Microsoft Exchange: Erste Ausläufer eines aufziehenden Cybersturms

Sicherheitslücken bei den lokalen Microsoft-Exchange-Servern der Versionen 2013, 2016 und 2019 haben es internationalen Hackergruppen möglich gemacht, Hintertüren zu öffnen und Schadsoftware zu installieren. Die Auswirkungen auf Unternehmen und Organisationen können katastrophale Folgen haben – bis hin zur persönlichen Haftung für Geschäftsführer.

Ein Beitrag von Hanno Pingsmann

Im März 2021 ging es hoch her. Neben der dritten Corona-Welle brach noch eine weitere Welle über Deutschland hinweg. Die Auswirkungen sind bis heute zu spüren und sie werden viele noch eine ganze Weile beschäftigen: Cyberattacken!

Cyberkriminelle versuchen, mit Datenverschlüsselungen Lösegeldforderungen durchzusetzen, um ebenjene Daten wieder sichtbar oder nutzbar zu machen.

Ursache waren die Sicherheitslücken bei den lokalen Microsoft-Exchange-Servern der Versionen 2013, 2016 und 2019. Brisant dabei: Es waren zwei Schwachstellen innerhalb eines Monats, für die Microsoft in Windeseile Patches bereitstellen musste. Doch an vielen Stellen war es bereits zu spät:

Die Hintertüren – „Webshells” – waren da bereits eingebaut. Das Tech-Magazin WIRED berichtete von Tausenden kompromittierten Servern weltweit – stündlich. Dem Bundesamt für Sicherheit in der Informationstechnologie (BSI) in Bonn zufolge waren allein deutschlandweit über 9.000 Server betroffen.

Des einen Leid, des anderen Chance: Einen besseren Anlass als diesen „lebenden” Beweis gibt es nicht: Wer in der Firmensparte tätig ist – und dazu zählen nicht nur Unternehmen jeder Größe, sondern ebenso Verwaltungen, Verbände, NGOs, Kliniken oder Vereine –, sollte nun fast reflexartig den Bedarf nach einer Cyberversicherung abklären. Die Vorteile für die Makler liegen klar auf der Hand:

  • Anlassbezogene Risikoaufklärung
  • Beratung im Interesse des Kunden
  • Schutz des Kunden vor finanziellem Schaden

Berechtigterweise wird auf Kundenseite im Beratungsgespräch die Frage aufkommen, ob das Unternehmen durch den Abschluss einer  Cyberversicherung vor der Kompromittierung hätte geschützt werden können.

Im Fall der aktuellen „Zero-Day-Schwachstelle” liegt die Gefahr dabei darin, dass durch diese im System eines Dienstleisters (hier: Microsoft) externe Dritte (die Cyberkriminellen) Zugriff auf vertrauliche, geheime oder personenbezogene Daten erhalten.

Das heißt, die Antwort auf die Frage lautet Nein. Die Cyberversicherung schützt im Falle eines Zero-Day-Angriffs genauso wenig vor der Kompromittierung der Systeme, wie eine Krankenversicherung Sie vor Krankheiten bewahren kann.

In beiden Fällen kann der Versicherungsschutz jedoch existenzsichernd sein. Für den Fall der Fälle ist es somit hilfreich, auf einen bestehenden  Versicherungsschutz zurückgreifen zu können, der den Großteil der anfallenden Kosten übernimmt.

Wir gehen mittlerweile davon aus, dass jede Organisation in Deutschland mindestens einmal Opfer einer Cyberattacke wird oder war.

Die Frage, die sich für Makler also stellt, ist: Wie kann ich meine Kunden überzeugen, dass mit einem festen, kalkulierbaren Betrag ein Risiko mit unkalkulierbaren Folgen zumindest finanziell minimiert werden kann?

Für die Beratung empfiehlt sich, die Argumentation individuell zu planen. Die folgenden Aspekte können dabei helfen:

Aktive und offene Ansprache: Ist das Thema Cybersicherheit bekannt? Ist die Brisanz bekannt? Wie sieht es mit dem Restrisiko aus? Analogien zu Krankenversicherungen oder zur Vollkasko helfen zur Veranschaulichung.

  • Über die unmittelbaren Folgen aufklären: Prinzipiell ist jede Organisation erpressbar. Jedes Unternehmen hat aktuelle Daten, auf die es zugreifen muss: E-Mails, Verträge, Zeichnungen und Pläne. An dieser Stelle setzen die Kriminellen mit ihren Verschlüsselungen an.
  • Worst-Case-Szenarien beschreiben: Was ist zu tun, wenn beispielsweise Kunden oder Patienten nach Bekanntwerden der Attacke per Rechtsanwalt Schadenersatz fordern? Wie lässt sich der mögliche Reputationsverlust minimieren?
  • Über die Verpflichtungen aufklären: Wie bekomme ich im Notfall einen IT-Dienstleister, der im Bereich Forensik den Schweregrad eines  Datenlecks einschätzen kann? Bis wann muss im Verdachtsfall oder im konkreten Fall die Datenschutzmeldung an die zuständige Landesdatenschutzbehörde erfolgen? Bis wann sind im Fall von Kunden- oder Patientendaten die betroffenen Kreise auf welchem Weg zu benachrichtigen?
  • Die Kosten aufführen: Was kostet die forensische Arbeit eines IT-Spezialisten? In welcher Währung sind Lösegeldforderungen zu begleichen – wie sind diese zu beschaffen?  Wie hoch könnten Schadenersatzforderungen ausfallen? Wie ist der Betriebsausfall zu kalkulieren? Welche Anwalts- und Kommunikationskosten kommen auf die Organisation zu?
  • Die Haftung konkret benennen: Inwieweit haftet die Geschäftsführung mit ihrem Privatvermögen bei schuldhafter Unterlassung auch nur einer (manuellen) Patch-Installation oder einer bestimmten Frist im gesamten Prozedere?

Die Cyberattacke kommt ohnehin

Für viele Unternehmen und Organisationen liegt ein Cyberangriff in weiter Ferne. „Wir wollen erst einmal die Corona-Krise in den Griff bekommen!”, ist häufig aus Unternehmerkreisen zu vernehmen. Dass die Mitarbeitenden allerdings im Homeoffice – teilweise am eigenen Rechner oder Laptop mit nur minimalem Schutz – arbeiten und Zugriff auf den Server haben, tritt in den Hintergrund.

Zudem: Wir erleben gerade einen Boom im Onlinegeschäft. Die meisten Einzelhändler in den Städten haben geschlossen – täglich gibt es Lieferungen per DHL und Co. Und zu jeder Onlinebestellung gibt es eine Bestätigungsmail, eine Versandmail und eine Mail, wenn das Paket angenommen oder deponiert ist oder beim Nachbarn landet.

Da mag es nicht verwundern, wenn die Öffnungsrate bei Anhängen von Phishing-Mails bei rund 5 Prozent liegt. Der Auslöser der Gefahr ist oft nur einen Klick entfernt – und er sitzt zumeist vor dem Bildschirm.

Die Cyberversicherung sichert bereits im Verdachtsfall einer Kompromittierung eines Systems innerhalb kürzester Zeit professionelle Hilfe von ausgewählten, hochqualifizierten IT-Spezialisten zu. Dabei werden die Systeme zunächst auf bereits erfolgte Kompromittierungen überprüft.

Anschließend wird die vorhandene Sicherheitslücke geschlossen. Darüber hinaus muss im Fall einer Datenschutzverletzung eine Meldung nach Art. 33 DSGVO an die zuständige Aufsichtsbehörde erfolgen.

Die hierbei anfallenden Kosten sowie weitere Folgeschäden durch die Sicherheitslücke sind ebenfalls durch die Cyberversicherung gedeckt.

Cyberversicherungen werden zumeist für die Laufzeit von einem Jahr abgeschlossen. Anschließend folgt das „Renewal”, bei dem die Versicherer ihre Beiträge aufgrund von Risikofaktoren und der bisherigen Aufwendungen kalkulieren.

Aktuell treten wir in eine Phase der zunehmenden Marktverhärtung ein, die auch mittelständische Kunden betrifft. Einige Versicherer haben  Prämiensteigerungen im zweistelligen Bereich angekündigt.

Gleichzeitig werden die Zeichnungsvoraussetzungen verschärft und die Verfügbarkeit von Risikokapazität ist nicht mehr für alle Branchen gegeben. Daher sollten Vermittler keine Zeit verlieren, mit ihren Kunden einen Dialog über Cyberversicherung zu führen.

Eine Verlagerung des Themas in die Zukunft wird sich mit hoher Wahrscheinlichkeit für den Kunden nachteilig auswirken.

 

Über den Autor

Hanno Pingsmann, Geschäftsführer, CyberDirekt GmbH

Hanno Pingsmann ist Geschäftsführer von CyberDirekt mit Sitz in Berlin. Der Cyberexperte hat CyberDirekt im Mai 2017 als erste digitale Beratungsplattform für den Abschluss von Cyberversicherungen für Makler gegründet – Zielgruppe KMU.

CyberDirekt bietet derzeit einen Vergleichsrechner für Cyberversicherungen von 14 Versicherungsgesellschaften an. Mit dem Abschluss einer Cyberversicherung über Cyber-Direkt erhält der Versicherungsnehmer die ideale Cyberversicherung für sein Unternehmen.

Zusätzlich bietet CyberDirekt ein umfassendes kostenfreies Präventionspaket. Dieses beinhaltet ein selbst entwickeltes Security-Awareness-Training für den Versicherungsnehmer und seine Mitarbeiter sowie weitere Präventionsleistungen wie den Websecurity-Check und den Phishing-Simulationstest.