Ein Artikel von Ole Sieverding, Geschäftsführer von CyberDirekt
Vor etwa einem Monat, am dritten Adventswochenende, stand die IT-Security-Welt scheinbar für einen Augenblick still. Am 09.12.2021 wurde eine Schwachstelle mit dem höchstmöglichen Schweregrad (CVSS 10.0) veröffentlicht. Die weltweite IT-Sicherheitsszene überschlug sich daraufhin mit apokalyptischen Einordnungen der Situation als noch nie dagewesene schlimmste Sicherheitslücke. Die Rede ist von Log4Shell (CVE-44228), eine sehr leicht ausführbare Schwachstelle in einem Software-Schnipsel zur Protokollierung in Java-Bibliotheken, die die komplette Übernahme des betroffenen Systems erlaubt.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnte im Dezember sehr schnell und eindringlich mit der Warnstufe „Rot“ die deutsche Öffentlichkeit und berichtete von weltweiten Massen-Scans und Kompromittierungsversuchen.
Unter anderem der Bundesfinanzhof und das Land Schleswig-Holstein sahen sich nach konkreten Hacking-Angriffen gezwungen, ihre Webseiten temporär abzuschalten.
Die US-Security-Behörde CISA startet eine Warnung mit einer Entwarnung
Dann kehrte Ruhe ein. Viele Experten warnten eindringlich vor einer Schadenwelle über Weihnachten und Neujahr. Es wurde erwartet, dass bisher unentdeckt eingerichtete Hintertüren in den Systemen von den Angreifenden über die Ruhe der Festtage ausgenutzt würden. Am 12.01.2022 gab das BSI dann Entwarnung und stufte die Warnstufe auf „Gelb“ herunter. Patches wären inzwischen in der Breite veröffentlicht, eine große Schadenwelle blieb vorerst aus und die Bedrohungslage entspannte sich erst einmal.
Jen Easterly, Direktorin der US-amerikanischen Cybersecurity and Infrastructure Security Agency (CISA) als Pendant zum deutschen BSI berichtete, dass bisher keine Bundesbehörden durch Log4Shell kompromittiert sowie keine kritischen Sicherheitsvorfälle im Zusammenhang mit der Schwachstelle von US-Unternehmen an ihre Behörde gemeldet worden seien. Diese Lagebeschreibung deckt sich auch mit dem aktuellen Kenntnisstand der Vergleichsplattform CyberDirekt in Bezug auf die Cyberversicherung in Deutschland.
Es gab bisher ein paar Verdachtsmeldungen, aber noch keine kritischen Schadenfälle im direkten Zusammenhang mit Log4Shell. Dies unterscheidet sich deutlich von der Situation im März 2021, als durch massenhafte Kompromittierungen einer Microsoft-Exchange-Schwachstelle durch die Hacking-Organisation Hafnium bei einigen Cyberversicherern eine bis dahin ungekannt hohe Zahl an Schadenmeldungen innerhalb kurzer Zeit eingingen.
Fazit ist, die Gefahr von Log4j ist noch nicht gebannt und schwelt aktuell noch mit unklarem Ende. Das BSI empfiehlt daher weiterhin die Aufrechterhaltung einer verstärkten Beobachtung von Auffälligkeiten im eigenen IT-System auch nach der Überprüfung auf aktuelle Schwachstellen und dem Einspielen von Sicherheitspatches.
Bedeutung für die Versicherungsbranche
Allerdings ist eine verstärkte Auseinandersetzung der Versicherer mit Log4j in der Vertragsanbahnung zu beobachten. Spartenübergreifend, also nicht nur in der Cyberversicherung, sondern beispielhaft gleichwohl in der Vertrauensschadenversicherung und Vermögensschadenhaftpflichtversicherung entwickeln die Risikoträger ein verstärktes Informationsbedürfnis zu Log4j und fordern die zusätzliche Beantwortung von Risikofragen. In der Praxis sind diese Fragen durch die Komplexität und den eingeschränkten eigenen Einflussbereich gerade für kleine und mittelständische Unternehmen kaum wahrheitsgemäß zu beantworten.
Hinzu kommen spezifische Ausschlussklauseln für Schäden im direkten oder indirekten Zusammenhang mit der Log4Shell-Schwachstelle. Dies betrifft nach aktuellem Kenntnisstand erst mal nur Neugeschäftsanfragen und vereinzelt Vertragsanpassungen wie die Höherdeckung von Versicherungssummen.
Tückisches Zeichen für den Cyberversicherungsmarkt
So ein Ausschluss ist schnell geschrieben und von den Risikoträgern als Vorgabe verlangt. Die Konsequenzen für den Markt sind allerdings noch nicht absehbar.
Als Reaktion auf eine Schwachstelle, aus der sich bisher noch kein konkreter Schaden materialisierte, Neuverträge mit spezifischen Ausschlüssen zu versehen, verdeutlicht die aktuelle Unsicherheit und Hilflosigkeit der Versicherer, mit solchen Gefahren umzugehen. Das viel größere Risiko müsste für die Versicherer im eigenen Bestand liegen. Außerdem ist unklar, wie und auf welcher Grundlage die Versicherung das Vorliegen eines solchen Ausschlusstatbestandes nachweisen könnte.
Für die versicherten Unternehmen schürt dieses Verhalten vor allem Unsicherheit zum Regulierungsverhalten der Cyberversicherer. Wie sinnvoll und verlässlich ist ein Versicherungsprodukt, aus dem relevante Bedrohungsszenarien gleich versucht werden auszuschließen? In dem frühen Stadium des Cyberversicherungsmarktes kann dies verheerende Vertrauensverluste bedeuten.
Es bleibt abzuwarten, wie sich die Reaktion der Versicherer auf solche in Zukunft immer häufiger aufkommenden Veröffentlichungen kritischer Sicherheitsschwachstellen einpendeln wird.
Überreaktion oder Gefahr für Versicherer?
Sehen wir aktuell eine Überreaktion vereinzelter Versicherer, hervorgerufen durch die eindringliche Sicherheitswarnung des BSI? Oder übersteigt das Schadenpotenzial bestimmter Sicherheitslücken tatsächlich die Tragfähigkeit des Risikotransfers? Und muss die Versicherbarkeit ähnlich dem Kriegsausschluss pauschal begrenzt werden?
In jedem Fall bleibt die Herausforderung der Beweislast. Gerade zu Beginn eines Schadenfalls in der Chaosphase sind Ursache und Hergang unklar. Je mehr Zeit zwischen der vermeintlichen Kompromittierung und dem tatsächlichen Schadenereignis liegt, desto herausfordernder bis unmöglich wird die IT-forensische Aufklärung des Sachverhalts, vor allem wegen fehlender Protokolldaten.
Hier ist zu betonen, dass der Umgang mit kritischen Sicherheitslücken bei Standardsoftware eine große gesellschaftliche Herausforderung darstellt, der nur im gemeinsamen Schulterschluss effektiv begegnet werden kann. Dabei tragen Führungskräfte und IT-Verantwortliche in den Organisationen vor allem die Pflicht der offenen Suche und Beseitigung von bekannten Cybergefahren.
Grob fahrlässiges Unterlassen dieser ständigen Auseinandersetzung mit aktuellen Schwachstellen und der möglichst zeitnahen Reaktion durch geeignete Schutzmaßnahmen wie der Installation von bereitgestellten Sicherheitspatches sollten nicht toleriert werden. Der pauschale Ausschluss einzelner bekannt gewordener Sicherheitslücken ist dafür allerdings der falsche Anknüpfungspunkt und damit ein Irrweg.
Diesen Artikel lesen Sie auch in AssCompact 02/2022, S. 30 f., und in unserem ePaper.
Bild: © Alexander Limbach – stock.adobe.com
- Anmelden, um Kommentare verfassen zu können