Ein Artikel von Jan-Henning Evers, Rechtsanwalt und Managing Director Global Claims bei der COGITANDA Claims Services GmbH
So oder so ähnlich stellte sich das Wochenendprogramm der Schadenabteilungen der Cyberversicherer im „heißen Herbst 2021“ dar: ++ Samstag im Oktober 2021 ++ 18:14 Uhr ++ Anruf über die 24/7-Cyber Notfall-Hotline ++ Neuschadenmeldung: Ransomware-Attacke ++ Erpresser-Nachricht von LockBit2.0 ++ Bereitschaftsdienst Claims Management ist sofort dran ++ 18:45 Uhr ++ erster Call mit Claims Manager, IT-Forensiker, Versicherungsnehmer, seinem IT-Dienstleister und dem Makler ++
Denn das vierte Quartal des Jahres 2021 hatte es in sich. Die Sommerpause war vorbei und die Hacker, allen voran die Top-Ransomware-Gangs, waren umtriebig. Sie hatten zum Teil bereits im Frühjahr über die Sicherheitslücke in Microsoft Exchange die Netzwerke von Unternehmen infiltriert, um sie nun zu verschlüsseln. Laufend trafen neue Ransomware-Schadenmeldungen bei den Versicherern ein. Am Ende stand (zu) häufig ein ungepatchter Microsoft Exchange-Server als Einfallstor für den Schadenfall.
Hohe Anzahl von Hacker-Aktivitäten
Leider dürfte das wohl nicht der einzige „heiße Herbst“ gewesen sein. Die Hacker-Aktivitäten sind seitdem weiter hoch und benötigen das Trittbrett „Microsoft Exchange“ nicht mehr. Nach einem weiteren Peak im Frühjahr 2022 sank zunächst die Aktivität der Hacker über den Sommer, um dann zum Ende des Jahres rasch wieder anzusteigen. Auch bei der Cyberkriminalität scheint es saisonale Effekte zu geben. Die Kolleginnen und Kollegen in den Schadenabteilungen wissen gut, wovon die Rede ist.
Im Schadenfall wird schonungslos offenbart, wie gut die Risikoeinschätzung und die installierten Abwehr- und Schutzmaßnahmen funktioniert haben. Den überwiegenden Teil der angegriffenen Unternehmen erwischt es unvorbereitet und damit hart. Nicht jeder versteht sofort, was es bedeutet, Opfer einer Ransomware-Attacke geworden zu sein. „Wir spielen die Daten zurück und dann können wir Montag wieder arbeiten.“ Spätestens jetzt weiß der Claims Manager, dass er dem Vorstand oder der Geschäftsführung des betroffenen Unternehmens bittere Wahrheiten mitteilen muss: Der Patient muss umgehend in den Cyber Shock Room.
Die Analogie zum Schockraum im Krankenhaus könnte im Gegensatz zum militärischen Begriff des „Cyberwar“ nicht passender sein. Das Cyber Response Team im Schockraum hat die Aufgabe zu retten. Angegriffen wurde man dann nämlich schon, und das von professionellen Hacker-Organisationen wie LockBit 2.0, Hive oder BlackCat. Sobald klar ist, dass diese Top-Ransomware-Gangs die Angreifer sind, ist es ernst. Es braucht nun Profis mit einem klaren Plan. Genau wie in einem Schockraum im Krankenhaus. Was also charakterisiert einen Schockraum im Krankenhaus?
- Profis, Oberärzte aller notwendigen Fachrichtungen zur Aufrechterhaltung bzw. Wiederherstellung der Vitalfunktionen
- Technische Überwachung, Unterstützung, Beatmung und Stabilisierung durch Infusionen und Transfusionen
- Lebensrettende Soforteingriffe
Seite 1 IT-Sicherheit: „CYBER SHOCK ROOM“
Seite 2 Neue Anforderungen an Schadenabteilungen
Jan-Henning Evers 
- Anmelden, um Kommentare verfassen zu können
