Ich fasse mal zwei Meldungen der letzten Stunden zusammen. Die WWK Versicherungen sind Mitte Dezember 2022 Opfer eines Cyberangriffs geworden. Nach einem Phishing-Angriff, bei dem Zugangsdaten erbeutet wurden, ist sich das Unternehmen nicht sicher, ob nicht persönliche Daten abgezogen werden konnten. Und der Chef der Zurich-Versicherung hat laut darüber nachgedacht, dass angesichts der sprunghaften Zunahme der Sicherheitsvorfälle Schäden von Cyberangriffen künftig nicht mehr versicherbar sein könnten.
Anzeige
Cyberangriff auf die WWK-Versicherung
Ich bin über nachfolgenden Tweet auf den Sachverhalt aufmerksam geworden, den die WWK Versicherungen aktuell auf ihrer Webseite bekannt gegeben hat. Bereits am 12. Dezember 2022 kam es zu einem breiter angelegten Phishing-Angriff auf das Mailsystem des Versicherers.
Das Informationssicherheitssystem der WWK Versicherungen hat zwar einen Phishing-Vorfall auf sein Mailsystem festgestellt. Darauf wurden laut Aussage des Unternehmens umgehend geeignete organisatorische und technische Maßnahmen ergriffen, um das Risiko zu minimieren und die WWK E-Mail-Postfächer vor unbefugten Zugriff zu schützen. Aber die, laut WWK, gut getarnten, Phishing-E-Mails gingen wahllos an WWK-Postfächer. Ziel des Angriffs war es, Zugangsdaten der WWK-Mitarbeiter zu erbeuten.
Ttrotz unverzüglich eingeleiteter umfangreicher sicherheitstechnischen und forensischen Maßnahmen kann das Unternehmen zur Zeit aber nicht sicher ausschließen, dass in dem kurzen Zeitfenster zwischen Angriff auf das Unternehmen bis zur Einleitung der Schutzmaßnahmen, auch personenbezogene Daten in betroffenen Postfächern einzelner WWK Mitarbeiter erspäht wurden. Mit anderen Worten: Einzelne Mitarbeiter sind auf den Phishing-Angriff hereingefallen und haben wohl versucht, sich an der Phishing-Seite mit ihren Zugangsdaten anzumelden.
Anzeige
Die WWK hat den Vorfall unverzüglich der zuständigen Datenschutzbehörde gemeldet und informiert potentiell Betroffene entsprechend. Gleichzeitig warnt das Unternehmen potentiell Betroffene, dass diese möglicherweise SPAM E-Mail-Nachrichten des Angreifers erhalten. Wie immer gilt, nicht auf solche E-Mails zu reagieren und diese zu löschen. Zudem sollten Betroffene auf verdächtige Vorkommnisse im Zusammenhang mit diesen Daten achten, falls erbeutete Daten für kriminelle Zwecke genutzt werden.
Die WWK Versicherungsgruppe ist eine 1884 gegründete, deutsche Versicherungsgruppe, die sich aus der WWK Lebensversicherung a.G., der WWK Allgemeine Versicherung AG, der WWK Pensionsfonds AG und der 2001 gegründeten WWK Investment S.A. zusammensetzt. Das Kerngeschäft der WWK liegt in der Vorsorge, Absicherung und Vermögensanlage.
Cyberschäden bald nicht mehr versicherbar?
Bisher scheint es sich anzudeuten, dass Firmen die Schäden von Cyberangriffen noch auf die leichte Schulter nehmen, weil man diese durch entsprechende Versicherungen abgedeckt sieht. Ähnlich wie die zunehmende Zahl an Schadensfällen durch Naturkatastrophen werden die im Bereich Cybersicherheit tätigen Versicherer durch eine steigende Zahl an Schadensfällen gebeutelt. Das dies nicht munter weiter gehen kann, muss eigentlich allen Beteiligten klar sein. Brett Callow, Threat Analyst bei Emisoft, weist in folgendem Tweet auf einen Artikel der Financial Times (FT) hin, der einige Leute trotzdem aufschrecken wird.
Mario Greco, Geschäftsführer der Zurich Versicherungsgruppe mit Sitz in Zürich warnt in einem Statement gegenüber der FT davor, dass Cyberangriffe künftig "nicht mehr versicherbar" seien, da die Störungen durch Hackerangriffe weiter zunehmen. Greco sagte gegenüber der FT: "Was nicht mehr versicherbar sein wird, wird Cyber sein. Zunächst einmal muss die Erkenntnis entstehen, dass es nicht nur um Daten geht. Es geht um die Zivilisation. Diese Leute können unser Leben ernsthaft stören." Greco fragt: Was ist, wenn jemand die Kontrolle über lebenswichtige Teile unserer Infrastruktur übernimmt, was sind die Folgen?
Angriffe auf medizinische Einrichtungen, die Kliniken lahm legen, und die Angriffe auf kritische Infrastrukturen wie Pipelines oder Regierungen verursachen erhebliche Störungen. Die Vorfälle haben die Besorgnis über dieses wachsende Risiko unter den Führungskräften der Branche geschürt. Laut Greco geht die immer noch vorhandene Fokussierung auf das Risiko für die Privatsphäre des Einzelnen am Gesamtbild vorbei. Die Cyber-Schäden nach einem erfolgreichen Ransomware-Vorfall sind zuletzt sprunghaft gestiegen. Die Versicherer reagieren mit Sofortmaßnahmen, um das eigene Risiko zu begrenzen. Das reicht von steigenden Versicherungsprämien bis hin zu Policen, bei denen der Selbstbehalt der Kunden bei Schäden deutlich höher als in der Vergangenheit ist.
Zudem scheint es inzwischen für bestimmte Angriffsarten bereits Ausschlussklauseln in den Verträgen zu geben. In der FT wird der NotPetya-Angriff auf den Schweizer Lebensmittelkonzern Mondelez genannt. Der Angriff verursachte bei Mondelez Schäden in Höhe von 100 Millionen US-Dollar, deren Begleichung 2019 von der Zurich Versicherung zunächst mit Verweis auf eine Klausel in der Police, die eine "kriegerische Handlung" ausschließt, verweigert wurde. Es hat wohl später eine Einigung zwischen den Parteien gegeben.
Die FT erwähnt eine Forderung des britischen Versicherers Lloyd's, dass künftig abgeschlossenen Versicherungspolicen einen Haftungsausschluss für staatlich unterstützte Angriffe enthalten sollten. Sofern die Software-Branche und die Unternehmen das Thema Cyber-Risiken und Cyber-Angriffe nicht in den Griff bekommen, dürfte dies mittelfristig ganze Unternehmen aus dem Markt drängen. Keine guten Aussichten für 2023 und darüber hinaus.
Anzeige
Mit einem "On Premise" Mailserver der nicht im Internet hängt sondern nur per VPN von extern zugreifbar ist wäre das nicht passiert, da muss man sich keine Sorgen machen, denn die internen Logindaten bringen dem Angreifer gar nichts wenn der Login von außen nicht möglich ist. Da müsste der Angreifer schon im internen Netz sein, aber dann wäre es eh schon zu spät. Alternativ würde auch eine 2FA helfen, so das der reine Login den Angreifer auch nicht direkt weiter bringt.
Viel schlimmer ist die Tatsache das man im Falle einer "Cyberversicherung" gegenüber der Versicherung seine Sicherheitskonzepte und Infrastruktur offenlegen muss, inkl. Meldepflicht aller zukünftiger Änderungen. Wird die Versicherung erfolgreich angegriffen werden dem Angreifer gleich zig weitere potenzielle Ziele inkl. deren Sicherheitskonzepte frei Haus geliefert. Da kann man nur hoffen das die "Versicherungen" diese Daten verschlüsselt auf ihren Servern ablegen. Interessant wäre es auch in wie weit bei der Versicherung "Awareness" Schulungen erfolgt sind, diese werden beim Versicherten ja genau wegen solchen Angriffen regelmäßig eingefordert.
Das Thema sollte man am Ende aber auch nicht zu sehr auf die Cyberversicherung fokussieren, es greifen noch diverse andere Versicherungen wenn ein Betrieb aufgrund eines Angriffes nicht mehr Handlungsfähig ist, wie z.B. Betriebsausfall-/Unterbrechungsversicherungen. Die Cyberversicherung ist nur ein weiteres Produkt bei denen sich die Versicherungen durch hohe Auflagen erhofft haben das es profitabel vermarktetet werden kann.
Also ich weiß ja nicht wie bei MS ein VPN konfiguriert wird. Früher hing das der VPN client im Netz als sei er im LAN. Schon allein wenn man die Kommunikation mit anderen Clients dadurch unterbinden wollte, in dem deren Namens Auflösung nicht per DNS macht..
Auch hörte ich, das gewisse User sich daran stören, das sie 2 Usernamen+Passwörter eingegeben müssen.
Einmal für das VPN und einmal für das Exchange…
Und was nützt ein VPN, wenn der Client Rechner übernommen worden ist, ja jeder Client Rechner völlig frei mit jedem anderen Rechner auf der Welt kommunizieren darf, ohne lästigen Zwangsproxy und einem auf das Hausnetz beschränkte DNS?
Dadurch das man etwas komplizierter macht, wird es niemals sicherer. Auch wenn das Marketingler anders darstellen, sie wollen ja an dein Geld.
Was ist das für ein Vergleich?
Mit einem Phishing Angriff, wie im Artikel beschrieben, greife ich nur Logindaten ab, damit übernehme ich kein PC oder Laptop. Die Logindaten bringen dem Angreifer aber nur was wenn er diese irgendwo nutzen kann. Nutzen konnte er diese im beschrieben Fall indem er sich an dem Firmenmailserver angemeldet hat der 24/7 aus dem Internet erreichbar war.
Da ist es im Ansatz schon 100x sicherer sein Mailserver nur im internen Netz zu haben und den Zugriff von aussen über VPN zu regeln. Denn solange meine Infrastruktur nur im internen Netz zugreifbar ist bringt einem Angreifer mein Login gar nichts. Das Szenario das der Angreifer den Rechner mit dem VPN Client übernommen hat ist ein ganz anderes.
Komfort und Sicherheit schließen sich leider in 95% aller Fälle aus. Will jemand es einfach, ist es unsicherer. Ist der Benutzer nicht bereit seinen Komfort aufzugeben bekommt er eben kein VPN und damit keinen Zugriff.
Ohne 2FA nützt ein VPN gar nichts, denn Millionen gephishter Credentials schwirren im Netz herum.
Wobei es schon schräg ist Folgen von Inkompetenz und Geldgier versichern zu können.
Sein wir doch mal ehrlich:
Die meisten Desaster passieren in dem Umgeld weil die Leute keine Ahnung haben und das auch wissen so aufgrund von Entscheidungen das Geld in die eigene Tasche gehört und nicht zum Schutz des Unternehmens verwendet werden muss.
Gruß
Wer nur einen Hammer als Werkzeug kennt,
für den ist jedes Problem ein Nagel.
Wenn ich mein know bei MS gewonnen habe, 100 Millionen Fliegen das Produkt benutzen, ich meinen Reibach machen kann, warum sollte ich nach einem Substitute suchen, das mich arbeitslos machen könnte, weil mein Wissen nicht dafür reicht?
Keine Ahnung warum immer noch nicht IT Unternehmen, die keine 7×24 Cyber Security Organisation haben glauben ihre eigene IT betreuen zu können. Keine Ahnung warum sie eine Identität klauen könnten und diesen Impact hatten?
Hat man geschult? Zero Trust? Eine offene und gute Fehlerkultur? Man wird sehen…
Darum sind wir ja in der Cloud.
Da sind wir sicher und Chefffle muß nur das machen was er kann: Schecks unterschreiben.
Je mehr Geld wir ausgegeben, je mehr externe Dienste wir kaufen umso sicherer sind wir.
Eine offene Fehler Kultur?
Wo lebst du?
Wenn ich zugeben würde, das sie schon wieder eine meiner Kisten aufgemacht haben, was werden die von mir halten?
"Der Typ hat doch keine Ahnung!"
Oder?
Sage ich nichts, repariere ich nur, bin ich der Held der die Firma gerettet hat.
Was werde ich wohl machen?
Jetzt musst du mal bitte erklären, warum ausnahmslos jedes IT-Unternehmen eine "7×24 Cyber Security Organisation" benötigt und wo der Zusammenhang mit dem IT-Management besteht. Danke.
Ransomware-Angreifer richten sich leider nicht nach deutschen Bürozeiten.
Oh, interessant der Gedanke, Unfähigkeit bzw. Tatenlosigkeit in der IT soll nicht mehr versicherbar sein. Was das wohl wird…