Phishing stellt regelmäßig den Beginn eines Cyberangriffs dar, bei dem der Täter eine E-Mail (oder eine Nachricht in einem sozialen Netzwerk) sendet, um den Empfänger zu Aktionen zu verleiten, die dem Angreifer eine Tür öffnen, um einen erfolgreichen Cyberangriff einleiten zu können. Dabei ist es natürlich wichtig, dass der Empfänger nicht erkennt, dass die EMail aus einer unseriösen Quelle stammt und so der Empfänger dazu verleitet wird, verschiedene Aktionen durchzuführen – die häufigsten derartigen Aktionen sind:

• auf einen Link klicken, der ihn auf eine gefälschte Website führt
• persönliche Daten (z.B. Zugangsdaten) bekannt geben
• einen Anhang der EMail-Nachricht öffnen

Insofern ist es natürlich wichtig sich selbst und das eigene Unternehmen vor Phishing-E-Mails zu schützen- dazu ist es einerseits wichtig zu verstehen, was die Angreifer mit dem Vorgehen bezwecken und andererseits gibt es auch wirksame Maßnahmen, um sich vor diesem Vorgehen zu schützen.

So funktioniert Phishing

Wie erwähnt startet Phishing meist mit einer scheinbar harmlosen Mail – und ja, in den meisten Fällen ist die Mail an sich noch recht ungefährlich. Mails mit bekanntem Schadcode werden nämlich in den meisten Fällen schon von den EMail-Anbietern „aussortiert“ und landen gar nie beim Empfänger – wobei auch hier grundsätzlich Vorsicht geboten ist, da nicht gewährleistet ist, dass auch einmal ein entsprechendes EMail mit einem schädlichen Anhang durch die diversen Filter schlüpft.

Die meisten Phishing-E-Mails die man erhält landen außerdem im SPAM-Filter und sind auch auf den ersten Blick als Fake-Mails zu erkennen – außer man ist hoffnungslos optimistisch und glaubt tatsächlich daran, dass ein nigerianischer Prinz oder ein mit einer Erbschaft bedachter Bankangestellter gegen hohe finanzielle Beteiligung die Hilfe bei diversen Geldtransfers benötigt. Aber es gibt sie auch, die EMails die sehr legitim aussehen, sodass es sehr schwierig ist, sie von echten EMails zu unterscheiden insbesonders wenn es sich um eine gezielte Phishing-Kampagne handelt, mit der Informationen z.B. eines bestimmten Unternehmens abgegriffen werden sollen. Hier kommt es dann häufig zum sogenannten Spear-Phishing, d.h. es werden gezielt bestimmte Personen oder Gruppen angeschrieben, um an die gewünschten Informationen zu gelangen – diese EMails sind meist deutlich besser gestaltet und viel schwieriger von legitimen E-Mails zu unterscheiden.

Für den Angreifer hat das Phishing in allen Fällen den selben Zweck – um an Informationen zu gelangen, sei es nun Zugangsdaten, Kreditkarteninformationen. In einigen Fällen sollen die Nutzer auch dazu verleitet werden, Schadsoftware, die natürlich nicht auf Anhieb als solche zu erkennen ist, auf Ihren PC zu starten oder zu installieren. Wenn der Angreifer bereits über Hintergrundinformationen zum Unternehmen verfügt, ist es durchaus möglich, dass die EMail so aussieht, als käme sie vom eigenen IT-Support und dann ist es durchaus vorstellbar, dass der User den Anweisungen im Mail folgt und die neue Version der „Fernwartungssoftware“ installiert.

So schützen Sie sich vor Phishing-E-Mails

Eine der besten Möglichkeiten, sich vor Phishing-E-Mails zu schützen, besteht darin, folgende Grundregeln zu befolgen:

• kein seriöser Anbieter/Dienstleister wird per EMail nach Ihren Zugangsdaten fragen, die Weitergabe der eigenen Zugangsdaten ist in den seltensten Fällen notwendig
• Antworten Sie niemals auf EMails, die persönliche finanzielle Informationen fordern
• Besuchen Sie Bank-Websites nie über den Link in einer Mail, sondern immer über die Eingabe der URL im Browser oder einen Bookmark den sie selbst gesetzt haben.
• Prüfen Sie vor
• Betrachten Sie Anhänge einer Mail immer mit einem gesunden Misstrauen – im Zweifelsfall fragen Sie telefonisch beim Versender der EMail nochmals nach
• Öffnen Sie keine Anhänge von Personen, die Ihnen unaufgefordert EMails zusenden
• Auch bei den IT-Verantwortlichen im Unternehmen nachzufragen, kann im Zweifel nicht schaden
• Prüfen Sie die EMail-Adresse des Absenders und nicht nur den Namen, der im EMail-Programm angezeigt wird
• Machen Sie es sich zur Angewohnheit, die Adressen der Seiten im Browser zu prüfen.

Manche gefakte Websites sind besser und manche schlechter erkennbar – ein guter Hinweis ist jedenfalls die URL bzw. die Adresse unter der die Seite erreichbar ist. Diese lässt sich im Browser gut überprüfen und gibt Hinweise darauf, ob eine Website legitim ist oder nicht.

Die untenstehende Grafik soll veranschaulichen, wie URLs angegeben werden können, ohne dass es möglicherweise groß auffällt.

 

Auch das Unternehmen und insbesonders die IT-Abteilung kann natürlich dabei unterstützen, Phishing-EMails zu erkennen:

• Kennzeichnung von externen EMails
• EMail-Scanner die verdächtige EMails entsprechend kennzeichnen
• Verwendung von Blacklists, die bekannte Versender von Phishing und
• Endpoint-Sicherheitslösungen für Clients
• Regelmäßige Schulungen der User und klare Handlungsempfehlungen
• Phishing-Tests

In Zusammenhang mit Schulungen, Phishing- Tests und besserer Prävention möchten wir auch auf die Dienstleistungen der Cyber-Versicherer hinweisen, welche im Zusammenhang mit der Cyber-Versicherung oft deutlich günstiger und teilweise kostenlos angeboten werden – wenn Ihre Kunden dies Dienste Nutzen möchten, sprechen Sie uns darauf an – wir leiten gerne alles in die Wege.

Digitale Prozesse sind auch in der Welt des Versicherungsmaklers nicht mehr wegzudenken. Deshalb bauen auch wir unsere digitalen Angebote, den INFINCO-Calculator und unsere smarte Regulierungsplattform weiter aus.

Welche Produkte finden Sie derzeit im INFINCO-Calculator?

Derzeit finden Sie die Sparten D&O-, Cyber-, Vermögensschadenhaftpflicht- und Vertrauensschadensversicherung in unserer Berechnungs- und Angebotsplattform.

In CYBER können Sie zwischen zwei Varianten wählen. Unser Deckungskonzept, das wir zusammen mit unserem Partner MARKEL soeben neu aufgelegt haben, geht weit über das Standardkonzept des Versicherers hinaus. In Kürze werden wir Sie herzlich einladen, bei einer der Fachschulungen zum Deckungskonzept mit dabei zu sein. Das Konzept richtet sich insbesondere an Gewerbeunternehmungen und Dienstleistungsunternehmen. Gerade für etwas größere Unternehmen und Produktionsunternehmen können Sie auf unser weiteres Deckungskonzept mit AIG zurückgreifen. Hier können Sie Angebote für Kunden mit einem Umsatz von bis zu 100 Millionen Euro berechnen.

In der Vermögensschadenhaftpflichtversicherung können wir Ihnen bei den Berufen Steuerberater, Wirtschaftsprüfer, IT-Unternehmen, Werbung/Medien behilflich sein. Für alle genannten Berufe können Sie auf unsere Besonderen Deckungsvereinbarungen zurückgreifen.

Ebenso verfügen wir über ein Deckungskonzept in der Vertrauensschadensversicherung mit zahlreichen Sondervereinbarungen.

In der D&O-Versicherung haben Sie die Möglichkeit eine Quotierung für die Bereiche Unternehmens-D&O und persönliche D&O zu berechnen.

Warum nicht gleich ein annahmefähiges Angebot?

Wir haben uns dafür entschieden, dass wir durch die Vereinbarung von klar vorgegebenen Modellen mit unseren Versicherungspartnern vorab Prämien bekannt geben können, welche im Falle einer positiven Risikoprüfung auch halten werden.

Damit sind verständlicherweise die erstellten Angebote unter den Vorbehalt dieser Risikoprüfung zu stellen. Im Bereich der D&O haben wir dies insbesondere durch die Abgabe einer Quotierung klargestellt. Eine Quotierung definiert lediglich die Prämie eines Risikos, welche sich nach Mitteilung der individuellen Risikosituation noch ändern kann.

In Einzelfällen hat sich in der Risikoprüfung ergeben, dass ein Unternehmen aufgrund der Finanzdaten etwa gar nicht oder nur mit Einschränkungen angenommen werden kann. Dies ist insbesondere dann der Fall, wenn ein Unternehmen ein negatives Eigenkapital aufweist, ein Jahresverlust im Ergebnis erzielt wird oder das Unternehmen einer Unternehmensgruppe angehört.

Deshalb ist es in eurem Eigeninteresse, dass Sie – mit einer Quotierung ausgestattet – den Kunden die Risikofragen beantworten lassen können. Bei den Risikofragen geben wir Hilfestellungen mit, was zu tun ist, wenn eine Risikofrage einmal negativ beantwortet werden muss. Das vermeidet unnötige Schleifen mit dem Kunden und durch die vermittelte Transparenz sollen auch unrealistische Erwartungshaltungen eingefangen werden.

Im Anschluss erfolgt dann die Risikoprüfung und die Quotierung kann dann mittels Deckungswunsch durch Sie in die Policierung münden.

Sie haben noch keinen Zugang zu unserer Angebots- und Berechnungsplattform – melden Sie sich gleich an:

In den letzten Monaten war der Markt für Cyber-Versicherungen sehr unübersichtlich und viele Anbieter zeichnen sich in Cyber zurück, Prämien steigen und vielfach verschlechtern sich die Bedingungen für Cyberkunden deutlich.

Umso mehr freut es uns, dass wir mit MARKEL  in der Sparte Cyber unser neues Deckungskonzept „INFINCO Markel PRO Cyber 2022 closen konnten, welche am Markt ihresgleichen sucht.

Keine Prämienanpassung

Es erfolgte im Rahmen des Antragsmodells keine Prämienanpassung, Ihre Kunden profitieren nach wir vor von den günstigen Prämien auf dem Niveau des Jahres 2019.

Deutlich erweiterte INFINCO-Sondervereinbarungen

Wir konnten im Rahmen der Sondervereinbarungen zahlreiche neue Deckungsvereinbarungen treffen, welche wir an dieser Stelle nur auszugsweise erwähnen möchten:

• Berufsgruppenspezifische Zusatzdeckungen: Sinnvolle Deckungserweiterungen z.B. für Ärzte und beratende Berufe
• Beweislastumkehr bei Unklarheit bei der Feststellung eines Versicherungsfalls
• Vorleistung bei Nutzung von Cloud- und Hosting-Diensten bis EUR 2 Mio.

Update-Garantie für Bestandskunden

Das beste – unsere Partner, die bereits mit uns gemeinsam Cyber-Versicherungsverträge mit INFINCO Markel Pro Cyber in der Vergangenheit abgeschlossen haben, müssen diese Verträge nicht konvertieren, da unsere Innovationsgarantie automatisch für alle Verträge gilt, die über uns vermittelt wurden und die Innovationsklausel bereits vereinbart hatten. Diese wurde bei uns seit 2018 bei nahezu allen Verträgen vereinbart.

In der nächsten Woche werden wir Ihnen die Unterlagen zu unserer neuen Cyberdeckung zur Verfügung stellen – selbstverständlich werden wir in diesem Rahmen auch eine Schulung durchführen, damit Sie mit unserer neuen Cyberlösung auch gut und komfortabel in den Vertrieb starten können – und für die Nutzer unseres Calculators – die Anpassungen am Produkt sind ebenfalls bereits am Laufen!

Falls Sie noch keinen Zugang zu unserer digitalen Angebotsplattform haben – nutzen Sie die Gelegenheit und melden sich an!

Welche Initiativen gibt es eigentlich auf europäischer Ebene, um der wachsenden Cyber-Bedrohungslage zu begegnen und was sind die Ziele dieser Initiativen?

In erster Linie geht es hier natürlich um den Schutz der kritischen Infrastruktur und der Aufrechterhaltung der Wettbewerbsfähigkeit des europäischen Marktes.  Es gibt hier mehrere Vorhaben, welche die Resilienz gegenüber Cyberangriffen erhöhen sollen. Wenn auch viele dieser Maßnahmen für als kritisch eingestufte Sektoren vorgesehen sind, können einige Überlegungen auch von anderen Unternehmen in Erwägung gezogen werden.

Aktuell gibt es auf Europäischer Ebene folgende Einrichtungen und Initiativen zu dieser Thematik – wir versuchen, die unserer Ansicht nach relevantesten etwas genauer unter die Lupe zu nehmen:

EU-Agentur für Cybersicherheit (ENISA)

Die EU-Agentur für Cybersicherheit folgt seit 2019 ihrer Vorgängerin (Agentur der Europäischen Union für Netz- und Informationssicherheit) nach, hat jedoch nun eine deutlich gestärkte Rolle.

Die Aufgabenbereiche sind vielfältig, sie unterstützt bei der Vorbereitung auf und Vermeidung von Cyberangriffen auf europäischer Ebene und publiziert eine Vielzahl von Artikeln und Guidelines.

Die Agentur ist ein sehr informativer Anlaufpunkt für Informationen auf europäischer Ebene und durch die Kooperation mit den nationalen CSIRTs (Computer Security Incident Response Team) ein Knotenpunkt an dem viele Informationen zusammen laufen.

Für mehr Informationen empfehlen wir die Website der ENISA:
https://www.enisa.europa.eu/

Gemeinsame Cyber-Einheit

Viele Nationen in der EU haben bereits entsprechende Einrichtungen, die sich mit Cyber-Kriminalität und Cyber-Sicherheit beschäftigen und diese Aufgaben auf nationaler Ebene wahrnehmen. Die Einrichtungen sind zwar organisatorisch unabhängig, aber die Bedrohungen, denen sie gegenüber stehen, sind häufig dieselben. Cyber-Angriffe beschränken sich in den wenigsten Fällen auf eine Nation, es sei den sie sind politisch motiviert.

Die Gemeinsame Cyber-Einheit soll eine Plattform schaffen, welche die Koordination,  Erfahrungs- und Informationsaustausch und gemeinsame Warninstrumente ermöglichen soll.

Konkret vorgeschlagen wurde die Einheit 2021, soll aber im Rahmen eines sehr motivierten Zeitplans Mitte 2022 bereits seine Arbeit aufnehmen und ab Mitte 2023 voll funktionsfähig sein – in letzter Zeit ist es allerdings verdächtig ruhig zu diesem Thema geworden.

Dass eine solche Einheit, die auf Cyber-Sicherheitsvorfälle und Cyber-Krisen koordiniert auf europäischer Ebene agieren kann, notwendig ist, dürfte außer Frage stehen.

Cyber Resilience Act

Diese Initiative soll die Hersteller von IT-Produkten und -Services in die Pflicht nehmen auf die Cyber-Sicherheit Ihrer Produkte zu achten. In einer vernetzten Welt von heute sollte es eine Selbstverständlichkeit sein, dass auch die Hersteller von Soft- und Hardware bei der Entwicklung Ihrer Produkte auf Sicherheit achten – leider führen Zeit- und Kostendruck oft dazu, dass dieser Punkt in der Entwicklung nicht erste Priorität erhält.

Ziele dieser Initiative sind:

• gleichbleibend hohes Cybersicherheitsniveau für digitale Produkte und Nebendienstleistungen in Europa
• Nutzerinnen und Nutzer sollen in die Lage versetzt werden, die Sicherheitseigenschaften solcher Produkte auf ihre Bedürfnisse abzustimmen
• gleiche Wettbewerbsbedingungen für Anbieter digitaler Produkte und Nebendienstleistungen

Zu dieser Initiative läuft noch bis zum 25. Mai 2022 eine Aufforderung zur Stellungnahme der Europäischen Kommission – Ziel der Konsultation ist es, die Ansichten verschiedener Interessenträger einzuholen.

Hier ist noch nicht abzusehen, welche Maßnahmen daraus folgen werden. Ein „Gütesiegel“ für Software und digitale Produkte wird schwer umsetzbar sein – allzu strenge Haftungsbestimmungen könnten eine Innovationsbremse sein.

Wir sind jedenfalls gespannt auf die Entwicklungen im Rahmen dieser Gesetzesinitiative.

Richtlinie über Maßnahmen für ein
hohes gemeinsames Cybersicherheitsniveau in der Union
(kurz: „überarbeitete NIS-Richtlinie“ oder „NIS 2“)

Wie der Name schon sagt, soll diese Richtlinie die NIS-Richtlinie 2016/1148 ersetzen und die darin enthaltenen Vorschriften decken eine Vielzahl von Bereichen ab und haben das Ziel, Risiken online und offline, von der Cyberattacke bis zur Naturkatastrophen, zu reduzieren.

Dies soll mit folgenden Maßnahmen erreicht werden:

• höhere Sicherheitsanforderungen an Unternehmen, die der kritischen Infrastruktur angehören
• Sicherheit der Lieferketten
• Vereinfachung der Berichterstattungspflichten
• Aufsichtsmaßnahmen und Durchsetzungsanforderungen durch die nationalen Behörden

Während man bisher bei kritischer Infrastruktur hauptsächlich von den klassischen Sektoren Verkehr, Banken, Gesundheit und Energie gesprochen hat, zielt NIS darauf ab, diese als kritisch definierten Bereiche auszuweiten. Das wird dazu führen, dass weitaus mehr Unternehmen nun von der Richtlinie erfasst sein werden, was als positiv zu werten ist.

Die Berücksichtigung von Lieferketten und Abhängigkeiten in diesem Zusammenhang stellt sich in der heutigen vernetzten Welt als Notwendigkeit dar. Kaum ein Unternehmen kann es sich leisten, von unsicheren Partnern in der Lieferkette abhängig zu sein – insofern ist die Einhaltung gewisser Mindeststandards in der IT-Sicherheit jedenfalls eine Notwendigkeit, die manchmal unbequem sein mag, allerdings der langfristen Gesundheit der Wirtschaftsbeziehungen zuträglich ist und aufgrund der vielen unterschiedlichen Cyberbedrohungen nicht ignoriert werden kann.

Manche Unternehmen machen es bereit vor und erwarten in Ihren Geschäftsbeziehungen mit Lieferanten bereits entsprechende umgesetzte Sicherheitsvorkehrungen.

FAZIT

Wir sind im Rahmen unserer Recherchen noch auf zahlreiche andere Informationsquellen und Initiativen im europäischen Kontext gestoßen – wie leider so oft im Zusammenhang mit öffentlichen Institutionen ist es ein Dschungel bestehend aus Informationen, welche durchaus werthaltig sind, allerdings kaum in strukturierter und verwertbarer Form vorliegen.

Grundsätzlich sind wir Initiativen, welche die Cyber-Resilienz von Unternehmen stärken sollen, positiv gegenüber eingestellt – nicht zuletzt, da diese Initiativen auch zu einer Stabilisierung des Versicherungsmarktes beitragen können, wenn Sie erfolgreich und wirksam umgesetzt werden.

Denn trotz aller Initiativen müssen wir uns darüber im klaren sein, dass Cyber-Bedrohungen und -Krisen zukünftig nicht mehr aus dem Alltag verschwinden werden. Es muss allerdings das Ziel sein, dass man zumindest den meisten dieser Angriffe relativ gelassen entgegen sehen kann.

Mehrere Versicherer kündigten bereits an, dass in den Ländern Russland, Belarus und der Ukraine kein Neugeschäft mehr gezeichnet wird und Bestandsverträge nicht mehr verlängert werden. Dies hat Auswirkung auf viele österreichische Unternehmungen die mit eigenen Entities vor Ort tätig sind.

Natürlich bezieht sich dieses Problem auf fast alle Versicherungssparten und nicht nur auf Financial Lines. Besonders von der Problematik betroffen sind deshalb Kreditversicherer, welche auch politische Risiken abdecken und so Forderungen vor Unruhen, Krieg oder Sperren durch Devisentransfers versichern.

Auf der Kundenseite sind vor allem Unternehmen betroffen, welche Tochterunternehmungen oder Joint Ventures in den Staaten Russland, Belarus oder in der Ukraine unterhalten. Während betroffene Unternehmen und Kunden von den EU/EWR-Sanktionen und Embargos betroffen sein werden, sind Unternehmen in der Ukraine wohl davon betroffen, dass beispielsweise ein D&O-Versicherer einen Vertrag nicht mehr verlängern oder neu zeichnen wird, wenn die Versicherungsnehmerin ein ukrainisches Tochterunternehmen hält. Es ist wohl realistisch, dass wir in D&O-Renewals auch im Bereich der mittelgroßen Unternehmen öfter wieder Ausschlüsse für Krieg sehen werden.

Für in Russland gelegene Risiken musste bereits in der Vergangenheit eine lokale Deckung in Russland abgeschlossen werden, weil es sich bei Russland um ein sogenanntes „non admitted country“ handelt. Währenddessen konnte eine österreichische Versicherungsnehmerin ihre ukrainische Tochter über eine Financial Interest Cover mitversichern. Trat beispielsweise ein D&O-Schaden in einem ukrainischen Tochterunternehmen ein, so wurde, um es kurz zu fassen, die österreichische Mutter entschädigt und zwar in der Höhe, in welcher die Mutter ihre Tochter durch den entstandenen Schaden in der Bilanz abwerten musste.

Fazit:
Die beschlossenen EU-Sanktionen und Embargos umfassen nicht nur die geografische Belegenheit des Risikos, also den Sitz von Gesellschaften, sondern sie beziehen sich auch auf eine schon recht große Gruppe von natürlichen Personen. Deshalb sollten die Vermittler, welche im internationalen Kontext agieren, auch die Organe von Gesellschaften vermehrt in den Fokus ihrer Risikoprüfung rücken. Selbstverständlich gilt dies auch für die Versicherer.