Abzocke per Anruf – Hacker kapern fremde Telefonanlage für Gespräche ins Ausland
Nachrichten von Hacker-Angriffen auf Server und Datenspeicher großer Unternehmen machen zurzeit regelmäßig die Runde. Besonders der Angriff auf Vodafone, bei dem 2 Millionen Kundendaten kopiert wurden, schlug kürzlich hohe Wellen. Doch auch, wenn viele Attacken auf das Ausspähen und den Diebstahl von Daten abzielen, sollte eines nicht vergessen werden: das gute alte Telefon. Sobald die Anlage nicht auf dem Stand der Technik ist, bieten sich auch hier Angriffsflächen für Cyber-Kriminelle. Eine Erfahrung, die auch ein bei uns versichertes Unternehmen machen musste: Unbekannte kaperten seine Telefonanlage für 500 Anrufe nach Lettland.
exali.de Gründer Ralph Guenther fasst den Fall zusammen und erklärt dabei auch, warum die „Stand der Technik“-Klausel in der IT-Haftpflicht für selbständig und freiberufliche Dienstleister gefährlich werden kann. Zudem zeigt er, warum die Zusatzleistung „Datenschutz- & Cyber-Eigenschaden-Deckung“ bei einem Hacker-Angriff wichtigen Schutz bietet.
Sicherheitslücken dienen Cyber-Kriminellen als Schlupfloch
Klausel „Stand der Technik“ sorgt für Versicherungslücke
Hacker- und Cyber-Deckung: Schutz für Freiberufler
Illegale Geschäfte: Hacker verschaffen sich Zugriff auf Telefonanlage
Die ganze Geschichte des Cyber-Angriffs: Wegen unverhältnismäßig häufiger Gespräche nach Lettland hatte sich der Telefon-Provider bei einem Unternehmen gemeldet und dessen ungewöhnliches Telefonier-Verhalten hinterfragt. Schnell war klar, dass die Telefonate nichts mit geschäftlichen Kontakten der Mitarbeiter zu tun hatten. Hier waren Hacker am Werk, die sich unbefugt Zugriff auf die Telefonanlage verschafft hatten.
Zwei Tage lang führten sie insgesamt 500 Gespräche mit durchschnittlich 20 Minuten. Und das kann horrende Kosten nach sich ziehen: Bei Gebühren zwischen 60 Cent und 6 Euro pro Telefonat (wenn beispielweise ein Call-by-Call-Anbieter zwischengeschaltet wird) summiert sich schnell ein Schaden im fünfstelligen Bereich.
In diesem Fall und dank seines aufmerksamen Providers hatte das Unternehmen sogar noch „Glück“, da der Angriff relativ früh entdeckt wurde. Sonst hätte der Eigenschaden deutlich höher ausfallen können, was oftmals erst die Telefonrechnung ans Licht bringt.
Sicherheitslücken dienen Cyber-Kriminellen als Schlupfloch
Voraussetzung für den Missbrauch durch Kriminelle sind häufig Sicherheitslücken in der Konfiguration der Telefonanlage (heutzutage in der Regel Serverbasiert) oder einfach veraltete Software. Diese regelmäßig zu warten und Software-Updates durchzuführen, gehört häufig zu den Aufgaben eines TK-Dienstleisters – und damit eben auch, die Systeme vor möglichen Hackerangriffen zu schützen.
Ist die Software allerdings nicht auf dem neuesten Stand der Technik, werden die Systeme angreifbar – und damit auch der zuständige Telefon-Provider: Für den dadurch entstandenen Schaden kann der TK-Dienstleister von seinem Kunden in Haftung genommen werden. Auch im geschilderten Fall war der Angriff nur deshalb erfolgreich, weil die Anlagenkonfiguration veraltet war. Sie sollte in Kürze ausgetauscht werden.
Klausel „Stand der Technik“ sorgt für Versicherungslücke
Haftungs- und versicherungstechnisch kann es unangenehme Folgen haben, wenn ein Schaden darauf zurückzuführen ist, dass eine Dienstleistung, Software oder Hardware nicht auf dem neuesten Stand der Technik ist: Einige Versicherer verwenden in den Bedingungen der IT-Haftpflicht die so genannte „Stand der Technik- Klausel“, die für gefährliche Lücken in puncto Versicherungsschutz sorgen kann. Denn: Diese Klausel macht den Versicherungsschutz vom (neuesten) Stand der Technik abhängig.
Das lässt dem Versicherer nicht nur Interpretationsspielraum, sondern kann im Worst Case dafür sorgen, dass der Versicherungsschutz verweigert wird. Vorsicht ist deshalb bei solchen oder ähnlichen Formulierungen in der IT-Haftpflicht geboten:
- „Nicht versichert sind Ansprüche aus Sach- und Vermögensschäden (…) die nicht nach dem Stand der Technik oder in sonstiger Weise ausreichend erprobt waren.“
- „Versicherungsschutz wird nur gewährt für … Schäden, die TROTZ Beachtung des anerkannten Standes der Technik und Methodik, der Einhaltung branchenüblicher Qualitätssicherungsverfahren (insbesondere Test- und Abnahmeverfahren) oder sonst anerkannter Regeln des Software-Engineerings eingetreten sind.“
Übrigens: Nicht nur im Telekommunikationsbereich behalten sich Versicherer durch die „Stand der Technik“-Klausel Rückzugsmöglichkeiten vor. Sie wir auch im E-Banking- und E-Commerce- Bereich angewendet. Hier könnte eine problematische Klausel wie folgt lauten:
- „Nicht versichert sind Ansprüche wegen Schäden im Bereich Zahlungs- oder Abrechnungsverkehr (E-Banking, E-Commerce), die dadurch entstehen, dass Dritte von Außen auf Datenübertragungen in Datennetzen (z.B. Internet) manipulative Eingriffe vornehmen (z.B. Hacker Attacks) und der Versicherungsnehmer wegen fehlender oder nicht dem Stand der Technik entsprechender Sicherheits- oder Verschlüsselungstechnologie (auch Beratung) in Anspruch genommen wird.“
Hacker- und Cyber-Deckung: Schutz vor Schadenersatzforderungen Dritter und vor Eigenschäden
Der Fall zeigt: IT- und Telekommunikationsdienstleistungen bergen ein erhebliches Risiko für Fehler oder Versäumnisse in Haftung genommen und zur Kasse gebeten zu werden (Stichwort: Schadenersatzforderung). Deshalb ist es sinnvoll, eine spezielle Berufshaftpflicht wie die IT-Haftpflicht abzuschließen. Sie springt ein, wenn dem Kunden ein finanzieller Schaden (sog. Vermögensschaden) entsteht – beispielweise weil versäumt wird, (ein wichtiges Sicherheitsupdate durchzuführen und es Hackern deshalb gelingt ins System einzudringen.
Doch auch Eigenschäden im Zusammenhang mit Hackerangriffen, DoS-Attacken, dem Ausspionieren elektronischer Daten oder sonstiger Internet-Kriminalität (Cybercrime) durch unbefugte sollten IT- und TK-Dienstleister auf dem Schirm haben. Ein Risiko, dass durch die optional zur IT-Haftpflicht gewählte Leistungserweiterung Datenschutz- & Cyber-Eigenschaden-Deckung abgedeckt werden kann.
Der Zusatzbaustein versichert Eigenschäden im Zusammenhang mit der Wiederherstellung der IT-Systeme, der Beauftragung professioneller externer Computer-Forensik-Analysten oder spezialisierter Anwälte (inkl. strafrechtlicher Verteidigung) sowie der Beauftragung von Experten für Krisenmanagement & PR. Zudem deckt er die Mehrkosten zur schnellen Beseitigung oder Vermeidung einer Unterbrechung im Business ab.
Weiterführende Informationen
- Datendiebstahl: Eigenschäden durch Hackerangriffe und Cyberkriminalität abdecken - Interview
- Hacker knacken WordPress CMS: Freiberufler wird für unrechtmäßig hochgeladene Bilder zur Kasse gebeten
- Personen-, Sach- und Vermögensschäden: Ein Überblick zur IT-Haftpflicht
© Nele Totzke – exali AG