Schadensfälle in der Cyber-Versicherung – Exchange-Server

Cyber-Attacken – eine mittlerweile akute tägliche Bedrohung für alle, besonders aber für Unternehmen und deren Management. Wir werden in einer Serie über Schadenbeispiele berichten, die sich auch tatsächlich ereignet haben, und repräsentativ für solche Ereignisse sind.

Also keine künstlich aufgeblasenen Weltuntergangs-Szenarien, sondern Informationen über laufend vorkommende Fälle. Im Gegensatz zur Tagespresse, die lediglich über dramatische Großschäden berichtet, werden wir uns in diesem Format mit dem üblichen Tagesgeschäft unserer Experten in der Cyber-Versicherung bei INFINCO auseinandersetzen.

Exchange-Sicherheitslücke

Hafnium, eine Hackergruppe die vermutlich aus China operiert, startete im vergangenen Jahr eine bislang beispiellose Angriffswelle auf Microsoft-Exchange-Server. Die Attacke nutzte dabei sog. Zero-Day-Schwachstellen aus. Zero-Day-Schwachstellen sind Sicherheitslücken die von Angreifern entdeckt wurden, bevor der Hersteller der Soft- bzw. Hardware darauf aufmerksam geworden ist. Da der Herstellen nichts davon weiß, gibt es auch keinen Patch, so dass die Angriffe mit hoher Wahrscheinlichkeit erfolgreich verlaufen.

So konnte auch bei einem INFINCO-Kunden die entstandene Sicherheitslücke nicht rechtzeitig geschlossen werden und es wurde eine Schadsoftware am Mailserver platziert, die diesen verschlüsselte.

Nach der Einschaltung des First-Response-Dienstleisters des Versicherers wurde die erforderliche Wiederherstellung des Systems in der Folge von einem externen Cyber-Dienstleister bewerkstelligt. Neben dem Wiederaufbau des Systems durch den Cyber-Sicherheits-Experten fielen noch zusätzliche Aufwendungen für das Schließen der Sicherheitslücke und das Beseitigen der Schadsoftware aus den betroffenen Systemen an.

Da die Wiederherstellungsarbeiten erfolgreich abgeschlossen werden konnten, musste auch nicht auf die geforderte Erpressungsforderung eingegangen werden, welche zwar im Rahmen der Cyberversicherung gedeckt gewesen wäre, verständlicherweise aber nur als letztes Mittel herangezogen wird, wenn keine andere Möglichkeit der Datenwiederherstellung besteht.

Die dem Kunden daraus entstandenen beträchtlichen Kosten wurden von der entsprechend richtig konzipierten Cyber-Versicherung getragen und der Versicherungsnehmer damit schadlos gehalten.

Der typische Ablauf einer Cyber-Attacke

Wir möchten hier darstellen, wir üblicherweise ein Cyber-Angriff abläuft – im Falle der genutzten Zero-Day-Lücken, war es möglich, die ersten 4 Phasen sehr kurz zu halten und aufgrund der Vielzahl von verwundbaren Systemen weitgehend zu automatisieren.