Aufrufe
vor 7 Monaten

AssCompact 03/2018

  • Text
  • Versicherer
  • Makler
  • Vermittler
  • Unternehmen
  • Beratung
  • Deutschland
  • Fonds
  • Vertrieb
  • Digitale
  • Absicherung

ASSEKURANZ © Sergey

ASSEKURANZ © Sergey Nivens – Fotolia.com Klassische Deckungen reichen für Cyberschutz von KMU nicht aus Aktuelle Betrugsrisiken und Sicherheitslücken bringen auch kleine und mittelständische Unternehmen in Bedrängnis: Sie müssen sich umfassend vor Cyberrisiken schützen. Seit Jahresbeginn steht hierzu ein Cyberprodukt der VHV Versicherungen zur Verfügung. Seit dem 01.01.2018 bietet die VHV mit CYBER - PROTECT ein Produkt zur Absicherung von Cyberrisken an. Damit reagiert die VHV auf den Anstieg an Cyberrisiken und den damit verbundenen steigenden Bedarf an Versicherungsschutz. Zielgruppe von CYBERPROTECT sind kleine und mittelständische Unternehmen. Abgesichert werden dabei die klassischen Deckungen Eigenschäden (Wiederherstellung und Betriebsunterbrechung), Haftpflichtansprüche und Servicekosten (zum Beispiel Kosten für externe Sachverständige). Zusätzlich können auch die Bausteine E-Payment, D&O, Vertrauensschaden und Cyberspionage abgeschlossen werden. Klassische Deckungen reichen nicht immer aus Mit den Zusatzbausteinen bietet VHV CYBERPROTECT eine umfassende Absicherung gegen aktuelle Betrugsrisiken. Ein Beispiel dafür ist der „CEO-Betrug“ oder auch „Fake President“ genannt. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) schreibt in seinem Bericht zur Lage der IT- Sicherheit, dass 50 Kunden einer europäischen Bank allein im ersten Halbjahr 2016 diesem Angriff zum Opfer gefallen sind. Während 40 dieser Fälle verhindert werden konnten, erlitten zehn davon einen Schaden von mehreren Mio. Euro. Der größte dem BSI bekannte Einzelschaden beläuft sich auf 40 Mio. Euro. Diese Form des Angriffs ist seit Jahren bekannt und es gibt Möglichkeiten, sich dagegen zu schützen. Neben einer Sensibilisierung der Mitarbeiter sollte hier etwa auch das Vier- Augen-Prinzip eingehalten werden, um die Sicherheit zu erhöhen. Trotz aller Sicherheitsmaßnahmen kann es jedoch zum Von Dr. Vladimir Petrovs, Cyberspezialist (Technische Versicherung) bei den VHV Versicherungen Der Enkeltrick der Cyberrisiken CEO-Betrug oder Fake President ist der Enkeltrick der Cyberrisiken. Dabei versuchen die Angreifer, das Opfer dazu zu bringen, Geldüberweisungen zu tätigen. Die Opfer sind in der Regel Mitarbeiter im Finanz- oder Rechnungswesen, die per Mail oder telefonisch kontaktiert werden. Dafür gibt sich der Angreifer zumeist als hohe bzw. oberste Führungskraft des Unternehmens aus (daher der Name). Die Angreifer verwenden dazu gefälschte E-Mails und täuschen damit ihre Opfer. Unternehmen aus dem Mittelstand geraten zunehmend in den Fokus dieser Angriffe. Schadenfall kommen. Hier reicht ein Basisprodukt oft nicht aus. Während in vielen Cyberpolicen der Abfluss von Vermögenswerten ausgeschlossen wird, ist dieser über den Vertrauensschadenbaustein in CYBERPROTECT mitversichert. Sicherheitsmaßnahmen bringen keine 100%-ige Sicherheit Cyberrisiken unterliegen einem ständigen Wandel. Häufig muss zunächst etwas passieren, worauf man reagieren kann. Aus diesem Grund können viele Sicherheitsmaßnahmen auch erst reaktiv auf Gefahren wirken. Beispiele dafür 38 März 2018

sind die Angriffsszenarien Spectre und Meltdown. Diese nutzen Sicherheitslücken, die zum Teil seit Jahren bestanden und erst kürzlich mithilfe von Updates geschlossen werden konnten. Darüber hinaus nutzten Angreifer die mediale Aufmerksamkeit als Trittbrettfahrer für eigene Zwecke. Sie verschickten gefälschte E-Mails, die scheinbar vom BSI stammten, mit der Aufforderung, Sicherheitsupdates durchzuführen. Der enthaltene Link führte auf eine gefälschte Website des BSI. Der Download führte dazu, dass Computersysteme und Smartphones mit Schadsoftware infiziert wurden. Mehr als Entschädigung Die durch solche Infektionen verursachten Vermögensschäden und Kosten sind durch das neue Cyberprodukt der VHV gedeckt. Nicht nur bei finanziellen Schäden hilft die VHV, sondern auch beim Umgang mit dem Problem. Kunden von CYBERPROTECT könnten beispielsweise Unterstützung durch einen IT-Forensiker über die 24/7-Servicehotline erhalten. Die Kosten für die Systemwiederherstellung und finanzielle Folgeschäden werden dem Kunden bis zur Versicherungssumme erstattet. Flexible Deckungssummen und Selbstbehalte ermöglichen es, mit CYBER- PROTECT eine Vielzahl von Kunden aus kleinen und mittleren Unternehmen bedarfsgerecht abzusichern, im Rahmen des Standardtarifes bis zu einem Jahresumsatz von 3 Mio. Euro. Darüber hinaus können Deckungen auch im Rahmen des individuellen Underwritings angeboten werden. Bei der VHV CYBERPROTECT hat jede Risikoposition ihre eigene Versicherungssumme. So werden die Leistungen, die zum Beispiel aufgrund einer Viren - infektion gezahlt wurden, nicht auf die Schadensumme angerechnet, die bei einem CEO-Betrug im selben Versicherungsjahr anfallen. Damit wird sichergestellt, dass der Kunde im Schadenfall seine Deckung nicht zu schnell verbraucht. Das neue Cyberprodukt der VHV wird auf den VHV Roadshows, die vom 13.03.2018 bis 17.05.2018 stattfinden, vorgestellt. Interessierte Versicherungsvermittler können sich unter www.vhv-weiterbildung.de anmelden. Dort referiert der Informationssicherheitsexperte Mark Semmler zu aktuellen Cyberthemen. AssCompact hat vorab nachgefragt. W Zwei aktuelle Sicherheitslücken Spectre und Meltdown sind Angriffsszenarien, die Sicherheitslücken in der Hardwarearchitektur von Prozessoren ausnutzen. Die Sicherheitslücken ermöglichen es einem Angreifer, Daten auszulesen, die auf dem Prozessor verarbeitet werden. Dazu gehören unter anderem auch Passwörter. Die Sicherheitslücken wurden in Prozessoren mehrerer Produktgenerationen und Anbieter gefunden. Aus diesem Grund kann mit an Sicherheit grenzender Wahrscheinlichkeit davon ausgegangen werden, dass jeder Computernutzer auf die eine oder andere Weise betroffen war. Nachgefragt bei Mark Semmler, Informationssicherheitsexperte Herr Semmler, wie können sich Unternehmen vor allem selbst vor IT-Schäden bewahren? Informationssicherheit muss Chefsache werden. Das mag abgedroschen klingen, ist aber absolut notwendig. Denn die Informationsverarbeitung ist heute nun einmal das Nervenkostüm eines Unternehmens. Wenn hier Probleme auftreten, liegt der komplette Betrieb still oder es gehen zentrale Unternehmenswerte verloren. Schäden können hier schnell existenzbedrohend sein. Daher muss klar identifiziert werden, welche Daten, Informationen und Systeme es besonders zu schützen gilt. Häufig ist bereits der Basisschutz ausreichend. Am 25.05.2018 tritt die wichtige Datenschutz-Grundverordnung (EU-DSGVO) in Kraft. Worauf gilt es zu achten? Zunächst sollten sich die Unternehmen informieren. Gute Ansprechpartner sind hier zum Beispiel der eigene Datenschutzbeauftragte, die Kammern oder die Online-Auftritte der einzelnen Landesdatenschutzbeauftragten. Außerdem hat sich auch die VdS Schadenverhütung des Themas angenommen und eine auditierungs- und zertifizierungsfähige Richtlinie zum Thema veröffentlicht. Diese Richtlinie ist kostenfrei erhältlich. Wichtig ist im ersten Schritt, das in der EU-DSGVO geforderte Datenschutzmanagement zu etablieren, die wichtigsten Verarbeitungen von personenbezogenen Daten zu erfassen, zu dokumentieren und gesetzeskonform zu gestalten. Wenn ein Computer von der Sicherheitslücke bei INTEL betroffen ist, was können Unternehmen dann tun? Auf einem Rechner arbeiten heute viele Programme gleichzeitig. Die nicht nur in INTEL-Prozessoren gefundenen Sicherheitslücken sind schwerwiegend, weil sie die strikte Trennung dieser Programme unterlaufen. Durch sie kann ein bösartiges Programm die eigentlich streng geschützten Daten der anderen Programme und des Betriebssystems auslesen. Darunter sind auch kryptografische Schlüssel und sogar Passwörter. Die Hersteller besonders verwundbarer Software, etwa der Internet-Browser, reagieren mit Software-Updates, die das Ausnutzen der Fehler erschweren oder auch unterbinden sollen. Bevor Panik entsteht: Bis heute ist keine gegen Endanwender gerichtete Schadsoftware bekannt, die die Lücken aktiv ausnutzt. W März 2018 39