Cyber­ri­si­ko: Ver­si­che­rungs­schutz bei Mail-Spoofing?

In ver­schie­de­nen Haus­rat­ver­si­che­run­gen besteht Ver­si­che­rungs­schutz für Schä­den durch Phis­hing, zum Teil auch für ande­re For­men des Online­be­trugs (z.B. Phar­ming). Nicht ver­si­chert sind aller­dings Schä­den infol­ge von Spoof Mails, wenn die­se nicht im Ein­zel­fall benutzt wer­den, um damit Phis­hing zu betreiben.

Was ist Mail-Spoofing?

Beim Spoo­fing ver­sucht ein Absen­der einen Drit­ten dadurch zu täu­schen, indem er sich selbst als Absen­der einer Mail­adres­se oder Domain aus­gibt, die ihm nicht gehört. Wenn ein Betrof­fe­ner also die Mail­adres­se Vorname@​Domain.​de besitzt, kann es pas­sie­ren, dass ein Drit­ter sich die­se Domain kapert und in die­sem Namen eige­ne Mails versendet.

Sol­che Spoof-Mails, die in frem­dem Namen ver­sandt wer­den, kön­nen dazu füh­ren, dass eine Domain auf einer Black­list lan­det. Als Fol­ge kann es pas­sie­ren, dass der Ver­sand von Mails gestört wird. Eine typi­sche Feh­ler­mel­dung lau­tet etwa

„Refu­sed by local poli­cy. No SPAM please!“

In der Pra­xis kann es auch pas­sie­ren, dass eine Mail den Link auf eine URL beinhal­tet, die nur fälsch­lich als Spam klas­si­fi­ziert wur­de. Dabei spielt es kei­ne Rol­le ob eine Domain pri­vat oder gewerb­lich genutzt wird. Es kann aber dazu füh­ren, dass auf­grund von Mail-Spoo­fing auch ande­re Domains der glei­chen Per­son betrof­fen wer­den, sofern die jewei­li­gen IP-Adres­sen durch den glei­chen Nut­zer mit­ein­an­der ver­bun­den sind. Um her­aus­zu­fin­den, wes­halb eine eige­ne Domain auf einer Black­list steht, ist oft nicht ohne wei­te­res möglich.

Was ist eine Blacklist?

Eine Black­list („Schwar­ze Lis­te“) ist eine Samm­lung von E‑Mail-Adres­sen, Domains sowie IP-Adres­sen, die tat­säch­lich oder ver­meint­lich als Spam auf­ge­fal­len sind. Die Wiki­pe­dia schreibt dazu:

„Passt eine E‑Mail zu einem der auf­ge­lis­te­ten Daten­sät­ze in der Black­list, kann sie beim Emp­fang spe­zi­ell behan­delt wer­den. Das kann Ableh­nung, Ver­zö­ge­rung, Löschung oder Kenn­zeich­nung als Spam (ver­glei­che auch Spam­fil­ter und Grey­lis­ting) sein. Schwar­ze Lis­ten kön­nen dabei lokal geführt wer­den oder aber auf zen­tra­len Ser­vern als soge­nann­te Real­time Black­ho­le List (RBL). Abhän­gig vom Ein­satz­zweck wird mit­un­ter auch eine Kom­bi­na­ti­on bei­der Arten ver­wen­det.“^[1]

Eine Mög­lich­keit zu prü­fen, ob die eige­ne Domain auf einer Black­list steht, bie­tet die Web­site https://​mxtool​box​.com/​b​l​a​c​k​l​i​s​t​s​.​a​spx. Gibt jemand die eige­ne Domain an, bie­tet die Sei­te Infor­ma­tio­nen dazu, ob man auf der Black­list steht und aus wel­chem Grund.

Löschen aus der Black­list nur durch den Provider

Wer fest­stellt, dass eige­ne Domains auf einer Black­list ste­hen, soll­te sich an sei­nen Mail­pro­vi­der (z.B. Host Euro­pe, Stra­to) wen­den und die­sen um Hil­fe bitten.

Um vor­bei­ge­hend zu ver­mei­den, dass eige­ne Mails nicht abge­lehnt oder als Spam ange­se­hen wer­den, soll­te man zunächst einen SPF Record für die eige­nen Domains anle­gen. Anschlie­ßend ist beim Pro­vi­der ein so genann­ter DMARC-Record anzu­le­gen. Dabei steht DMARC für „Domain-based Mes­sa­ge Authen­ti­fi­ca­ti­on, Report­ing and Con­for­mance”. Beim Anle­gen ist sicher zu stel­len, dass sich zeit­gleich kein Drit­ter auf der eige­nen Mail­adres­se ein­ge­loggt hat. Die durch den DMARC-Record ver­ur­sach­ten Ände­run­gen kön­nen bis zu 24 Stun­den Zeit in Anspruch neh­men. Sie stel­len so genann­te DNS-Ände­run­gen dar, wobei DNS für „Domain Name Sys­tem“ besteht.

Mit­un­ter wer­den Ände­run­gen des DNS-Ein­trags auch dazu benutzt, um Phar­ming zu betrei­ben. Bei die­ser Betrugs­me­tho­de ver­sucht der Täter einen Drit­ten durch eine Umlei­tung des Inter­net­nut­zers auf gefälscht Web­sei­ten umzu­lei­ten. Dies dient dann dazu, ver­trau­li­che Zugangs- und Iden­ti­fi­ka­ti­ons­da­ten abzugreifen.

Ver­si­che­rungs­schutz vorhanden?

Immer mehr Anbie­ter wer­ben mit einem Cyber­bau­stein in ihren pri­va­ten Ver­si­che­rungs­ta­ri­fen. Mit­un­ter ist ein gewis­ser Ver­si­che­rungs­schutz bereits in der Grund­de­ckung ver­schie­de­ner Haus­ra­t­an­ge­bo­te ent­hal­ten. Bei­spiel­haft einen tarif­ab­hän­gi­gen Schutz für im ent­spre­chend benann­te Cyber­ge­fah­ren für Pri­vat­kun­den bie­ten z. B. Die Baye­ri­sche (Haus­rat Fle­xi­bel Pres­ti­ge Plus: nur Phis­hing), Inter­Risk (B 28 XXL: nur Phis­hing), Jani­tos (Best Sel­ec­tion mit Jani­tos Online-Schutz: Iden­ti­täts­dieb­stahl, Phar­ming, Phis­hing), Kon­zept & Mar­ke­ting (Haus­rat­ver­si­che­rung all­safe home 2.0 per­fect: Phis­hing und Phar­ming) oder VHV (Klas­sik-Garant mit Bau­stei­nen Exklu­siv sowie Best-Leis­tungs-Garan­tie: nur Phishing).

Im Detail sind die kon­kre­ten Oblie­gen­hei­ten und Bestim­mun­gen zum jewei­li­gen Ver­si­che­rungs­schutz zu beachten.

Eine recht weit­ge­hen­de For­mu­lie­rung fin­det sich bei der Jani­tos:

„14.4. Iden­ti­täts­da­ten­dieb­stahl

(1) Ver­si­chert sind die unter (2) erfass­ten Leis­tungs­an­sprü­che im Fall von Identitätsdatendiebstahl.

Iden­ti­täts­da­ten­dieb­stahl ist das unbe­fug­te unbe­rech­tig­te Abfan­gen oder Aus­spä­hen von Iden­ti­täts­da­ten / Berech­ti­gungs­da­ten im Inter­net, sowie die miss­bräuch­li­che Ver­wen­dung einer frem­den Iden­ti­tät im Internet.

Iden­ti­täts­da­ten / Berech­ti­gungs­da­ten sind alle Anga­ben mit per­sön­li­chem Bezug z. B. Benut­zer­na­me, Anmel­de­da­ten, Pass­wör­ter, IPAdres­se, E‑Mail-Adres­se, IBAN, Sozi­al­ver­si­che­rungs­num­mer, Per­so­nal­aus­weis­num­mer, Rei­se­pass­num­mer, Füh­rer­schein­num­mer, Fahr­zeug­schein oder Regis­trie­rungs­num­mer eines Fahr­zeugs, Bank­ver­bin­dung und Fingerabdrücke.

(2) Der Leis­tungs­an­spruch umfasst die Ver­mitt­lung fol­gen­der Leis­tun­gen durch einen vom Ver­si­che­rer zu ver­mit­teln­den und zu bezah­len­den Provider:

• Geziel­te und indi­vi­du­el­le Suche nach den ent­wen­de­ten Daten der ver­si­cher­ten Per­son im Inter­net und Erstel­lung eines Reports mit Handlungsempfehlungen;

• Ermitt­lung des Web­sei­ten­be­trei­bers, bei dem die jeweils gestoh­le­nen Daten gelis­tet und mög­li­cher­wei­se gehan­delt werden;

• Ver­an­las­sen der Ent­fer­nung durch einen mehr­stu­fi­ger Löschungs- /Änderungsauftrag bzgl. der ent­wen­de­ten Daten im Internet;

• Auf­trag zur Löschung der Such­vor­schlä­ge (Neu­in­de­xie­rungs­auf­trag) an Goog­le nach Ver­an­las­sen der Ent­fer­nung eines Ein­trags von Iden­ti­täts­da­ten der ver­si­cher­ten Person;

• Erstel­lung eines Abschluss­be­richts zu den Erfol­gen oder Miss­erfol­gen der erfolg­ten Maßnahmen.

Ein ent­spre­chen­der Ver­trag bezüg­lich der vor­ge­nann­ten ver­si­cher­ten Leis­tun­gen kommt zwi­schen dem Ver­si­che­rungs­neh­mer und dem durch den Ver­si­che­rer ver­mit­tel­ten Dienst­leis­tungs­er­brin­ger zustande.

Somit beschränkt sich die Haf­tung des Ver­si­che­rers auf ein Organisations‑, Aus­wahl- und Überwachungsverschulden.

(3) Umfang des Leistungsanspruchs:

Der Ver­si­che­rungs­schutz erstreckt sich höchs­tens auf drei Fäl­le im Kalenderjahr.

Der Leis­tungs­an­spruch ist auf den Höchst­be­trag von EUR 5.000 für ver­si­cher­te Leis­tun­gen im Kalen­der­jahr begrenzt.

(4) Der Leis­tungs­an­spruch ent­steht bei einem begrün­de­ten und nach­weis­ba­re­ren Ver­dacht der ver­si­cher­ten Person.

(5) Nicht ver­si­chert sind Fäl­le des Identitätsdatendiebstahls

• durch eine Per­son, die im glei­chen Haus­halt des Ver­si­che­rungs­neh­mers lebt und am Haupt­wohn­sitz des Ver­si­che­rungs­neh­mers gemel­det ist;

• betref­fend alle aus dem Iden­ti­täts­da­ten­dieb­stahl ent­ste­hen­den Schä­den, die nicht im Leis­tungs­um­fang ent­hal­ten sind sowie Folgeschäden;

• die durch eine ver­si­cher­te Per­son ver­ur­sacht wurden.

Auf die sons­ti­gen Aus­schluss­grün­de unter Nr. 14.10. wird verwiesen.“

Der Ver­si­che­rungs­schutz wür­de nach dem Wort­laut der Bedin­gun­gen bis zu 5.000 Euro auch für Schä­den durch Mail-Spoo­fing umfas­sen. Immer­hin geht es hier um die miss­bräuch­li­che Ver­wen­dung der eige­nen Iden­ti­tät im Inter­net. Sofern der kon­kre­te Scha­den sich aus­schließ­lich auf den Ein­trag einer oder meh­re­rer pri­va­ter Mails in eine Black­list bezie­hen soll­te, dürf­te Jani­tos bei ver­stän­di­ger Aus­le­gung der Bedin­gun­gen höchs­tens den ent­spre­chen­den Zeit­auf­wand für die Löschung des Black­list-Ein­trags beinhal­ten. Inwie­fern Jani­tos hier den Min­dest­lohn oder eine ande­re Bemes­sung für den Scha­den berück­sich­tigt, geht aus den Bedin­gun­gen nicht hervor.

Wäh­rend pri­va­te Cyber­de­ckun­gen oft nur eine mehr oder min­der umfang­rei­che Aus­schnitts­de­ckung bie­ten, gewäh­ren spe­zia­li­sier­te Anbie­ter auch Ver­si­che­rungs­schutz für Gewer­be­trei­ben­de und Frei­be­ruf­ler. Bei­spiel­haft ist His­cox zu benen­nen, wo sich eben vie­len ande­ren Beru­fen etwa Blog­ger oder Jour­na­lis­ten ver­si­chern las­sen oder der Anbie­ter Beaz­ley, der auch Ver­si­che­rungs­schutz für Mak­ler und ande­re Finanz­dienst­leis­ter bietet.

His­cox berich­tet in sei­nem „His­cox Cyber Rea­di­ness Report 2020“ von einem deut­li­chen Rück­gang der Cyber­at­ta­cken auf befrag­te deut­sche Unter­neh­men von 61 Pro­zent im Jah­re 2019 auf nur noch 41 Pro­zent im Jah­re 2020. Begrün­det wird dies mit ent­spre­chend ergrif­fe­nen Gegen­maß­nah­men. Wäh­rend die abso­lu­te Zahl der berich­te­ten Cyber­at­ta­cken auch welt­weit deut­lich zurück­ge­gan­gen sei, sei­en die durch­schnitt­li­chen Kos­ten je Scha­den auch inter­na­tio­nal stark gestie­gen, in Deutsch­land von 9.000 Euro im Mit­tel im Jah­re 2019 auf 72.000 Euro im Jah­re 2020. Der höchs­te für Deutsch­land berich­te­te Scha­den­fall habe im Jah­re 2020 ins­ge­samt 6,2 Mil­lio­nen Euro betra­gen^[2].

Als häu­figs­te Ursa­chen für Cyber-Zwi­schen­fäl­le in Deutsch­land wer­den Phis­hing (44 Pro­zent), Schad­pro­gram­me (43 Pro­zent) sowie Schwach­stel­len auf der Unter­neh­mens­web­site (34 Pro­zent) ange­ge­ben. Als Top-3-Ursa­chen für Cyber-Schä­den ange­ge­ben wer­den von His­cox in ihrem Report Schad­pro­gram­me (27 Pro­zent), unbe­fug­ter Zugriff auf Unter­neh­mens E‑Mails (20 Pro­zent) sowie Ran­som­wa­re (20 Pro­zent) ^[3].

„Ursa­che Nr. 1 der Cyber-Zwi­schen­fäl­le resul­tiert ver­gleichs­wei­se sel­ten in kon­kre­tem Scha­den­fall: Phis­hing lan­det mit 17% auf Platz 8. (DE: 15% Data Des­truc­tion, 20% Data exfil­tra­ti­on)“ ^[4]

In Deutsch­land ver­füg­ten im Jah­re 2020 nur 24 Pro­zent der befrag­ten Fir­men über eine eige­ne Cyber-Ver­si­che­rung.^[5] Es gibt also durch­aus Poten­ti­al für eine ent­spre­chen­de Kundenansprache.

[1] „Schwar­ze Lis­te“ auf „wiki​pe​dia​.de“. Auf­zu­ru­fen unter https://​de​.wiki​pe​dia​.org/​w​i​k​i​/​S​c​h​w​a​r​z​e​_​L​i​s​t​e​#​S​c​h​w​a​r​z​e​_​L​i​s​t​e​n​_​i​m​_​K​o​m​m​u​n​i​k​a​t​i​o​n​s​b​e​r​e​ich, zuletzt auf­ge­ru­fen am 18.03.2021.

[2] „HISCOX CYBER READINESS REPORT 2020“, S. 2 – 3, auf­zu­ru­fen unter https://​www​.his​cox​.de/​w​p​-​c​o​n​t​e​n​t​/​u​p​l​o​a​d​s​/​2​0​2​0​/​0​6​/​H​i​s​c​o​x​-​C​y​b​e​r​-​R​e​a​d​i​n​e​s​s​-​R​e​p​o​r​t​-​2​0​2​0​_​K​e​y​-​F​i​n​d​i​n​g​s​.​pdf, zuletzt auf­ge­ru­fen am 15.04.2021

[3] „HISCOX CYBER READINESS REPORT 2020“, S. 4, auf­zu­ru­fen unter https://​www​.his​cox​.de/​w​p​-​c​o​n​t​e​n​t​/​u​p​l​o​a​d​s​/​2​0​2​0​/​0​6​/​H​i​s​c​o​x​-​C​y​b​e​r​-​R​e​a​d​i​n​e​s​s​-​R​e​p​o​r​t​-​2​0​2​0​_​K​e​y​-​F​i​n​d​i​n​g​s​.​pdf, zuletzt auf­ge­ru­fen am 15.04.2021

[4] „HISCOX CYBER READINESS REPORT 2020“, S. 4, auf­zu­ru­fen unter https://​www​.his​cox​.de/​w​p​-​c​o​n​t​e​n​t​/​u​p​l​o​a​d​s​/​2​0​2​0​/​0​6​/​H​i​s​c​o​x​-​C​y​b​e​r​-​R​e​a​d​i​n​e​s​s​-​R​e​p​o​r​t​-​2​0​2​0​_​K​e​y​-​F​i​n​d​i​n​g​s​.​pdf, zuletzt auf­ge­ru­fen am 15.04.2021

[5] „HISCOX CYBER READINESS REPORT 2020“, S. 10, auf­zu­ru­fen unter https://​www​.his​cox​.de/​w​p​-​c​o​n​t​e​n​t​/​u​p​l​o​a​d​s​/​2​0​2​0​/​0​6​/​H​i​s​c​o​x​-​C​y​b​e​r​-​R​e​a​d​i​n​e​s​s​-​R​e​p​o​r​t​-​2​0​2​0​_​K​e​y​-​F​i​n​d​i​n​g​s​.​pdf, zuletzt auf­ge­ru­fen am 15.04.2021