Aktuelle Cybervorfälle – wie eine Cyberversicherung davor schützen kann

In den letzten Wochen berichteten die Medien über zahlreiche aktuelle Cyber-Vorfälle. Darunter finden sich durchaus größere, prominente Unternehmen. Das haben wir zum Anlass genommen, um die Vorfälle durch die verfügbaren Informationen aus den Medien näher zu betrachten. Weiters versuchen wir auch zu zeigen, wie eine Cyberversicherung bei den einzelnen Vorfällen den Versicherungsnehmer unterstützen kann und welche Leistungen aus dem Versicherungsvertrag jeweils folgen.

 

DISCLAIMER

Wir haben zu den einzelnen Vorfällen keine genaue Kenntnis über den tatsächlichen Vorfall, sondern bewerten nur die in den Medien berichtete Faktenlage. Falls für die Bewertung notwendig, werden wir Annahmen treffen, die wir jedoch auch klar als solche kennzeichnen werden. Darüber hinaus haben wir auch keine Kenntnis darüber, ob und welchem Umfang bei den genannten Unternehmen Cyberversicherungsschutz besteht.

METRO AG

Quellen Stand 25.10.2022:
METRO AG – Mitteilung
heise.de – Artikel vom 20.10.2022
futurezone.at – Artikel vom 21.10.2022
winfuture.de – Artikel vom 22.10.2022

Was wissen wir?

Seit Anfang letzter Woche gab es bereits Berichte, dass der Verdacht auf einen Cyberangriff auf den Großhändler naheliegt. Zwischenzeitlich hat METRO den Cyberangriff bzw. IT-Sicherheitsvorfall auch auf der eigenen Website bestätigt. Interessant sind hier die Auswirkungen auf das Tagesgeschäft – die IT-Systeme sind wohl nicht vollständig lahmgelegt, sondern es kommt bei der Verarbeitung von Vorgängen an der Kasse zu Verzögerungen und auch bei der Preisauszeichnung komme es zu Problemen. Die betroffenen Filialen in Deutschland, Frankreich und Österreich bleiben allerdings unverändert geöffnet.

Die IT-Abteilung des Hauses ist im Zusammenhang mit externen Experten auf Ursachensuche – weitere Details sind darüber allerdings nicht bekannt.

Was wissen wir nicht?

Es gibt keine offiziellen Informationen darüber, ob Daten des Unternehmens verschlüsselt oder ausgeleitet wurden. Auch über die Art des Cyberangriffs ist nichts bekannt gegeben worden – vorstellbar ist, dass Teilsysteme durch den Cyberangriffs kompromittiert wurden und vom Netz genommen werden mussten, ausgefallen sind oder durch eine DDoS-Attacke lahmgelegt wurden.

Wie kann hier die Cyberversicherung helfen?

Lt. den Unternehmensinformationen handelt es sich um einen Cyberangriff. In Frage kommen zu diesem Zeitpunkt forensische IT-Dienstleistungen, welcher der Ermittlung der Schadensursache und der betroffenen Systeme dienen und auch für die Wiederherstellung der Systeme eine wichtige Grundlage liefern.

Die Hinzuziehung von externen Spezialisten zeigt hier auch, dass auch bestens vorbereitete IT-Abteilungen eines Unternehmens im Ernstfall Unterstützung von Experten anfordern – hier leistet die Cyberversicherung wertvolle Unterstützung, da vom Versicherer Vereinbarungen mit entsprechenden Experten getroffen werden – je schneller diese in einem Schadensfall tätig werden können, desto wahrscheinlicher ist es, dass das volle Ausmaß des möglichen Schadens gar nicht erst erreicht wird und das Unternehmen früher wieder handlungsfähig wird, was sowohl im Sinn des Kunden als auch der Versicherung ist.

Falls es zu einer Infektion der Systeme mit Schadsoftware gekommen ist, muss sichergestellt werden, dass die Systeme vor der Wiederinbetriebnahme „sauber“ sind, was die Kosten für die Wiederherstellungsmaßnahmen weiter in die Höhe treibt – eine weitere Re-Infektion nach der Wiederherstellung der Systeme soll jedenfalls ausgeschlossen werden – was die forensischen Maßnahmen zur Ermittlung der genauen Schadensursache unerlässlich macht.

Auch die Cyber-Betriebsunterbrechungsversicherung kann die finanziellen Folgen eines solchen Hackerangriffs abfedern. Auch wenn der Filialbetrieb momentan aufrecht ist, kann man davon ausgehen, dass aufgrund der Verzögerungen und der Berichterstattung in den Medien die Umsätze bis zu Behebung möglicherweise geringer ausfallen werden, als ursprünglich angenommen. Weiters ist denkbar, dass die betroffenen Systeme zumindest teilweise durch angemietete Systeme ersetzt werden müssen, um den Betrieb aufrechtzuerhalten. Die dadurch anfallenden Mehrkosten können auch von der Cyber-Betriebsunterbrechungsversicherung gedeckt sein.

Insofern es sich um eine Cyber-Erpressung durch einen Ransomware-Angriff handelt, sind in diesem Zusammenhang auch die Beratungsleistungen und ggfls. auch die Zahlung eines etwaigen Lösegelds regelmäßig Teil der Versicherungsleistung.

Auch begleitende PR-Maßnahmen sind bei Vorfällen dieser Art durchaus sinnvoll, um den Image-Schaden für das Unternehmen und damit verbundene Ertragsausfälle möglichst gering zu halten.

Dass das Unternehmen in der Lage ist, seinen Betrieb trotz des Cyber-Angriffs aufrechtzuerhalten, lässt darauf schließen, dass passende Reaktionspläne im Unternehmen vorhanden sind und auch umgesetzt werden können. Gerade bei Großunternehmen werden diese Notfallpläne inzwischen auch durch die Versicherungen vorausgesetzt – und zwar nicht nur das Bereithalten, sondern auch die regelmäßige Übung und Aktualisierung dieser Pläne.

jö bonus Club (Unser Ö-Bonus Club GmbH)

Quellen Stand 25.11.2022:
Mitteilung jö Bonus Club
puls24.at – Artikel vom 24.10.2022

Was wissen wir?

Der Betreiber des österreichischen Treue-Programms wurde nicht direkt Opfer eines Hacker-Angriffs, jedoch wollten sich Cyber-Kriminelle persönlich bereichern, indem Sie Bonus-Punkte aus Accounts von Usern missbräuchlich einzulösen versuchten.

Vom jö Bonus Club wurden am 23.11.2022 alle Mitglieder informiert, dass im großen Stil – ca. 12.000 Accounts sind betroffen – versucht werde, Accounts zu übernehmen, indem Passwörter aus anderen Quellen verwendet werden. Es wird auf bisher 15 Fälle verwiesen, in denen Punkte missbräuchlich verwendet wurden. Um weiteren Missbrauch zu verhindern, wurde die Möglichkeit deaktiviert, online Punkte einzulösen – dies hat jedoch auch zur Folge, dass eine Online-Anmeldung durch die User aktuell nicht möglich ist, und damit auch die Möglichkeit bei Online-Partnern Punkte zu sammeln, eingeschränkt ist. Das Punkte-Sammeln bei Filialeinkäufen ist hingegen weiterhin möglich.

Im Darknet werden auf zahlreichen Seiten Kombinationen aus Username/EMail-Adresse und Passwort angeboten – diese Daten stammen aus Leaks von anderen Seiten und Diensten, die bereits gehackt wurden oder einen Datenschutzvorfall hatten, wo diese Daten abgezogen wurden. Und da viele User dieselbe Kombination aus Email-Adresse und Kennwort für verschiedene Dienste nutzen, ist es für Cyber-Betrüger ein leichtes, diese Kombinationen bei lohnenden Diensten durchzuprobieren, was natürlich meist automatisiert geschieht.

Was wissen wir nicht?

Unklar ist, welche Rückschlüsse das Unternehmen daraus ziehen wird und wann das Online-Programm wieder angeboten wird. Es ist davon auszugehen, dass für die Konten, bei denen ein Anmeldeversuch durch die Angreifer erfolgreich war oder zukünftig erfolgreich durchgeführt werden könnte, die Neuvergabe des Passworts eine geeignete Maßnahme sein wird. Denkbar ist ein Abgleich der eigenen Kundendatenbank mit entsprechenden Dienstleistern, um überprüfen zu können, welche Kunden bzw. EMail-Adressen bereits einmal von einem entsprechenden Leak betroffen waren. Das stellt das Unternehmen mit seinen aktuell 4,2 Millionen jö Bonus-Club-Mitgliedern

Übrigens:
Einen Check, ob auch Daten zu Ihrer Email-Adresse bereits geleakt wurden, können Sie z.B. auf folgender Seite nachprüfen: https://haveibeenpwned.com/

Wie kann hier die Cyberversicherung helfen?

Auch bei einem solchen Vorfall können Cyber-Versicherungen unterstützend wirken.

Einerseits bei der Ermittlung der Ursache – gerade derart missbräuchliche Nutzung von Online-Diensten ist schwer festzustellen und zu ermitteln, da sich die Täter ja mit grundsätzlich gültigen Zugangsdaten beim Dienst anmelden. Trotz alledem kann es damit auch zu Informationssicherheitsverletzungen und Datenschutzverletzungen kommen. Die Kosten für eine entsprechende Sicherheitsanalyse und die Ergreifung von Sicherheitsverbesserungen kann Gegenstand der Leistung der Cyberversicherung sein.

Obwohl sich im konkreten Fall der Schaden für die einzelnen Betroffenen und damit verbundene Haftpflichtansprüche in Grenzen handeln dürfte, ist durch die teilweise Betriebsunterbrechung (die Online-Dienste können aktuell ja nicht genutzt werden) ein Ertragsausfall des Betreibers möglich.

Entstandene Schäden bei den einzelnen Mitgliedern könnten im Rahmen einer Vertrauensschadendeckung oder im Falle der Erhebung von Ansprüchen durch die Geschädigten für die Cyber-Haftpflichtversicherung ein Thema sein.

Hervorzuheben ist in diesem Fall die schnelle Information der Kunden durch die „Unser Ö-Bonus Club GmbH“, welche vor den ersten Medienberichten erfolgte und dass auch klar kommuniziert wurde, was vorgefallen ist und auch welche Maßnahmen ergriffen wurden.

Datenpanne Peek & Cloppenburg KG, Düsseldorf

Quellen 25.10.2022:
focus.de, Artikel vom 15.10.2022, 13.03 Uhr
focus.de, Artikel vom 15.10.2022, 19:41 Uhr
heise.de, Artikel vom 17.10.2022

Was wissen wir?

Am 13.10.2022 wurden durch eine fehlerhafte Konfigurationsänderung am Webshop von Peek & Cloppenburg Daten von Webshop-Benutzer am Server zwischengespeichert und anderen Webshop-Besuchern angezeigt. Betroffen waren lt. Aussage des Unternehmens nur Daten von aktiven Webshop-Besuchern. Das Unternehmen hat den Fehler behoben und den entsprechenden Konfigurationsfehler eingeräumt – maximal wären die Kundendaten von 340 Personen betroffen gewesen – bei diesen jedoch unter anderem offene Warenkörbe, ehemalige Bestellungen, die letzten vier Stellen der Kreditkartennummer und Ablaufmonat und -jahr der Kreditkarte.

Was wissen wir nicht?

Der genaue Zeitraum der Datenpanne ist unklar, da sich das Unternehmen den Medien gegenüber unklar äußerte – auch auf der eigenen Website des Unternehmens ist keine Stellungnahme dazu zu finden. Es dürfte sich jedoch um eine vergleichsweise kleine Datenpanne handeln.

Wie kann hier die Cyberversicherung helfen?

In erster Linie kann es hier aufgrund der Datenpanne zu Haftpflichtansprüchen aufgrund des DSGVO-Verstoßes kommen und ggfls. könnten Anspruchsteller auch immateriellen Schadensersatz fordern. Auch kann in solchen Fällen auch das Ausmaß der Datenschutzverletzung oft nur mit Hilfe von IT-Forensiker:innen festgestellt werden. Auch für die anwaltliche Prüfung von Melde- und Anzeigepflichten können Kosten anfallen. Da allerdings in solchen Fällen oft kein Cyber-Vorfall gem. der Versicherungsbedingungen vorliegt, muss hier genau geprüft werden, ob Versicherungsschutz besteht. Manche Cyber-Bedingungswerke leisten beispielsweise für Haftpflichtansprüche aufgrund von Datenschutzverletzungen oder Geheimhaltungspflichten unabhängig davon, ob ein Cybervorfall (Hackan- bzw. eingriff, Infektion mit Schadsoftware) vorliegt.

 

Joe Kaltschmid, CEO Infinco, und Alexander Kirchknopf, Key Account Manager Infinco Wien vor deren neuen Standort in der Marokkanergasse © LEADERSNET

Wir stellen vor: INFINCO Wien – Alexander Kirchknopf

Mitte dieses Jahres haben wir die Eröffnung unseres neuen Standorts in 1030 Wien in der Marokkanergasse 7 bekannt gegeben. Die Niederlassung in Wien, wo zumindest 50 Prozent unserer Kunden sitzen, war für uns wichtig, um auch unsere Ernsthaftigkeit am Wiener Markt zu zeigen.

Seit September hat dieser Standort auch ein Gesicht und wir möchten diese Gelegenheit nutzen, Ihnen unseren Standortleiter und Key Account Manager Alexander Kirchknopf vorzustellen:

Joe Kaltschmid, CEO Infinco, und Alexander Kirchknopf, Key Account Manager Infinco Wien vor deren neuen Standort in der Marokkanergasse © LEADERSNET

Alexanders beruflicher Werdegang ist für unsere Branche eher untypisch verlaufen – ursprünglich kommt Alexander aus dem Maschinenbau, wo er von der Luftfahrt (Lauda Air) bis hin zur Autoindustrie (Opel Austria) in mehreren Firmen und Positionen tätig war. Von der Überprüfung von Flugzeugteilen bis hin zur Produktionsleitung bei einem Zulieferer der Autoindustrie gehörte alles zu seinen Aufgaben – in dieser Branche lernt man Zeitmanagement, Projektplanung und Ressourcenmanagement und vor allem präzises und genaues Arbeiten.

2005 erfolgte dann der Wechsel in den Bereich der Versicherungsberatung – zuerst als Versicherungsmakler im Gewerbe und Privatbereich mit eigenem Bestand und eigenem Team in weiterer Folge ab 2015 beim Volksbanken Versicherungsdienst für den Bereich Bankenversicherung. Hier verantwortete er den Aufbau des Versicherungsgeschäfts des Bankensektors – von den bankentypischen Versicherungen für Bargeld, Sachversicherungen, Kassentransportversicherungen bis hin zu D&O, Cyber-, Vertrauensschaden-, Strafrechtschutz- und Vermögensschadenhaftpflichtversicherung.

Anfang 2022 war Alexander auf der Suche nach einer neuen Herausforderung und dabei hat die geplante Expansion von INFINCO in Richtung Osten gut ins Bild gepasst – nun wird Alexander dafür sorgen, dass INFINCO auch im Osten Österreichs präsent ist und wahrgenommen wird.

Bei Interesse an einer Kooperation oder sonstigen Anfragen können Sie gerne ab sofort auch Hrn. Alexander Kirchknopf direkt ansprechen – die Kontaktdaten finden Sie direkt auf unserer Unternehmensseite, wo auch unser Team vorgestellt wird.

 

Stolperfalle Allgemeine Geschäftsbedingungen im Schadensfall

Die Zunft der Steuerberater in unserem Land sah sich im Zusammenhang mit der Corona-Pandemie mit einer Vielzahl an neuen Aufgaben konfrontiert. Die Beantragung diverser Corona-Förder-Maßnahmen für ihre Klienten bestimmte in den meisten Kanzleien immer mehr den Arbeitsalltag. Aufgrund der Vielzahl der zu verarbeitenden Anträge und der sich ständig ändernden gesetzlichen Grundlagen, kam es mitunter dazu, dass ein Antrag übersehen und nicht fristgerecht eingebracht wurde. Derartige Fehler sind menschlich und aufgrund der wirklich großen Stückzahl an Anträgen, die zu einem fixen Datum abgearbeitet sein mussten, nachvollziehbar. Nachfristen gab es keine und es wurde auch sonst von den auszahlenden Stellen eine Null-Toleranz-Schiene gefahren.

War eine Frist verabsäumt, gab es keine Möglichkeit mehr, den Schaden abzuwenden.

Schadenersatzrechtlich sind derartige Schadensfälle eigentlich eine klare Angelegenheit. Eine Frist wurde versäumt und es konnte, für Steuerberaterschäden eher untypisch, in diesen Fällen auch der Schaden ganz konkret beziffert werden, da die Fördervorgaben dahingehend eindeutig waren. Wenn nun aber ein Anspruchsteller – der ganz eindeutig Anrecht auf Ersatz des Schadens hat – sich mit seiner Inanspruchnahme zu viel Zeit gelassen hat, droht die böse Überraschung bei der Schadensabwicklung, denn in den Allgemeinen Auftragsbedingungen für Wirtschaftstreuhandberufe (AAB) der meisten Wirtschaftstreuhandgesellschaften ist eine Haftungsbegrenzung enthalten, wonach ein Anspruch nur innerhalb von 6 Monaten ab Kenntniserlangung geltend gemacht werden kann.

Ist nun also die Inanspruchnahme der Kanzlei nach Ablauf dieser 6-Monatsfrist erfolgt, wird der Versicherer seinem Leistungsversprechen zwar nachkommen, aber nicht in dem Umfang, den der verursachende Steuerberater gerne hätte, denn in diesen Fällen wird der Versicherer Abwehrdeckung gewähren!

In diesen Fällen ist dies aber weder im Sinne des Versicherungsnehmers noch des Versicherers. Für den Versicherungsnehmer, der sich in derartigen Fällen seinem Verschulden vollumfänglich bewusst ist, ist die Abwehrdeckung das letzte was er braucht. Wer möchte schon gerne einen ohnehin durch einen Fehler der Kanzlei geschädigten Kunden mit einem ablehnenden Schreiben einer Rechtsanwaltskanzlei beglücken?

Aber auch für den Versicherer ist die Gewährung von Abwehrdeckung nicht risikolos. Schließlich ist keinesfalls gesagt, dass die Haftungsbeschränkungen, die in AGBs vereinbart werden, vor Gericht halten werden. Wenn nicht, müsste der Versicherer noch höhere Kosten in Kauf nehmen, als durch die Deckung des Primärschadens entstanden wären.

Es empfiehlt sich daher, sich um eine diplomatische Lösung zu bemühen, die im Sinne aller Beteiligten ist. Besonders berücksichtigt werden sollte dabei, inwieweit den Anspruchsteller ein Verschulden an der verspäteten Inanspruchnahme trifft.

Hoher Druck auf D&O-Versicherer

Es lastet weiterhin hoher Druck auf vielen D&O-Versicherern. Zu den Problemen aus der Vergangenheit im Bereich Schaden kommen nun durch den Krieg in der Ukraine weitere Probleme hinzu.

Prämienniveau nicht auskömmlich

Die D&O-Versicherung gilt für viele Versicherer als Verlustsparte. Dazu haben nicht zuletzt mehrere Großschäden beigetragen, insbesondere „VW-Dieselgate“. In Österreich gibt es durch den Versicherungsverband keine veröffentlichten Zahlen im Zusammenhang mit D&O. Anders stellt sich dies in Deutschland dar. Hier veröffentlicht der GDV jährlich auch Zahlen zum D&O-Versicherungsgeschäft. Die in 2021 veröffentlichten Zahlen zeigten deutlich, dass das bisherige Prämienniveau nicht auskömmlich ist. Deshalb ist in gewissen Bereichen, wie etwa der Industrie oder etwa bei Finanzinstitutionen weiterhin mit Prämienerhöhungen zu rechnen oder auch mit restriktiveren Bedingungen.

Haftungsrisiken steigen – der Krieg in der Ukraine verschärft die Situation

Die Haftungsrisiken für Manager steigen deutlich. Risikotreiber ist nicht mehr allein die Corona Krise. Vielmehr kommt es zu einer sprungartigen Änderung der rechtlichen und wirtschaftlichen Rahmenbedingungen. Dabei spielen die steigende Inflation, ESG, Cyberrisiken und der Krieg in der Ukraine eine große Rolle. Mit dem Krieg in der Ukraine verbunden sind vor allem die Unterbrechung bislang nie hinterfragter Lieferantenketten. Diese müssen oft völlig neu konzipiert und umgesetzt werden.
Gerade Manager, deren Business stark von Rohstoffpreisen abhängt, leben sehr exponiert. Wenn nicht Rohstoffabsicherungen gegen Preissteigerungen gekauft wurden (Futures, Optionen) oder im Liefervertrag die Preissteigerungen an den Abnehmer weitergegeben werden können, können die Unternehmen gegen die Manager vorgehen, weil sie diesen eine Pflichtverletzung vorwerfen, da sie eben nicht eine entsprechende Absicherung des Rechtsgeschäftes getätigt haben.

Individuelle Risikobewertung und Besinnung auf den Kern

Das vorangegangene Beispiel zeigt, wie wichtig eine individuelle Risikobewertung in einem schwierigen Marktumfeld ist. Um Portfolios erfolgreich zu steuern, wird es nötig sein, Risiken individueller zu betrachten. Das bedeutet konkret, dass stark von Rohstofflieferungen abhängige Unternehmen in der D&O-Versicherung künftig einen höheren Risikoaufschlag für D&O-Versicherungsschutz zahlen müssen. Zudem sollte der D&O-Versicherer den Kunden auch stärker nach seinen alternativen Beschaffungsstrategien befragen, um ein abgerundetes Bild zum Risiko zu erhalten. Dazu wird es künftig nötig sein, stärker mit den Organen des Unternehmens im Underwriting-Prozess in Kontakt zu treten. Hier sollten stärker die digitalen Möglichkeiten wie etwa Videokonferenzen und andere Tools genutzt werden.
Letztlich wird es auch wichtiger werden, dass sich die D&O-Versicherer auf den Kern der D&O-Versicherung besinnen. Der Deckungsschutz gehört in Bereichen entrümpelt, die auf die Kosten drücken. Das betrifft insbesondere den Bereich Large Corporates, wo häufig die Schadenssätze sehr schlecht sind. Im Bereich der KMU wird diese Vorgangsweise nicht nötig sein.

Verknappung der Kapazitäten bei höheren Preisen

Wenn auch der Preisanstieg bei gleichzeitiger Verknappung der Kapazitäten für viele Kunden sehr unangenehm ist, so sichert dies das Überleben der Sparte. Da es sich bei der D&O-Versicherung um ein systemrelevantes Versicherungsprodukt handelt, erachte ich diesen Schritt der Versicherer als verantwortungsvoll und richtig. Gerade die benannten Risiken dürften zu weiteren Preissteigerungen in der D&O-Versicherung führen, welche aber notwendig sein werden, um die steigenden Haftungsrisiken von Managern solide abzusichern.

Telefonbetrug: Wenn Hacker die Telefonanlage kapern

Wie viele andere Systeme, welche früher eigenständig betrieben wurden und früher eigentlich nicht mit den IT-Systemen in Verbindung gebracht wurden, sind Telefonanlagen heutzutage in die IT-Systeme eingebunden und werden inzwischen häufig auch nicht durch Unternehmen, welche sie verwenden, selbst betrieben, sondern als Service zugekauft. Diese virtuellen Telefonanlagen, welche inzwischen als Standardsoftware vertrieben werden, erlauben eine schnelle Einrichtung und Nutzung mit einer hohen Servicequalität, da die Anbieter ihre Telefonanlagen professionell betreuen können und Anpassungen an der Infrastruktur jederzeit vorgenommen werden können.

Telefonanlage = IT-System

Durch die Nutzung von Standardsoftware entstehen Vorteile, da es aber nun viele Nutzer derselben Software gibt (welche auch direkt mit dem Internet verbunden ist, damit die Telefonanlage in Zeiten von Home-Office auch von außerhalb genutzt werden kann), entstehen dadurch auch lohnende Angriffsvektoren für Angriffe auf die Infrastruktur der Telefonanlagen. Bei einem erfolgreichen Angriff auf die Telefonanlage kann diese für eigene Zwecke genutzt werden und die Angreifer können ohne großen Aufwand einen beträchtlichen Schaden bei den betroffenen Unternehmen verursachen.

Neben der Telefonanlage gibt es dann noch den VOIP-Betreiber mit dem man einen separaten Vertrag schließen muss, welcher für die Vermittlung der Verbindungen in die fremden Netze zuständig ist. Die Zugangsdaten zum VOIP-Provider müssen in der Telefonanlage hinterlegt werden, damit diese über die zugewiesene Rufnummer erreichbar ist bzw. man auch Teilnehmer außerhalb der eigenen Telefonanlage erreichen kann.

Schematische Darstellung der Funktionsweise einer VOIP-Telefonanlage

Was ist passiert?

Einer unserer Kunden betreibt bereits seit längerem eine virtuelle Telefonanlage in Verbindung mit einem VOIP-Provider. Der Kunde hatte Zugriff auf die Telefonanlage, damit er auch selbst die Möglichkeit hat, Änderungen an den Einstellungen vorzunehmen. Im Frühjahr verschaffte sich ein Angreifer Zugriff auf die Telefonanlage – ob der Angreifer eine Sicherheitslücke in der Software der Telefonanlage ausnutzte oder beispielsweise über Phishing zu den Zugangsdaten kam, ist unklar.

Nachdem sich der Angreifer Zugriff verschafft hatte, wartete er einen günstigen Zeitpunkt ab, an dem die Telefonanlage nicht genutzt wird (Sonntag), um die Systeme für seine Zwecke auszunutzen. Mit Hilfe eines Software-Bots wurden innerhalb von kürzester Zeit auf allen verfügbaren Leitungen Gespräche über Satellitentelefone auf Mehrwertnummern in ein entlegenes Land geführt. Somit summierten sich innerhalb von kürzester Zeit immens hohe Telefongebühren. Ein noch größerer Schaden konnte durch die Geistesgegenwart eines Mitarbeiters beim VOIP-Betreiber vermieden werden, da ihm das System diese ungewöhnliche Aktivität anzeigte und er sich dadurch veranlasst sah, ausgehende Auslandsverbindungen auf der Ebene des VOIP-Providers für den Kunden zu sperren. Damit wurde dem Angreifer die Möglichkeit genommen, weitere schädigende Anrufe über die Telefonanlage zu tätigen.

Nichtsdestotrotz sind innerhalb des kurzen Zeitraums bis zur Sperrung durch den VOIP-Betreiber Telefongebühren in der Höhe von ca. EUR 4.000 (ca. 70 Telefonate mit insg. ca. 700 Minuten) angefallen, welche auch vom VOIP-Provider beim Kunden eingefordert wurden, da dem VOIP-Betreiber durch die getätigten Telefonate ja auch selbst Kosten entstehen – auf einen Teil der Forderungen wurde vom VOIP-Anbieter verzichtet. Weiters musste die Telefonanlage neu aufgesetzt werden, um sicherzustellen, dass der Angreifer nicht weiter im System verankert ist und dies für einen weiteren Angriff ausnutzt  – auch dafür entstanden Kosten in der Höhe von ca. EUR 1.000.

Wie sieht es mit dem Versicherungsschutz aus?

Grundlage für einen Leistungsanspruch auf die entstandenen Telefongebühren aus einem solchen Ereignis kann einerseits eine Cyber-Versicherung sein, welche einen entsprechenden Deckungsbaustein mit Vertrauensschaden oder Telefon-Hacking bietet, oder eine eigenständige Vertrauensschadenversicherung. Die Voraussetzungen für eine Leistung aus der Vertrauensschadenversicherung sind meist die rechtswidrige Handlung (was hier durch § 148a StGB unserer Ansicht verwirklicht wurde), der unmittelbare Schaden und ggfls. auch die Bereicherungsabsicht des Dritten.  Auch die Wiederherstellungskosten können über die Vertrauensschadenversicherung oder den entsprechenden Baustein meist abgerechnet werden, da diese Kosten auch unmittelbar durch das Schadenereignis ausgelöst werden. Eine individuelle Prüfung der zugrunde liegenden Bedingungen und des genauen Hergangs ist natürlich jedenfalls erforderlich.

Besteht kein Vertrauensschadenbaustein werden zumindest die Wiederherstellungskosten für die Telefonanlage erstattbare Kosten im Rahmen der Cyberversicherung sein, insofern die Telefonanlage durch den VN selbst betrieben wird und nicht als Service von einem Drittanbieter genutzt wird.

In diesem konkreten Fall war keine Cyberversicherung vorhanden, jedoch konnte über die durch den Kunden bei uns abgeschlossene Vermögensschadenhaftpflichtversicherung, welche auch einen Vertrauensschadenbaustein enthält, der Schaden vollumfänglich abzüglich dem vereinbarten Selbstbehalt abgerechnet werden.

Auch im Rahmen unseres Cyber-Antragsmodells wäre dieser Schaden natürlich auch vollumfänglich versichert.

Klitschko und die Bürgermeister: Deepfakes – Eine Cyberbedrohung, die man ernst nehmen sollte?

Deepfakes sind eine neue Cyber-Bedrohung, die in der Welt der Internetsicherheit und Cyberkriminalität kürzlich für Aufsehen sorgte. Deepfakes imitieren reale Personen und werden mit Hilfe von künstlicher Intelligenz erzeugt. So wurden vergangene Woche die Bürgermeister von Wien, Berlin und Madrid von einem gefälschten Vitali Klitschko kontaktiert und alle drei Bürgermeister trafen sich in Folge zu einer Videokonferenz mit dem vermeintlichen Bürgermeister der ukrainischen Stadt Kiew. Während die Bürgermeister von Berlin und Madrid nach kurzer Zeit Unstimmigkeiten bemerkten und den Videocall abgebrochen haben, hat Medienberichten zufolge der Wiener Bürgermeister fast eine Stunde mit dem gefakten Vitali Klitschko konferiert.

Wir möchten in diesem Artikel beleuchten, was Deepfakes sind und wie sie erstellt werden, aber auch welche Möglichkeiten Betrügern unter der Zuhilfenahme von Deepfakes offenstehen. Weiters möchten wir beleuchten, welche Möglichkeiten grundsätzlich zur Absicherung eines Schadens bestehen, welcher durch Deepfakes verursacht wurde.

Inhalt:

  1. Was sind Deepfakes und wie erstellt man sie?
  2. Was ist der Zweck von Deepfakes?
  3. Wie erkenne ich Deepfakes?
  4. Ein entstandener Schaden durch Deepfakes – kann ich diesen versichern?

1. Was sind Deepfakes und wie erstellt man sie?

Das Wort Deepfake setzt sich zusammen auf den Begriffen „Deep Learning“ und „Fake“. Darunter werden gefälschte oder modifizierte Medieninhalte (Videos, Bilder, Audio) verstanden, die unter Zuhilfenahme von künstlicher Intelligenz erstellt werden. Während die Erstellung solcher Inhalte vor einigen Jahres noch so rechenintensiv war, dass die erstellten Inhalte leicht als Fälschungen zu identifizieren waren, ist es mittlerweile möglich auch in Live-Feeds wie Videokonferenzen ein Gegenüber darzustellen, welches in Bezug auf die Mimik und Gestik – welche ja zu den gesprochenen Worten in Quasi-Echtzeit berechnet werden müssen –  nur schwer von der Originalperson zu unterscheiden ist. Gleichzeit wird auch die Stimme noch in Echtzeit imitiert, sodass die Fälschung rundum stimmig ist.

Ein eindrucksvolles Deepfake-Video findet man z.B. von Tom Cruise, das Anfang 2021 viral ging:

YouTube

Mit dem Laden des Videos akzeptieren Sie die Datenschutzerklärung von YouTube.
Mehr erfahren

Video laden

Hier werden verschiedene Methoden der Deepfake-Technologie kombiniert:

  • face-swapping: Austausch des Gesichts einer Person
  • voice-swapping: Austausch der Stimme einer Person
  • body-puppetry: Übertragung von Körperbewegungen auf eine andere Person

Während die ersten Deepfakes noch leicht zu erkennen waren, sieht man am obigem Beispiel, dass solche Videos bereits eine eindrucksvolle Qualität erreichen können. Mit zunehmender Verfügbarkeit von Software-Tools, die von jedermann leicht zu bedienen sind, wird sich auch die Verbreitung von Deepfakes erhöhen. Auch ist davon auszugehen, dass sich auch die Qualität der erstellten Fakes weiter verbessern wird.

Für die Erstellung von Deepfakes ist für die Qualität des Ergebnisses aktuell noch die Menge an Datenmaterial (bestehende Videos, Audioaufzeichnungen, Bildmaterial) von der zu imitierenden Person ausschlaggebend, anhand dessen die künstliche Intelligenz das Imitieren der Person erlernen kann. Daher sind bisher auch meist Personen, die in der Öffentlichkeit stehen, Opfer dieses Identitätsdiebstahls. Da es in den letzten Wochen viel Bild- und Tonmaterial von Vladimir Klitschko gab, war es wahrscheinlich ein leichtes, die KI für die Täuschung entsprechend zu trainieren.

2. Was ist der Zweck von Deepfakes?

Während es durchaus legitime Anwendungsszenarien für Deepfakes gibt – z.B. die Darstellung einer Szene mit einem Schauspieler, welcher für die betreffende Szene einfach schon zu alt ist (siehe Star Wars: Mandalorian – der Ersteller des Deepfakes wurde übrigens von Lucasarts dann auch eingestellt), besteht durch diese Inhalte auch eine sehr große Missbrauchsgefahr, wie man im Eingangs erwähnten Beispiel auch gut sehen kann. Grundsätzlich können mit dieser Technologie Inhalte erstellt werden, welche Personen Dinge tun lassen und Worte sagen lassen, welche sie selbst nie getan oder gesagt hätten. Aufgrund dieser Möglichkeiten hat die Technologie auch sehr vielfältige Einsatzmöglichkeiten in den Bereichen der Wissenschaft und Kunst, lässt aber auch vielfältige Betrugsmöglichkeiten zu.

Das Potenzial für Deepfakes, in Fehlinformationskampagnen eingesetzt zu werden, ist enorm. Die Technologie wird bereits verwendet, um Fake News an die Massen zu verbreiten (siehe z.B. Kapitulation durch den ukrainischen Präsidenten Selenskyi). Insofern ist es wichtig, die Bedrohung durch Deepfakes ernst zu nehmen und auch die Grenzen der Technologie zu kennen, um einen etwaigen Betrugsversuch zu erkennen. Diesbezügliche Informationskampagnen sind noch selten wahrzunehmen, wobei manche Medien die Bedrohung allerdings bereits prominent dargestellt haben wie z.B. Buzzfeed:

YouTube

Mit dem Laden des Videos akzeptieren Sie die Datenschutzerklärung von YouTube.
Mehr erfahren

Video laden

Durch die Aktualität des Themas darf nun gehofft werden, dass dieses Thema nun auch bei Awareness-Kampagnen aufgegriffen wird.

3. Wie erkenne ich Deepfakes?

Hierzu muss gesagt werden, dass mit weiter fortgeschrittener Technologie die Erkennung immer schwieriger werden wird. Aktuell gibt es allerdings noch einige Möglichkeiten, Deepfake-Videos zu erkennen, wenn man aufmerksam hinsieht:

  • Unnatürliche Mimik und Gestik: Wenn das Gesagte und der Ausdruck der Person nicht zusammen passen, kann dies ein Hinweis auf einen Deepfake sein.
  • Unscharfe Übergänge: unscharfe Übergänge zwischen Gesicht und Haaren oder Hals: da meist nur das Gesicht von der KI erstellt wird, ist an den Übergängen zwischen generiertem und echtem Video oft ein unscharfer Übergang zu erkennen
  • Unterschiedliche Qualität: Wenn das Video im Gesichtsbereich eine geringere Qualität zeigt als das restliche Video, sollte man misstrauisch werden.
  • Fehlendes Blinzeln: Wenn Personen nicht alle paar Sekunden blinzeln, sollte man vorsichtig sein
  • Bei Verdacht – Geste einfordern: Wenn man in einem Videocall den Verdacht hat, kann man das Gegenüber bitten, sich z.B. mit dem Finger auf die Nase zu tippen – mit solchen Gesten haben (gerade im Live-Betrieb) die meisten Deepfakes ein Problem und das Bild zeigt dann deutliche Artefakte

4. Ein entstandener Schaden durch Deepfakes – kann ich diesen versichern?

Wie bereits dargestellt ist das Missbrauchspotential von Deepfakes enorm und eröffnen Betrügern in Zukunft viele Möglichkeiten. Auch die Schadenszahlen sprechen dafür, dass über eine Absicherung solcher Betrugsmaschen nachgedacht werden sollte. So wurde bereits 2019 ein britischer Geschäftsführer telefonisch vom vermeintlichen deutschen Vorstandschef seines Mutterkonzerns kontaktiert und um Überweisung von EUR 220.000 auf ein ungarisches Konto gebeten (Link: Allianz Trade). Da der britische Geschäftsführer die Stimme des deutschen Kollegen vermeintlich erkannt, veranlasste er die Überweisung und das Geld war nicht mehr zurückzubekommen. Der Betrug flog schlussendlich auf, da der Betrüger noch eine weitere Überweisung einforderte, nachdem die erste Überweisung so gut geklappt hat.

Da davon auszugehen ist, dass entsprechende Betrugsmaschen in Zukunft weiter zunehmen werden, ist der Abschluss einer Cyber-Versicherung mit einem entsprechenden Vertrauensschaden-Baustein oder einer klassischen Vertrauensschadenversicherung empfehlenswert.

Auch unser Antragsmodell INFINCO MARKEL Pro Cyber umfasst einen entsprechenden Versicherungsschutz für Fake President-Betrugsmaschen.

Versicherungsverbot von Lösegeldzahlen-Zahlungen bei Ransomware-Angriffen?

Kürzlich haben IT-Sicherheitsexperten aus Bildung und Wirtschaft in einem offenen Brief Maßnahmen gefordert, welche die Zahlung von Lösegeld bei Ransomware-Angriffen einschränken bzw. verbieten sollen. Wir haben dies zum Anlass genommen, dieses Thema anhand der durch die Verfasser/Unterzeichner vorgebrachten Punkte kritisch zu betrachten.

Unstrittig ist, dass Ransomware-Angriffe aktuell ein massives Problem darstellen, was sich alleine anhand der zahlreichen täglichen Meldungen über erfolgreiche Cyber-Angriffe auf Unternehmen und öffentliche Einrichtungen nachvollziehen lässt. Die Schäden durch Daten-Diebstahl, Spionage und Sabotage beziffert die aktuelle Bitkom-Studie mit ca. 6% des deutschen Bruttoinlandsprodukts – umgelegt auf österreichische Zahlen würde dies einen Schaden an der österreichischen Wirtschaft von EUR 26 Mrd. bedeuten – eine Hausnummer. Die Autoren führen ins Feld, dass die Zahlung von Lösegeld, insbesondere da es sich über Cyber-Versicherungen budgetär planen lässt, sehr häufig für die Unternehmen die günstigere Variante ist, um den Betrieb schneller wieder aufnehmen zu können. Auch die Versicherer würden diese Praxis unterstützen, wenn sich im konkreten Schadensfall der Schaden minimieren lässt.

Geopolitisch wird argumentiert, dass der Wirtschaft mehr geholfen wäre, wenn die Unternehmen die gezahlten Lösegelder zur Verbesserung der eigenen IT-Sicherheit und Ihrer Leistungsfähigkeit investieren würden. Das Geld würde nicht den Verbrecherbanden bzw. anderen Staaten zukommen, was die eigene Marktposition schwächt.

Es werden mehrere Maßnahmen gefordert, die Lösegeldzahlungen unterbinden sollen bzw. unattraktiv für die Unternehmen machen – während einige Maßnahmen nicht konkret spezifiziert sind, gibt es auch sehr spezifische Forderungen, auf die wir näher eingehen möchten:

Abschaffung der steuerlichen Absetzbarkeit von Ransomware-Zahlungen

Unserer Einschätzung nach ein sehr heikler Punkt, da das betroffene Unternehmen über die eigentliche Lösegeldforderung hinaus somit nochmals im Rahmen der Ertragssteuern bestraft wird.

Meldepflicht von Ransomware-Angriffen und Lösegeldzahlungen

An einer Meldepflicht stehen auch wir grundsätzlich positiv gegenüber, da durch diese auch ein Rückschluss und ggfls. schnelle Reaktion auf die aktuelle Bedrohungslage gewährleistet werden kann, wenn eine Auswertung der Meldungen auch kurzfristig erfolgt. Da Cyber-Angriffe keine Ländergrenzen kennen, wäre hier ein koordinierter europäischer Ansatz hilfreich.

Verbot der Versicherung von Lösegeldern

Ein Verbot der Versicherung von Lösegeldzahlungen klingt im ersten Moment nach einem wirkungsvollen Mittel, das Ransomware-Problem im Keim zu ersticken, weil es impliziert, dass dadurch deutlich weniger Lösungsgelder gezahlt werden – dafür fehlen allerdings die Belege. Aus unserer Schadenserfahrung heraus waren von Lösegeldzahlungen hauptsächlich Unternehmen betroffen, welche zum Zeitpunkt der Forderung des Lösegeldes noch keinen Versicherungsschutz hatten und aufgrund der Umstände keine andere Wahl hatten, das entsprechende Lösegeld zu bezahlen, um die Existenz des Unternehmens zu gewährleisten. Auch die Versicherer sind i.d.R. nicht daran interessiert leichtfertig auf eine entsprechende Forderung durch die Erpresser einzugehen. Der Abschluss einer Cyberversicherung gibt darüber hinaus auch den finanziellen Spielraum, eine ggfls. auch etwas aufwändigere Wiederherstellung der Daten zu stemmen, ohne auf die Lösegeldforderung einzugehen, welche meist immer bedingungsgemäß an das Einverständnis des Versicherers gebunden ist.

Ein Verbot der Versicherung von Lösegeldern würde unseres Erachtens nur eingeschränkt auf die tatsächlich gezahlten Lösegelder Wirkung haben, da die Unternehmen diese auch bisher ohne Versicherungsschutz gezahlt haben, aber nun durch Abschluss einer Cyberversicherung auch eine finanziell für den Versicherten indifferente Option geschaffen wurde – auch ist durchaus bereits in das Bewusstsein gedrungen, dass die Zahlung eines Lösegeldes bei Verschlüsselung von Daten die Wiederherstellung der Daten nicht garantiert bzw. bei angedrohter Veröffentlichung der Daten die Zahlung meist nur weitere Begehrlichkeiten der Täter weckt.

Die Verfasser selbst schreiben in ihrem offenen Brief, dass die Versicherer zunehmend starke Sicherheitsmaßnahmen einfordern, um Versicherungsschutz zu erlangen. Die Erfahrung der letzten Jahre zeigt uns, dass dieser Prozess für die Unternehmen mit Abschluss der Cyberversicherung  nicht abgeschlossen ist, sondern eher den Anfang eines Weges darstellt – durch die jährlichen Renewals, in welchen durch die Versicherungswirtschaft auch die durch den Versicherten ergriffenen Maßnahmen zu den aktuellen Bedrohungslagen einfließen, sind die Versicherten dazu angehalten, IT-Sicherheit als einen kontinuierlichen Prozess im Unternehmen zu etablieren. Falls dies nicht umgesetzt wird, hat dies über kurz oder lang wohl auch den Verlust des Versicherungsschutzes zur Folge.

Förderung der Cyber-Betriebsunterbrechungsversicherung und Versicherung der Wiederherstellungsmaßnahmen

Im Rahmen der üblichen Versicherungslösungen am Markt sind diese beiden Punkte die Kernbestandteile auf die natürlich nicht verzichtet werden kann. Inwiefern diese Deckungen gefördert werden sollen, lassen die Verfasser offen. Hier bringen die Verfasser auch ins Feld, dass Cyber-Versicherungsschutz auf breiter Front auch die IT-Sicherheit erhöht – gefördert durch die Voraussetzungen der Versicherungswirtschaft an die Versicherten um Cyber-Versicherungsschutz zu erlangen bzw. zu behalten.

Unterstützung von betroffenen Unternehmen bspw. über einen Hilfsfonds

Die Einrichtung und entsprechende Dotierung – insbesonders in den notwendigen Größenordnungen, wenn man sich die o.g. geschätzten Schadenssummen ansieht – von Hilfsfonds, in Bereichen wo Versicherungen sich zurück gezogen haben bzw. nur mehr eingeschränkt Leistung erbringen können, ist nicht kurzfristig zu stemmen. Die Ausstattung dieser Fonds hängt dann auch immer vom politischen Willen der aktuellen Akteure ab, was für die Unternehmen ein unabschätzbares Risiko ist.

Auch hier soll wiederum das Ziel verfolgt werden, dass die Unternehmen in die Lage versetzt werden, auf die Zahlung des Lösegelds zu verzichten. Hier besteht die Gefahr das bei nicht ausreichender Dotierung der Fonds die trügerische Sicherheit vermittelt wird, dass eine Absicherung der Risiken nicht notwendig ist. Sollte hier auf eine Absicherung durch eine Versicherungslösung verzichtet werden und im Schadensfall die zu erwartende Leistung aus dem Hilfsfonds zu gering ausfällt, hat diese Lösung seine berabsichtigte Wirkung verfehlt.

Fazit

Auch wir sind der Meinung, dass die Zahlung von Lösegeldern immer der letzte Ausweg sein kann, welcher nur dann beschritten werden sollte, wenn die Existenz des betroffenen Unternehmens auf dem Spiel stehen würde. Zuvor sollten alle anderen verfügbaren Mittel ausgeschöpft werden. Wir können jedoch einem Versicherungsverbot von Lösegeldzahlungen in der aktuellen Situation nichts abgewinnen, da ein generelles Verbot im Einzelfall die Existenz eines Unternehmens gefährden kann. Lösegelder wurden auch in Zeiten, wo Cyberversicherungen noch nicht so verbreitet waren, bezahlt – ein Versicherungsverbot dieser Zahlungen würde daran unseres Erachtens nichts ändern – durch einen passenden Versicherungsschutz würde sich allerdings die finanziellen Einbußen bei einem Unternehmen in Grenzen halten bzw. auch die Option offen lassen, den (manchmal vielleicht umständlicheren) Weg der Datenwiederherstellung zu beschreiten.

Die Verantwortung von Unternehmensorganen für Schäden im Zusammenhang mit der IT-Sicherheit

Mittlerweile erlangt der Einsatz von IT eine immer wichtigere Bedeutung und zwar nicht nur im von Information getriebenen Business, sondern auch beispielsweise in Handwerksbetrieben. Viele Endgeräte wie Smartphones und Laptops befinden sich in den Unternehmen im Einsatz. Dadurch stellt sich die Frage wie es um die IT-Sicherheit dieser Geräte bestellt ist, aber auch, inwiefern die Geschäftsführung für einen IT-Sicherheitsvorfall verantwortlich gemacht werden kann?

Der Cybervorfall als Katastrophenrisiko

Die Schäden, die etwa durch Schadsoftware in einem Unternehmensnetzwerk verursacht werden, können verheerend sein und die Dimension eines Großschadens erreichen. Im Extremfall steht die Existenz des Unternehmens auf dem Spiel.

Es besteht nicht nur das Risiko, dass Cyber-Kriminelle sensible Daten des Unternehmens veröffentlichen, sondern auch, dass Betroffene Schadenersatz geltend machen. Oft einher gehen mit einem Cybervorfall auch hohe Betriebsunterbrechungsschäden und Wiederherstellungskosten. Sowohl für große als auch kleinere Unternehmen können sich diese Aufwände als sehr schmerzhaft erweisen und stark auf die GuV der Bilanz durschlagen.

IT-Sicherheit als Managementaufgabe

Deshalb ist die Wahrnehmung der IT-Sicherheit für die Unternehmensorgane von zentraler Bedeutung, um rechtliche Konsequenzen zu vermeiden. Denn die Geschäftsführung bleibt für die IT-Sicherheit des Unternehmens verantwortlich und zwar auch dann, wenn der Betrieb der IT an einen IT-Dienstleister ausgelagert wird. Die Haftung der Unternehmensorgane bleibt unabhängig von der Frage bestehen, ob man eine persönliche Expertise als Geschäftsführung im Bereich IT besitzt oder nicht. Die Haftung gegenüber Dritten (z.B. Kunden) aber auch gegenüber der eigenen Gesellschaft bleibt bestehen. Generell haftet die Geschäftsführung persönlich, solidarisch mit ihrem Privatvermögen. Aufgrund der solidarischen Haftung wird auch in einem Schadensfall der Umstand, „dass die IT etwa nicht ins eigene Ressort falle“, nicht vor einer persönlichen Haftung schützen. Denn auch die Überwachung der Geschäftsführerkollegen gehört zu den Kernaufgaben der Unternehmensorgane.

Die zahlreichen Folgen eines Cyberangriffs

Zu bedenken sind auch die (Rechts-)Folgen eines Cyberangriffs. Denn der durch einen Cyberangriff entstandene Schaden ist nämlich nicht auf die Kosten der Wiederherstellung der IT-Systeme und den Betriebsunterbrechungsschaden begrenzt. Hinzu kommen die Schadensfeststellungskosten, Zusatzkosten für eigenes Personal, das Überstunden leisten muss oder Kosten für Rechtsanwälte und technische Experten.

Zudem können Kunden und Lieferanten das Unternehmen auch im Falle von Lieferausfällen oder Lieferverzug in Anspruch nehmen. Wenn persönliche Daten veröffentlicht werden, so kann die Datenschutzbehörde auch ein Bußgerld verhängen und die Betroffenen können Schadenersatzforderungen geltend machen. Es liegt auf der Hand, dass die Gesellschafter nach einem Cyber-Vorfall die Frage nach der Verantwortlichkeit stellen werden, insbesondere wenn der Schaden hoch ist oder gar die Existenz des Unternehmens gefährdet. Immer öfter werden Unternehmensorgane, welche sich nicht ausreichend um die IT-Sicherheit des Unternehmens gekümmert haben, sogar nach einem Cyber-Vorfall gekündigt.

Cyberversicherung als Absicherung des unvermeidbaren Restrisikos

Um das eigene Unheil abzuwenden, sollten die geschäftsführenden Organen die IT-Sicherheit sehr ernst nehmen. Dazu empfehlen wir den Status der IT-Sicherheit durch externe IT-Experten z.B. im Rahmen eines Sicherheits-Audits und eines Penetration-Tests überprüfen zu lassen und alle Maßnahmen nach einer Prioritätenliste zeitnah abzuarbeiten. Erst dann wird wohl der Abschluss einer Cyberversicherung möglich sein.

Der Abschluss einer Cyberversicherung gehört sicherlich zum modernen Risikomanagements eines jeden Unternehmens und ist somit unseres Erachtens nun ein Grundpfeiler eines Versicherungskonzepts für, der von einer Geschäftsführung eingehalten werden muss. Zudem, um auch vor ungerechtfertigten Ansprüchen sicher zu sein, empfehlen wir den Leitungsorganen von Unternehmen jedenfalls auch den Abschluss einer D&O-Versicherung mit ausreichender Versicherungssumme und einer unverfallbaren, zeitlich unbegrenzten Nachmeldefrist.

Was ist ein SOC (Security Operations Center)?

Im Zusammenhang mit der Cyberversicherung, insbesondere bei größeren Unternehmen, fällt immer wieder der Begriff eines SOC (Security Operations Center). Der Betrieb eines SOC wird auch von manchen Cyberversicherern ab einer gewissen Größenordnung eines zu versichernden Unternehmens zur Voraussetzung gemacht. Ein SOC kann durch eine eigene Abteilung betrieben werden oder als externe Dienstleistung zugekauft werden. Gerade im Mittelstand wird sehr häufig zu externen Lösungen gegriffen, da entsprechend spezialisiertes Personal rar und auch nicht gerade günstig ist.

Was genau ein SOC ist und welche Aufgaben es hat, soll in diesem Artikel kurz erläutert werden.

Zusammenfassend lässt sich ein Security Operations Center als das Zentrum aller sicherheitsbezogenen Aktivitäten einer IT-Umgebung beschreiben – es soll die IT-Infrastruktur und die beherbergten Daten vor Gefahren von außen aber auch von innen schützen.

Der Sicherheitsmanager der eigenen IT

Das SOC ist somit der Sicherheitsmanager der eigenen IT. Um diese Aufgabe bewältigen zu können, muss das SOC in der Lage sein, alle sicherheitsrelevanten Systeme zu überwachen und die dortigen Vorgänge zu analysieren:

  • Unternehmensnetzwerk (Switches, Router)
  • Server (Datenbanken, EMail)
  • Arbeitsstationen
  • mobile Geräte (Smartphones, Tablets)
  • evtl. Produktionsmaschinen
  • Internet of Things (zentrale Gerätesteuerungen, Smart Devices)
  • Internetservices

Während dies ein Umfang technischer Natur ist erfüllt ein SOC eine Vielzahl von Aufgaben, alle natürlich mit dem Ziel, die IT-Sicherheit des Unternehmens bestmöglich auszugestalten. Zu diesen Aufgaben gehören daher insbesondere:

Aufgaben eines SOC

Daten sammeln und analysieren

Um zu gewährleisten, dass das SOC effektiv arbeiten kann, ist vorab ein vollständiges Inventar aller Systemkomponenten erforderlich. Dieses gewährleistet, dass die erforderlichen Informationen aus den verschiedenen Strukturen und Log-Informationen vollständig zusammengetragen werden können. Diese Sammlung von sicherheitsrelevanten Informationen stellt auch die erste Aufgabe dar, die ein SOC ausübt.

Weiters überwacht ein SOC nicht nur die eigenen Informationen aus der eigenen IT, sondern es werden auch relevante weitere Informationen analysiert, welche nicht direkt mit der eigenen IT in Verbindung stehen:

  • Verfügbarkeit von Sicherheitspatches von Herstellern
  • Meldungen über Sicherheitslücken
  • Überwachung des Internet-Traffics z.B. Erkennung von DOS-Attacken

Prävention

Auf Grundlage der gesammelten Daten erarbeitet das SOC präventiv Sicherheitskonzepte, welche den Schutz des Unternehmensnetzwerks gewährleisten sollen. Dazu zählen z.B. auch Prozesse, die eine schnelle Verteilung von Sicherheitsupdates gewährleisten sollen und ein zentrales Sicherheitsmanagement der unterschiedlichen Devices – dazu gehört aber auch die Erarbeitung und Aktualisierung von Benutzer-Richtlinien der Anwender. Auch regelmäßige Sicherheitsschulungen der Mitarbeiter werden häufig vom SOC inhaltlich beeinflusst oder auch selbst durchgeführt, da hier die Daten von tatsächlichen Sicherheitsvorfällen im Unternehmen zusammen laufen, was in den Schulungsinhalten jedenfalls mitberücksichtigt werden sollte. Die Risikoabschätzung ist ebenfalls Aufgabe des eigenen SOC als Grundlage für Budget- und Schwerpunktentscheidungen des Managements.

Überwachen

Die aktive Überwachung der IT-Systeme stellt sicherlich die zentrale Aufgabe des SOC dar. Dies umfasst einerseits die Überwachung der laufend gesammelten Daten, um einen Angriff zu erkennen aber auch die das Erkennen von bestehenden Sicherheitslücken und deren Beseitigung in den eigenen Systemen. Verdächtige Aktivitäten im Netzwerk sollen erkannt werden und entsprechend eine entsprechende Alarmierung zur Folge haben, damit der Vorfall analysiert werden kann.

Maßnahmen ergreifen

Die Analyse der gesammelten Daten bildet die Grundlage für die weiteren Services eines SOC – bei erkannten Angriffen ist es erforderlich, dass die Entscheidungsketten aufeinander abgestimmt sind und klare Handlungsanweisungen vorliegen. Einerseits ist es wichtig dass möglichst direkt Abwehrmaßnahmen gegen einen Cyber-Angriff vorgenommen werden – diese Maßnahmen können je nach Gefährdungslage folgendermaßen aussehen:

  • Veranlassung von gemeinsamen Maßnahmen mit externen Providern
  • Beobachtung der Aktivitäten des Angreifers zur Abschätzung des Ausmaßes des Angriffs
  • Abschottung der betroffenen Systeme bis hin zum
  • Shutdown der gesamten IT

Reporting

Eine wichtige Aufgabe des SOC ist auch das Reporting an das Management – dazu gehören die Einschätzungen in Bezug auf die eigenen Sicherheitslage und Empfehlungen in Bezug auf die sicherheitsrelevanten Systeme. Darüber hinaus kann das SOC in verschiedensten Bereichen des Unternehmens beratend zur Seite stehen um Sicherheitsstrategien von Anfang an bei der Unternehmens- und Projektplanung mitzudenken. So unterstützt lassen sich Pflichten hinsichtlich Datenschutz und Compliance wesentlich effizienter erfüllen.

Fazit

Der Betrieb eines SOC ist für Unternehmen, die eine bestimmte Größenordnung überschreiten und deren Dienstleistung/Produktion in großem Maße von IT-Systemen abhängig sind, heutzutage unerlässlich. Auch der Zukauf eines externen SOC ist möglich und es gibt für diese Leistungen zahlreiche Anbieter am Markt – deren Angebote können auf jede Unternehmensgröße abgestimmt werden. Die externe Vergabe ist in jedem Fall eine Überlegung wert, da entsprechend qualifiziertes Personal im aktuellen Umfeld sehr schwierig zu akquirieren ist und eine externe Verantwortlichkeit sicherlich zu begrüßen ist. Falls man sich für einen externen Anbieter entscheidet, sollte man bei der Auswahl jedenfalls die nötige Sorgfalt walten lassen, da aufgrund der weitreichenden Berechtigungen, die man dem Anbieter erteilt –  die für die Durchführung der Aufgabe durchaus nötig sind – Vertrauen zum gewählten Partner Voraussetzung ist.

Möglichkeiten zum Schutz vor Phishing-EMails

Phishing stellt regelmäßig den Beginn eines Cyberangriffs dar, bei dem der Täter eine E-Mail (oder eine Nachricht in einem sozialen Netzwerk) sendet, um den Empfänger zu Aktionen zu verleiten, die dem Angreifer eine Tür öffnen, um einen erfolgreichen Cyberangriff einleiten zu können. Dabei ist es natürlich wichtig, dass der Empfänger nicht erkennt, dass die EMail aus einer unseriösen Quelle stammt und so der Empfänger dazu verleitet wird, verschiedene Aktionen durchzuführen – die häufigsten derartigen Aktionen sind:

  • auf einen Link klicken, der ihn auf eine gefälschte Website führt
  • persönliche Daten (z.B. Zugangsdaten) bekannt geben
  • einen Anhang der EMail-Nachricht öffnen

Insofern ist es natürlich wichtig sich selbst und das eigene Unternehmen vor Phishing-E-Mails zu schützen- dazu ist es einerseits wichtig zu verstehen, was die Angreifer mit dem Vorgehen bezwecken und andererseits gibt es auch wirksame Maßnahmen, um sich vor diesem Vorgehen zu schützen.

So funktioniert Phishing

Wie erwähnt startet Phishing meist mit einer scheinbar harmlosen Mail – und ja, in den meisten Fällen ist die Mail an sich noch recht ungefährlich. Mails mit bekanntem Schadcode werden nämlich in den meisten Fällen schon von den EMail-Anbietern „aussortiert“ und landen gar nie beim Empfänger – wobei auch hier grundsätzlich Vorsicht geboten ist, da nicht gewährleistet ist, dass auch einmal ein entsprechendes EMail mit einem schädlichen Anhang durch die diversen Filter schlüpft.

Die meisten Phishing-E-Mails die man erhält landen außerdem im SPAM-Filter und sind auch auf den ersten Blick als Fake-Mails zu erkennen – außer man ist hoffnungslos optimistisch und glaubt tatsächlich daran, dass ein nigerianischer Prinz oder ein mit einer Erbschaft bedachter Bankangestellter gegen hohe finanzielle Beteiligung die Hilfe bei diversen Geldtransfers benötigt. Aber es gibt sie auch, die EMails die sehr legitim aussehen, sodass es sehr schwierig ist, sie von echten EMails zu unterscheiden insbesonders wenn es sich um eine gezielte Phishing-Kampagne handelt, mit der Informationen z.B. eines bestimmten Unternehmens abgegriffen werden sollen. Hier kommt es dann häufig zum sogenannten Spear-Phishing, d.h. es werden gezielt bestimmte Personen oder Gruppen angeschrieben, um an die gewünschten Informationen zu gelangen – diese EMails sind meist deutlich besser gestaltet und viel schwieriger von legitimen E-Mails zu unterscheiden.

Für den Angreifer hat das Phishing in allen Fällen den selben Zweck – um an Informationen zu gelangen, sei es nun Zugangsdaten, Kreditkarteninformationen. In einigen Fällen sollen die Nutzer auch dazu verleitet werden, Schadsoftware, die natürlich nicht auf Anhieb als solche zu erkennen ist, auf Ihren PC zu starten oder zu installieren. Wenn der Angreifer bereits über Hintergrundinformationen zum Unternehmen verfügt, ist es durchaus möglich, dass die EMail so aussieht, als käme sie vom eigenen IT-Support und dann ist es durchaus vorstellbar, dass der User den Anweisungen im Mail folgt und die neue Version der „Fernwartungssoftware“ installiert.

Ablauf einer Phishing-Attacke

So schützen Sie sich vor Phishing-E-Mails

Eine der besten Möglichkeiten, sich vor Phishing-E-Mails zu schützen, besteht darin, folgende Grundregeln zu befolgen:

  • kein seriöser Anbieter/Dienstleister wird per EMail nach Ihren Zugangsdaten fragen, die Weitergabe der eigenen Zugangsdaten ist in den seltensten Fällen notwendig
  • Antworten Sie niemals auf EMails, die persönliche finanzielle Informationen fordern
  • Besuchen Sie Bank-Websites nie über den Link in einer Mail, sondern immer über die Eingabe der URL im Browser oder einen Bookmark den sie selbst gesetzt haben.
  • Prüfen Sie vor
  • Betrachten Sie Anhänge einer Mail immer mit einem gesunden Misstrauen – im Zweifelsfall fragen Sie telefonisch beim Versender der EMail nochmals nach
  • Öffnen Sie keine Anhänge von Personen, die Ihnen unaufgefordert EMails zusenden
  • Auch bei den IT-Verantwortlichen im Unternehmen nachzufragen, kann im Zweifel nicht schaden
  • Prüfen Sie die EMail-Adresse des Absenders und nicht nur den Namen, der im EMail-Programm angezeigt wird
  • Machen Sie es sich zur Angewohnheit, die Adressen der Seiten im Browser zu prüfen.

Manche gefakte Websites sind besser und manche schlechter erkennbar – ein guter Hinweis ist jedenfalls die URL bzw. die Adresse unter der die Seite erreichbar ist. Diese lässt sich im Browser gut überprüfen und gibt Hinweise darauf, ob eine Website legitim ist oder nicht.

Die untenstehende Grafik soll veranschaulichen, wie URLs angegeben werden können, ohne dass es möglicherweise groß auffällt.

Beispiele von Phishing-URLs anhand von Mustern bereits erfolgter Phishing-Angriffe

 

Auch das Unternehmen und insbesonders die IT-Abteilung kann natürlich dabei unterstützen, Phishing-EMails zu erkennen:

  • Kennzeichnung von externen EMails
  • EMail-Scanner die verdächtige EMails entsprechend kennzeichnen
  • Verwendung von Blacklists, die bekannte Versender von Phishing und
  • Endpoint-Sicherheitslösungen für Clients
  • Regelmäßige Schulungen der User und klare Handlungsempfehlungen
  • Phishing-Tests

In Zusammenhang mit Schulungen, Phishing- Tests und besserer Prävention möchten wir auch auf die Dienstleistungen der Cyber-Versicherer hinweisen, welche im Zusammenhang mit der Cyber-Versicherung oft deutlich günstiger und teilweise kostenlos angeboten werden – wenn Ihre Kunden dies Dienste Nutzen möchten, sprechen Sie uns darauf an – wir leiten gerne alles in die Wege.