Was ist passiert? 

Das Tech Magazin WIRED berichtete bereits am 05.03.2021 über Sicherheitslücken im Microsoft Exchange System und bezog sich hierbei auf Informationen der Sicherheitsfirma Volextiy. Demnach nutzte die chinesische Hackergruppe Hafnium seit Anfang Januar eine Zero-Day-Schwachstelle des Microsoft-Exchange-Systems, um weltweit Webshells (Hintertüren) in den Netzwerken von Unternehmen und Institutionen zu installieren. Zunächst richteten sich die Angriffe gezielt auf Systeme von US-Institutionen.  Als Reaktion auf ein von Microsoft angekündigtes Sicherheitsupdate zum 02.03.2021 wurden die Angriffe jedoch Ende Februar massiv intensiviert und gezielt auf über das Internet erreichbare Microsoft-Exchange-Server gerichtet. In diesem Zeitraum wurden stündlich tausende Server weltweit kompromittiert.  Explizit nutzten die Hacker zuvor unentdeckte Schwachstellen in den Microsoft On-Premises Exchange Server Versionen 2013, 2016 und 2019. On-Premises beschreibt in diesem Zusammenhang die Installation und den selbständigen Betrieb der Microsoft-Server in der eigenen Unternehmensumgebung oder angemieteten Rechenzentren. Laut Microsoft sind cloudbasierte E-Mail-Dienste von der Sicherheitslücke nicht betroffen. Vor dem Hintergrund des strengen Datenschutzes in Deutschland, ist die lokale Speicherung von sensiblen Daten durch die On-Premises Lösungen jedoch weiterhin sehr verbreitet und daher die deutsche Unternehmerlandschaft besonders betroffen.                                 

Warum ist die Thematik für Sie relevant? 

Das Ausmaß: Die Brisanz der Thematik wird insbesondere durch das Ausmaß der Angriffe verdeutlicht. Laut der Server-Suchmaschine Shodan sind in Deutschland 57.000 Server durch die Schwachstellen betroffen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) geht offiziell von 9.000 kompromittieren Unternehmen in Deutschland aus, wobei die tatsächliche Anzahl an betroffenen Systemen deutlich höher einzuschätzen ist.

Die weiteren Folgen: BleepingComputer berichtete am 11.03.2021 über die Installation von Ransomware namens „Dear Cry“ durch das Ausnutzen der Microsoft-Sicherheitslücken. Die Angriffe begannen bereits am 09.03.21 und wurden seitens Microsoft am 12.03.21 bestätigt. Wie aus dem Begriff Ransom (engl. für Lösegeld) bereits ersichtlich, werden durch die Installation der Ransomware das gesamte Betriebssystem oder einzelne Daten verschlüsselt. Für die Entschlüsselung der Daten fordern die Hacker Lösegeld, meist in Form von Kryptowährungen. Unter Betrachtung der Anzahl an bereits kompromittierten Servern sowie der bisherigen Vorgehensweise der Hacker, kann davon ausgegangen werden, dass die bereits eingerichteten Webshells an weitere Hackergruppen weiterverkauft werden könnten. Hierdurch würde die Gefahr eines Angriffs durch Ransomware nochmals drastisch gesteigert. Vor diesem Hintergrund hat das Bundesamt für Sicherheit in der Informationstechnik die höchste IT-Bedrohungslage 4/ Rot ausgerufen. Demnach schätzt das BSI die Bedrohungslage als sehr kritisch ein.

Das Update: Microsoft veröffentlichte am 13.04.2021 Sicherheitsupdates für vier weitere Sicherheitslücken der Exchange-Server. Die neuen Sicherheitslücken seien über die National Secruity Agency (NSA) entdeckt und an Microsoft herangetragen worden. Wie bereits im März sind die Microsoft On-Premises Exchange Server Versionen 2013, 2016 und 2019 betroffen. Laut Microsoft und dem BSI sind durch die neuen Sicherheitslücken bislang keine Server mit Schadsoftware kompromittiert worden. Dennoch empfiehlt das BSI eine sofortige Installation der von Microsoft zur Verfügung gestellten Patches, da ansonsten weiterhin ein externer Angriff auf die Unternehmenssysteme droht. Der am 19.05.2021 veröffentlichte Report des auf IT-Sicherheit spezialisierten Start-ups Vectra Al bestätigt eine andauernde Anfälligkeit der Microsoft-Exchange-Systeme. Der Report stützt sich auf eine umfassende internationale Umfrage von Sicherheitsexperten und verdeutlicht nochmals die akute Dringlichkeit der präventiven Maßnahmen im Bereich der IT-Sicherheit. 

Wie hätten Sie sich schützen können?

Hätte Sie ein Cyberversicherung vor der Kompromittierung schützen können? 

Diese Frage muss eindeutig mit Nein beantwortet werden. Cyberdirekt sowie eine Vielzahl von Experten vertreten die Meinung, dass im Fall einer Zero-Day-Attacke ein systemseitiger Vorabschutz mit einer hohen Wahrscheinlichkeit nicht zu gewährleisten ist. Die Microsoft-Exchange-Sicherheitslücke steht exemplarisch dafür, dass sich selbst die größten IT-Dienstleister vor diesen Attacken nicht schützen können. 

Berechtigterweise wird jetzt vermehrt hinterfragt, hätte ich mein Unternehmen durch den Abschluss einer Cyberversicherung vor der Kompromittierung schützen können? Im Fall einer Zero-Day-Schwachstelle liegt die Gefahr darin, dass durch eine Schwachstelle im System eines Dienstleisters (in diesem Fall Microsoft) externe Dritte Zugriff auf Unternehmensdaten erhalten. Das heißt die Antwort auf die Frage lautet ebenfalls Nein. Eine Cyberversicherung schützt Sie im Falle eines Zero-Day-Angriffs genauso wenig vor der Kompromittierung ihrer Systeme, wie Ihre Krankenversicherung Sie vor Krankheiten bewahrt. Im Fall der Fälle ist es jedoch existenzsichernd, auf einen bestehenden Versicherungsschutz zurückgreifen zu können.

Welcher Vorteile haben Unternehmen mit abgeschlossener Cyberversicherungen?

Die Cyberversicherung hätte Ihnen bereits im Verdachtsfall einer Kompromittierung ihrer Systeme innerhalb kürzester Zeit eine professionelle Akuthilfe anhand ausgewählter, hochqualifizierter IT-Spezialisten zugesichert. Die aktuelle Situation zeigt, dass durch die hohe Anzahl von betroffenen Servern die Nachfrage nach kurzfristiger IT-Unterstützung stark ansteigt und an Bedeutung gewinnt. Explizit wären ihre Systeme zunächst auf bereits erfolgte Kompromittierungen überprüft worden und anschließend wäre die vorhandene Sicherheitslücke geschlossen worden. Darüber hinaus wäre im Fall einer Datenschutzverletzung eine Meldung nach Artikel 33 DS-GVO an die zuständige Aufsichtsbehörde erfolgt. Die hierbei anfallenden Kosten sowie weitere Folgeschäden durch die Sicherheitslücke werden hierbei durch die Cyberversicherung gedeckt. 

Als Unternehmer sollten Sie dringend den Abschluss einer Cyber-Versicherung prüfen. Über CyberDirekt erhalten Sie einen Vergleich der leistungsstärksten Versicherungsprodukte in diesem Bereich.