R+V, Allianz, Debeka und Co. aktivieren Notfallplan wegen Sicherheitslücke „log4J“

Die IT-Schwachstelle log4j hat die Versicherungswelt erreicht. Erste Häuser wie die R+V sind betroffen, wie eine Blitz-Umfrage von VWheute zeigt. Die Signal Iduna berichtet ebenfalls von Angriffen, die Allianz hat wie die Debeka präventiv Teile der IT-Struktur abgeschaltet. Auch die Cyberversicherer blicken beunruhigt aufs Schadenmeer und befürchten eine gigantische Forderungswelle.

„Ja, wir sind betroffen. Unsere bewährten Prozesse zum Umgang mit Sicherheitslücken laufen bereits“, schreibt die R+V auf Anfrage. Zu etwaigen Schäden könne „leider nichts gesagt werden“. Damit ist die Sicherheitslücke offiziell auch bei deutschen Versicherern angekommen. „Wir sind nur insofern betroffen, dass wir die Java-Bibliothek log4J im Einsatz haben. Einen Angriff oder gar Schaden haben wir nicht feststellen können“, schreibt der Versicherer weiter..

Bei „log4j“ handelt es sich um eine Problemstelle in einer Java-Bibliothek. Gefährdet sind weltweit Millionen Onlineanwendungen und Apps, unter anderem der Speicherdienst iCloud von Apple, Minecraft und die Computerspiel-Plattform Steam. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat die IT-Bedrohungslage auf die höchste Warnstufe „Rot“ gesetzt. Doch bei vielen Angriffsstellen können nicht alle Lücken geschlossen werden, wie Microsoft schreibt. „Da die Vektoren, über die diese Schwachstelle ausgenutzt werden kann, sehr breit gefächert sind und das vollständige Ausspielen von Abhilfemaßnahmen in großen Umgebungen Zeit in Anspruch nehmen wird, empfehlen wir Verteidigern, auf Anzeichen einer nachträglichen Ausnutzung zu achten, anstatt sich vollständig auf die Prävention zu verlassen.“

Rette und helfe sich, wer kann

Die Schwachstelle ist besonders gefährlich, weil sie teils mit sehr wenig Aufwand ausgenutzt werden kann und weit verbreitet ist. „Die Scheiße brennt lichterloh“, schrieb der deutsche IT-Sicherheitsexperte Manuel Atug auf Twitter; „Schönreden nützt nix.“

Die Gefahrenlage ist klar, die hiesigen Versicherer sind gewarnt und haben sich in Verteidigungsstellungen begeben. „Unsere IT hat bereits entsprechende Vorkehrungen getroffen; wir konnten bisher keine Angriffe feststellen“, meldet die Zurich Deutschland. Die HanseMerkur ist wegen der durch das BSI ausgerufenen Warnstufe „in besonders erhöhter Alarmbereitschaft“ und hat die Sicherheitsvorkehrungen „zusätzlich intensiviert“. Alle relevanten Anwendungen und Systeme werden „kontinuierlich überprüft“. Ein weiterer Versicherer erklärt, die Lage im Griff zu haben, aber einen potenziellen Angreifer „nicht ermutigen zu wollen“. Die Angst in der Branche steckt tief. Das ist nicht verwunderlich, denn „leider machen auch Hacker Überstunden“, wie der Spiegel schreibt.

Von der Aktivität der Cyber-Kriminellen kann beispielsweise die Signal Iduna Zeugnis ablegen. „Es sind derzeit Angriffsversuche aus dem Internet erkennbar. Bisher gab es jedoch noch keine erfolgreichen Angriffe auf unsere Systeme“. Die internen technischen Produktverantwortlichen sind entsprechend „informiert und sensibilisiert“. Die Techniker überprüfen und aktualisieren alle Anwendungen derzeit. Auch mit den betroffenen Drittherstellern stehe das Unternehmen  in engem und regelmäßigem Austausch, erklärt ein SI-Sprecher. Die R+V hat ebenfalls Bekanntschaft mit den Hackern gemacht. „Ja, wir sind betroffen. Unsere bewährten Prozesse zum Umgang mit Sicherheitslücken laufen bereits“.

Die Allianz Deutschland hatte „präventiv Teile der IT-Infrastruktur abgeschaltet“. Die Kunden hätten dadurch „keine Einschränkungen“ erfahren. Zu Schäden kam es offenbar nicht, denn auf eine diesbezügliche Nachfrage wurde noch einmal die „Prävention“ betont. Die Konzernmutter Allianz Group schreibt ähnliches: „Seit Bekanntwerden des log4j-Problems haben wir gruppenweit intensiv an der Analyse und Prävention gearbeitet. Aus Sicherheitsgründen haben wir selektiv einige Anwendungen vorübergehend vom Netz genommen, jedoch nichts, was den normalen Betrieb für Endkunden hätte stören können.“

Wie viele andere Unternehmen, setzt die Gothaer Java-basierte Technologien ein, folglich sind auch die Kölner „von der Schwachstelle log4j betroffen“. Unvorbereitet ist das Haus nicht. „Derartige Vorfälle behandeln wir im Rahmen unserer Informationssicherheitsstrategie durch die Bildung einer dedizierten Task-Force. Hierbei wurden auf Basis eines detaillierten Lagebildes u.a. die von Sicherheitsbehörden und Herstellern empfohlenen, risiko-mitigierenden Maßnahmen umgesetzt.“

Die bestehenden, technologischen Überwachungsmöglichkeiten werden aktuell in Bezug auf die Erkennung der konkreten Schwachstelle und der zugehörigen Angriffsmuster erweitert, schreibt die Gothaer.“ Eine Vorbereitung auf bislang unbekannte (Zero-Day)-Schwachstellen ist naturgemäß schwierig.“ Ein hohes Maß an Reaktions- und Handlungsfähigkeit sei in einer solchen Situation entscheidend. „Im Zuge der nachträglichen Aufarbeitung des Vorfalls werden alle technischen und organisatorischen Maßnahmen bewertet und fließen in die kontinuierliche Verbesserung unseres Informationssicherheitsmanagementsystems ein.“

Die Debeka hat aus Sicherheitsgründen derzeit verschiedene Anwendungen mit Sicherheitsupdates und verschiedene Systeme mit direktem Zugriff auf Kernanwendungen von außen vorübergehend deaktiviert, beispielsweise die Homepage.

„Alle Maßnahmen dienten dem Schutz der besonders sensiblen Kundendaten gegen Missbrauch. Grundsätzlich setzen wir zum Schutz unserer Systeme auf sehr hohe Sicherheitsstandards.“ Das jüngste Beispiel zeige, dass „wir damit eine nachhaltige Strategie verfolgen“.

Cyberversicherer mittendrin

Eine solche Sicherheitskrise bedeutet für die Cyberversicherer eine Zeit höchster Betriebsamkeit und potenzieller Millionenforderungen. „Wir arbeiten aktuell mit Hochdruck daran, die neue Gefahrenlage einzuschätzen und bereiten eine Kommunikation dazu vor, um unsere Kunden und Makler bestmöglich zu informieren und zu unterstützen“, schreibt Hiscox. Andere Cyberversicherer ließen eine Anfrage unkommentiert.

Eine mit log4J in Ausmaß und Umfang vergleichbare Sicherheitslücke zu Beginn des Jahres hatte weltweit Milliarden an Kosten und anhaltende Sicherheitsprobleme verursacht. Es ist nicht anzunehmen, dass es diesmal anders ausgehen wird. Das Jahr endet, wie es anfing, sowohl bei Cyber wie auch bei Covid.

Autor: Maximilian Volz