AssCompact suche
Home
Assekuranz
18. Februar 2022
Log4j: Bestandsaufnahme und Folgen für Versicherungsbranche
Security vulnerability Log4J detected. 3d illustration.

Log4j: Bestandsaufnahme und Folgen für Versicherungsbranche

Für die Sicherheitslücke „Log4Shell“ gibt es zwar Entwarnung, eine Reaktion der Cyberversicherer ließ aber nicht lange auf sich warten. Die Markt ist nervös, regelmäßige Ausschlüsse in den Bedingungen dürfen nicht die Folge sein. Eine Einordnung vom Spezialisten für Cyberversicherungen CyberDirekt.

Ein Artikel von Ole Sieverding, Geschäftsführer von CyberDirekt

Vor etwa einem Monat, am dritten Adventswochenende, stand die IT-Security-Welt scheinbar für einen Augenblick still. Am 09.12.2021 wurde eine Schwachstelle mit dem höchstmöglichen Schweregrad (CVSS 10.0) veröffentlicht. Die weltweite IT-Sicherheitsszene überschlug sich daraufhin mit apokalyptischen Einordnungen der Situation als noch nie dagewesene schlimmste Sicherheitslücke. Die Rede ist von Log4Shell (CVE-44228), eine sehr leicht ausführbare Schwachstelle in einem Software-Schnipsel zur Protokollierung in Java-Bibliotheken, die die komplette Übernahme des betroffenen Systems erlaubt.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnte im Dezember sehr schnell und eindringlich mit der Warnstufe „Rot“ die deutsche Öffentlichkeit und berichtete von weltweiten Massen-Scans und Kompromittierungsversuchen.

Unter anderem der Bundesfinanzhof und das Land Schleswig-Holstein sahen sich nach konkreten Hacking-Angriffen gezwungen, ihre Webseiten temporär abzuschalten.

Die US-Security-Behörde CISA startet eine Warnung mit einer Entwarnung

Dann kehrte Ruhe ein. Viele Experten warnten eindringlich vor einer Schadenwelle über Weih­nachten und Neujahr. Es wurde erwartet, dass bisher unentdeckt eingerichtete Hintertüren in den Systemen von den Angreifenden über die Ruhe der Festtage ausgenutzt würden. Am 12.01.2022 gab das BSI dann Entwarnung und stufte die Warnstufe auf „Gelb“ herunter. Patches wären inzwischen in der Breite veröffentlicht, eine große Schadenwelle blieb vorerst aus und die Bedrohungslage entspannte sich erst einmal.

Jen Easterly, Direktorin der US-amerikanischen Cybersecurity and Infrastructure Security Agency (CISA) als Pendant zum deutschen BSI berichtete, dass bisher keine Bundesbehörden durch Log4Shell kompromittiert sowie keine kritischen Sicherheitsvorfälle im Zusammenhang mit der Schwachstelle von US-Unternehmen an ihre Behörde gemeldet worden seien. Diese Lagebeschreibung deckt sich auch mit dem aktuellen Kenntnisstand der Vergleichsplattform CyberDirekt in Bezug auf die Cyberversicherung in Deutschland.

Es gab bisher ein paar Verdachtsmeldungen, aber noch keine kritischen Schadenfälle im direkten Zusammenhang mit Log4Shell. Dies unterscheidet sich deutlich von der Situation im März 2021, als durch massenhafte Kompromittierungen einer Microsoft-Exchange-Schwachstelle durch die Hacking-Organisation Hafnium bei einigen Cyberversicherern eine bis dahin ungekannt hohe Zahl an Schadenmeldungen innerhalb kurzer Zeit eingingen.

Fazit ist, die Gefahr von Log4j ist noch nicht gebannt und schwelt aktuell noch mit unklarem Ende. Das BSI empfiehlt daher weiterhin die Aufrechterhaltung einer verstärkten Beobachtung von Auffälligkeiten im eigenen IT-System auch nach der Überprüfung auf aktuelle Schwachstellen und dem Einspielen von Sicherheitspatches.

Bedeutung für die Versicherungsbranche

Allerdings ist eine verstärkte Auseinandersetzung der Versicherer mit Log4j in der Vertragsanbahnung zu beobachten. Spartenübergreifend, also nicht nur in der Cyberversicherung, sondern beispielhaft gleichwohl in der Vertrauensschadenversicherung und Vermögensschadenhaftpflichtversicherung entwickeln die Risikoträger ein verstärktes Informationsbedürfnis zu Log4j und fordern die zusätzliche Beantwortung von Risiko­fragen. In der Praxis sind diese Fragen durch die Komplexität und den eingeschränkten eigenen Einflussbereich gerade für kleine und mittelständische Unternehmen kaum wahrheitsgemäß zu beantworten.

Hinzu kommen spezifische Ausschlussklauseln für Schäden im direkten oder indirekten Zusammenhang mit der Log4Shell-Schwach­stelle. Dies betrifft nach aktuellem Kenntnisstand erst mal nur Neu­geschäftsanfragen und vereinzelt Vertragsanpassungen wie die Höher­deckung von Versicherungssummen.

Tückisches Zeichen für den Cyberversicherungsmarkt

So ein Ausschluss ist schnell geschrieben und von den Risiko­trägern als Vorgabe verlangt. Die Konsequenzen für den Markt sind allerdings noch nicht absehbar.

Als Reaktion auf eine Schwachstelle, aus der sich bisher noch kein konkreter Schaden materialisierte, Neuverträge mit spezifischen Ausschlüssen zu versehen, verdeutlicht die aktuelle Unsicherheit und Hilf­losigkeit der Versicherer, mit solchen Gefahren umzugehen. Das viel größere Risiko müsste für die Versicherer im eigenen Bestand liegen. Außerdem ist unklar, wie und auf welcher Grundlage die Versicherung das Vorliegen eines solchen Ausschlusstat­bestandes nachweisen könnte.

Für die versicherten Unternehmen schürt dieses Verhalten vor allem Unsicherheit zum Regulierungsverhalten der Cyberversicherer. Wie sinnvoll und verlässlich ist ein Versicherungsprodukt, aus dem relevante Bedrohungsszenarien gleich versucht werden auszuschließen? In dem frühen Stadium des Cyberversicherungsmarktes kann dies verheerende Vertrauensverluste bedeuten.

Es bleibt abzuwarten, wie sich die Reaktion der Versicherer auf solche in Zukunft immer häufiger aufkommenden Veröffentlichungen kritischer Sicherheitsschwachstellen einpendeln wird.

Überreaktion oder Gefahr für Versicherer?

Sehen wir aktuell eine Überreaktion vereinzelter Versicherer, hervorgerufen durch die eindringliche Sicherheitswarnung des BSI? Oder übersteigt das Schadenpotenzial bestimmter Sicherheitslücken tatsächlich die Tragfähigkeit des Risikotransfers? Und muss die Versicherbarkeit ähnlich dem Kriegsausschluss pauschal begrenzt werden?

In jedem Fall bleibt die Herausforderung der Beweislast. Gerade zu Beginn eines Schadenfalls in der Chaosphase sind Ursache und Hergang unklar. Je mehr Zeit zwischen der vermeintlichen Kompromittierung und dem tatsächlichen Schadenereignis liegt, desto herausfordernder bis unmöglich wird die IT-forensische Aufklärung des Sachverhalts, vor allem wegen fehlender Protokolldaten.

Hier ist zu betonen, dass der Umgang mit kritischen Sicherheitslücken bei Standardsoftware eine große gesellschaftliche Herausforderung darstellt, der nur im gemeinsamen Schulterschluss effektiv begegnet werden kann. Dabei tragen Führungskräfte und IT-Verantwortliche in den Organisationen vor allem die Pflicht der offenen Suche und Beseitigung von bekannten Cybergefahren.

Grob fahrlässiges Unterlassen dieser ständigen Auseinandersetzung mit aktuellen Schwachstellen und der möglichst zeitnahen Reaktion durch geeignete Schutzmaßnahmen wie der Installation von bereitgestellten Sicherheitspatches sollten nicht toleriert werden. Der pauschale Ausschluss einzelner bekannt gewordener Sicherheitslücken ist dafür allerdings der falsche Anknüpfungspunkt und damit ein Irrweg.

Diesen Artikel lesen Sie auch in AssCompact 02/2022, S. 30 f., und in unserem ePaper.

Bild: © Alexander Limbach – stock.adobe.com

 
Ein Artikel von
Ole Sieverding
  • Anmelden, um Kommentare verfassen zu können

Ähnliche News

Assekuranz
Two colleagues working together to protect clients confidential information and cyber security. IT hologram padlock icons modern office background at night time
Baloise macht Anpassungen bei der Cyberversicherung
Anfang des Monats hat Baloise einige Änderungen in der Cyberversicherung an den Start gebracht. Neben neuen Leistungen wurde im Zuge der Aktualisierung auch das Preis-Leistungs-Verhältnis für Firmenkunden optimiert, wie der Versicherer bekannt gegeben hat. weiterlesen
Assekuranz
„Makler sind für Beazley wichtige Partner“
Der Versicherer Beazley ist hierzulande auf Cyber und Financial Lines spezialisiert und will nun das Europa-Geschäft ausbauen. Welche Ziele hat der Versicherer im Blick? Welche Maßnahmen will er in der Zusammenarbeit mit Maklern ergreifen? Und wie unterscheidet sich Beazley von Anbietern im Markt? weiterlesen
Assekuranz
Shield Icon and HUD in hands of cyber security in smart city, Digital Data Network Protection, Technology global network big data analysis background concept
Gothaer bietet großen Firmen digitalen Cyberabschluss
Bei der Gothaer können künftig auch große Unternehmen mit einem Umsatz von 10 bis 50 Mio. Euro ihren Cyberschutz komplett online abschließen. Die digital abschließbare Police wird dabei über eine smarte Plattform von Thinksurance angeboten. weiterlesen