Die Wirtschaftskriminalität in der Schweiz hat im Vorjahr – gemessen an der Anzahl der Fälle – stark zugenommen. Gemäss der neuesten Ausgabe des „KPMG Forensic Fraud Barometer“ waren Finanzinstitute besonders betroffen.
Deutlich zugenommen hat die Cyberkriminalität. Sämtliche, den Versicherungen zugänglich gemachten Personendaten sollten gemäss den Bestimmungen des Datenschutzgesetzes behandelt und durch angemessene technische Massnahmen gegen unbefugtes Bearbeiten geschützt werden. Sollten trotzdem Daten während der Übermittlung verloren, beschädigt oder verändert oder sogar Missbrauch damit betrieben werden, lehnen Versicherungsgesellschaften wie auch Versicherungsvermittler in ihren AGB’s eine Verantwortung ab. In Anbetracht der möglichen gravierenden Konsequenzen des Missbrauches dieser hochsensiblen Daten stellt sich die Frage, wie der Versicherungsnehmer diesem fehlenden Datenschutz begegnen kann.
Kann der Versicherungsbroker oder die Versicherungsgesellschaft eine Sicherheitslücke darstellen?
Sicherheitslücke ist ein sehr drastischer Begriff. Versicherer und Versicherungs-Broker hatten ja schon immer mit sehr sensiblen Daten zu tun und hatten diese schon immer zu schützen. Damit könnten sie lohnende Ziele für Cyber-Kriminalität und Angriffe sein. Daher stehen sie in der Pflicht, die bei ihnen vorhandenen Daten gut abzusichern, damit sie keine Sicherheitslücken bieten. Bei inex24 haben wir viel Zeit und Geld in die Konzeption, Entwicklung und Umsetzung unseres IT-Sicherheitskonzepts investiert und haben dies auch zertifizieren lassen. Unser Sicherheitskonzept wird regelmäßig überprüft, so dass wir unseren Kunden maximale Sicherheit gewährleisten können.
Mit inex24 ist es nicht mehr nötig, Daten über E-Mail zu versenden, die ja in der virtuellen Welt einer Postkarte entspricht, weil sie so einfach abgefangen werden kann. Persönlich gehe ich davon aus, dass es vielen noch nicht genügend bewusst ist, dass ein Angriff auf Daten während der Übertragung zwischen den Marktteilnehmern beziehungsweise Dienstleistern lohnender ist als ein Angriff auf die beim Unternehmen gespeicherten Daten. Zwar gibt es verschlüsselte Mails, diese sind jedoch sehr unpraktisch in der Handhabung und werden in 90% der Fälle nicht genutzt.
Wie kann der Versicherungsnehmer, der Versicherungsbroker oder die Versicherungsgesellschaft hier Risikomanagement betreiben?
Der Versicherungsnehmer sollte im Auge behalten, ob die Übertragungswege seiner Dienstleister sicher sind und hellhörig werden, wenn er den Eindruck hat, es werden Daten über unsichere Wege übermittelt. Die Broker sollten sich fragen, ob sie Daten über sichere Wege versenden oder das bequeme, aber unsichere Medium E-Mail nutzen. Zudem sollten sie regelmäßig überprüfen, ob ihre Sicherungsmechanismen auf dem neuesten Stand sind. Natürlich kann man Angriffe nicht ausschließen, aber die Wahrscheinlichkeit für erfolgreiche Angriffe kann minimiert werden. Selbiges gilt für die Versicherer: eine sichere Datenübertragung ist in ihrem eigenen Interesse. Insbesondere diejenigen, die im Umfeld der Cyber-Versicherungen tätig sind, sollten sich der Gefahren bewusst sein. Denn kommt es tatsächlich zu einem Sicherheitsvorfall, bei dem Daten verloren gehen, entsteht ein immenser Imageschaden. Man stelle sich vor:
Ein Cyber-Versicherer, der Kunden gegen Datenverlust absichert, muss mitteilen, dass ihm Kundendaten gestohlen wurden. Es ist kein Geheimnis, dass längst nicht alle Schäden aufgrund von Cyber-Kriminalität wirklich gemeldet werden.
Ein Konzept für ein passendes Risikomanagement sollte gemeinsam mit Experten für Informationssicherheit erarbeitet werden, damit die richtigen Maßnahmen getroffen werden können. Die meisten Angreifer suchen sich Ziele, die mit wenig Aufwand und Know-how erfolgreich angegriffen werden können.
Versicherer und Versicherungs-Broker stehen in der Pflicht, die bei ihnen vorhandenen Daten gut abzusichern, damit sie keine Sicherheitslücken bieten. „
Dr. Jürgen Zehetmaier
Wie bekommt man die Zugangsdaten für das Online-Portal inex24?
Zugriffsrechte besitzen alle bei inex24 registrierten Benutzer bei Versicherern, Inhouse-Brokern und Versicherungsmaklern. Jeder Kunde hat einen Administrator, der die Zugangsdaten für die berechtigten Personen gemäß dem Rechte- und Rollenkonzept zuordnet. inex24 hat ausschließlich Zugriff auf die Firmenadministration und Nutzungsstatistiken, nicht jedoch auf die Ausschreibungsinhalte.
Aus Sicherheitsgründen funktioniert der Zugriff auf inex24 ausschließlich mit 2-Faktor-Authentisierung, sprich zwei unterschiedliche Faktoren legitimieren den individuellen Zugriff. Aktuell implementiert ist die „mTAN-Authentifizierung“, bei der einem Benutzer auf seine hinterlegte Mobilfunk-Rufnummer eine für zwei Minuten gültige Kennung zugesendet wird, die nach Eingabe von Benutzername und individuellem Kennwort zusätzlich abgefragt wird. Dieses zweistufige Sicherheitskonzept kennen viele vom Online-Banking, E-Mails werden einem solchen Konzept nicht gerecht.
Benötigt man besondere Internet-Kenntnisse, um inex24 zu nutzen?
inex24 ist ohne spezifische Internet-Kenntnisse nutzbar, kann direkt über den Browser aufgerufen werden und ist zu bedienen wie herkömmliche Web-Anwendungen. Wir haben bewusst darauf gesetzt, die Plattform möglichst intuitiv nutzbar zu gestalten, so dass sie für Kunden und Interessenten leicht bedienbar ist.
Welche technischen Voraussetzungen benötigt man?
inex24 wird als Software-as-a-Service-Lösung angeboten. Das heißt, um inex24 nutzen zu können, ist keine Installation, sondern nur ein Internetbrowser notwendig. Der Gedanke dahinter ist, dass die Nutzer möglichst einfach darauf zugreifen können, selbstverständlich unter Berücksichtigung von Sicherheitsaspekten. Für den Kunden hat das den weiteren Vorteil, dass er sich nicht um die technische Absicherung kümmern muss. Diese liegt komplett bei inex24 und wird regelmäßig überprüft und aktualisiert. Für den Nutzer werden dadurch keine Updates notwendig.
Der Betrieb erfolgt in einem sicheren europäischen Rechenzentrum, genau gesagt in Deutschland. Daneben bieten wir die Möglichkeit an, die Lösung als Produkt zu kaufen und im eigenen Rechenzentrum zu betreiben. In diesem Fall liegt dann die Verantwortung für Verfügbarkeit, Sicherheit etc. beim Betreiber.
Sind die Daten in inex24 sicher?
inex24 ist eine hochsichere Plattform, die ein breites Spektrum an Sicherheitsaspekten abdeckt. Die bereits erwähnte 2-Faktor-Authentifizierung ist einer davon, daneben sind hier beispielsweise noch die starke Verschlüsselung der Daten auf den Übertragungswegen, ein Rollen- und Rechtekonzept für die User oder die maximale Abschottung aller Unternehmen vor Durch- und Übergriffen zu nennen. Auf die Daten haben nur die Nutzer selbst Zugriff, wir bieten mit inex24 nur die Plattform für den Austausch, haben aber selber keinerlei Möglichkeit, auf die Daten zuzugreifen. Auch das physische Rechenzentrum ist gut gesichert, unter anderem mit Fingerabdruckscannern und weiteren Zutrittsmechanismen. Dazu kommen zahlreiche weitere Absicherungen und Mechanismen, diese hier alle aufzuzählen, würde jedoch den Rahmen sprengen.
inex24 ist eine hochsichere Plattform, die ein breites Spektrum an Sicherheitsaspekten abdeckt.“
Dr. Jürgen Zehetmaier
Was sollte man zum Schutz der Daten beachten?
Alle Daten werden bei inex24 automatisch verschlüsselt, daher müssen User hier nichts mehr weiter beachten. Bestimmte Dateitypen, wie selbstausführende Dateien, werden von unseren Systemen geblockt, so dass Schadprogramme beispielsweise nicht eingeschleust werden können. Eine inhaltliche Prüfung der von den Anwendern bei inex24 eingestellten Daten durch inex24 erfolgt nicht, allein schon, weil inex24 gar keinen Zugriff auf diese Daten hat. Hier sind die User für die Korrektheit der eingestellten Daten verantwortlich. Dies hat jedoch keine Auswirkungen auf die Sicherheit der Daten.
Wie ist das Vorgehen, wenn die Zugangsdaten vergessen werden?
Alle Nutzer werden von einem Administrator, der seitens des Kunden von inex24 definiert ist, mit Namen, Vornamen, Mobiltelefonnummer und E-Mail-Adresse angelegt. Passwort und Mobilfunknummer für den mTan-Versand können vom Organisationsadministrator jederzeit zurückgesetzt werden. Bei der ersten Anmeldung beziehungsweise nach manueller Rücksetzung durch den Organisationsadministrator muss der User sein Passwort zwingend ändern.
Gibt es Nachteile durch das Sicherheitskonzept?
Zum einen ist Sicherheit manchmal unbequem, zum Beispiel durch die zusätzlichen TANs. Man sollte sich dessen bewusst sein, dass man im Gegensatz zur unsicheren E-Mail mehr als nur einen Knopf drücken muss. Zum anderen kosten höhere Sicherheitsstandards auch mehr, diese Kosten sind allerdings im Vergleich zum Schadenpotential immer noch bescheiden. Oft lassen sich bereits durch kleine Maßnahmen sehr große Effekte erzielen. Denken Sie nur an Ihre Haustür: Es ist billiger, kein Schloss einzubauen, und es ist bequemer, durch eine offenstehende Tür zu gehen, als diese erst aufzuschließen. Aber lohnen sich diese Einsparungen an Budget und Aufwand tatsächlich?
Wo findet man die Nutzungsbedingungen und Hinweise zur Datensicherheit von inex24?
Erste Informationen zur Datensicherheit finden Interessenten auf unserer Website, weitere Angaben zu den Nutzungsbedingungen und zu den Sicherheitsmechanismen können bei uns angefragt werden. Wir stellen die Informationen dann zur Verfügung, gerne auch im Rahmen eines persönlichen Gesprächs. Wir stellen bewusst nicht alle Details zu unseren Sicherheitsmaßnahmen auf unsere Website, denn ein Sicherheitskonzept wird mit steigender Bekanntheit der Details nicht sicherer.
Dr. Jürgen Zehetmaier* ist Vorstand der inex24 AG. inex24 ist die weltweit erste, neutrale Kollaborationsplattform für den Industrieversicherungssektor, die allen Marktteilnehmern modernste Technik und leistungsstarke Werkzeuge zur Verfügung stellt. Verhandlungen und Abschlüsse von Industrieversicherungen können so schneller, einfacher und sicherer abgewickelt werden als je zuvor. Dabei werden langjährig bewährte Abläufe nicht verändert, sondern effizienzsteigernd unterstützt. Als zeitgemäße, hochflexible Software-as-a-Service-Lösung lässt sich die Plattform binnen kürzester Zeit an Organisation und Prozesse von Unternehmen jeder Größenordnung anpassen und gewährleistet über ein speziell entwickeltes Konzept maximale Datensicherheit und Verfügbarkeit. inex24 ist eine Lösung der inex24 AG, die Teil der msg-Gruppe ist, einer unabhängigen, international agierenden Unternehmensgruppe mit weltweit mehr als 5.000 Mitarbeitern. msg ist einer der bedeutendsten Anbieter ganzheitlicher Lösungen für alle Sparten der Versicherungsbranche und bietet fachliche und technische Beratung, Anwendungen sowie IT-Lösungen, die sich unkompliziert an veränderte Anforderungen anpassen lassen.
Erst- und Rückversicherer können somit schnell, flexibel und nachhaltig profitabel im Markt agieren.