27. Februar 2025 News
Der Faktor Mensch: Wenn Mitarbeiter zur Schwachstelle werden
Verschiedene Angriffsszenarien – verschiedene Versicherungen – Cyber- vs. Vertrauensschadenversicherung
Mehr Informationen +
In der digitalen Sicherheitslandschaft gilt ein Grundsatz unverändert: Der Mensch ist und bleibt das schwächste Glied in der Sicherheitskette, kann jedoch auch gleichzeitig das größte Asset darstellen. Trotz ausgeklügelter Firewalls, komplexer Antivirenprogramme und fortschrittlicher Sicherheitssysteme genügt oft ein Moment der Unachtsamkeit eines Mitarbeiters, um schwerwiegende Cybervorfälle auszulösen. Während Unternehmen beträchtliche Summen in technische Schutzmaßnahmen investieren, wird der menschliche Faktor häufig unterschätzt.
In diesem Beitrag möchten wir die verschiedenen Angriffsszenarien erläutern und der häufig gestellten Frage nachgehen, über welche Art von Versicherung die höchst unterschiedlich zu bewertenden Schäden abgedeckt sein können.
Angriffsszenarien durch menschliches Versagen
Grundsätzlich gibt es verschiedenste Angriffsszenarien, welche den Faktor Mensch als Ziel haben. Wir werden in dem Beitrag auf die wichtigsten Szenarien eingehen und diese anhand von Beispielen auch kurz erläutern.
Phishing und Social Engineering – die Kunst der Täuschung
Phishing-Angriffe zählen zu den erfolgreichsten Methoden im Cyberverbrechensrepertoire. Angreifer senden täuschend echt aussehende E-Mails, die vermeintlich von vertrauenswürdigen Absendern stammen. Mitarbeiter werden aufgefordert, auf Links zu klicken, Anhänge zu öffnen oder sensible Daten preiszugeben.
Beispiel „IT-Support-Betrug“:
An einem Donnerstagmorgen erhält Sarah P., Teamleiterin in der Personalabteilung, einen Anruf. Der Anrufer stellt sich als „Marcus Schmidt vom internen IT-Support“ vor und erklärt, dass bei einer Routineüberprüfung verdächtige Zugriffe auf das Personalmanagementsystem von ihrem Account festgestellt wurden. Er klingt professionell und nennt Details wie den korrekten Namen des verwendeten HR-Systems und sogar den Namen von Sarahs direkter Vorgesetzten.
Um „größeren Schaden zu verhindern“, müsse er dringend Sicherheitsupdates auf ihrem System durchführen. Er bittet Sarah, sich bei einem „Fernwartungstool“ anzumelden, dessen Link er ihr per E-Mail schickt. Die E-Mail sieht täuschend echt aus, mit dem Unternehmenslogo und einer Absenderadresse, die der echten IT-Support-Adresse sehr ähnlich ist (it-support@company-group.com statt it-support@company.com).
Sarah, besorgt um die Sicherheit der Personaldaten, folgt den Anweisungen. Der vermeintliche IT-Mitarbeiter führt sie durch mehrere Schritte und bittet sie dabei, verschiedene „Sicherheitsfreigaben“ zu bestätigen. Was Sarah nicht weiß: Sie installiert dabei eine Remote-Access-Software, die dem Angreifer vollen Zugriff auf ihren Computer gewährt.
Während des „Updates“ fragt der Anrufer beiläufig nach weiteren Details zum Unternehmen und den Sicherheitsprozessen, angeblich „um die Systeme optimal anzupassen“. Sarah, die den hilfsbereiten IT-Mitarbeiter nicht vor den Kopf stoßen will, beantwortet die Fragen.
Zwei Tage später wird entdeckt, dass sensible Personaldaten von über 850 Mitarbeitern abgegriffen wurden, darunter Gehaltsdaten, Sozialversicherungsnummern und Bankverbindungen. Zudem wurden die gewonnenen Informationen genutzt, um weitere gezielte Phishing-Angriffe auf Mitarbeiter durchzuführen.
Unzureichendes Passwortmanagement
Schwache und wiederverwendete Passwörter sind eine Einladung für Cyberkriminelle. Wenn Mitarbeiter dieselben Zugangsdaten für mehrere Dienste nutzen oder leicht zu erratende Passwörter wählen, schaffen sie vermeidbare Sicherheitslücken.
Beispiel: Thomas K., Vertriebsleiter eines mittelständischen Maschinenbauunternehmens, nutzt seit Jahren das Passwort „TK-Verka2019!“ – eine Kombination aus seinen Initialen, seiner Abteilung und dem Jahr seiner Beförderung mit einem Sonderzeichen. Er verwendet es für seinen LinkedIn-Account, seinen persönlichen E-Mail-Dienst und – aus Bequemlichkeit – auch für seinen Firmenzugang zum CRM-System mit sensiblen Kundendaten. An einem Sonntag wird LinkedIn Opfer eines massiven Datenlecks. Am Montagmorgen bemerkt die IT-Abteilung ungewöhnliche Zugriffe auf das CRM-System von einer ausländischen IP-Adresse – zu diesem Zeitpunkt wurden bereits Angebote und Preislisten von 143 A-Kunden heruntergeladen. Die Hacker hatten Thomas‘ Zugangsdaten aus dem LinkedIn-Leck extrahiert und einfach beim Firmensystem ausprobiert. Die Daten wurden in Folge im Darknet zum Verkauf angeboten. Dadurch entsteht ein wirtschaftlicher Schaden durch abgewanderte Kunden, die vermutlich von Wettbewerbern mit Lockpreisen abgeworben wurden.
Unbeabsichtigte Datenpreisgabe
Oft werden vertrauliche Informationen ohne böse Absicht offengelegt – sei es durch falsch adressierte E-Mails, unsichere Cloud-Speicherung oder unbedachtes Teilen von Informationen.
Beispiel: Julia S., Projektmanagerin in einer Marketing-Agentur, arbeitet an einer Produktneueinführung für einen bedeutenden Pharmakonzern. Um die Zusammenarbeit mit der externen Designagentur zu erleichtern, lädt sie die komplette Projektdokumentation inklusive sensibler Markteinführungsstrategie, Preisgestaltung und klinischer Studiendaten in einen Ordner bei einem beliebten Cloud-Anbieter. Unter Zeitdruck wählt sie für die Freigabe die Option „Jeder mit dem Link kann bearbeiten“, anstatt gezielt Zugriffsrechte zu vergeben. Sie kopiert den Link in eine E-Mail an die Designer – und schickt dieselbe E-Mail versehentlich auch an einen ähnlich klingenden Verteilerliste, die auch Mitarbeiter eines Konkurrenzunternehmens enthält. Drei Monate später bringt der Wettbewerber ein fast identisches Produkt auf den Markt – zwei Wochen vor dem geplanten Launch ihres Kunden. Das Unternehmen verliert nicht nur den „First-Mover-Vorteil“, sondern büßt dadurch auch erheblich an Marktwert ein. Der Kunde kündigt zudem den Agenturvertrag fristlos.
Bring Your Own Device (BYOD)
Die Nutzung privater Geräte im Unternehmensumfeld birgt erhebliche Risiken, wenn diese nicht den Unternehmenssicherheitsstandards entsprechen.
Beispiel: Michael T., Key-Account-Manager bei einem Industriezulieferer, nutzt sein privates Smartphone intensiv für Geschäftskontakte. Auf Dienstreisen in Asien installiert er eine lokale Navigations-App, die er in einem App-Store findet – ohne zu wissen, dass diese mit Spyware infiziert ist. In den folgenden Wochen verschickt er regelmäßig Angebote, technische Datenblätter und Preislisten per E-Mail an seine Kunden. Die Spyware protokolliert alle seine Eingaben und E-Mails und sendet sie an die Hinterleute, die gezielt nach Geschäftsinformationen suchen. Bei Verhandlungen mit einem wichtigen chinesischen Kunden ist Michael überrascht, wie detailliert der potenzielle Kunde seine Kalkulationsgrundlagen kennt und genau den minimalen Preisspielraum fordert. Nach mehreren ähnlichen Vorfällen führt eine IT-Sicherheitsuntersuchung zu Michaels Smartphone, wo die kompromittierte App entdeckt wird. Die Untersuchung ergibt, dass in den vergangenen Wochen zahlreiche vertrauliche Dokumente abgegriffen wurden, darunter auch Entwicklungspläne für die nächste Produktgeneration.
Durch Cyberversicherungen gedeckte Schadensfälle
Cyberversicherungen decken in der Regel Schäden ab, die durch Eingriffe in IT-Systeme entstehen:
Ransomware-Angriffe
Wenn ein Mitarbeiter unwissentlich Schadsoftware durch Öffnen eines E-Mail-Anhangs installiert, die anschließend Unternehmensdaten verschlüsselt, greift die Cyberversicherung, welche typischerweise die folgenden Kosten übernimmt:
- Datenwiederherstellung
- Forensische Untersuchungen
- Betriebsunterbrechungsschäden
- Lösegeldzahlungen
Datenschutzverletzungen
Bei versehentlicher Offenlegung von personenbezogenen Daten durch Mitarbeiterhandlungen wie:
- Falsch adressierte E-Mails mit sensiblen Anhängen
- Unzureichend gesicherte Datenbanken
- Verlust von Datenträgern
deckt die Cyberversicherung typischerweise:
- Benachrichtigungskosten
- Krisenkommunikation
- Rechtsberatung
- Bußgelder (soweit versicherbar)
- Schadenersatzforderungen Betroffener
Kompromittierung von Netzwerken
Wenn ein Mitarbeiter durch einen Social-Engineering-Angriff seine Zugangsdaten preisgibt und dadurch Hackern Zugang verschafft, übernimmt die Cyberversicherung:
- IT-Forensik
- Wiederherstellung der Systemintegrität
- Schadenersatz für betroffene Dritte
- Betriebsunterbrechungsschäden
Durch Vertrauensschadenversicherung gedeckte Fälle
Es gibt auch zahlreiche Schadensszenarien, welche durch eine klassische Cyberversicherung nicht gedeckt sind, sondern im Bereich der Vertrauensschadenversicherung zu verorten sind. Diese Vermögensschäden, die durch eine vorsätzlich unerlaubte Handlungen von sog. Vertrauenspersonen (aka Mitarbeiter) entstehen, aber zwischenzeitlich auch zahlreiche Fällen von E-Crime und Datenmissbrauch, sodass sie eine unverzichtbare Ergänzung zur Cyberversicherung darstellt.
Untenstehend finden Sie Beispiele für Schadensfälle, welche der Vertrauensschadenversicherung zuzuordnen sind:
CEO-Fraud/Fake President/Business Email Compromise (BEC)
Wenn Betrüger durch gefälschte E-Mails vorgeben, Vorgesetzte oder Geschäftsführer zu sein und Mitarbeiter zu Überweisungen verleiten:
- Die Vertrauensschadenversicherung deckt den finanziellen Verlust
- Im Gegensatz zur Cyberversicherung ist hier nicht der technische Eingriff ins IT-System das entscheidende Kriterium, sondern die vorsätzliche Täuschung, was dazu führt, dass in vielen Cyberversicherungen hierfür keine Deckung besteht.
Beispiel: Herr Weber, Buchhalter bei einem mittelständischen Bauzulieferer, erhält an einem hektischen Montagmorgen eine E-Mail vom vermeintlichen CEO Dr. Bauer. In der Nachricht erklärt Dr. Bauer, dass er gerade in einer vertraulichen Übernahmeverhandlung in London sei und dringend 78.500 Euro für eine Anzahlung an ein Beratungsunternehmen überweisen müsse. Die E-Mail betont die Vertraulichkeit und enthält ein offiziell aussehendes PDF mit der Rechnung und Zahlungsdetails. Da Dr. Bauer tatsächlich auf Geschäftsreise ist (was im Firmennetzwerk im Kalender ersichtlich ist) und der E-Mail-Header zunächst authentisch aussieht, hält Herr Weber dies für einen legitimen Vorgang. Er befolgt die Anweisung, überspringt die üblichen zweistufigen Freigabeprozesse, die für „dringende CEO-Anfragen“ eine Ausnahme vorsehen, und tätigt die Überweisung. Als er drei Stunden später eine weitere „dringende“ Anfrage für 120.000 Euro erhält, wird er misstrauisch und ruft Dr. Bauer auf seinem Mobiltelefon an. Dieser weiß von keiner Überweisung. Eine Nachverfolgung ergibt, dass das Geld bereits auf ein Konto in Osteuropa transferiert und von dort weitergeleitet wurde.
Rechnungsmanipulation
Wenn Kriminelle bestehende Geschäftsbeziehungen ausspähen und manipulierte Rechnungen mit geänderten Bankdaten einschleusen:
- Die Vertrauensschadenversicherung greift bei finanziellen Verlusten durch diese Manipulation
- Der Schaden entsteht nicht durch einen IT-Sicherheitsvorfall, sondern durch die bewusste Täuschung des Mitarbeiters
Identitätsdiebstahl und Dokumentenfälschung
Wenn Betrüger gestohlene oder gefälschte Identitäten nutzen, um Waren oder Dienstleistungen zu erschleichen:
- Die Vertrauensschadenversicherung übernimmt den entstandenen finanziellen Schaden
- Der Verlust entsteht durch die betrügerische Absicht, nicht durch eine IT-Sicherheitsverletzung
Präventionsmaßnahmen
Um den menschlichen Faktor als Sicherheitsrisiko zu minimieren, sind folgende Maßnahmen entscheidend:
- Regelmäßige Schulungen: Sensibilisierung aller Mitarbeiter für aktuelle Bedrohungen und Angriffsmethoden.
- Klare Prozesse: Etablierung und strikte Einhaltung von Sicherheitsrichtlinien, besonders bei finanziellen Transaktionen (Vier-Augen-Prinzip).
- Technische Schutzmaßnahmen: Implementierung von Sicherheitslösungen wie Zwei-Faktor-Authentifizierung, E-Mail-Filterung und Zugriffsbeschränkungen.
- Incident-Response-Plan: Vorbereitung auf den Ernstfall mit klaren Handlungsanweisungen und Eskalationswegen.
- Versicherungsschutz: Kombination aus Cyber- und Vertrauensschadenversicherung zur umfassenden Absicherung.
Fazit
Der Mensch bleibt die größte Herausforderung für die IT-Sicherheit. Ein umfassendes Sicherheitskonzept muss diesen Faktor berücksichtigen und sowohl technische als auch organisatorische Maßnahmen umfassen. Die Unterscheidung zwischen Cyber- und Vertrauensschadenversicherung ist dabei wesentlich: Während erstere bei technischen Eingriffen ins IT-System greift, deckt letztere Schäden durch Täuschung und Betrug ab.
Als Versicherungsmakler tragen wir eine große Verantwortung gegenüber unseren Kunden. Es liegt an uns, umfassende und maßgeschneiderte Versicherungslösungen zusammenzustellen, die alle Risiken durch den menschlichen Faktor abdecken. Wir müssen die unterschiedlichen Angriffsszenarien und deren Folgen genau verstehen, um die richtigen Empfehlungen für eine Kombination aus Cyber- und Vertrauensschadenversicherungen geben zu können.
Nur wenn wir unsere Kunden lückenlos vor finanziellen Verlusten durch fehlerhafte Mitarbeiterhandlungen, Betrug oder Datenmanipulation schützen, erfüllen wir unseren Auftrag als kompetente Berater. Durch ganzheitliche Risikoanalysen, detaillierte Beratung und die Auswahl der optimalen Versicherungsprodukte stellen wir sicher, dass Unternehmen bestmöglich gegen Cyberkriminalität und Vertrauensschäden gewappnet sind.
Unsere Fachkenntnisse und unser Engagement sind entscheidend, damit Kunden im Schadensfall voll entschädigt werden – unabhängig davon, ob die Ursache ein technischer Eingriff oder menschliches Fehlverhalten war. Als zentrale Anlaufstelle für alle Fragen rund um Cyber- und Vertrauensrisiken tragen wir Versicherungsmakler eine hohe Verantwortung für den bestmöglichen Schutz unserer Kunden.
TEILEN SIE DEN ARTIKEL
Unsere Produkte
D&O
Für Unternehmen, Stiftungen, Vereine, einzelne Personen & D&O mit Strafrechtschutz
CYBER
Für Dienstleister & Gewerbe, Versicherungs-Vermitttler, Produktions-Unternehmen etc.
SPEZIAL STRAF-RECHTSSCHUTZ
Strafrechtsschutz, Manager-Rechtsschutz, Steuerberater & Wirtschaftsprüfer
CRIME
Finanzinstitutionen,
Kommerzielle Kunden
VERMÖGENSSCHADEN-HAFTPFLICHT
Finanzinstitute, Private Equity, Werbung & Medien etc.
Lesen Sie hier weiter
News
Versicherungsmakler als Krisenmanager in der Cyberversicherung
Digitale Bedrohungen stellen Makler und Kunden vor komplexe Herausforderungen, die weit über klassische Versicherungsfragen hinausgehen.
WEITERLESEN
News
Zwischen Bits, Bytes und Versicherungspolice
Als ich sehe, dass eine neue Zero-Day-Lücke in einer gängigen Unternehmenssoftware entdeckt wurde, weiß ich: Heute wird es interessant.
WEITERLESEN
News
Fallstudie: Cyberangriff auf eine Steuerberatungskanzlei
Eine detaillierte Fallstudie, die die Auswirkungen eines Cyberangriffs auf eine Steuerberatungskanzlei in zwei unterschiedlichen Szenarien vergleicht.
WEITERLESEN← ZURÜCK ZUR ÜBERSICHT
INFINCO FINANCIAL
LINES BROKERS
