AssCompact suche
Home
Assekuranz
8. Januar 2023
IT-Sicherheit: „CYBER SHOCK ROOM“
Akten mit der Beschriftung Notfallplan

IT-Sicherheit: „CYBER SHOCK ROOM“

Das Jahr 2021 hat die Anbieter von Cyberversicherungen einem ordentlichen Drucktest unterzogen. Die Zero-Day-Lücke in Microsoft Exchange und die grundsätzlich steigende Angriffsintensität der international organisierten Cyberkriminalität hat die Schadenabteilungen gefordert. Ein Blick hinter die Kulissen.

Ein Artikel von Jan-Henning Evers, Rechtsanwalt und Managing Director Global Claims bei der COGITANDA Claims Services GmbH

So oder so ähnlich stellte sich das Wochenendprogramm der Schadenabteilungen der Cyberversicherer im „heißen Herbst 2021“ dar: ++ Samstag im Oktober 2021 ++ 18:14 Uhr ++ Anruf über die 24/7-­Cyber Notfall-Hotline ++ Neuschadenmeldung: Ransomware-Attacke ++ Erpresser-Nachricht von LockBit2.0 ++ Bereitschaftsdienst Claims Management ist sofort dran ++ 18:45 Uhr ++ erster Call mit Claims Manager, IT-Forensiker, Versicherungsnehmer, seinem IT-Dienstleister und dem Makler ++

Denn das vierte Quartal des Jahres 2021 hatte es in sich. Die Sommerpause war vorbei und die Hacker, allen voran die Top-Ransomware-Gangs, waren umtriebig. Sie hatten zum Teil bereits im Frühjahr über die Sicherheitslücke in Microsoft Exchange die Netzwerke von Unternehmen infiltriert, um sie nun zu verschlüsseln. Laufend trafen neue Ransomware-Schadenmeldungen bei den Versicherern ein. Am Ende stand (zu) häufig ein ungepatchter Microsoft Exchange-Server als Einfallstor für den Schadenfall.

Hohe Anzahl von Hacker-Aktivitäten

Leider dürfte das wohl nicht der einzige „heiße Herbst“ gewesen sein. Die Hacker-Aktivitäten sind seitdem weiter hoch und benötigen das Trittbrett „Microsoft Exchange“ nicht mehr. Nach einem weiteren Peak im Frühjahr 2022 sank zunächst die Aktivität der Hacker über den Sommer, um dann zum Ende des Jahres rasch wieder anzusteigen. Auch bei der Cyberkriminalität scheint es saisonale Effekte zu geben. Die Kolleginnen und Kollegen in den Schadenabteilungen wissen gut, wovon die Rede ist.

Im Schadenfall wird schonungslos offenbart, wie gut die Risikoeinschätzung und die installierten Abwehr- und Schutzmaßnahmen funktioniert haben. Den überwiegenden Teil der angegriffenen Unternehmen erwischt es unvorbereitet und damit hart. Nicht jeder versteht sofort, was es bedeutet, Opfer einer Ransomware-Attacke geworden zu sein. „Wir spielen die Daten zurück und dann können wir Montag wieder arbeiten.“ Spätestens jetzt weiß der Claims Manager, dass er dem Vorstand oder der Geschäftsführung des betroffenen Unternehmens bittere Wahrheiten mitteilen muss: Der Patient muss umgehend in den Cyber Shock Room.

Die Analogie zum Schockraum im Krankenhaus könnte im Gegensatz zum militärischen Begriff des „Cyberwar“ nicht passender sein. Das Cyber Response Team im Schockraum hat die Aufgabe zu retten. Angegriffen wurde man dann nämlich schon, und das von professionellen Hacker-Organisationen wie LockBit 2.0, Hive oder BlackCat. Sobald klar ist, dass diese Top-Ransomware-Gangs die Angreifer sind, ist es ernst. Es braucht nun Profis mit einem klaren Plan. Genau wie in einem Schockraum im Krankenhaus. Was also charakterisiert einen Schockraum im Krankenhaus?

  • Profis, Oberärzte aller notwendigen Fachrichtungen zur Aufrechterhaltung bzw. Wiederherstellung der Vitalfunktionen
  • Technische Überwachung, Unterstützung, Beatmung und Stabilisierung durch Infusionen und Transfusionen
  • Lebensrettende Soforteingriffe
Neue Anforderungen an Schadenabteilungen

Ein professionelles Cyber Response Team geht genauso vor. Gefragt sind anstatt Kardiologie, Neurologie und Chirurgie jetzt allerdings IT-Forensik, IT-Sicherheit & Netzwerk-Architektur, externes und internes Krisenmanagement, Recht, Compliance und Datenschutz.

Jeder muss im Cybernotfall sofort wissen, was zu tun ist und wo wie und mit wem zu interagieren ist. Und: Alles muss an einer Führungsstelle zusammenlaufen. Jeder Profi akzeptiert seine Rolle im Cybernotfall. Diskussionen um Ego und Eitelkeit sind tabu. Steht eine solche Formation, dann dürften die schlimmsten Folgen in den nächsten zwei bis sechs Wochen überwunden sein. Maßgeblich für die Dauer der Instandsetzung sind im Wesentlichen die Komplexität des angegriffenen Netzwerks, wie weit die Hacker in das Netzwerk eindringen konnten und vor allem die Qualität der Back-ups.

All das klingt nicht nach dem Alltag in einer durchschnittlichen Schadenabteilung eines Versicherers. Es ist aber das Anforderungsprofil an einen Cyberversicherer, um sein Leistungsversprechen einzulösen. Die Schadenabteilung eines Cyberversicherers ist also vielmehr eine mehrfach redundante Incident-Response-Einheit, die auch Deckung und Haftung prüfen kann. Damit sind 24/7-Verfügbarkeit und die Fähigkeit, Lotse für ein Unternehmen in einer veritablen Krise zu sein, in den Alltag der Schadenabteilungen eingezogen.

Risikomanagement ist gefragt

Die Versicherungsindustrie nimmt beim Thema Cyberkriminalität eine besondere Rolle ein. Sie ist es, die mit den richtigen und notwendigen Mindestanforderungen für die Versicherbarkeit des Cyberrisikos von Unternehmen die bisher nicht vorhandenen Standards definiert. Das Cyberrisiko ist nämlich nicht branchenspezifisch. Es bezieht sich nicht auf besondere Unternehmens- oder Umsatzgrößen. Solange es für Hacker so einfach bleibt, Unternehmen anzugreifen, werden die Angriffe in der heutigen Intensität weitergehen.

Eine Cyberversicherung sollte daher auf der Tagesordnung jedes Risikomanagements eines jeden Unternehmens stehen. Entscheidet sich ein Unternehmen für eine solche Versicherung, müssen die Anforderungen der Versicherer erfüllt werden, um ein akzeptables Risiko zu sein. Hier ist der Weg für viele Unternehmen noch weit und meist auch mit einem substanziellen Investment verbunden. Was passiert, bis das umgesetzt ist? Ein Angriff kann jederzeit erfolgen.

Manche Unternehmen und auch spezielle Branchen sind aufgrund des bei ihnen immanenten Risikos und noch nicht ausreichender IT-Sicherheitsvorkehrungen bis auf Weiteres „unversicherbar“. Eine Lösungsmöglichkeit ist, selbst ein Cyber Response Team im Zugriff zu haben.

Cyber Response Service

Sofortige Abhilfe kann hier nur noch ein externer Cyber Response Service bringen. Der IT-Sicherheits-Markt boomt. Es gibt viele Anbieter, die Leistungen im Bereich der IT-Sicherheit anbieten. Hier sollte man sehr genau hinsehen. Denn einen Zugang zu einem echten CYBER SHOCK ROOM kann fast niemand im Markt anbieten. Im besten Fall sind es Teilelemente dessen, aber eben nicht alle notwendigen Skills. Die tatsächliche Wert- haltigkeit eines solchen Angebots ist in der Krise schnell beantwortet. Also lieber gleich die echten Profis auswählen und sich eine im Zweifel sehr harte Erfahrung ersparen.

Diesen Artikel lesen Sie auch in AssCompact 01/2023, S. 44 f., und in unserem ePaper.

Bild: © Zerbor – stock.adobe.com

 
Ein Artikel von
Jan-Henning Evers