Cyber­ri­siko: Ver­si­che­rungs­schutz bei Mail-Spoofing?

In ver­schie­denen Haus­rat­ver­si­che­rungen besteht Ver­si­che­rungs­schutz für Schäden durch Phis­hing, zum Teil auch für andere Formen des Online­be­trugs (z.B. Phar­ming). Nicht ver­si­chert sind aller­dings Schäden infolge von Spoof Mails, wenn diese nicht im Ein­zel­fall benutzt werden, um damit Phis­hing zu betreiben.

Was ist Mail-Spoofing?

Beim Spoo­fing ver­sucht ein Absender einen Dritten dadurch zu täu­schen, indem er sich selbst als Absender einer Mail­adresse oder Domain aus­gibt, die ihm nicht gehört. Wenn ein Betrof­fener also die Mail­adresse Vorname@​Domain.​de besitzt, kann es pas­sieren, dass ein Dritter sich diese Domain kapert und in diesem Namen eigene Mails versendet.

© 2021 Cri­tical News — Gehen die Lichter bald aus?

Solche Spoof-Mails, die in fremdem Namen ver­sandt werden, können dazu führen, dass eine Domain auf einer Black­list landet. Als Folge kann es pas­sieren, dass der Ver­sand von Mails gestört wird. Eine typi­sche Feh­ler­mel­dung lautet etwa

„Refused by local policy. No SPAM please!“

In der Praxis kann es auch pas­sieren, dass eine Mail den Link auf eine URL beinhaltet, die nur fälsch­lich als Spam klas­si­fi­ziert wurde. Dabei spielt es keine Rolle ob eine Domain privat oder gewerb­lich genutzt wird. Es kann aber dazu führen, dass auf­grund von Mail-Spoo­fing auch andere Domains der glei­chen Person betroffen werden, sofern die jewei­ligen IP-Adressen durch den glei­chen Nutzer mit­ein­ander ver­bunden sind. Um her­aus­zu­finden, wes­halb eine eigene Domain auf einer Black­list steht, ist oft nicht ohne wei­teres möglich.

Was ist eine Blacklist?

Eine Black­list („Schwarze Liste“) ist eine Samm­lung von E‑Mail-Adressen, Domains sowie IP-Adressen, die tat­säch­lich oder ver­meint­lich als Spam auf­ge­fallen sind. Die Wiki­pedia schreibt dazu:

„Passt eine E‑Mail zu einem der auf­ge­lis­teten Daten­sätze in der Black­list, kann sie beim Emp­fang spe­ziell behan­delt werden. Das kann Ableh­nung, Ver­zö­ge­rung, Löschung oder Kenn­zeich­nung als Spam (ver­gleiche auch Spam­filter und Grey­lis­ting) sein. Schwarze Listen können dabei lokal geführt werden oder aber auf zen­tralen Ser­vern als soge­nannte Real­time Black­hole List (RBL). Abhängig vom Ein­satz­zweck wird mit­unter auch eine Kom­bi­na­tion beider Arten ver­wendet.“[1]

Eine Mög­lich­keit zu prüfen, ob die eigene Domain auf einer Black­list steht, bietet die Web­site https://​mxt​oolbox​.com/​b​l​a​c​k​l​i​s​t​s​.​a​spx. Gibt jemand die eigene Domain an, bietet die Seite Infor­ma­tionen dazu, ob man auf der Black­list steht und aus wel­chem Grund.

Löschen aus der Black­list nur durch den Provider

Wer fest­stellt, dass eigene Domains auf einer Black­list stehen, sollte sich an seinen Mail­pro­vider (z.B. Host Europe, Strato) wenden und diesen um Hilfe bitten.

© 2021 Cri­tical News — Ein­träge in einer Blacklist

Um vor­bei­ge­hend zu ver­meiden, dass eigene Mails nicht abge­lehnt oder als Spam ange­sehen werden, sollte man zunächst einen SPF Record für die eigenen Domains anlegen. Anschlie­ßend ist beim Pro­vider ein so genannter DMARC-Record anzu­legen. Dabei steht DMARC für „Domain-based Mes­sage Authen­ti­fi­ca­tion, Repor­ting and Con­for­mance”. Beim Anlegen ist sicher zu stellen, dass sich zeit­gleich kein Dritter auf der eigenen Mail­adresse ein­ge­loggt hat. Die durch den DMARC-Record ver­ur­sachten Ände­rungen können bis zu 24 Stunden Zeit in Anspruch nehmen. Sie stellen so genannte DNS-Ände­rungen dar, wobei DNS für „Domain Name System“ besteht.

Mit­unter werden Ände­rungen des DNS-Ein­trags auch dazu benutzt, um Phar­ming zu betreiben. Bei dieser Betrugs­me­thode ver­sucht der Täter einen Dritten durch eine Umlei­tung des Inter­net­nut­zers auf gefälscht Web­seiten umzu­leiten. Dies dient dann dazu, ver­trau­liche Zugangs- und Iden­ti­fi­ka­ti­ons­daten abzugreifen.

Ver­si­che­rungs­schutz vorhanden?

Immer mehr Anbieter werben mit einem Cyber­bau­stein in ihren pri­vaten Ver­si­che­rungs­ta­rifen. Mit­unter ist ein gewisser Ver­si­che­rungs­schutz bereits in der Grund­de­ckung ver­schie­dener Haus­rat­an­ge­bote ent­halten. Bei­spiel­haft einen tarif­ab­hän­gigen Schutz für im ent­spre­chend benannte Cyber­ge­fahren für Pri­vat­kunden bieten z. B. Die Baye­ri­sche (Hausrat Fle­xibel Pres­tige Plus: nur Phis­hing), Inter­Risk (B 28 XXL: nur Phis­hing), Janitos (Best Selec­tion mit Janitos Online-Schutz: Iden­ti­täts­dieb­stahl, Phar­ming, Phis­hing), Kon­zept & Mar­ke­ting (Haus­rat­ver­si­che­rung all­safe home 2.0 per­fect: Phis­hing und Phar­ming) oder VHV (Klassik-Garant mit Bau­steinen Exklusiv sowie Best-Leis­tungs-Garantie: nur Phishing).

Im Detail sind die kon­kreten Oblie­gen­heiten und Bestim­mungen zum jewei­ligen Ver­si­che­rungs­schutz zu beachten.

Eine recht weit­ge­hende For­mu­lie­rung findet sich bei der Janitos:

„14.4. Iden­ti­täts­da­ten­dieb­stahl

(1) Ver­si­chert sind die unter (2) erfassten Leis­tungs­an­sprüche im Fall von Identitätsdatendiebstahl.

Iden­ti­täts­da­ten­dieb­stahl ist das unbe­fugte unbe­rech­tigte Abfangen oder Aus­spähen von Iden­ti­täts­daten / Berech­ti­gungs­daten im Internet, sowie die miss­bräuch­liche Ver­wen­dung einer fremden Iden­tität im Internet.

Iden­ti­täts­daten / Berech­ti­gungs­daten sind alle Angaben mit per­sön­li­chem Bezug z. B. Benut­zer­name, Anmel­de­daten, Pass­wörter, IPAdresse, E‑Mail-Adresse, IBAN, Sozi­al­ver­si­che­rungs­nummer, Per­so­nal­aus­weis­nummer, Rei­se­pass­nummer, Füh­rer­schein­nummer, Fahr­zeug­schein oder Regis­trie­rungs­nummer eines Fahr­zeugs, Bank­ver­bin­dung und Fingerabdrücke.

(2) Der Leis­tungs­an­spruch umfasst die Ver­mitt­lung fol­gender Leis­tungen durch einen vom Ver­si­cherer zu ver­mit­telnden und zu bezah­lenden Provider:

Gezielte und indi­vi­du­elle Suche nach den ent­wen­deten Daten der ver­si­cherten Person im Internet und Erstel­lung eines Reports mit Handlungsempfehlungen;

Ermitt­lung des Web­sei­ten­be­trei­bers, bei dem die jeweils gestoh­lenen Daten gelistet und mög­li­cher­weise gehan­delt werden;

Ver­an­lassen der Ent­fer­nung durch einen mehr­stu­figer Löschungs- /Änderungsauftrag bzgl. der ent­wen­deten Daten im Internet;

Auf­trag zur Löschung der Such­vor­schläge (Neu­in­de­xie­rungs­auf­trag) an Google nach Ver­an­lassen der Ent­fer­nung eines Ein­trags von Iden­ti­täts­daten der ver­si­cherten Person;

Erstel­lung eines Abschluss­be­richts zu den Erfolgen oder Miss­erfolgen der erfolgten Maßnahmen.

Ein ent­spre­chender Ver­trag bezüg­lich der vor­ge­nannten ver­si­cherten Leis­tungen kommt zwi­schen dem Ver­si­che­rungs­nehmer und dem durch den Ver­si­cherer ver­mit­telten Dienst­leis­tungs­er­bringer zustande.

Somit beschränkt sich die Haf­tung des Ver­si­che­rers auf ein Organisations‑, Aus­wahl- und Überwachungsverschulden.

(3) Umfang des Leistungsanspruchs:

Der Ver­si­che­rungs­schutz erstreckt sich höchs­tens auf drei Fälle im Kalenderjahr.

Der Leis­tungs­an­spruch ist auf den Höchst­be­trag von EUR 5.000 für ver­si­cherte Leis­tungen im Kalen­der­jahr begrenzt.

(4) Der Leis­tungs­an­spruch ent­steht bei einem begrün­deten und nach­weis­ba­reren Ver­dacht der ver­si­cherten Person.

(5) Nicht ver­si­chert sind Fälle des Identitätsdatendiebstahls

durch eine Person, die im glei­chen Haus­halt des Ver­si­che­rungs­neh­mers lebt und am Haupt­wohn­sitz des Ver­si­che­rungs­neh­mers gemeldet ist;

betref­fend alle aus dem Iden­ti­täts­da­ten­dieb­stahl ent­ste­henden Schäden, die nicht im Leis­tungs­um­fang ent­halten sind sowie Folgeschäden;

die durch eine ver­si­cherte Person ver­ur­sacht wurden.

Auf die sons­tigen Aus­schluss­gründe unter Nr. 14.10. wird verwiesen.“

Der Ver­si­che­rungs­schutz würde nach dem Wort­laut der Bedin­gungen bis zu 5.000 Euro auch für Schäden durch Mail-Spoo­fing umfassen. Immerhin geht es hier um die miss­bräuch­liche Ver­wen­dung der eigenen Iden­tität im Internet. Sofern der kon­krete Schaden sich aus­schließ­lich auf den Ein­trag einer oder meh­rerer pri­vater Mails in eine Black­list beziehen sollte, dürfte Janitos bei ver­stän­diger Aus­le­gung der Bedin­gungen höchs­tens den ent­spre­chenden Zeit­auf­wand für die Löschung des Black­list-Ein­trags beinhalten. Inwie­fern Janitos hier den Min­dest­lohn oder eine andere Bemes­sung für den Schaden berück­sich­tigt, geht aus den Bedin­gungen nicht hervor.

Wäh­rend pri­vate Cyber­de­ckungen oft nur eine mehr oder minder umfang­reiche Aus­schnitts­de­ckung bieten, gewähren spe­zia­li­sierte Anbieter auch Ver­si­che­rungs­schutz für Gewer­be­trei­bende und Frei­be­rufler. Bei­spiel­haft ist Hiscox zu benennen, wo sich eben vielen anderen Berufen etwa Blogger oder Jour­na­listen ver­si­chern lassen oder der Anbieter Beazley, der auch Ver­si­che­rungs­schutz für Makler und andere Finanz­dienst­leister bietet.

Hiscox berichtet in seinem „Hiscox Cyber Rea­di­ness Report 2020“ von einem deut­li­chen Rück­gang der Cyber­at­ta­cken auf befragte deut­sche Unter­nehmen von 61 Pro­zent im Jahre 2019 auf nur noch 41 Pro­zent im Jahre 2020. Begründet wird dies mit ent­spre­chend ergrif­fenen Gegen­maß­nahmen. Wäh­rend die abso­lute Zahl der berich­teten Cyber­at­ta­cken auch welt­weit deut­lich zurück­ge­gangen sei, seien die durch­schnitt­li­chen Kosten je Schaden auch inter­na­tional stark gestiegen, in Deutsch­land von 9.000 Euro im Mittel im Jahre 2019 auf 72.000 Euro im Jahre 2020. Der höchste für Deutsch­land berich­tete Scha­den­fall habe im Jahre 2020 ins­ge­samt 6,2 Mil­lionen Euro betragen[2].

Quelle: https://​www​.hiscox​.de/​c​y​b​e​r​-​r​e​a​d​i​n​e​s​s​-​r​e​p​o​r​t​-​2​0​20/

Als häu­figste Ursa­chen für Cyber-Zwi­schen­fälle in Deutsch­land werden Phis­hing (44 Pro­zent), Schad­pro­gramme (43 Pro­zent) sowie Schwach­stellen auf der Unter­neh­mens­web­site (34 Pro­zent) ange­geben. Als Top-3-Ursa­chen für Cyber-Schäden ange­geben werden von Hiscox in ihrem Report Schad­pro­gramme (27 Pro­zent), unbe­fugter Zugriff auf Unter­neh­mens E‑Mails (20 Pro­zent) sowie Ran­som­ware (20 Pro­zent) [3].

„Ursache Nr. 1 der Cyber-Zwi­schen­fälle resul­tiert ver­gleichs­weise selten in kon­kretem Scha­den­fall: Phis­hing landet mit 17% auf Platz 8. (DE: 15% Data Dest­ruc­tion, 20% Data exfil­tra­tion)“ [4]

In Deutsch­land ver­fügten im Jahre 2020 nur 24 Pro­zent der befragten Firmen über eine eigene Cyber-Ver­si­che­rung.[5] Es gibt also durchaus Poten­tial für eine ent­spre­chende Kundenansprache.


[1] „Schwarze Liste“ auf „wiki​pedia​.de“. Auf­zu­rufen unter https://​de​.wiki​pedia​.org/​w​i​k​i​/​S​c​h​w​a​r​z​e​_​L​i​s​t​e​#​S​c​h​w​a​r​z​e​_​L​i​s​t​e​n​_​i​m​_​K​o​m​m​u​n​i​k​a​t​i​o​n​s​b​e​r​e​ich, zuletzt auf­ge­rufen am 18.03.2021.

[2] „HISCOX CYBER READINESS REPORT 2020“, S. 2–3, auf­zu­rufen unter https://​www​.hiscox​.de/​w​p​-​c​o​n​t​e​n​t​/​u​p​l​o​a​d​s​/​2​0​2​0​/​0​6​/​H​i​s​c​o​x​-​C​y​b​e​r​-​R​e​a​d​i​n​e​s​s​-​R​e​p​o​r​t​-​2​0​2​0​_​K​e​y​-​F​i​n​d​i​n​g​s​.​pdf, zuletzt auf­ge­rufen am 15.04.2021

[3] „HISCOX CYBER READINESS REPORT 2020“, S. 4, auf­zu­rufen unter https://​www​.hiscox​.de/​w​p​-​c​o​n​t​e​n​t​/​u​p​l​o​a​d​s​/​2​0​2​0​/​0​6​/​H​i​s​c​o​x​-​C​y​b​e​r​-​R​e​a​d​i​n​e​s​s​-​R​e​p​o​r​t​-​2​0​2​0​_​K​e​y​-​F​i​n​d​i​n​g​s​.​pdf, zuletzt auf­ge­rufen am 15.04.2021

[4] „HISCOX CYBER READINESS REPORT 2020“, S. 4, auf­zu­rufen unter https://​www​.hiscox​.de/​w​p​-​c​o​n​t​e​n​t​/​u​p​l​o​a​d​s​/​2​0​2​0​/​0​6​/​H​i​s​c​o​x​-​C​y​b​e​r​-​R​e​a​d​i​n​e​s​s​-​R​e​p​o​r​t​-​2​0​2​0​_​K​e​y​-​F​i​n​d​i​n​g​s​.​pdf, zuletzt auf­ge­rufen am 15.04.2021

[5] „HISCOX CYBER READINESS REPORT 2020“, S. 10, auf­zu­rufen unter https://​www​.hiscox​.de/​w​p​-​c​o​n​t​e​n​t​/​u​p​l​o​a​d​s​/​2​0​2​0​/​0​6​/​H​i​s​c​o​x​-​C​y​b​e​r​-​R​e​a​d​i​n​e​s​s​-​R​e​p​o​r​t​-​2​0​2​0​_​K​e​y​-​F​i​n​d​i​n​g​s​.​pdf, zuletzt auf­ge­rufen am 15.04.2021

Abonnieren
Benachrichtige mich bei
guest
0 Comments
Interne Rückmeldungen
Alle Kommentare anzeigen