Vor welchen Cyber Risiken können Sie sich mit
einer Cyber Risk Versicherung schützen?
Täglich werden ca. 380.000 neue Schadprogramm varianten gesichtet. Allein bis August 2016 waren insgesamt mehr als 560 Millionen verschiedene Schadprogrammvarianten bekannt.
Zu den häufigsten Infektionswegen eines Systems mit Schadprogrammen gehören E-Mail-Anhänge sowie die vom Anwender unbemerkte Infektion beim Besuch von Webseiten, sogenannte Drive-by Downloads. Auch Links auf Schadprogramme spielen weiterhin eine gewichtige Rolle. Quelle der Links auf Schadprogramme sind immer öfter Werbebanner, die von den Angreifern auf ent sprechenden Plattformen eingestellt werden und die wie legitime Online-Werbung auch auf vertrauenswürdigen Webseiten angezeigt werden („Malvertising“).
Reale Fallbeispiele:
Personenbezogene Daten
Hacker verschafften sich Zugang in die Systeme einer großen Arztpraxis und entwendeten so hochsensible Patientendaten. Um den Schaden so gering wie möglich zu halten werden neben dem schnellen Eingriff des IT-Dienstleisters weitere Maßnahmen eingeleitet: Mit Hilfe eines IT-Forensikers werden die betroffenen Patienten identifiziert. Eine Anwaltskanzlei klärt die Praxisinhaber über die Aufklärungspflichten bei den Patienten auf. Anschließend wird eine Kommunikationsagentur mit der Information der betroffenen Dateninhaber über den Datendiebstahl beauftragt.
Schaden:mehrere 10.000€
Telefonanlage
Kriminelle Angreifer drangen in die Telefonanlage eine Mittelständlers ein. Sie fischten dort keine Daten ab, lauschten auch nicht auf der Suche nach Firmengeheimnissen - sondern sie telefonierten. Die Hacker riefen teure Nummern an, möglicherweise eigens dafür geschaltete gebührenpflichtige Dienste. Der Schaden zeigt sich vor allem auf der Telefonrechnung.
Schaden: über 60.000€
Verschlüsselungstrojaner
Mittels einer E-Mail installierte sich auf dem IT-System eines kleinen Maklerbüros ein Verschlüsselungstrojaner. Bis der Angriff bemerkt wurde, konnte der Trojaner schon längere Zeit aktiv sein und insbesondere die Back-ups des Unternehmens infizieren. Nach einiger Zeit ging nichts mehr: Das IT-Netz des Maklers war für mehrere Tage außer Betrieb gesetzt. IT-Dienstleister und Forensiker mussten insgesamt 17 Manntage investieren, bis die Systeme komplett gesäubert und wieder voll einsatzfähig waren. Auch wurden personenbezogene Daten ausgelesen und im Netz angeboten. Die Betroffenen wurden benachrichtigt
Schaden: über 30.000€
Webseiten-Manipulation
Die Website eine Gaststätte wird von Hackern so verändert, dass statt eines repräsentativen Restaurant-Bildes die Innenansicht eines in die Jahre gekommen Fast-Food-Restaurants gezeigt wird.
Hierdurch wird die Reputation des Hauses beschädigt, die Buchungen gehen zurück und es werden Kosten zur Wiederherstellung und zukünftiger Vermeidung fällig.
Schaden: nicht endgültig bezifferbar
Phishing
Die Geschäftsführerin stellt fest, dass bereits vor drei Tagen eine Überweisung über 9.000€ getätigt wurde. Da sie diese keinen Vorgang zuordnen kann, wundert sie sich. Sie erinnert sich, dass sie vor einiger Zeit eine E-Mail des Geldinstitutes erhalten hat, in der sie zur Prüfung ihrer Kontaktdaten auf Richtigkeit aufgefordert worden ist. Da sie der Aufforderung gefolgt ist, hat sie auf der Website die Zugangsdaten für das Online-Banking eingegeben.
Verletzung einer Geheimhaltungsvereinbarung
Eine Werbeagentur wird schriftlich zur Geheimhaltung der elektronisch übermittelten Unterlagen für eine neue Werbekampagne verpflichtet. Ein Mitarbeiter lässt den Laptop mit den Unterlagen im Auto liegen. Dieser wird entwendet und es besteht die Gefahr, dass die Pläne vor Beginn der Kampagne veröffentlicht werden. Der Auftraggeber muss den vermarktungsbeginn vorziehen.Den entstandenen Mehraufwand macht er wegen Verletzung der Geheimhaltungspflicht als Schadenersatz geltend.
Schaden: ca. 25.000€
Gehackter Server
Unbekannte haben den Server eines Heidelberger Sternelokals gehackt. Es wurden wahllos E-Mails an alle Kontakte verschickt, die sich auf dem Webserver befinden und jemals kontaktiert wurden. In den versendeten E-Mails wurden erfundene Zahlungsaufforderungen für vermeintlich ausstehende Rechnungen angehängt. In den Anhängen waren Viren versteckt. Das Lokal wurde mit Beschwerden überrollt. Es mussten automatische Telefonansagen geschaltet und über die Homepage auf das Problem aufmerksam gemacht werden.
Manipulierte Kassensysteme
Den Gästen eines Restaurants werden nach ihrem Besuch Beiträge auf der Kreditkarte belastet, welche nachweislich nicht durch die Inhaber der Kreditkarte getätigt wurden. Bei der Untersuchung des IT-Systems wird festgestellt, dass die Software des Kassensystems durch Unbekannte manipuliert wurde. Da trotz aufwändiger Maßnahmen die Schadsoftware nicht aus dem IT-System entfernt werden kann, wird der Austausch der Hardware vereinbart. Hinzu kommen Vertragsstrafen der Kreditkartenfirmen.
Schaden: 210.000€
Verletzung PCI-Standard
Mit Hilfe von manipulierten Tastaturen wurden Kreditkartendaten von ca. 5000 Hotelgästen ausspioniert.
Wegen Verletzung der vereinbarten Datensicherheitsstandards machen Kreditkartenunternehmen vertraglich vereinbarte Strafen, Aufwendungen für ihr internes Monitoring sowie die Benachrichtigung der betroffenen Kunden geltend. .
Schaden: ca. 412.000€
Online Buchungssystem
Über ein Onlinebuchungssystem werden viele personenbezogene Daten sowie Zahlungsinformationen gesammelt. Dieser praktische Service für die Hotel-Gäste kann jedoch bei einem Hacker-Angriff viele Folgen haben.
Neben den Auswirkungen auf die Reputation des Hauses sowie der Kosten für die IT, fallen eventuelle Strafzahlungen der Kreditkartenindustrie sowie Kommunikationskosten an die Kunden an, da es in Deutschland die Rechtspflicht zur Benachrichtigung der Betroffenen bei personenbezogenen Daten gibt.
Rechnermanipulation
Ein Hotel bietet seinen Gästen öffentliche PC's zum surfen im Internet an. Aufgrund unzulänglicher Einschränkungen der Administratoren-Rechte und BIOS-Einstellungen konnte ein Keylogger installiert werden, der die Eingaben über die Tastatur mitliest. Hierdurch konnten Bankdaten und Passwörter der Gäste ausspioniert werden.
Fehlbedienung eines Mitarbeiters
Das Warenwirtschaftssystem funktionierte aufgrund einer Fehlbedienung eines Mitarbeiters nicht mehr, sodass keine Rechnungen mehr geschrieben werden konnten. Das Problem konnte nur gemeinsam mit dem Software-Hersteller über mehrere Tage gelöst werden. Dadurch kam es zu Liquiditätsproblemen, da gleichzeitig laufende Projekte zu großen Schwankungen führten.
Übertragung von Viren
Ein IT-Dienstleister implementiert ein Warenwirtschaftssystem für einen Spielwaren-Zulieferer. Ein neuer Mitarbeiter loggt sich mit seinem Laptop ins Firmennetzwerk des Kunden ein. Dabei wird ein bis dato nicht registrierter Virus ins Netzwerk des Auftraggebers eingeschleust. Der Schaden wird er nach drei Tagen festgestellt, sodass das gesamte Netzwerk zwischenzeitlich befallen wurde. Bis zur vollständigen Behebung steht der Betrieb still. Das Unternehmen verklagt den Dienstleister auf Sachschaden und entgangenen Gewinn.
Kundenpasswörter
Ein Mitarbeiter hat sich nicht an die internen Vorschriften gehalten und Kundenpasswörter auf seinem unverschlüsselten Client gespeichert. Eines Tages lässt er seinen Laptop mit den Unterlagen im Auto liegen. Dieser wird entwendet und es besteht die Gefahr, dass die Systeme der Kunden infiziert werden können, da Zugriff mit Administratorenrechten besteht.
Die Passwörter bei den Kunden müssen geändert werden. Ebenso müssen die Betroffenen informiert werden. Der Imageschaden ist riesig, das Kundenvertrauen erschüttert.
Google-Ranking
Ein Online-Händler, der auf die Google-Suche angewiesen ist, tauchte nicht mehr in der Google-Suche auf. In der URL-Adresse hatte ein Unbekannter pornographische Begriffe eingebaut. Damit fiel der Händler aus dem Google-Ranking und erlitt erhebliche Umsatzeinbußen.
Denial-of-Service-Angriff (DoS)
Ein Händler bietet Anlagen und Geräte aus dem Bereich der Telekommunikation über typische Handelswege dem Einzel- und Großhandel an. Kleingeräte wie beispielswiese Handys werden auch über einen Onlineshop direkt an Endkunden verkauft. Über einen Zeitraum von 5 Tagen wurden die Server durch einen DoS-Angriff nahezu vollständig blockiert, so dass ein deutlich geringerer Warenumsatz erfolgte.
Hacker-Angriff
Unbekannte konnten bei einem Hackerangriff auf einen Internetoptiker auf die Kundendatenbank zugreifen. Die Angreifer hatten dabei Zugriff auf die Adressdaten, Passwörter und Zahlungsinformationen. Der Internetoptiker hatte nun neben Kosten seine IT betreffend, Aufwendungen der Kundenkommunikation (Information und Zusendung neuer Passwörter) und Strafzahlungen der Kreditkartenindustrie zu bewältigen. Aufgrund der häufigen Mehrfachnutzung von Passwörtern sind ebenfalls Mail-Konten der Kunden von diesem Angriff betroffen. Der Imageschaden ist groß.
Spear Phishing
Über soziale Netzwerke wurden gezielt Mitarbeiter ausgespäht, um auf Sie zugeschnittene E-Mails versenden zu können, die einen Trojaner beinhalten. Dieses "Spear Phishing" ist eine gezielte Angriffsmethode gegen ausgesuchte Personen, wie Mitarbeiter mit Administratorenrechten oder Mitglieder der Führungsebene eines Unternehmens. Hierdurch konnte ein Trojaner eingeschleust werden, der mittels Verschlüsselung die IT-Systeme lahm legte.
Das sagen unsere Kunden auf Google über uns:
[wprevpro_usetemplate tid="1"]
Interessiert? Kontaktieren Sie uns oder nutzen Sie direkt unseren Vergleich.
Cyber Risk Versicherung: Schützen Sie Ihre IT ab 150€/Jahr!
Cyber Risk Versicherungen sind somit keine Präventivmaßnahme, wie beispielsweise eine Firewall, sondern schützt Ihre Firma im Fall der Fälle vor der Einstellung der Geschäftstätigkeit und ermöglicht somit dessen Fortführung. Die Cyber Versicherung stellt somit die dritte Säule der IT-Sicherheit dar, eine effektive Ergänzung Ihrer Maßnahmen gegen Cyber Risiken.
Was könnte Ihrem Unternehmen ohne eine Cyber Risk Versicherung drohen?
- Imageschaden
- Einnahmeausfälle
- Hohe Investitionen in den Neuaufbau Ihrer IT und die Rettung Ihrer Daten
- Klagen von Kunden und Auftraggebern
- Insolvenz
- Strafzahlungen oder Schadensersatzansprüche
Was die Cyber Versicherung leistet:
- Betriebsunterbrechung
- Datenrekonstruktionskosten
- Benachrichtigung Geschädigter bei Datenschutzverletzung
- Austausch von Hardware
- Aufwendungen für den IT-Dienstleister
- IT-Forensik
- Ansprüche Dritter
- Aufwendungen in der Krisenkommunikation (PR-Agentur)
- Vermeidung von Reputationsschäden
- Strafzahlungen (insbesondere im elektr. Zahlungsverkehr)
Ihr Unternehmen könnte insbesondere von folgenden Cyber-Risiken bedroht sein:
- Datenverluste,
- Datenschutzverletzungen,
- Hackerangriffe,
- Erpressungen durch Hacker,
- Persönlichkeitsverletzungen/Rufschädigung,
- Verletzung geistiger Eigentumsrechte,
- Ausspähen von Daten/Geschäftsgeheimnissen,
- Ertragsausfälle durch Betriebsunterbrechungen,
Doch wie kommen die Angreifer in Ihr System, wenn Sie sich doch bereits weitreichend vor Cyberkriminalität schützen?
Technische Schwachstellen und Sicherheitslücken stellen nur einen Teil der Risiken im Cyber-Raum dar. Wo Angreifer dank aktueller Software und Systeme, dank Firewalls und Virenscannern nicht weiterkommen, versuchen sie, Anwender auf andere Weise zur Installation von Schadsoftware oder zur Herausgabe sensibler Daten zu bewegen. Vergleichbar mit dem Trickbetrug an der Haustür setzen auch Cyber-Angreifer im Internet auf die Vortäuschung einer persönlichen Beziehung zum Opfer oder machen Gewinnversprechen. Viele weitere Varianten dieser Social Engineering genannten Vorgehensweise werden eingesetzt.
Beispiele und Abläufe für Social Engineering:
- Angreifer nutzen soziale Netzwerke, um die dort veröffentlichten persönlichen Informationen über potenzielle Opfer zu erhalten. Auch die erste Kontaktaufnahme läuft oftmals über soziale Netzwerke und wird in der Folge intensiviert, um die Opfer zu unüberlegten Handlungen zu verleiten, zum Beispiel eine infizierte E-Mail-Anlage zu öffnen oder eine infizierte Webseite aufzurufen. Dadurch gelingt es den Angreifern, das Nutzersystem mit Schadsoftware zu infizieren oder Zugang in ein Unternehmensnetz zu erlangen.
- Zur Ansprache der Opfer täuschen die Angreifer oftmals namhafte und bekannte Unternehmen oder Einrichtungen vor. Dies senkt die Hemmschwelle der Empfänger, einen Link oder Dateianhang anzuklicken, denn der Absender scheint bekannt oder vertraut zu sein.
- Im Zuge dieser Phishing-Angriffe werden fiktive Sicherheitsprobleme, gefälschte Rechnungen oder vorgetäuschte Statusmeldungen zu Aufträgen verwendet, um Nutzer dazu zu verleiten, unternehmensbezogene oder andere sensitive Informationen an Unberechtigte weiterzugeben. Zwecks Ablenkung des Opfers von der eigentlichen Problematik werden dabei Fristen gesetzt oder geringe Bearbeitungsgebühren erhoben. Zudem werden die Nutzer auf gefälschte Unternehmens-Webseiten gelockt, um dort in einer scheinbar vertrauten Umgebung Zugangs-, Konto- oder Kundendaten einzugeben oder zu bestätigen.
- Beliebte Angriffsmethoden sind nach wie vor der CEO-Betrug oder die Kontaktaufnahme per Telefon. Dabei geben sich die Angreifer als Support-Mitarbeiter von namhaften IT-Unternehmen wie Microsoft oder Dell aus, die angebliche Probleme mit dem Rechner des Anwenders beheben wollen. Dazu soll der Betroffene eine Fernwartungssoftware auf dem Rechner installieren, die dem vorgeblichen Techniker die Behebung der angeblichen Probleme ermöglicht. Folgt der Anwender der Anweisung, so haben die Angreifer durch diese Software Zugriff und Kontrolle über den Rechner.
Gemäß einer Umfrage des BSI setzen zwar mehr als zwei Drittel der befragten Unternehmen Awareness-Maßnahmen um, diese werden aber meist nur sporadisch durchgeführt. Es fehlen vielfach kontinuierliche Prozesse, um die Mitarbeiter langfristig und nachhaltig zu sensibilisieren.
(Quelle: Die Lage der IT Sicherheit in Deutschland 2016)
(Quelle: Die Lage der IT Sicherheit in Deutschland 2016)
Das sagen unsere Kunden auf Google über uns:
[wprevpro_usetemplate tid="1"]
