Stolperfalle Allgemeine Geschäftsbedingungen im Schadensfall

Die Zunft der Steuerberater in unserem Land sah sich im Zusammenhang mit der Corona-Pandemie mit einer Vielzahl an neuen Aufgaben konfrontiert. Die Beantragung diverser Corona-Förder-Maßnahmen für ihre Klienten bestimmte in den meisten Kanzleien immer mehr den Arbeitsalltag. Aufgrund der Vielzahl der zu verarbeitenden Anträge und der sich ständig ändernden gesetzlichen Grundlagen, kam es mitunter dazu, dass ein Antrag übersehen und nicht fristgerecht eingebracht wurde. Derartige Fehler sind menschlich und aufgrund der wirklich großen Stückzahl an Anträgen, die zu einem fixen Datum abgearbeitet sein mussten, nachvollziehbar. Nachfristen gab es keine und es wurde auch sonst von den auszahlenden Stellen eine Null-Toleranz-Schiene gefahren.

War eine Frist verabsäumt, gab es keine Möglichkeit mehr, den Schaden abzuwenden.

Schadenersatzrechtlich sind derartige Schadensfälle eigentlich eine klare Angelegenheit. Eine Frist wurde versäumt und es konnte, für Steuerberaterschäden eher untypisch, in diesen Fällen auch der Schaden ganz konkret beziffert werden, da die Fördervorgaben dahingehend eindeutig waren. Wenn nun aber ein Anspruchsteller – der ganz eindeutig Anrecht auf Ersatz des Schadens hat – sich mit seiner Inanspruchnahme zu viel Zeit gelassen hat, droht die böse Überraschung bei der Schadensabwicklung, denn in den Allgemeinen Auftragsbedingungen für Wirtschaftstreuhandberufe (AAB) der meisten Wirtschaftstreuhandgesellschaften ist eine Haftungsbegrenzung enthalten, wonach ein Anspruch nur innerhalb von 6 Monaten ab Kenntniserlangung geltend gemacht werden kann.

Ist nun also die Inanspruchnahme der Kanzlei nach Ablauf dieser 6-Monatsfrist erfolgt, wird der Versicherer seinem Leistungsversprechen zwar nachkommen, aber nicht in dem Umfang, den der verursachende Steuerberater gerne hätte, denn in diesen Fällen wird der Versicherer Abwehrdeckung gewähren!

In diesen Fällen ist dies aber weder im Sinne des Versicherungsnehmers noch des Versicherers. Für den Versicherungsnehmer, der sich in derartigen Fällen seinem Verschulden vollumfänglich bewusst ist, ist die Abwehrdeckung das letzte was er braucht. Wer möchte schon gerne einen ohnehin durch einen Fehler der Kanzlei geschädigten Kunden mit einem ablehnenden Schreiben einer Rechtsanwaltskanzlei beglücken?

Aber auch für den Versicherer ist die Gewährung von Abwehrdeckung nicht risikolos. Schließlich ist keinesfalls gesagt, dass die Haftungsbeschränkungen, die in AGBs vereinbart werden, vor Gericht halten werden. Wenn nicht, müsste der Versicherer noch höhere Kosten in Kauf nehmen, als durch die Deckung des Primärschadens entstanden wären.

Es empfiehlt sich daher, sich um eine diplomatische Lösung zu bemühen, die im Sinne aller Beteiligten ist. Besonders berücksichtigt werden sollte dabei, inwieweit den Anspruchsteller ein Verschulden an der verspäteten Inanspruchnahme trifft.

Hoher Druck auf D&O-Versicherer

Es lastet weiterhin hoher Druck auf vielen D&O-Versicherern. Zu den Problemen aus der Vergangenheit im Bereich Schaden kommen nun durch den Krieg in der Ukraine weitere Probleme hinzu.

Prämienniveau nicht auskömmlich

Die D&O-Versicherung gilt für viele Versicherer als Verlustsparte. Dazu haben nicht zuletzt mehrere Großschäden beigetragen, insbesondere „VW-Dieselgate“. In Österreich gibt es durch den Versicherungsverband keine veröffentlichten Zahlen im Zusammenhang mit D&O. Anders stellt sich dies in Deutschland dar. Hier veröffentlicht der GDV jährlich auch Zahlen zum D&O-Versicherungsgeschäft. Die in 2021 veröffentlichten Zahlen zeigten deutlich, dass das bisherige Prämienniveau nicht auskömmlich ist. Deshalb ist in gewissen Bereichen, wie etwa der Industrie oder etwa bei Finanzinstitutionen weiterhin mit Prämienerhöhungen zu rechnen oder auch mit restriktiveren Bedingungen.

Haftungsrisiken steigen – der Krieg in der Ukraine verschärft die Situation

Die Haftungsrisiken für Manager steigen deutlich. Risikotreiber ist nicht mehr allein die Corona Krise. Vielmehr kommt es zu einer sprungartigen Änderung der rechtlichen und wirtschaftlichen Rahmenbedingungen. Dabei spielen die steigende Inflation, ESG, Cyberrisiken und der Krieg in der Ukraine eine große Rolle. Mit dem Krieg in der Ukraine verbunden sind vor allem die Unterbrechung bislang nie hinterfragter Lieferantenketten. Diese müssen oft völlig neu konzipiert und umgesetzt werden.
Gerade Manager, deren Business stark von Rohstoffpreisen abhängt, leben sehr exponiert. Wenn nicht Rohstoffabsicherungen gegen Preissteigerungen gekauft wurden (Futures, Optionen) oder im Liefervertrag die Preissteigerungen an den Abnehmer weitergegeben werden können, können die Unternehmen gegen die Manager vorgehen, weil sie diesen eine Pflichtverletzung vorwerfen, da sie eben nicht eine entsprechende Absicherung des Rechtsgeschäftes getätigt haben.

Individuelle Risikobewertung und Besinnung auf den Kern

Das vorangegangene Beispiel zeigt, wie wichtig eine individuelle Risikobewertung in einem schwierigen Marktumfeld ist. Um Portfolios erfolgreich zu steuern, wird es nötig sein, Risiken individueller zu betrachten. Das bedeutet konkret, dass stark von Rohstofflieferungen abhängige Unternehmen in der D&O-Versicherung künftig einen höheren Risikoaufschlag für D&O-Versicherungsschutz zahlen müssen. Zudem sollte der D&O-Versicherer den Kunden auch stärker nach seinen alternativen Beschaffungsstrategien befragen, um ein abgerundetes Bild zum Risiko zu erhalten. Dazu wird es künftig nötig sein, stärker mit den Organen des Unternehmens im Underwriting-Prozess in Kontakt zu treten. Hier sollten stärker die digitalen Möglichkeiten wie etwa Videokonferenzen und andere Tools genutzt werden.
Letztlich wird es auch wichtiger werden, dass sich die D&O-Versicherer auf den Kern der D&O-Versicherung besinnen. Der Deckungsschutz gehört in Bereichen entrümpelt, die auf die Kosten drücken. Das betrifft insbesondere den Bereich Large Corporates, wo häufig die Schadenssätze sehr schlecht sind. Im Bereich der KMU wird diese Vorgangsweise nicht nötig sein.

Verknappung der Kapazitäten bei höheren Preisen

Wenn auch der Preisanstieg bei gleichzeitiger Verknappung der Kapazitäten für viele Kunden sehr unangenehm ist, so sichert dies das Überleben der Sparte. Da es sich bei der D&O-Versicherung um ein systemrelevantes Versicherungsprodukt handelt, erachte ich diesen Schritt der Versicherer als verantwortungsvoll und richtig. Gerade die benannten Risiken dürften zu weiteren Preissteigerungen in der D&O-Versicherung führen, welche aber notwendig sein werden, um die steigenden Haftungsrisiken von Managern solide abzusichern.

Telefonbetrug: Wenn Hacker die Telefonanlage kapern

Wie viele andere Systeme, welche früher eigenständig betrieben wurden und früher eigentlich nicht mit den IT-Systemen in Verbindung gebracht wurden, sind Telefonanlagen heutzutage in die IT-Systeme eingebunden und werden inzwischen häufig auch nicht durch Unternehmen, welche sie verwenden, selbst betrieben, sondern als Service zugekauft. Diese virtuellen Telefonanlagen, welche inzwischen als Standardsoftware vertrieben werden, erlauben eine schnelle Einrichtung und Nutzung mit einer hohen Servicequalität, da die Anbieter ihre Telefonanlagen professionell betreuen können und Anpassungen an der Infrastruktur jederzeit vorgenommen werden können.

Telefonanlage = IT-System

Durch die Nutzung von Standardsoftware entstehen Vorteile, da es aber nun viele Nutzer derselben Software gibt (welche auch direkt mit dem Internet verbunden ist, damit die Telefonanlage in Zeiten von Home-Office auch von außerhalb genutzt werden kann), entstehen dadurch auch lohnende Angriffsvektoren für Angriffe auf die Infrastruktur der Telefonanlagen. Bei einem erfolgreichen Angriff auf die Telefonanlage kann diese für eigene Zwecke genutzt werden und die Angreifer können ohne großen Aufwand einen beträchtlichen Schaden bei den betroffenen Unternehmen verursachen.

Neben der Telefonanlage gibt es dann noch den VOIP-Betreiber mit dem man einen separaten Vertrag schließen muss, welcher für die Vermittlung der Verbindungen in die fremden Netze zuständig ist. Die Zugangsdaten zum VOIP-Provider müssen in der Telefonanlage hinterlegt werden, damit diese über die zugewiesene Rufnummer erreichbar ist bzw. man auch Teilnehmer außerhalb der eigenen Telefonanlage erreichen kann.

Schematische Darstellung der Funktionsweise einer VOIP-Telefonanlage

Was ist passiert?

Einer unserer Kunden betreibt bereits seit längerem eine virtuelle Telefonanlage in Verbindung mit einem VOIP-Provider. Der Kunde hatte Zugriff auf die Telefonanlage, damit er auch selbst die Möglichkeit hat, Änderungen an den Einstellungen vorzunehmen. Im Frühjahr verschaffte sich ein Angreifer Zugriff auf die Telefonanlage – ob der Angreifer eine Sicherheitslücke in der Software der Telefonanlage ausnutzte oder beispielsweise über Phishing zu den Zugangsdaten kam, ist unklar.

Nachdem sich der Angreifer Zugriff verschafft hatte, wartete er einen günstigen Zeitpunkt ab, an dem die Telefonanlage nicht genutzt wird (Sonntag), um die Systeme für seine Zwecke auszunutzen. Mit Hilfe eines Software-Bots wurden innerhalb von kürzester Zeit auf allen verfügbaren Leitungen Gespräche über Satellitentelefone auf Mehrwertnummern in ein entlegenes Land geführt. Somit summierten sich innerhalb von kürzester Zeit immens hohe Telefongebühren. Ein noch größerer Schaden konnte durch die Geistesgegenwart eines Mitarbeiters beim VOIP-Betreiber vermieden werden, da ihm das System diese ungewöhnliche Aktivität anzeigte und er sich dadurch veranlasst sah, ausgehende Auslandsverbindungen auf der Ebene des VOIP-Providers für den Kunden zu sperren. Damit wurde dem Angreifer die Möglichkeit genommen, weitere schädigende Anrufe über die Telefonanlage zu tätigen.

Nichtsdestotrotz sind innerhalb des kurzen Zeitraums bis zur Sperrung durch den VOIP-Betreiber Telefongebühren in der Höhe von ca. EUR 4.000 (ca. 70 Telefonate mit insg. ca. 700 Minuten) angefallen, welche auch vom VOIP-Provider beim Kunden eingefordert wurden, da dem VOIP-Betreiber durch die getätigten Telefonate ja auch selbst Kosten entstehen – auf einen Teil der Forderungen wurde vom VOIP-Anbieter verzichtet. Weiters musste die Telefonanlage neu aufgesetzt werden, um sicherzustellen, dass der Angreifer nicht weiter im System verankert ist und dies für einen weiteren Angriff ausnutzt  – auch dafür entstanden Kosten in der Höhe von ca. EUR 1.000.

Wie sieht es mit dem Versicherungsschutz aus?

Grundlage für einen Leistungsanspruch auf die entstandenen Telefongebühren aus einem solchen Ereignis kann einerseits eine Cyber-Versicherung sein, welche einen entsprechenden Deckungsbaustein mit Vertrauensschaden oder Telefon-Hacking bietet, oder eine eigenständige Vertrauensschadenversicherung. Die Voraussetzungen für eine Leistung aus der Vertrauensschadenversicherung sind meist die rechtswidrige Handlung (was hier durch § 148a StGB unserer Ansicht verwirklicht wurde), der unmittelbare Schaden und ggfls. auch die Bereicherungsabsicht des Dritten.  Auch die Wiederherstellungskosten können über die Vertrauensschadenversicherung oder den entsprechenden Baustein meist abgerechnet werden, da diese Kosten auch unmittelbar durch das Schadenereignis ausgelöst werden. Eine individuelle Prüfung der zugrunde liegenden Bedingungen und des genauen Hergangs ist natürlich jedenfalls erforderlich.

Besteht kein Vertrauensschadenbaustein werden zumindest die Wiederherstellungskosten für die Telefonanlage erstattbare Kosten im Rahmen der Cyberversicherung sein, insofern die Telefonanlage durch den VN selbst betrieben wird und nicht als Service von einem Drittanbieter genutzt wird.

In diesem konkreten Fall war keine Cyberversicherung vorhanden, jedoch konnte über die durch den Kunden bei uns abgeschlossene Vermögensschadenhaftpflichtversicherung, welche auch einen Vertrauensschadenbaustein enthält, der Schaden vollumfänglich abzüglich dem vereinbarten Selbstbehalt abgerechnet werden.

Auch im Rahmen unseres Cyber-Antragsmodells wäre dieser Schaden natürlich auch vollumfänglich versichert.

Klitschko und die Bürgermeister: Deepfakes – Eine Cyberbedrohung, die man ernst nehmen sollte?

Deepfakes sind eine neue Cyber-Bedrohung, die in der Welt der Internetsicherheit und Cyberkriminalität kürzlich für Aufsehen sorgte. Deepfakes imitieren reale Personen und werden mit Hilfe von künstlicher Intelligenz erzeugt. So wurden vergangene Woche die Bürgermeister von Wien, Berlin und Madrid von einem gefälschten Vitali Klitschko kontaktiert und alle drei Bürgermeister trafen sich in Folge zu einer Videokonferenz mit dem vermeintlichen Bürgermeister der ukrainischen Stadt Kiew. Während die Bürgermeister von Berlin und Madrid nach kurzer Zeit Unstimmigkeiten bemerkten und den Videocall abgebrochen haben, hat Medienberichten zufolge der Wiener Bürgermeister fast eine Stunde mit dem gefakten Vitali Klitschko konferiert.

Wir möchten in diesem Artikel beleuchten, was Deepfakes sind und wie sie erstellt werden, aber auch welche Möglichkeiten Betrügern unter der Zuhilfenahme von Deepfakes offenstehen. Weiters möchten wir beleuchten, welche Möglichkeiten grundsätzlich zur Absicherung eines Schadens bestehen, welcher durch Deepfakes verursacht wurde.

Inhalt:

  1. Was sind Deepfakes und wie erstellt man sie?
  2. Was ist der Zweck von Deepfakes?
  3. Wie erkenne ich Deepfakes?
  4. Ein entstandener Schaden durch Deepfakes – kann ich diesen versichern?

1. Was sind Deepfakes und wie erstellt man sie?

Das Wort Deepfake setzt sich zusammen auf den Begriffen „Deep Learning“ und „Fake“. Darunter werden gefälschte oder modifizierte Medieninhalte (Videos, Bilder, Audio) verstanden, die unter Zuhilfenahme von künstlicher Intelligenz erstellt werden. Während die Erstellung solcher Inhalte vor einigen Jahres noch so rechenintensiv war, dass die erstellten Inhalte leicht als Fälschungen zu identifizieren waren, ist es mittlerweile möglich auch in Live-Feeds wie Videokonferenzen ein Gegenüber darzustellen, welches in Bezug auf die Mimik und Gestik – welche ja zu den gesprochenen Worten in Quasi-Echtzeit berechnet werden müssen –  nur schwer von der Originalperson zu unterscheiden ist. Gleichzeit wird auch die Stimme noch in Echtzeit imitiert, sodass die Fälschung rundum stimmig ist.

Ein eindrucksvolles Deepfake-Video findet man z.B. von Tom Cruise, das Anfang 2021 viral ging:

YouTube

Mit dem Laden des Videos akzeptieren Sie die Datenschutzerklärung von YouTube.
Mehr erfahren

Video laden

Hier werden verschiedene Methoden der Deepfake-Technologie kombiniert:

  • face-swapping: Austausch des Gesichts einer Person
  • voice-swapping: Austausch der Stimme einer Person
  • body-puppetry: Übertragung von Körperbewegungen auf eine andere Person

Während die ersten Deepfakes noch leicht zu erkennen waren, sieht man am obigem Beispiel, dass solche Videos bereits eine eindrucksvolle Qualität erreichen können. Mit zunehmender Verfügbarkeit von Software-Tools, die von jedermann leicht zu bedienen sind, wird sich auch die Verbreitung von Deepfakes erhöhen. Auch ist davon auszugehen, dass sich auch die Qualität der erstellten Fakes weiter verbessern wird.

Für die Erstellung von Deepfakes ist für die Qualität des Ergebnisses aktuell noch die Menge an Datenmaterial (bestehende Videos, Audioaufzeichnungen, Bildmaterial) von der zu imitierenden Person ausschlaggebend, anhand dessen die künstliche Intelligenz das Imitieren der Person erlernen kann. Daher sind bisher auch meist Personen, die in der Öffentlichkeit stehen, Opfer dieses Identitätsdiebstahls. Da es in den letzten Wochen viel Bild- und Tonmaterial von Vladimir Klitschko gab, war es wahrscheinlich ein leichtes, die KI für die Täuschung entsprechend zu trainieren.

2. Was ist der Zweck von Deepfakes?

Während es durchaus legitime Anwendungsszenarien für Deepfakes gibt – z.B. die Darstellung einer Szene mit einem Schauspieler, welcher für die betreffende Szene einfach schon zu alt ist (siehe Star Wars: Mandalorian – der Ersteller des Deepfakes wurde übrigens von Lucasarts dann auch eingestellt), besteht durch diese Inhalte auch eine sehr große Missbrauchsgefahr, wie man im Eingangs erwähnten Beispiel auch gut sehen kann. Grundsätzlich können mit dieser Technologie Inhalte erstellt werden, welche Personen Dinge tun lassen und Worte sagen lassen, welche sie selbst nie getan oder gesagt hätten. Aufgrund dieser Möglichkeiten hat die Technologie auch sehr vielfältige Einsatzmöglichkeiten in den Bereichen der Wissenschaft und Kunst, lässt aber auch vielfältige Betrugsmöglichkeiten zu.

Das Potenzial für Deepfakes, in Fehlinformationskampagnen eingesetzt zu werden, ist enorm. Die Technologie wird bereits verwendet, um Fake News an die Massen zu verbreiten (siehe z.B. Kapitulation durch den ukrainischen Präsidenten Selenskyi). Insofern ist es wichtig, die Bedrohung durch Deepfakes ernst zu nehmen und auch die Grenzen der Technologie zu kennen, um einen etwaigen Betrugsversuch zu erkennen. Diesbezügliche Informationskampagnen sind noch selten wahrzunehmen, wobei manche Medien die Bedrohung allerdings bereits prominent dargestellt haben wie z.B. Buzzfeed:

YouTube

Mit dem Laden des Videos akzeptieren Sie die Datenschutzerklärung von YouTube.
Mehr erfahren

Video laden

Durch die Aktualität des Themas darf nun gehofft werden, dass dieses Thema nun auch bei Awareness-Kampagnen aufgegriffen wird.

3. Wie erkenne ich Deepfakes?

Hierzu muss gesagt werden, dass mit weiter fortgeschrittener Technologie die Erkennung immer schwieriger werden wird. Aktuell gibt es allerdings noch einige Möglichkeiten, Deepfake-Videos zu erkennen, wenn man aufmerksam hinsieht:

  • Unnatürliche Mimik und Gestik: Wenn das Gesagte und der Ausdruck der Person nicht zusammen passen, kann dies ein Hinweis auf einen Deepfake sein.
  • Unscharfe Übergänge: unscharfe Übergänge zwischen Gesicht und Haaren oder Hals: da meist nur das Gesicht von der KI erstellt wird, ist an den Übergängen zwischen generiertem und echtem Video oft ein unscharfer Übergang zu erkennen
  • Unterschiedliche Qualität: Wenn das Video im Gesichtsbereich eine geringere Qualität zeigt als das restliche Video, sollte man misstrauisch werden.
  • Fehlendes Blinzeln: Wenn Personen nicht alle paar Sekunden blinzeln, sollte man vorsichtig sein
  • Bei Verdacht – Geste einfordern: Wenn man in einem Videocall den Verdacht hat, kann man das Gegenüber bitten, sich z.B. mit dem Finger auf die Nase zu tippen – mit solchen Gesten haben (gerade im Live-Betrieb) die meisten Deepfakes ein Problem und das Bild zeigt dann deutliche Artefakte

4. Ein entstandener Schaden durch Deepfakes – kann ich diesen versichern?

Wie bereits dargestellt ist das Missbrauchspotential von Deepfakes enorm und eröffnen Betrügern in Zukunft viele Möglichkeiten. Auch die Schadenszahlen sprechen dafür, dass über eine Absicherung solcher Betrugsmaschen nachgedacht werden sollte. So wurde bereits 2019 ein britischer Geschäftsführer telefonisch vom vermeintlichen deutschen Vorstandschef seines Mutterkonzerns kontaktiert und um Überweisung von EUR 220.000 auf ein ungarisches Konto gebeten (Link: Allianz Trade). Da der britische Geschäftsführer die Stimme des deutschen Kollegen vermeintlich erkannt, veranlasste er die Überweisung und das Geld war nicht mehr zurückzubekommen. Der Betrug flog schlussendlich auf, da der Betrüger noch eine weitere Überweisung einforderte, nachdem die erste Überweisung so gut geklappt hat.

Da davon auszugehen ist, dass entsprechende Betrugsmaschen in Zukunft weiter zunehmen werden, ist der Abschluss einer Cyber-Versicherung mit einem entsprechenden Vertrauensschaden-Baustein oder einer klassischen Vertrauensschadenversicherung empfehlenswert.

Auch unser Antragsmodell INFINCO MARKEL Pro Cyber umfasst einen entsprechenden Versicherungsschutz für Fake President-Betrugsmaschen.

Versicherungsverbot von Lösegeldzahlen-Zahlungen bei Ransomware-Angriffen?

Kürzlich haben IT-Sicherheitsexperten aus Bildung und Wirtschaft in einem offenen Brief Maßnahmen gefordert, welche die Zahlung von Lösegeld bei Ransomware-Angriffen einschränken bzw. verbieten sollen. Wir haben dies zum Anlass genommen, dieses Thema anhand der durch die Verfasser/Unterzeichner vorgebrachten Punkte kritisch zu betrachten.

Unstrittig ist, dass Ransomware-Angriffe aktuell ein massives Problem darstellen, was sich alleine anhand der zahlreichen täglichen Meldungen über erfolgreiche Cyber-Angriffe auf Unternehmen und öffentliche Einrichtungen nachvollziehen lässt. Die Schäden durch Daten-Diebstahl, Spionage und Sabotage beziffert die aktuelle Bitkom-Studie mit ca. 6% des deutschen Bruttoinlandsprodukts – umgelegt auf österreichische Zahlen würde dies einen Schaden an der österreichischen Wirtschaft von EUR 26 Mrd. bedeuten – eine Hausnummer. Die Autoren führen ins Feld, dass die Zahlung von Lösegeld, insbesondere da es sich über Cyber-Versicherungen budgetär planen lässt, sehr häufig für die Unternehmen die günstigere Variante ist, um den Betrieb schneller wieder aufnehmen zu können. Auch die Versicherer würden diese Praxis unterstützen, wenn sich im konkreten Schadensfall der Schaden minimieren lässt.

Geopolitisch wird argumentiert, dass der Wirtschaft mehr geholfen wäre, wenn die Unternehmen die gezahlten Lösegelder zur Verbesserung der eigenen IT-Sicherheit und Ihrer Leistungsfähigkeit investieren würden. Das Geld würde nicht den Verbrecherbanden bzw. anderen Staaten zukommen, was die eigene Marktposition schwächt.

Es werden mehrere Maßnahmen gefordert, die Lösegeldzahlungen unterbinden sollen bzw. unattraktiv für die Unternehmen machen – während einige Maßnahmen nicht konkret spezifiziert sind, gibt es auch sehr spezifische Forderungen, auf die wir näher eingehen möchten:

Abschaffung der steuerlichen Absetzbarkeit von Ransomware-Zahlungen

Unserer Einschätzung nach ein sehr heikler Punkt, da das betroffene Unternehmen über die eigentliche Lösegeldforderung hinaus somit nochmals im Rahmen der Ertragssteuern bestraft wird.

Meldepflicht von Ransomware-Angriffen und Lösegeldzahlungen

An einer Meldepflicht stehen auch wir grundsätzlich positiv gegenüber, da durch diese auch ein Rückschluss und ggfls. schnelle Reaktion auf die aktuelle Bedrohungslage gewährleistet werden kann, wenn eine Auswertung der Meldungen auch kurzfristig erfolgt. Da Cyber-Angriffe keine Ländergrenzen kennen, wäre hier ein koordinierter europäischer Ansatz hilfreich.

Verbot der Versicherung von Lösegeldern

Ein Verbot der Versicherung von Lösegeldzahlungen klingt im ersten Moment nach einem wirkungsvollen Mittel, das Ransomware-Problem im Keim zu ersticken, weil es impliziert, dass dadurch deutlich weniger Lösungsgelder gezahlt werden – dafür fehlen allerdings die Belege. Aus unserer Schadenserfahrung heraus waren von Lösegeldzahlungen hauptsächlich Unternehmen betroffen, welche zum Zeitpunkt der Forderung des Lösegeldes noch keinen Versicherungsschutz hatten und aufgrund der Umstände keine andere Wahl hatten, das entsprechende Lösegeld zu bezahlen, um die Existenz des Unternehmens zu gewährleisten. Auch die Versicherer sind i.d.R. nicht daran interessiert leichtfertig auf eine entsprechende Forderung durch die Erpresser einzugehen. Der Abschluss einer Cyberversicherung gibt darüber hinaus auch den finanziellen Spielraum, eine ggfls. auch etwas aufwändigere Wiederherstellung der Daten zu stemmen, ohne auf die Lösegeldforderung einzugehen, welche meist immer bedingungsgemäß an das Einverständnis des Versicherers gebunden ist.

Ein Verbot der Versicherung von Lösegeldern würde unseres Erachtens nur eingeschränkt auf die tatsächlich gezahlten Lösegelder Wirkung haben, da die Unternehmen diese auch bisher ohne Versicherungsschutz gezahlt haben, aber nun durch Abschluss einer Cyberversicherung auch eine finanziell für den Versicherten indifferente Option geschaffen wurde – auch ist durchaus bereits in das Bewusstsein gedrungen, dass die Zahlung eines Lösegeldes bei Verschlüsselung von Daten die Wiederherstellung der Daten nicht garantiert bzw. bei angedrohter Veröffentlichung der Daten die Zahlung meist nur weitere Begehrlichkeiten der Täter weckt.

Die Verfasser selbst schreiben in ihrem offenen Brief, dass die Versicherer zunehmend starke Sicherheitsmaßnahmen einfordern, um Versicherungsschutz zu erlangen. Die Erfahrung der letzten Jahre zeigt uns, dass dieser Prozess für die Unternehmen mit Abschluss der Cyberversicherung  nicht abgeschlossen ist, sondern eher den Anfang eines Weges darstellt – durch die jährlichen Renewals, in welchen durch die Versicherungswirtschaft auch die durch den Versicherten ergriffenen Maßnahmen zu den aktuellen Bedrohungslagen einfließen, sind die Versicherten dazu angehalten, IT-Sicherheit als einen kontinuierlichen Prozess im Unternehmen zu etablieren. Falls dies nicht umgesetzt wird, hat dies über kurz oder lang wohl auch den Verlust des Versicherungsschutzes zur Folge.

Förderung der Cyber-Betriebsunterbrechungsversicherung und Versicherung der Wiederherstellungsmaßnahmen

Im Rahmen der üblichen Versicherungslösungen am Markt sind diese beiden Punkte die Kernbestandteile auf die natürlich nicht verzichtet werden kann. Inwiefern diese Deckungen gefördert werden sollen, lassen die Verfasser offen. Hier bringen die Verfasser auch ins Feld, dass Cyber-Versicherungsschutz auf breiter Front auch die IT-Sicherheit erhöht – gefördert durch die Voraussetzungen der Versicherungswirtschaft an die Versicherten um Cyber-Versicherungsschutz zu erlangen bzw. zu behalten.

Unterstützung von betroffenen Unternehmen bspw. über einen Hilfsfonds

Die Einrichtung und entsprechende Dotierung – insbesonders in den notwendigen Größenordnungen, wenn man sich die o.g. geschätzten Schadenssummen ansieht – von Hilfsfonds, in Bereichen wo Versicherungen sich zurück gezogen haben bzw. nur mehr eingeschränkt Leistung erbringen können, ist nicht kurzfristig zu stemmen. Die Ausstattung dieser Fonds hängt dann auch immer vom politischen Willen der aktuellen Akteure ab, was für die Unternehmen ein unabschätzbares Risiko ist.

Auch hier soll wiederum das Ziel verfolgt werden, dass die Unternehmen in die Lage versetzt werden, auf die Zahlung des Lösegelds zu verzichten. Hier besteht die Gefahr das bei nicht ausreichender Dotierung der Fonds die trügerische Sicherheit vermittelt wird, dass eine Absicherung der Risiken nicht notwendig ist. Sollte hier auf eine Absicherung durch eine Versicherungslösung verzichtet werden und im Schadensfall die zu erwartende Leistung aus dem Hilfsfonds zu gering ausfällt, hat diese Lösung seine berabsichtigte Wirkung verfehlt.

Fazit

Auch wir sind der Meinung, dass die Zahlung von Lösegeldern immer der letzte Ausweg sein kann, welcher nur dann beschritten werden sollte, wenn die Existenz des betroffenen Unternehmens auf dem Spiel stehen würde. Zuvor sollten alle anderen verfügbaren Mittel ausgeschöpft werden. Wir können jedoch einem Versicherungsverbot von Lösegeldzahlungen in der aktuellen Situation nichts abgewinnen, da ein generelles Verbot im Einzelfall die Existenz eines Unternehmens gefährden kann. Lösegelder wurden auch in Zeiten, wo Cyberversicherungen noch nicht so verbreitet waren, bezahlt – ein Versicherungsverbot dieser Zahlungen würde daran unseres Erachtens nichts ändern – durch einen passenden Versicherungsschutz würde sich allerdings die finanziellen Einbußen bei einem Unternehmen in Grenzen halten bzw. auch die Option offen lassen, den (manchmal vielleicht umständlicheren) Weg der Datenwiederherstellung zu beschreiten.

Die Verantwortung von Unternehmensorganen für Schäden im Zusammenhang mit der IT-Sicherheit

Mittlerweile erlangt der Einsatz von IT eine immer wichtigere Bedeutung und zwar nicht nur im von Information getriebenen Business, sondern auch beispielsweise in Handwerksbetrieben. Viele Endgeräte wie Smartphones und Laptops befinden sich in den Unternehmen im Einsatz. Dadurch stellt sich die Frage wie es um die IT-Sicherheit dieser Geräte bestellt ist, aber auch, inwiefern die Geschäftsführung für einen IT-Sicherheitsvorfall verantwortlich gemacht werden kann?

Der Cybervorfall als Katastrophenrisiko

Die Schäden, die etwa durch Schadsoftware in einem Unternehmensnetzwerk verursacht werden, können verheerend sein und die Dimension eines Großschadens erreichen. Im Extremfall steht die Existenz des Unternehmens auf dem Spiel.

Es besteht nicht nur das Risiko, dass Cyber-Kriminelle sensible Daten des Unternehmens veröffentlichen, sondern auch, dass Betroffene Schadenersatz geltend machen. Oft einher gehen mit einem Cybervorfall auch hohe Betriebsunterbrechungsschäden und Wiederherstellungskosten. Sowohl für große als auch kleinere Unternehmen können sich diese Aufwände als sehr schmerzhaft erweisen und stark auf die GuV der Bilanz durschlagen.

IT-Sicherheit als Managementaufgabe

Deshalb ist die Wahrnehmung der IT-Sicherheit für die Unternehmensorgane von zentraler Bedeutung, um rechtliche Konsequenzen zu vermeiden. Denn die Geschäftsführung bleibt für die IT-Sicherheit des Unternehmens verantwortlich und zwar auch dann, wenn der Betrieb der IT an einen IT-Dienstleister ausgelagert wird. Die Haftung der Unternehmensorgane bleibt unabhängig von der Frage bestehen, ob man eine persönliche Expertise als Geschäftsführung im Bereich IT besitzt oder nicht. Die Haftung gegenüber Dritten (z.B. Kunden) aber auch gegenüber der eigenen Gesellschaft bleibt bestehen. Generell haftet die Geschäftsführung persönlich, solidarisch mit ihrem Privatvermögen. Aufgrund der solidarischen Haftung wird auch in einem Schadensfall der Umstand, „dass die IT etwa nicht ins eigene Ressort falle“, nicht vor einer persönlichen Haftung schützen. Denn auch die Überwachung der Geschäftsführerkollegen gehört zu den Kernaufgaben der Unternehmensorgane.

Die zahlreichen Folgen eines Cyberangriffs

Zu bedenken sind auch die (Rechts-)Folgen eines Cyberangriffs. Denn der durch einen Cyberangriff entstandene Schaden ist nämlich nicht auf die Kosten der Wiederherstellung der IT-Systeme und den Betriebsunterbrechungsschaden begrenzt. Hinzu kommen die Schadensfeststellungskosten, Zusatzkosten für eigenes Personal, das Überstunden leisten muss oder Kosten für Rechtsanwälte und technische Experten.

Zudem können Kunden und Lieferanten das Unternehmen auch im Falle von Lieferausfällen oder Lieferverzug in Anspruch nehmen. Wenn persönliche Daten veröffentlicht werden, so kann die Datenschutzbehörde auch ein Bußgerld verhängen und die Betroffenen können Schadenersatzforderungen geltend machen. Es liegt auf der Hand, dass die Gesellschafter nach einem Cyber-Vorfall die Frage nach der Verantwortlichkeit stellen werden, insbesondere wenn der Schaden hoch ist oder gar die Existenz des Unternehmens gefährdet. Immer öfter werden Unternehmensorgane, welche sich nicht ausreichend um die IT-Sicherheit des Unternehmens gekümmert haben, sogar nach einem Cyber-Vorfall gekündigt.

Cyberversicherung als Absicherung des unvermeidbaren Restrisikos

Um das eigene Unheil abzuwenden, sollten die geschäftsführenden Organen die IT-Sicherheit sehr ernst nehmen. Dazu empfehlen wir den Status der IT-Sicherheit durch externe IT-Experten z.B. im Rahmen eines Sicherheits-Audits und eines Penetration-Tests überprüfen zu lassen und alle Maßnahmen nach einer Prioritätenliste zeitnah abzuarbeiten. Erst dann wird wohl der Abschluss einer Cyberversicherung möglich sein.

Der Abschluss einer Cyberversicherung gehört sicherlich zum modernen Risikomanagements eines jeden Unternehmens und ist somit unseres Erachtens nun ein Grundpfeiler eines Versicherungskonzepts für, der von einer Geschäftsführung eingehalten werden muss. Zudem, um auch vor ungerechtfertigten Ansprüchen sicher zu sein, empfehlen wir den Leitungsorganen von Unternehmen jedenfalls auch den Abschluss einer D&O-Versicherung mit ausreichender Versicherungssumme und einer unverfallbaren, zeitlich unbegrenzten Nachmeldefrist.

Was ist ein SOC (Security Operations Center)?

Im Zusammenhang mit der Cyberversicherung, insbesondere bei größeren Unternehmen, fällt immer wieder der Begriff eines SOC (Security Operations Center). Der Betrieb eines SOC wird auch von manchen Cyberversicherern ab einer gewissen Größenordnung eines zu versichernden Unternehmens zur Voraussetzung gemacht. Ein SOC kann durch eine eigene Abteilung betrieben werden oder als externe Dienstleistung zugekauft werden. Gerade im Mittelstand wird sehr häufig zu externen Lösungen gegriffen, da entsprechend spezialisiertes Personal rar und auch nicht gerade günstig ist.

Was genau ein SOC ist und welche Aufgaben es hat, soll in diesem Artikel kurz erläutert werden.

Zusammenfassend lässt sich ein Security Operations Center als das Zentrum aller sicherheitsbezogenen Aktivitäten einer IT-Umgebung beschreiben – es soll die IT-Infrastruktur und die beherbergten Daten vor Gefahren von außen aber auch von innen schützen.

Der Sicherheitsmanager der eigenen IT

Das SOC ist somit der Sicherheitsmanager der eigenen IT. Um diese Aufgabe bewältigen zu können, muss das SOC in der Lage sein, alle sicherheitsrelevanten Systeme zu überwachen und die dortigen Vorgänge zu analysieren:

  • Unternehmensnetzwerk (Switches, Router)
  • Server (Datenbanken, EMail)
  • Arbeitsstationen
  • mobile Geräte (Smartphones, Tablets)
  • evtl. Produktionsmaschinen
  • Internet of Things (zentrale Gerätesteuerungen, Smart Devices)
  • Internetservices

Während dies ein Umfang technischer Natur ist erfüllt ein SOC eine Vielzahl von Aufgaben, alle natürlich mit dem Ziel, die IT-Sicherheit des Unternehmens bestmöglich auszugestalten. Zu diesen Aufgaben gehören daher insbesondere:

Aufgaben eines SOC

Daten sammeln und analysieren

Um zu gewährleisten, dass das SOC effektiv arbeiten kann, ist vorab ein vollständiges Inventar aller Systemkomponenten erforderlich. Dieses gewährleistet, dass die erforderlichen Informationen aus den verschiedenen Strukturen und Log-Informationen vollständig zusammengetragen werden können. Diese Sammlung von sicherheitsrelevanten Informationen stellt auch die erste Aufgabe dar, die ein SOC ausübt.

Weiters überwacht ein SOC nicht nur die eigenen Informationen aus der eigenen IT, sondern es werden auch relevante weitere Informationen analysiert, welche nicht direkt mit der eigenen IT in Verbindung stehen:

  • Verfügbarkeit von Sicherheitspatches von Herstellern
  • Meldungen über Sicherheitslücken
  • Überwachung des Internet-Traffics z.B. Erkennung von DOS-Attacken

Prävention

Auf Grundlage der gesammelten Daten erarbeitet das SOC präventiv Sicherheitskonzepte, welche den Schutz des Unternehmensnetzwerks gewährleisten sollen. Dazu zählen z.B. auch Prozesse, die eine schnelle Verteilung von Sicherheitsupdates gewährleisten sollen und ein zentrales Sicherheitsmanagement der unterschiedlichen Devices – dazu gehört aber auch die Erarbeitung und Aktualisierung von Benutzer-Richtlinien der Anwender. Auch regelmäßige Sicherheitsschulungen der Mitarbeiter werden häufig vom SOC inhaltlich beeinflusst oder auch selbst durchgeführt, da hier die Daten von tatsächlichen Sicherheitsvorfällen im Unternehmen zusammen laufen, was in den Schulungsinhalten jedenfalls mitberücksichtigt werden sollte. Die Risikoabschätzung ist ebenfalls Aufgabe des eigenen SOC als Grundlage für Budget- und Schwerpunktentscheidungen des Managements.

Überwachen

Die aktive Überwachung der IT-Systeme stellt sicherlich die zentrale Aufgabe des SOC dar. Dies umfasst einerseits die Überwachung der laufend gesammelten Daten, um einen Angriff zu erkennen aber auch die das Erkennen von bestehenden Sicherheitslücken und deren Beseitigung in den eigenen Systemen. Verdächtige Aktivitäten im Netzwerk sollen erkannt werden und entsprechend eine entsprechende Alarmierung zur Folge haben, damit der Vorfall analysiert werden kann.

Maßnahmen ergreifen

Die Analyse der gesammelten Daten bildet die Grundlage für die weiteren Services eines SOC – bei erkannten Angriffen ist es erforderlich, dass die Entscheidungsketten aufeinander abgestimmt sind und klare Handlungsanweisungen vorliegen. Einerseits ist es wichtig dass möglichst direkt Abwehrmaßnahmen gegen einen Cyber-Angriff vorgenommen werden – diese Maßnahmen können je nach Gefährdungslage folgendermaßen aussehen:

  • Veranlassung von gemeinsamen Maßnahmen mit externen Providern
  • Beobachtung der Aktivitäten des Angreifers zur Abschätzung des Ausmaßes des Angriffs
  • Abschottung der betroffenen Systeme bis hin zum
  • Shutdown der gesamten IT

Reporting

Eine wichtige Aufgabe des SOC ist auch das Reporting an das Management – dazu gehören die Einschätzungen in Bezug auf die eigenen Sicherheitslage und Empfehlungen in Bezug auf die sicherheitsrelevanten Systeme. Darüber hinaus kann das SOC in verschiedensten Bereichen des Unternehmens beratend zur Seite stehen um Sicherheitsstrategien von Anfang an bei der Unternehmens- und Projektplanung mitzudenken. So unterstützt lassen sich Pflichten hinsichtlich Datenschutz und Compliance wesentlich effizienter erfüllen.

Fazit

Der Betrieb eines SOC ist für Unternehmen, die eine bestimmte Größenordnung überschreiten und deren Dienstleistung/Produktion in großem Maße von IT-Systemen abhängig sind, heutzutage unerlässlich. Auch der Zukauf eines externen SOC ist möglich und es gibt für diese Leistungen zahlreiche Anbieter am Markt – deren Angebote können auf jede Unternehmensgröße abgestimmt werden. Die externe Vergabe ist in jedem Fall eine Überlegung wert, da entsprechend qualifiziertes Personal im aktuellen Umfeld sehr schwierig zu akquirieren ist und eine externe Verantwortlichkeit sicherlich zu begrüßen ist. Falls man sich für einen externen Anbieter entscheidet, sollte man bei der Auswahl jedenfalls die nötige Sorgfalt walten lassen, da aufgrund der weitreichenden Berechtigungen, die man dem Anbieter erteilt –  die für die Durchführung der Aufgabe durchaus nötig sind – Vertrauen zum gewählten Partner Voraussetzung ist.

Möglichkeiten zum Schutz vor Phishing-EMails

Phishing stellt regelmäßig den Beginn eines Cyberangriffs dar, bei dem der Täter eine E-Mail (oder eine Nachricht in einem sozialen Netzwerk) sendet, um den Empfänger zu Aktionen zu verleiten, die dem Angreifer eine Tür öffnen, um einen erfolgreichen Cyberangriff einleiten zu können. Dabei ist es natürlich wichtig, dass der Empfänger nicht erkennt, dass die EMail aus einer unseriösen Quelle stammt und so der Empfänger dazu verleitet wird, verschiedene Aktionen durchzuführen – die häufigsten derartigen Aktionen sind:

  • auf einen Link klicken, der ihn auf eine gefälschte Website führt
  • persönliche Daten (z.B. Zugangsdaten) bekannt geben
  • einen Anhang der EMail-Nachricht öffnen

Insofern ist es natürlich wichtig sich selbst und das eigene Unternehmen vor Phishing-E-Mails zu schützen- dazu ist es einerseits wichtig zu verstehen, was die Angreifer mit dem Vorgehen bezwecken und andererseits gibt es auch wirksame Maßnahmen, um sich vor diesem Vorgehen zu schützen.

So funktioniert Phishing

Wie erwähnt startet Phishing meist mit einer scheinbar harmlosen Mail – und ja, in den meisten Fällen ist die Mail an sich noch recht ungefährlich. Mails mit bekanntem Schadcode werden nämlich in den meisten Fällen schon von den EMail-Anbietern „aussortiert“ und landen gar nie beim Empfänger – wobei auch hier grundsätzlich Vorsicht geboten ist, da nicht gewährleistet ist, dass auch einmal ein entsprechendes EMail mit einem schädlichen Anhang durch die diversen Filter schlüpft.

Die meisten Phishing-E-Mails die man erhält landen außerdem im SPAM-Filter und sind auch auf den ersten Blick als Fake-Mails zu erkennen – außer man ist hoffnungslos optimistisch und glaubt tatsächlich daran, dass ein nigerianischer Prinz oder ein mit einer Erbschaft bedachter Bankangestellter gegen hohe finanzielle Beteiligung die Hilfe bei diversen Geldtransfers benötigt. Aber es gibt sie auch, die EMails die sehr legitim aussehen, sodass es sehr schwierig ist, sie von echten EMails zu unterscheiden insbesonders wenn es sich um eine gezielte Phishing-Kampagne handelt, mit der Informationen z.B. eines bestimmten Unternehmens abgegriffen werden sollen. Hier kommt es dann häufig zum sogenannten Spear-Phishing, d.h. es werden gezielt bestimmte Personen oder Gruppen angeschrieben, um an die gewünschten Informationen zu gelangen – diese EMails sind meist deutlich besser gestaltet und viel schwieriger von legitimen E-Mails zu unterscheiden.

Für den Angreifer hat das Phishing in allen Fällen den selben Zweck – um an Informationen zu gelangen, sei es nun Zugangsdaten, Kreditkarteninformationen. In einigen Fällen sollen die Nutzer auch dazu verleitet werden, Schadsoftware, die natürlich nicht auf Anhieb als solche zu erkennen ist, auf Ihren PC zu starten oder zu installieren. Wenn der Angreifer bereits über Hintergrundinformationen zum Unternehmen verfügt, ist es durchaus möglich, dass die EMail so aussieht, als käme sie vom eigenen IT-Support und dann ist es durchaus vorstellbar, dass der User den Anweisungen im Mail folgt und die neue Version der „Fernwartungssoftware“ installiert.

Ablauf einer Phishing-Attacke

So schützen Sie sich vor Phishing-E-Mails

Eine der besten Möglichkeiten, sich vor Phishing-E-Mails zu schützen, besteht darin, folgende Grundregeln zu befolgen:

  • kein seriöser Anbieter/Dienstleister wird per EMail nach Ihren Zugangsdaten fragen, die Weitergabe der eigenen Zugangsdaten ist in den seltensten Fällen notwendig
  • Antworten Sie niemals auf EMails, die persönliche finanzielle Informationen fordern
  • Besuchen Sie Bank-Websites nie über den Link in einer Mail, sondern immer über die Eingabe der URL im Browser oder einen Bookmark den sie selbst gesetzt haben.
  • Prüfen Sie vor
  • Betrachten Sie Anhänge einer Mail immer mit einem gesunden Misstrauen – im Zweifelsfall fragen Sie telefonisch beim Versender der EMail nochmals nach
  • Öffnen Sie keine Anhänge von Personen, die Ihnen unaufgefordert EMails zusenden
  • Auch bei den IT-Verantwortlichen im Unternehmen nachzufragen, kann im Zweifel nicht schaden
  • Prüfen Sie die EMail-Adresse des Absenders und nicht nur den Namen, der im EMail-Programm angezeigt wird
  • Machen Sie es sich zur Angewohnheit, die Adressen der Seiten im Browser zu prüfen.

Manche gefakte Websites sind besser und manche schlechter erkennbar – ein guter Hinweis ist jedenfalls die URL bzw. die Adresse unter der die Seite erreichbar ist. Diese lässt sich im Browser gut überprüfen und gibt Hinweise darauf, ob eine Website legitim ist oder nicht.

Die untenstehende Grafik soll veranschaulichen, wie URLs angegeben werden können, ohne dass es möglicherweise groß auffällt.

Beispiele von Phishing-URLs anhand von Mustern bereits erfolgter Phishing-Angriffe

 

Auch das Unternehmen und insbesonders die IT-Abteilung kann natürlich dabei unterstützen, Phishing-EMails zu erkennen:

  • Kennzeichnung von externen EMails
  • EMail-Scanner die verdächtige EMails entsprechend kennzeichnen
  • Verwendung von Blacklists, die bekannte Versender von Phishing und
  • Endpoint-Sicherheitslösungen für Clients
  • Regelmäßige Schulungen der User und klare Handlungsempfehlungen
  • Phishing-Tests

In Zusammenhang mit Schulungen, Phishing- Tests und besserer Prävention möchten wir auch auf die Dienstleistungen der Cyber-Versicherer hinweisen, welche im Zusammenhang mit der Cyber-Versicherung oft deutlich günstiger und teilweise kostenlos angeboten werden – wenn Ihre Kunden dies Dienste Nutzen möchten, sprechen Sie uns darauf an – wir leiten gerne alles in die Wege.

AssCompact Beratertage – INFINCO ist als Partner dabei – Besuchen Sie uns!

AssCompact Beratertage 2022Besuchen Sie uns auf den AssCompact Beratertagen am

5. Mai in Wien/Vösendorf
10. Mai in Innsbruck/Mils

und am 19. Mai online.

Die AssCompact Beratertage sind das Branchenupdate des Jahres. Wir freuen uns darauf Sie kennenzulernen bzw. wiederzusehen. Außerdem haben Sie die Möglichkeit durch die Teilnahme an den Vorträgen unabhängige IDD Weiterbildungsstunden zu sammeln – die Teilnahme ist kostenlos.

Unsere Beiträge möchten wir Ihnen in der untenstehenden Übersicht zusammenfassen – wir freuen uns über Ihre Teilnahme:

Asscompact Beratertage

Melden Sie sich hier kostenlos zu den AssCompact Beratertagen an!

Wie verwende ich den INFINCO-Calculator richtig?

Digitale Prozesse sind auch in der Welt des Versicherungsmaklers nicht mehr wegzudenken. Deshalb bauen auch wir unsere digitalen Angebote, den INFINCO-Calculator und unsere smarte Regulierungsplattform weiter aus.

Welche Produkte finden Sie derzeit im INFINCO-Calculator?

Derzeit finden Sie die Sparten D&O-, Cyber-, Vermögensschadenhaftpflicht- und Vertrauensschadensversicherung in unserer Berechnungs- und Angebotsplattform.

Sparten INFINCO-Calculator

In CYBER können Sie zwischen zwei Varianten wählen. Unser Deckungskonzept, das wir zusammen mit unserem Partner MARKEL soeben neu aufgelegt haben, geht weit über das Standardkonzept des Versicherers hinaus. In Kürze werden wir Sie herzlich einladen, bei einer der Fachschulungen zum Deckungskonzept mit dabei zu sein. Das Konzept richtet sich insbesondere an Gewerbeunternehmungen und Dienstleistungsunternehmen. Gerade für etwas größere Unternehmen und Produktionsunternehmen können Sie auf unser weiteres Deckungskonzept mit AIG zurückgreifen. Hier können Sie Angebote für Kunden mit einem Umsatz von bis zu 100 Millionen Euro berechnen.

In der Vermögensschadenhaftpflichtversicherung können wir Ihnen bei den Berufen Steuerberater, Wirtschaftsprüfer, IT-Unternehmen, Werbung/Medien behilflich sein. Für alle genannten Berufe können Sie auf unsere Besonderen Deckungsvereinbarungen zurückgreifen.

Ebenso verfügen wir über ein Deckungskonzept in der Vertrauensschadensversicherung mit zahlreichen Sondervereinbarungen.

In der D&O-Versicherung haben Sie die Möglichkeit eine Quotierung für die Bereiche Unternehmens-D&O und persönliche D&O zu berechnen.

Warum nicht gleich ein annahmefähiges Angebot?

Wir haben uns dafür entschieden, dass wir durch die Vereinbarung von klar vorgegebenen Modellen mit unseren Versicherungspartnern vorab Prämien bekannt geben können, welche im Falle einer positiven Risikoprüfung auch halten werden.

Damit sind verständlicherweise die erstellten Angebote unter den Vorbehalt dieser Risikoprüfung zu stellen. Im Bereich der D&O haben wir dies insbesondere durch die Abgabe einer Quotierung klargestellt. Eine Quotierung definiert lediglich die Prämie eines Risikos, welche sich nach Mitteilung der individuellen Risikosituation noch ändern kann.

In Einzelfällen hat sich in der Risikoprüfung ergeben, dass ein Unternehmen aufgrund der Finanzdaten etwa gar nicht oder nur mit Einschränkungen angenommen werden kann. Dies ist insbesondere dann der Fall, wenn ein Unternehmen ein negatives Eigenkapital aufweist, ein Jahresverlust im Ergebnis erzielt wird oder das Unternehmen einer Unternehmensgruppe angehört.

Deshalb ist es in eurem Eigeninteresse, dass Sie – mit einer Quotierung ausgestattet – den Kunden die Risikofragen beantworten lassen können. Bei den Risikofragen geben wir Hilfestellungen mit, was zu tun ist, wenn eine Risikofrage einmal negativ beantwortet werden muss. Das vermeidet unnötige Schleifen mit dem Kunden und durch die vermittelte Transparenz sollen auch unrealistische Erwartungshaltungen eingefangen werden.

Im Anschluss erfolgt dann die Risikoprüfung und die Quotierung kann dann mittels Deckungswunsch durch Sie in die Policierung münden.

Sie haben noch keinen Zugang zu unserer Angebots- und Berechnungsplattform – melden Sie sich gleich an:

Anmeldung zum INFINCO-Calculator