Ein Beitrag von Nikolaus Stapels Inhaber Consulting & Training und Geschäftsführer der Vertriebssoftware24 GmbH
Im März dieses Jahres wurden von Microsoft Sicherheitslücken im Exchange-Server bekannt gegeben. Rot, höchste Gefahr – so schätzte das Bundesamt für Sicherheit in der Informationstechnologie (BSI) die aktuelle Bedrohungslage ein. Verantwortlich für den Angriff war die chinesische Hackergruppe Hafnium, die Schwachstellen in Exchange-Servern von Microsoft ausgenutzt hat, um unbemerkt eine Hintertür im System zu installieren.
In Beratungsgesprächen über Cyberversicherung wird dieser Hackerangriff gerne zitiert, um Kunden für die derzeitige Gefahrenlage zu sensibilisieren. Nachfragen des Gewerbekunden, was genau passiert ist und was das denn mit seinem Unternehmen zu tun habe, bringen allerdings viele Berater aus mangelnder Gesprächsroutine und „Nicht-Wissen“ in Erklärungsnot. Damit sich der gewünschte Verkaufserfolg einstellt, greifen wir das Beispiel auf und zeigen, wie es vertrieblich genutzt werden kann.
Exchange-Server: Was ist das und welche Vorteile hat er?
Ein Exchange-Server ist eine E-Mail-Transport-Server-Software und zentrale Ablage von Mails, Terminen, Kontakten und weiteren Elementen, der nicht nur die Zusammenarbeit im Unternehmen, sondern auch die sichere Kommunikation und den Austausch von Daten gewährleistet. Er kann als „Türsteher“ in einem Unternehmensnetzwerk verstanden werden, der die gesamte E-Mail-Kommunikation steuert, sichert und überprüft, sodass Viren, Spam und unerlaubte Dateien im besten Fall abgefangen werden.
Der Hafnium Exchange-Server-Hack
Die chinesische Hackergruppe Hafnium hatte bereits im Januar damit begonnen, Sicherheitslücken im Exchange-Server auszunutzen mit dem Ziel, sogenannte „Webshells“ zu installieren, um kompromittierte Server aus der Ferne zu steuern. Webshells bieten Angreifern weitreichende Möglichkeiten: von der Ausführung beliebiger Befehle im System über das Einschleusen von Schadsoftware bis hin zur Installation von Hintertüren. Nachdem zunächst gezielt Server von den Kriminellen ausgesucht und übernommen worden waren, startete Ende Februar ein ungezielter Massenangriff auf verwundbare Systeme. Erst am 02.03.2021 gab Microsoft den Hackerangriff bekannt und veröffentlichte ein Sicherheitsupdate.
Wie einfach ein Unternehmen bei entsprechender krimineller Energie der Angreifer zu deren Zielscheibe werden kann, zeigt sich dadurch, dass Zugangsdaten zu Exchange-Servern im Darknet von Hackern angeboten werden – und das zu relativ günstigen Preisen.
Schwerwiegende Folgen für Unternehmen
Offiziell sollen allein in Deutschland rund 57.000 Server von dem Hafnium-Angriff betroffen gewesen sein. Viele Unternehmen und auch Bundesbehörden mussten physisch den Stecker ziehen und die Server vom Netz nehmen, um diese dann forensisch zu untersuchen. Dass mit dem Einspielen der Sicherheitspatches alle Gefahren für Unternehmen gebannt waren, stellte sich jedoch für viele KMU als folgenschwerer Trugschluss heraus. Die Sicherheitslücke wurde zwar geschlossen, die installierte Hintertür jedoch nicht, sodass es auch nach vermeintlicher Schließung der Sicherheitslücke immer wieder zum Abfluss von Daten und zur Verschlüsselung von Systemen gekommen ist. Aber nicht nur das: Gemäß DSGVO gilt ein Hackerangriff mit Datenabfluss als Datenschutzverletzung, die Unternehmen dazu verpflichtet, diese innerhalb von 72 Stunden bei der zuständigen Behörde rechtskonform zu melden. Auf Grundlage der eingehenden Meldung wird später unter anderem das Bußgeld gemäß DSGVO berechnet.
Cyberversicherung als notwendige Maßnahme für Cybersicherheit
Der geschilderte Sicherheitsvorfall macht einmal mehr deutlich, wie wichtig die professionelle Beratung im Hinblick auf notwendige Maßnahmen zur Cybersicherheit ist und dass der Abschluss einer Cyberpolice für jedes Unternehmen Standard sein sollte. Unabhängig vom Produktgeber nähern sich aktuell viele Versicherer in ihren Leistungen einander an, und zwar so, dass die nachfolgenden Leistungen grundsätzlich gleich sind, im Einzelfall aber abweichen können.
Ein praktisches Beispiel zeigt, was Cyberversicherungen für Unternehmen bei solchen Vorfällen leisten:
Die Musterpumpenbau GmbH hat 150 Mitarbeiter und macht einen Umsatz von 19,7 Mio. Euro p. a. Zur Kommunikation wird ein Exchange-Server eingesetzt. Das Unternehmen wurde postalisch vom BSI wegen der Sicherheitslücke kontaktiert, da die normalen Warnmails beim Kunden nicht mehr ankamen. Sie waren vom System automatisch gelöscht worden – ein erstes Anzeichen, dass auch Musterpumpenbau dem Angriff zum Opfer gefallen war. Das Unternehmen reagierte umgehend und kontaktierte seinen Versicherer über die Notfallnummer.
Der Dienstleister des Versicherers hat sich dann über eine gesicherte Verbindung auf das System aufgeschaltet und umgehend mit der Diagnose begonnen. Dabei stellte sich heraus, dass bereits eine Webshell installiert und auch Daten kopiert worden waren. Nachdem die Forensiker den Umfang des Angriffs analysiert hatten, erfolgte die form- und fristgerechte Meldung an die zuständige Landesdatenschutzbehörde durch den hinzugezogenen Rechtsanwalt und Datenschutzbeauftragten. Im nächsten Schritt wurde der Exchange-Server vom IT-Dienstleister vor Ort komplett neu aufgesetzt und gepatcht, dann wurden die vorhandenen Datensicherungen wieder eingespielt. Die betroffenen Kunden wurden darüber informiert, dass Daten durch den Angriff abgeflossen waren, und vor gegebenenfalls eingehenden Falschmails gewarnt.
Die Gesamtkosten für diesen Schaden beliefen sich auf 106.587 Euro. Diese wurden vom Versicherer komplett übernommen. Um Unternehmen automatisch und rechtzeitig darüber zu informieren, dass Kriminelle sich auf ihre Systeme aufgeschaltet haben, setzen immer mehr Versicherer deshalb zum Beispiel auch auf eine digitale Alarmanlage wie „CyCo-Trap“.
Aus Sicherheitsvorfällen lernen
Die Aussagen von Unternehmern „der Vorfall betrifft mich nicht“, „mein Unternehmen ist zu klein“ oder „ich nutze keinen Exchange-Server“ als Argumente gegen eine Cyberversicherung sind zu kurz gedacht und oftmals folgenschwer. Ohne eine Cyberpolice stellt sich beim skizzierten Beispiel die Frage, wer die Kosten von 106.587 Euro übernimmt. Die Antwort der Unternehmerkunden, dass Microsoft als Hersteller verantwortlich sei und die Kosten trage, scheint zwar plausibel, ist aber dennoch nicht korrekt, denn das Unternehmen hat dies explizit ausgeschlossen. Der Kunde hat den AGB zugestimmt mit der Folge, dass er auf den Kosten sitzen bleibt.
Wie kann sich ein Unternehmer gegen Sicherheitslücken von Herstellern schützen? Der Unternehmer ist eigentlich Opfer, muss sich aber wie ein Täter nicht nur enthaften und entlasten, sondern auch noch für den Schaden aufkommen.
Fazit
Eine Cyberversicherung ist heutzutage ein Muss für jedes Unternehmen. Die Frage ist nicht mehr, ob ich gehackt werde, sondern ob ich mein Unternehmen vor oder erst nach einem entstandenen Angriff versichere.
Den Artikel lesen Sie auch in AssCompact 07/2021 und in unserem ePaper.
Bild oben: © Melica – stock.adobe.com
- Anmelden, um Kommentare verfassen zu können