Vor ca. einem Monat am dritten Adventswochenende stand die IT-Security-Welt scheinbar für einen Augenblick still. Am 9. Dezember 2021 wurde eine Schwachstelle mit dem höchstmöglichen Schweregrad (CVSS 10.0) veröffentlicht. Die weltweite IT-Sicherheitsszene überschlug daraufhin mit apokalyptischen Einordnungen der Situation als noch nie dagewesene schlimmste Sicherheitslücke.
Die Rede ist von Log4Shell (CVE-44228), eine sehr leicht ausführbare Schwachstelle in einem Software-Schnipsel zur Protokollierung in Java-Bibliotheken, die die komplette Übernahme (Remote Execution) des betroffenen Systems erlaubt.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnte im Dezember sehr schnell und eindringlich mit der Warnstufe „rot“ die deutsche Öffentlichkeit und berichtete von weltweiten Massen-Scans und Kompromittierungsversuchen.
Unter anderem der Bundesfinanzhof und das Land Schleswig-Holstein sahen sich durch konkrete Hacking-Angriffe gezwungen ihre Webseiten temporär abzuschalten.
Dann ist Ruhe eingekehrt, auch in die mediale Berichterstattung. Viele Experten haben eindringlich vor einer Schadenwelle über die Feiertage zwischen Weihnachten und Neujahr gewarnt. Es wurde erwartet, dass bisher unentdeckt eingerichtete Hintertüren in den Systemen von den Angreifenden über die Ruhe der Festtage ausgenutzt werden.
Am 12. Januar 2022 gibt das BSI dann Entwarnung und stuft die Warnstufe auf „gelb“ herunter. Patches seien inzwischen in der Breite veröffentlicht, eine große Schadenwelle ist vorerst ausgeblieben und die Bedrohungslage habe sich erstmal entspannt.
Auch Jen Easterly, Direktorin der US-amerikanischen Cybersecurity and Infrastructure Security Agency (CISA) also Pendant zum deutschen BSI, berichtete in einer Pressemitteilung, dass bisher keine Bundesbehörden durch Log4Shell kompromittiert wurden und auch keine kritischen Sicherheitsvorfälle im Zusammenhang mit der Schwachstelle von US-Unternehmen an ihre Behörde gemeldet wurde.
Diese Lagebeschreibung deckt sich auch mit dem aktuellen Kenntnisstand von CyberDirekt in Bezug auf die Cyber-Versicherung in Deutschland.
Es gab bisher ein paar Verdachtsmeldungen, aber noch keine kritischen Schadensfälle im direkten Zusammenhang mit Log4Shell. Dies unterscheidet sich deutlich von der Situation im März 2021, wo durch massenhafte Kompromittierungen einer Microsoft Exchange Schwachstelle durch die Hacking-Organisation Hafnium bei einigen Cyber-Versicherern eine bis dahin ungekannt hohe Zahl an Schadenmeldungen innerhalb kurzer Zeit gemacht wurden.
Die Gefahr in Sachen Log4J ist noch nicht gebannt und schwelt aktuell noch mit unklarem Ende vor sich hin. Eine massenhafte Ausnutzung, ähnlich wie beim REvil-Angriff über die US-Monitoring-Software von Kaseya bei der im Juli 2021 weltweit bis zu 1.500 innerhalb kürzester Zeit von Ransomware-Angriffen betroffen waren, könnte auch hier ein ähnliches Szenario eintreten.
Das BSI empfiehlt daher auch weiterhin die Aufrechterhaltung einer verstärkten Beobachtung von Auffälligkeiten im eigenen IT-System auch nach der Überprüfung auf aktuelle Schwachstellen und dem Einspielen von Sicherheitspatches.
Bedeutung für die Versicherungsbranche
Allerdings ist eine verstärkte Auseinandersetzung der Versicherer mit Log4J in der Vertragsanbahnung zu beobachten. Spartenübergreifend, also nicht nur in der Cyber-Versicherung, sondern beispielhaft auch in der Vertrauensschadenversicherung und Vermögensschadenhaftpflichtversicherung, entwickeln die Risikoträger ein verstärktes Informationsbedürfnis zu Log4J und fordern die zusätzliche Beantwortung von Risikofragen. In der Praxis sind diese Fragen durch die Komplexität und den eingeschränkten eigenen Einflussbereich gerade für kleine und mittelständische Unternehmen kaum wahrheitsgemäß zu beantworten.
Hinzu kommen spezifische Ausschlussklauseln für Schäden im direkten oder indirekten Zusammenhang mit der Log4Shell Schwachstelle. Dies betrifft nach unserer Kenntnis aktuell erstmal nur Neugeschäftsanfragen und vereinzelt Vertragsanpassungen wie die Höherdeckung von Versicherungssummen.
Tückisches Zeichen für den Cyber-Versicherungsmarkt
So ein Ausschluss ist schnell geschrieben und von den Risikoträgern als Vorgabe verlangt. Die Konsequenzen für den Markt sind allerdings noch nicht absehbar.
Als Reaktion auf eine Schwachstelle aus, der sich bisher noch kein konkreter Schaden materialisiert hat, Neuverträgen mit spezifischen Ausschlüssen zu versehen verdeutlicht die aktuelle Unsicherheit und Hilflosigkeit der Versicherer mit solchen Kumulgefahren umzugehen. Das viel größere Risiko müsste für die Versicherer im eigenen Bestand liegen. Außerdem ist unklar, wie und auf welcher Grundlage die Versicherung das Vorliegen eines solchen Ausschlusstatbestandes nachweisen könnte.
Für die versicherten Unternehmen schürt dieses Verhalten vor allem Unsicherheit zum Regulierungsverhalten der Cyber-Versicherer. Wie sinnvoll und verlässlich ist ein Versicherungsprodukt, aus dem relevante Bedrohungsszenarien gleich versucht werden auszuschließen? In dem frühen Stadium des Cyber-Versicherungsmarktes kann dies verheerende Vertrauensverluste bedeuten.
Es bleibt spannend abzuwarten, wie sich die Reaktion der Versicherer auf solche in Zukunft immer häufiger aufkommenden Veröffentlichungen kritischer Sicherheitsschwachstellen einpendeln wird.
Sehen wir hier aktuell eine Überreaktion vereinzelter Versicherer hervorgerufen durch die besonders eindringliche Sicherheitswarnung des BSI? Oder übersteigt das Schadenpotential durch bestimmte Sicherheitslücken tatsächlich die Tragfähigkeit des Risikotransfers und die Versicherbarkeit muss ähnlich dem Kriegsausschluss pauschal begrenzt werden?
In jedem Fall bleibt die Herausforderung der Beweislast. Gerade zu Beginn eines Schadenfalls in der Chaosphase ist die Ursache und Infektionshergang unklar. Je mehr Zeit zwischen der vermeintlichen Kompromittierung des IT-System und dem tatsächlichen Schadenereignis liegen desto herausfordernder bis unmöglich wird die IT-forensische Aufklärung des Sachverhalts, vor allem durch fehlende Protokolldaten sein.
Hier sei nochmal gesagt, dass der Umgang mit kritischen Sicherheitslücken in Standardsoftware eine große gesellschaftliche Herausforderung darstellt, der nur im gemeinsamen Schulterschluss effektiv begegnet werden kann. Dabei tragen Führungskräfte und IT-Verantwortliche in den Organisationen vor allem die Pflicht der offenen Suche und Beseitigung von bekannten Cyber-Gefahren.
Grobfahrlässiges Unterlassen dieser ständigen Auseinandersetzung mit aktuellen Schwachstellen und eine möglichst zeitnahe Reaktion durch geeinigte Schutzmaßnahmen, wie der Installation von bereitgestellten Sicherheitspatches betroffener Anwendungen, sollte nicht toleriert werden. Der pauschale Ausschluss einzelner bekannt gewordener Sicherheitslücken ist dafür allerdings der falsche Anknüpfungspunkt und damit ein Irrweg.