Wie Cyberversicherungen die Folgen kompromittierter Microsoft-Server abfedern

Um Firmenkunden im Beratungsgespräch vom Nutzen einer Cyberversicherung zu überzeugen, lohnt es sich, einen genaueren Blick auf die aktuellen Ereignisse rund um Sicherheitslücken in Microsoft Exchange zu werfen. Tausende Unternehmen in Deutschland sind davon betroffen und die Verunsicherung ist immer noch hoch. Die Notfall-Hotlines und Schadensabteilungen der Cyber-Versicherer waren nahezu voll ausgelastet. Doch zunächst ein kleiner Blick zurück in die jüngste Vergangenheit. Von Hanno Pingsmann.

MS-Exchange-Server als Einfallstor

Der Software-Riese Microsoft hatte am 13. April 2021 Patches für vier Sicherheitslücken seiner Server Versionen 2013, 2016 und 2019 veröffentlicht. Die Sicherheitslücken waren von der National Security Agency (NSA) entdeckt und an Microsoft herangetragen worden. Laut Microsoft und dem Bundesamt für Sicherheit in der Informationstechnik (BSI) in Bonn wurden durch die neuen Sicherheitslücken bislang keine Server mit Schadsoftware kompromittiert. Dennoch empfiehlt das BSI eine sofortige Installation der von Microsoft zur Verfügung gestellten Patches, da ansonsten externe Angriffe auf die Unternehmenssysteme drohen. Diese Patches haben noch immer manuell zu erfolgen.

Der Vergleich zur Handarbeit drängt sich geradezu auf. Brisant ist auch, dass dies bereits die zweite Schwachstelle in den Microsoft-Exchange-Servern innerhalb eines Monats darstellt. So berichtete das Tech-Magazin WIRED bereits am 5. März 2021 über Sicherheitslücken im Microsoft-Exchange-System. Diesen Recherchen zufolge nutzte die chinesische Hackergruppe Hafnium seit Anfang Januar eine Zero-Day-Schwachstelle des Microsoft-Exchange-Systems, um weltweit Webshells (Hintertüren) in den Netzwerken von Unternehmen und Institutionen zu installieren.

Als Reaktion auf ein von Microsoft angekündigtes Sicherheitsupdate zum 2. März 2021 wurden die Angriffe jedoch Ende Februar massiv intensiviert und gezielt auf über das Internet erreichbare Microsoft-Exchange-Server gerichtet. In diesem Zeitraum wurden stündlich tausende Server weltweit kompromittiert. Explizit nutzten die Hacker zuvor unentdeckte Schwachstellen in den Microsoft On-Premises Exchange-Server-Versionen 2013, 2016 und 2019. On-Premises beschreibt hierbei die Installation und den selbstständigen Betrieb der Microsoft-Server in der eigenen Unternehmensumgebung, also lokal vor Ort, oder in angemieteten Rechenzentren.

Zum Autor: Hanno Pingsmann ist Geschäftsführer von CyberDirekt mit Sitz in Berlin. Der Cyberexperte hat CyberDirekt im Mai 2017 als erste digitale Beratungsplattform für den Abschluss von Cyberversicherungen für Makler gegründet – Zielgruppe KMU. CyberDirekt bietet einen Vergleichsrechner für Cyberversicherungen von 14 Versicherungsgesellschaften an. Mit dem Abschluss einer Cyberversicherung über CyberDirekt erhält der Versicherungsnehmer die ideale Cyberversicherung für sein Unternehmen. Zusätzlich bietet CyberDirekt ein umfassendes kostenfreies Präventionspaket. Dieses beinhaltet ein selbst entwickeltes Security-Awareness-Training für den Versicherungsnehmer und seine Mitarbeiter sowie weitere Präventionsleistungen wie den Websecurity-Check und den Phishing-Simulationstest.

Finanzieller Schutz durch Cyberversicherung

Die Microsoft-Exchange-Sicherheitslücke steht exemplarisch dafür, dass selbst die größten Software-Dienstleister ihre Systeme nicht vor diesen Attacken schützen können. Im Fall der aktuellen Schwachstellen liegt die Gefahr darin, dass durch diese im System eines Dienstleisters (in diesem Fall Microsoft) externe Dritte (die Cyberkriminellen) Zugriff auf die Unternehmensdaten erhalten. Betroffen waren in diesem Fall zahlreiche
mittelständische Unternehmen, die aus sicherheitstechnischen Erwägungen einen lokalen Exchange-Server betreiben. Ich möchte an dieser Stelle klarstellen: Eine Cyberversicherung schützt in diesem Fall genauso wenig vor der Kompromittierung der Systeme, wie die Krankenversicherung vor Krankheiten bewahrt. Jedoch ist es in vielen Fällen (lebens-)notwendig, auf bestehenden Versicherungsschutz zurückgreifen zu können.

Konkrete Hilfe

Die Cyberversicherung sichert bereits im Verdachtsfall einer Kompromittierung der Systeme innerhalb kürzester Zeit professionelle Akuthilfe durch ausgewählte, hoch qualifizierte IT-Spezialisten zu. Die aktuelle Situation zeigt, dass durch die hohe Anzahl von betroffenen Servern die Nachfrage nach kurzfristiger IT-Unterstützung stark ansteigt und an Bedeutung gewinnt. Viele betroffene Unternehmen waren mit der Situation schlichtweg überfordert. Konkret werden die Systeme bei begründetem Verdacht (in diesem Fall zu 100 Prozent gegeben) zunächst auf bereits erfolgte Kompromittierungen überprüft. Anschließend wird die
vorhandene Sicherheitslücke durch das Einspielen der Patches geschlossen.

Darüber hinaus erfolgt im Fall bzw. bei Verdacht einer Datenschutzverletzung eine Meldung nach Artikel 33 DSGVO an die zuständige Aufsichtsbehörde. Die hierbei anfallenden Kosten sowie weitere Folgeschäden durch die Sicherheitslücke sind durch die Cyberversicherung gedeckt.

Fazit: Zahlreiche Unternehmen, welche in den letzten Jahren eine Cyberversicherung abgeschlossen hatten, konnten bei diesem Vorfall auf die kurzfristig verfügbaren Leistungen der Incident Response, Krisenberatung und IT-Forensik zurückgreifen. Keiner der betroffenen Versicherungsnehmer hätte sich mit den üblichen IT-Sicherheitsmaßnahmen davor schützen können und es wurde in dramatischer Weise anschaulich, welchem Risiko Unternehmen unausweichlich ausgesetzt sein können. Zur Absicherung dieses Risikos wird eine Cyberversicherung auch in Zukunft unverzichtbar sein.

Autor: Hanno Pingsmann