig dieselben. Cyber-Angriffe beschränken sich in den wenigsten Fällen auf eine Nation, es sei den sie sind politisch motiviert.

Die Gemeinsame Cyber-Einheit soll eine Plattform schaffen, welche die Koordination,  Erfahrungs- und Informationsaustausch und gemeinsame Warninstrumente ermöglichen soll.

Konkret vorgeschlagen wurde die Einheit 2021, soll aber im Rahmen eines sehr motivierten Zeitplans Mitte 2022 bereits seine Arbeit aufnehmen und ab Mitte 2023 voll funktionsfähig sein – in letzter Zeit ist es allerdings verdächtig ruhig zu diesem Thema geworden.

Dass eine solche Einheit, die auf Cyber-Sicherheitsvorfälle und Cyber-Krisen koordiniert auf europäischer Ebene agieren kann, notwendig ist, dürfte außer Frage stehen.

Cyber Resilience Act

Diese Initiative soll die Hersteller von IT-Produkten und -Services in die Pflicht nehmen auf die Cyber-Sicherheit Ihrer Produkte zu achten. In einer vernetzten Welt von heute sollte es eine Selbstverständlichkeit sein, dass auch die Hersteller von Soft- und Hardware bei der Entwicklung Ihrer Produkte auf Sicherheit achten – leider führen Zeit- und Kostendruck oft dazu, dass dieser Punkt in der Entwicklung nicht erste Priorität erhält.

Ziele dieser Initiative sind:

  • gleichbleibend hohes Cybersicherheitsniveau für digitale Produkte und Nebendienstleistungen in Europa
  • Nutzerinnen und Nutzer sollen in die Lage versetzt werden, die Sicherheitseigenschaften solcher Produkte auf ihre Bedürfnisse abzustimmen
  • gleiche Wettbewerbsbedingungen für Anbieter digitaler Produkte und Nebendienstleistungen
Ziele Cyber Resilience Act

Abbildung: Ziele des Cyber Resilience Acts

Zu dieser Initiative läuft noch bis zum 25. Mai 2022 eine Aufforderung zur Stellungnahme der Europäischen Kommission – Ziel der Konsultation ist es, die Ansichten verschiedener Interessenträger einzuholen.

Hier ist noch nicht abzusehen, welche Maßnahmen daraus folgen werden. Ein „Gütesiegel“ für Software und digitale Produkte wird schwer umsetzbar sein – allzu strenge Haftungsbestimmungen könnten eine Innovationsbremse sein.

Wir sind jedenfalls gespannt auf die Entwicklungen im Rahmen dieser Gesetzesinitiative.

Richtlinie über Maßnahmen für ein
hohes gemeinsames Cybersicherheitsniveau in der Union
(kurz: „überarbeitete NIS-Richtlinie“ oder „NIS 2“)

Wie der Name schon sagt, soll diese Richtlinie die NIS-Richtlinie 2016/1148 ersetzen und die darin enthaltenen Vorschriften decken eine Vielzahl von Bereichen ab und haben das Ziel, Risiken online und offline, von der Cyberattacke bis zur Naturkatastrophen, zu reduzieren.

Dies soll mit folgenden Maßnahmen erreicht werden:

  • höhere Sicherheitsanforderungen an Unternehmen, die der kritischen Infrastruktur angehören
  • Sicherheit der Lieferketten
  • Vereinfachung der Berichterstattungspflichten
  • Aufsichtsmaßnahmen und Durchsetzungsanforderungen durch die nationalen Behörden
Ziele NIS 2 Richtlinie

Abbildung: Ziele der NIS 2 Richtlinie

Während man bisher bei kritischer Infrastruktur hauptsächlich von den klassischen Sektoren Verkehr, Banken, Gesundheit und Energie gesprochen hat, zielt NIS darauf ab, diese als kritisch definierten Bereiche auszuweiten. Das wird dazu führen, dass weitaus mehr Unternehmen nun von der Richtlinie erfasst sein werden, was als positiv zu werten ist.

Die Berücksichtigung von Lieferketten und Abhängigkeiten in diesem Zusammenhang stellt sich in der heutigen vernetzten Welt als Notwendigkeit dar. Kaum ein Unternehmen kann es sich leisten, von unsicheren Partnern in der Lieferkette abhängig zu sein – insofern ist die Einhaltung gewisser Mindeststandards in der IT-Sicherheit jedenfalls eine Notwendigkeit, die manchmal unbequem sein mag, allerdings der langfristen Gesundheit der Wirtschaftsbeziehungen zuträglich ist und aufgrund der vielen unterschiedlichen Cyberbedrohungen nicht ignoriert werden kann.

Manche Unternehmen machen es bereit vor und erwarten in Ihren Geschäftsbeziehungen mit Lieferanten bereits entsprechende umgesetzte Sicherheitsvorkehrungen.

FAZIT

Wir sind im Rahmen unserer Recherchen noch auf zahlreiche andere Informationsquellen und Initiativen im europäischen Kontext gestoßen – wie leider so oft im Zusammenhang mit öffentlichen Institutionen ist es ein Dschungel bestehend aus Informationen, welche durchaus werthaltig sind, allerdings kaum in strukturierter und verwertbarer Form vorliegen.

Grundsätzlich sind wir Initiativen, welche die Cyber-Resilienz von Unternehmen stärken sollen, positiv gegenüber eingestellt – nicht zuletzt, da diese Initiativen auch zu einer Stabilisierung des Versicherungsmarktes beitragen können, wenn Sie erfolgreich und wirksam umgesetzt werden.

Denn trotz aller Initiativen müssen wir uns darüber im klaren sein, dass Cyber-Bedrohungen und -Krisen zukünftig nicht mehr aus dem Alltag verschwinden werden. Es muss allerdings das Ziel sein, dass man zumindest den meisten dieser Angriffe relativ gelassen entgegen sehen kann.

Schadensfälle in der Cyber-Versicherung – Exchange-Server

Cyber-Attacken – eine mittlerweile akute tägliche Bedrohung für alle, besonders aber für Unternehmen und deren Management. Wir werden in einer Serie über Schadenbeispiele berichten, die sich auch tatsächlich ereignet haben, und repräsentativ für solche Ereignisse sind.

Also keine künstlich aufgeblasenen Weltuntergangs-Szenarien, sondern Informationen über laufend vorkommende Fälle. Im Gegensatz zur Tagespresse, die lediglich über dramatische Großschäden berichtet, werden wir uns in diesem Format mit dem üblichen Tagesgeschäft unserer Experten in der Cyber-Versicherung bei INFINCO auseinandersetzen.

Exchange-Sicherheitslücke

Hafnium, eine Hackergruppe die vermutlich aus China operiert, startete im vergangenen Jahr eine bislang beispiellose Angriffswelle auf Microsoft-Exchange-Server. Die Attacke nutzte dabei sog. Zero-Day-Schwachstellen aus. Zero-Day-Schwachstellen sind Sicherheitslücken die von Angreifern entdeckt wurden, bevor der Hersteller der Soft- bzw. Hardware darauf aufmerksam geworden ist. Da der Herstellen nichts davon weiß, gibt es auch keinen Patch, so dass die Angriffe mit hoher Wahrscheinlichkeit erfolgreich verlaufen.

So konnte auch bei einem INFINCO-Kunden die entstandene Sicherheitslücke nicht rechtzeitig geschlossen werden und es wurde eine Schadsoftware am Mailserver platziert, die diesen verschlüsselte.

Nach der Einschaltung des First-Response-Dienstleisters des Versicherers wurde die erforderliche Wiederherstellung des Systems in der Folge von einem externen Cyber-Dienstleister bewerkstelligt. Neben dem Wiederaufbau des Systems durch den Cyber-Sicherheits-Experten fielen noch zusätzliche Aufwendungen für das Schließen der Sicherheitslücke und das Beseitigen der Schadsoftware aus den betroffenen Systemen an.

Da die Wiederherstellungsarbeiten erfolgreich abgeschlossen werden konnten, musste auch nicht auf die geforderte Erpressungsforderung eingegangen werden, welche zwar im Rahmen der Cyberversicherung gedeckt gewesen wäre, verständlicherweise aber nur als letztes Mittel herangezogen wird, wenn keine andere Möglichkeit der Datenwiederherstellung besteht.

Die dem Kunden daraus entstandenen beträchtlichen Kosten wurden von der entsprechend richtig konzipierten Cyber-Versicherung getragen und der Versicherungsnehmer damit schadlos gehalten.

Der typische Ablauf einer Cyber-Attacke

Wir möchten hier darstellen, wir üblicherweise ein Cyber-Angriff abläuft – im Falle der genutzten Zero-Day-Lücken, war es möglich, die ersten 4 Phasen sehr kurz zu halten und aufgrund der Vielzahl von verwundbaren Systemen weitgehend zu automatisieren.

Ablauf einer Cyber-Attacke

Russischer Einmarsch in der Ukraine: Auswirkung auf das Financial Lines Business

Mehrere Versicherer kündigten bereits an, dass in den Ländern Russland, Belarus und der Ukraine kein Neugeschäft mehr gezeichnet wird und Bestandsverträge nicht mehr verlängert werden. Dies hat Auswirkung auf viele österreichische Unternehmungen die mit eigenen Entities vor Ort tätig sind.

Natürlich bezieht sich dieses Problem auf fast alle Versicherungssparten und nicht nur auf Financial Lines. Besonders von der Problematik betroffen sind deshalb Kreditversicherer, welche auch politische Risiken abdecken und so Forderungen vor Unruhen, Krieg oder Sperren durch Devisentransfers versichern.

Auf der Kundenseite sind vor allem Unternehmen betroffen, welche Tochterunternehmungen oder Joint Ventures in den Staaten Russland, Belarus oder in der Ukraine unterhalten. Während betroffene Unternehmen und Kunden von den EU/EWR-Sanktionen und Embargos betroffen sein werden, sind Unternehmen in der Ukraine wohl davon betroffen, dass beispielsweise ein D&O-Versicherer einen Vertrag nicht mehr verlängern oder neu zeichnen wird, wenn die Versicherungsnehmerin ein ukrainisches Tochterunternehmen hält. Es ist wohl realistisch, dass wir in D&O-Renewals auch im Bereich der mittelgroßen Unternehmen öfter wieder Ausschlüsse für Krieg sehen werden.

Für in Russland gelegene Risiken musste bereits in der Vergangenheit eine lokale Deckung in Russland abgeschlossen werden, weil es sich bei Russland um ein sogenanntes „non admitted country“ handelt. Währenddessen konnte eine österreichische Versicherungsnehmerin ihre ukrainische Tochter über eine Financial Interest Cover mitversichern. Trat beispielsweise ein D&O-Schaden in einem ukrainischen Tochterunternehmen ein, so wurde, um es kurz zu fassen, die österreichische Mutter entschädigt und zwar in der Höhe, in welcher die Mutter ihre Tochter durch den entstandenen Schaden in der Bilanz abwerten musste.

Fazit:
Die beschlossenen EU-Sanktionen und Embargos umfassen nicht nur die geografische Belegenheit des Risikos, also den Sitz von Gesellschaften, sondern sie beziehen sich auch auf eine schon recht große Gruppe von natürlichen Personen. Deshalb sollten die Vermittler, welche im internationalen Kontext agieren, auch die Organe von Gesellschaften vermehrt in den Fokus ihrer Risikoprüfung rücken. Selbstverständlich gilt dies auch für die Versicherer.

Webinar am 9. März 2022 – „Die Absicherung von Cloud-Ausfällen“

80% aller Unternehmen nutzen Cloud-Services. Angebote in der Cloud haben mittlerweile eine substanzielle Größe erreicht. Damit wächst auch die Abhängigkeit von der digitalen Lieferkette und im Falle eines Ausfalls der Cloud-Dienste auch der finanzielle Schaden für die davon betroffenen Unternehmen. Doch der Versicherungsmarkt hat reagiert und so ist es möglich, dass sich Unternehmen mit neuen Formen der Versicherung vor den finanziellen Folgen eines Cloud-Ausfalls schützen können.

Referenten:
Peter Pillath, Director Business Development & Underwriting Europe, Parametrix Insurance
Joe Kaltschmid, Geschäftsführer INFINCO
Matthias Kienzl, Online Services, Broker Support INFINCO

Um Ihr Wissen zu vertiefen, melden Sie sich noch heute für das Webinar an!

Multi-Faktor-Authentifizierung

Multi-Faktor-Authentifizierung oder auch kurz MFA, wird für Unternehmen, die Versicherungsschutz in der Sparte Cyber erhalten wollen, nun fast durchgängig als Minimalvoraussetzung genannt. Warum das so ist und welche Vorteile MFA für jedes einzelne Unternehmen bringt, soll hier kurz erläutert werden.

Sicherheitsrisiko „Kennwort“

Lange Zeit war die Wahl eines sicheren Kennworts die wichtigste Empfehlung zur Absicherung von Benutzer- und Online-Konten. Die Vorgaben für ein sicheres Passwort waren hier teilweise so praxisfremd und nicht selten führte dies dazu, dass bei jedem Einstieg in das Online-Konto, insbesondere, wenn man es nicht so oft nutzte, die Funktion „Passwort vergessen?“ genutzt werden musste. Auch führte dies oft dazu, dass wenn man sich ein „sicheres“ Passwort merken konnte, dies für eine Vielzahl von Diensten verwendet wurde.

Auch wenn die Passwörter grundsätzlich sicher gewählt waren, sind diese Passwörter häufig durch diverse Sicherheitslücken in öffentlichen Passwortlisten gelandet – somit waren alle Dienste für die man dieses Passwort genutzt hat potentiell kompromittiert.

Um diesem Problem entgegenzuwirken gibt es für fast jede Software, die in Unternehmensumgebungen eingesetzt wird, inzwischen die Möglichkeit die sogenannte Multi-Faktor-Authentifizierung zu aktivieren.

Wie funktioniert Multi-Faktor-Authentifizierung?

Anstatt nur ein Kennwort bei der Anmeldung abzufragen, erfolgt der Anmeldeprozess bei MFA mehrstufig. MFA erfordert, dass Benutzer bei der Anmeldung mehr als einen Benutzernamen und ein Passwort verwenden, um sich erfolgreich anzumelden. Dies erschwert das Hacken von Konten ungemein, insbesondere wenn die zusätzlichen Faktoren gut gewählt sind.

Faktoren für die Multifaktor-Authentifizierung

meistgenutzte Faktoren für die Multifaktor-Authentifizierung

Wissen – etwas, das der Nutzer weiß

In den meisten Fällen ist dieser Teil die erste Stufe der MFA – der Benutzer meldet sich mit seinem Benutzernamen und seinem Passwort bei dem Dienst an.

Weitere Wissensfaktoren können sein:

  • OTP (Einmalpasswörter – allerdings meist in Verbindung mit dem Faktor Besitz)
  • Antworten auf persönliche Sicherheitsfragen

Nachteil des Faktors Wissen ist, dass es für den Benutzer meist schwer zu merken ist, wenn es nicht zu erraten sein soll und auch nicht durch Ausprobieren ermittelbar sein soll. Diese Anforderungen führen oft dazu, dass die Passwörter nicht den vorgegebenen Richtlinien entsprechen, mehrfach verwendet werden, oder auch unsicher in der Nähe des Arbeitsplatzes notiert werden.

Besitz – etwas, das der Nutzer besitzt

Hier gibt es eine große Auswahl an Devices, die für den Nachweis dieses Faktors verwendet werden:

  • Einmalpasswörter über Smartphone-Apps
  • Einmalpasswörter per EMail oder SMS
  • Keycards, USB Sticks, Smart Cards
  • Smartwatches usw.

Der Nachteil hier ist, dass dieser Faktor immer mitzuführen ist und damit auch vergessen werden kann.

Inhärenz – etwas, das der Nutzer ist

Auch diese Faktoren sind schon lange im Einsatz:

  • Fingerabdruck
  • Gesichtserkennung
  • Stimmerkennung
  • Retina oder Iris-Scan
  • Verhaltensanalysen

Für das Lesen von diesen Merkmalen sind oft spezielle Geräte erforderlich und auch hier muss darauf geachtet werden, dass die verwendeten Faktoren fälschungssicher sind. Gerade in der Vergangenheit haben sich Hersteller entsprechender Lesegeräte nicht gerade mit Ruhm bekleckert, da die Geräte sehr leicht zu täuschen waren.

Man sieht, jeder einzelne Faktor hat für sich alleine genommen seine Schwächen und Nachteile. Hier kommt die Multifaktor-Authentifizierung ins Spiel.

Was macht MFA so viel besser?

Gängige Multi-Faktor-Authentifizierung nutzt immer eine Kombination von zwei oder mehr Zugangsnachweisen aus unterschiedlichen Faktorkreisen für die Prüfung der Zugangsberechtigung – die gängigsten Beispiele dafür sind:

  • Login mit Benutzername und Kennwort (Wissen) + Einmalpasswort per SMS/App (Besitz) (z.B. Online-Banking, Handy-Signatur)
  • Login mit Benutzername und Kennwort (Wissen) + Entsperren des Smartphones (Besitz) (z.B. Google Accounts)
  • Login mit Benutzername und Kennwort (Wissen) + Lesegerät für Smartcards (Besitz) (z.B. Bürgerkarte)

Diese Kombination verschiedener Faktoren macht es für die Angreifer viel schwerer auf die dadurch geschützten Dienste zuzugreifen. Gängige Bedrohungsszenarien durch einfachen Passwortdiebstahl sind damit ausgeschlossen:

  • Phishing: Erbeutung von Login-Informationen, indem User auf gefälschte Anmeldeseiten gelockt werden
  • Malware: Installation von Schadsoftware am PC des Users, um z.B. über Keylogger an die Anmeldeinformationen zu kommen
  • Brute-Force: wiederholte und systematische Eingabe von Nutzer-Passwort-Kombinationen
  • Credential-Hacking: Cyberkriminelle verwenden geleakte Benutzer- und Passwortlisten, um bereits veröffentlichte Kombinationen von Benutzername und Passwort automatisiert bei allen möglichen Diensten auszuprobieren.

All diese Methoden funktionieren möglicherweise für das Passwort, allerdings erlangt nur mit dem Passwort, wenn das Konto durch MFA geschützt ist, niemand vollen Zugriff auf das Konto.

Nachteile der Multi-Faktor-Authentifizierung?

Sie.ist.unbequem. bzw. hat sie zumindest diesen Ruf.

Bequemlichkeit soll allerdings keine Ausrede für mangelhafte Sicherheit (nicht nur) im Unternehmensnetzwerk sein. Auch gibt es aktuell bereits durchaus sehr benutzerfreundliche Wege, um das eigene Netzwerk mit MFA deutlich sicherer zu machen.

Ein weiterer Nachteil ist, dass es umständlich sein kann, Zugriff auf sein Konto zu erhalten, wenn der weitere Faktor, der für die Anmeldung erforderlich ist, verloren gegangen ist (z.B. das Handy oder die Zugangskarte wurden verlegt). In diesen Fällen muss dann meist die IT-Abteilung tätig werden oder es müssen zusätzliche Schritte ergriffen werden, um wieder Zugriff auf das eigene Konto zu erlangen.

Was hat MFA mit Cyber-Versicherung zu tun?

Versicherungsunternehmen, die Versicherungsschutz für Cyber-Angriffe bieten, haben ein verständliches Interesse daran, dass die Systeme Ihrer versicherten Kunden sicher sind. Vergangene Schadensfälle haben gezeigt, dass Unternehmen, welche (zumindest im Fernzugriff) Multi-Faktor-Authentifizierung verwenden, viel besser gegen Cyber-Angriffe gewappnet sind.

Während es vor 2 Jahren auch für mittelständische Unternehmen durchaus möglich war, Versicherungsschutz ohne umgesetzte MFA zu erlangen, ist dies heute in den meisten Fällen nicht mehr möglich.

Da die Multi-Faktor-Authentifizierung zwischenzeitlich für jede gängige Unternehmenssoftware zur Verfügung steht, ist es aufgrund der oben genannten Vorteile von MFA nur verständlich, dass von vielen Versicherungsgesellschaften MFA bereits zu den Mindestvoraussetzungen erhoben wurde (neben Backup, Firewall, etc.). Daraus leiten sich meist in der Folge auch Bestimmungen in den Versicherungsverträgen ab, welche eine Leistung ausschließen, wenn der Schaden durch fehlende Multi-Faktor-Authentifizierung verursacht oder verschlimmert wurde.

Auch wir sind der Meinung, dass gerade in diesen Zeiten, in denen auch  verstärkt auf die Unternehmensumgebungen aus dem Homeoffice zugegriffen wird, die Absicherung des eigenen Netzwerks durch MFA insbesondere bei Fernzugriffen unumgänglich ist.

Auch die Datenschutzbehörden fordern beim Zugriff auf sensible Daten die Absicherung des Zugriffs über MFA. In diesem Zusammenhang verweisen die Behörden auf die Bestimmungen der DSGVO, dass geeignete technische Maßnahmen beim Zugriff auf sensible Daten zu ergreifen sind. Ist dies nicht der Fall stehen entsprechend hohe Strafen für die Verantwortlichen im Raum.