Face

2019 Ausgabe 2

Cyber

Titelthema

Viele Wege führen zum Cyberschaden

Infolge der zunehmenden Digitalisierung steigt für Unternehmen die Gefahr, Opfer von Cyberkriminalität zu werden. Die Bandbreite möglicher Schäden ist hierbei groß und reicht von einem Ausfall der IT-Systeme mit einer daraus folgenden Unterbrechung der Geschäftstätigkeit über den Diebstahl wichtiger beziehungsweise sensibler Daten bis hin zu einem Reputationsverlust. In der Praxis sind Cyberschadenfälle aufgrund der umfassenden Deckung komplex und vielschichtig. Vereinfacht dargestellt besteht Deckung für Schäden des Versicherten (Eigenschaden) und Schäden Dritter infolge unbefugter Einwirkungen, Zugriffe und Nutzung von IT-Systemen des Versicherten sowie für etwaig anfallende Kosten im Zuge des Cyberschadens. Um die komplexe Risikoart besser zu verstehen, werden im Folgenden einige beispielhafte Cyberschäden aus der Praxis erläutert.

Trojaner lähmt die Produktion

In einem mittelständischen deutschen Produktionsunternehmen traten Anfang Juli 2018 vermehrt Auffälligkeiten in den IT-Systemen auf. Einige Tage später war das gesamte IT-System nicht mehr funktionsfähig, so dass der Cybervorfall daraufhin über das Cyber Incident Center gemeldet wurde. Über das Wochenende wurden bereits erste Maßnahmen organisiert und zwei IT-Forensiker zusätzlich zu dem vom Unternehmen bereits vorher beschäftigten IT-Dienstleister beauftragt. Zum Wochenstart konnten schließlich einige Teile der Belegschaft wieder ihrer Arbeit nachgehen, zusätzlich wurden verschiedene Behelfslösungen implementiert. Die forensische Analyse ergab, dass das IT-System des Unternehmens umfassend mit der Schadsoftware „Emotet“ beziehungsweise „Trickbot“ infiziert war. Hierbei handelt es sich um zwei sehr fortgeschrittene beziehungsweise komplexe Trojaner, die dazu in der Lage sind, sowohl verschiedene weitere Schadsoftwaremodule nachzuladen als auch die eigenen Spuren zu verschleiern, um so immensen Schaden anrichten zu können. Glücklicherweise konnten die IT-Forensiker im Falle des betroffenen Unternehmens jedoch keinen Datenabfluss feststellen. Parallel hierzu wurden mit Hilfe einer hinzugezogenen Rechtsanwaltskanzlei etwaige Informationspflichten geprüft und entsprechend erfüllt. Da das Bundesamt für Sicherheit in der Informationstechnik (BSI) während des laufenden Cybervorfalls eine Warnung zu „Emotet“ herausgab und nach einem Befall mit dem Trojaner einen völligen Neuaufbau der IT-Systeme empfahl, wurde dies auch im Hinblick auf das Produktionsunternehmen berücksichtigt. Damit das Unternehmen allerdings trotz des erforderlichen Neuaufbaus der IT-Systeme noch weiter produzieren konnte – wenn auch natürlich mit erheblichen Einschränkungen –, erstreckte sich dieser Vorgang auf einige Monate. Am Ende waren Kosten und Betriebsunterbrechungsschäden in Höhe von über einer Million Euro angefallen.

Digitale Erpressung gemeistert

Am 4. Juni 2018 wurden der Server und einige Arbeitsplätze einer in Italien ansässigen Tochtergesellschaft einer deutschen Kundin mittels Ransomware, also einer sogenannten Erpressungssoftware, verschlüsselt. Zwei Stunden nach der Attacke bemerkte die lokale IT die Attacke, nahm den Server vom Netz und kappte die konzerninternen Verbindungen der anderen Gesellschaften der Unternehmensgruppe. Zudem wurde die deutsche Muttergesellschaft über den Vorfall informiert, die 22 Stunden nach der Entdeckung den Schaden wiederum telefonisch über das das Cyber Incident Response Center meldete. 45 Minuten nach Eingang der Schadenmeldung kontaktierte der globale – und in diesem Fall auch in Italien – vertretene Incident Response-Dienstleister den IT-Administrator der betroffenen italienischen Gesellschaft und koordinierte als Krisenreaktionsmanager die Einschaltung eines IT-Forensikers, der gemeinsam mit der lokalen IT die Arbeitsfähigkeit wiederherstellte. Nachdem zudem sichergestellt wurde, dass alle Systeme wieder komplett fehlerfrei funktionieren, konnte die Tochtergesellschaft bereits acht Tage nach der Ransomware-Attacke ihren regulären Betrieb wieder aufnehmen und wurde erneut an das konzerninterne Netzwerk angeschlossen. Dass ein weitergehender Schaden vermieden wurde, lag insbesondere an dem guten Krisenmanagement auf Seiten der Kundin. Die schnelle Entdeckung und die unmittelbar erfolgte Abschaltung des Servers sowie das Vorhandensein von nicht infizierten Backups verhinderten einen größeren Schaden.

Einfallstor E-Mail

Der Geschäftsführer eines in Nordeuropa ansässigen Tochterunternehmens einer deutschen Versicherungsnehmerin wurde Opfer einer Phishing-Attacke, durch die sich Cyberkriminelle Zugriff auf sein E-Mail-Konto verschafften. Über einen längeren Zeitraum hinweg wurden so die E-Mails des Geschäftsführers unbemerkt an diverse E-Mail-Accounts der Täter weitergeleitet. Auf diese Weise wurde das E-Mail-Konto des Geschäftsführers und entsprechend dessen Korrespondenz ausgelesen, wodurch die Cyberkriminellen genaue Kenntnisse über die Geschäftsbeziehungen der betroffenen Tochter unter anderem zu einem in Süd- und einem in Osteuropa ansässigen Unternehmen erhielten und welche Forderungen in diesem Zusammenhang bestanden. Auf Basis dieser Informationen richteten die Täter einen neuen E-Mail- Account ein, der dem des Geschäftsführers sehr ähnlich war, und versendeten von jenem Account aus Rechnungen an beide erwähnten europäischen Geschäftspartner. Für die Empfänger war auf den ersten Blick nicht zu erkennen, dass die Mails nicht von dem Account des Geschäftsführers gesendet wurden. Hierbei wurden die Empfänger auch dazu aufgefordert beziehungsweise darum gebeten, den Rechnungsbetrag nicht auf die in den Rechnungen angegebenen Bankkonten zu überweisen, sondern hierfür stattdessen das in der E-Mail erwähnte neue Konto zu nutzen. Dieses war zwar bei der gleichen Bank, jedoch handelte es sich dabei nicht um ein Konto des Tochterunternehmens, sondern vielmehr um das der Cyberkriminellen. Nachdem der Betrug und im Zuge dessen die Phishing-Attacke bemerkt wurde, ergriffen die vom Tochterunternehmen mit der Wartung der Computersysteme beauftragten Spezialisten entsprechende Sofortmaßnahmen und entfernten die Malware von dem Rechner des Geschäftsführers. Parallel dazu übernahm ein vor Ort eingeschalteter Incident Response Manager die Koordination dafür, dass ein weiterer IT-Forensiker hinzugezogen wurde und dieser wiederum den bereits eingeschalteten Spezialisten bei der Reinigung des gesamten infizierten Systems unterstützte. Nachdem die Täuschung durch das betroffene Tochterunternehmen entdeckt wurde, ist es diesem lediglich gelungen, die Zahlung, die von dem in Osteuropa ansässigen Unternehmen geleistete wurde, rückabzuwickeln.

Zeit ist Geld

Cybervorfälle beziehungsweise -schäden wie diese können Unternehmen teuer zu stehen kommen – dieser Tatsache sind sich inzwischen die meisten Firmen bewusst. Geht es um den finanziellen Schaden, der ihnen dabei entstehen kann, erweist sich insbesondere die Reaktionszeit als entscheidend. Denn je länger ein Vorfall nicht entdeckt wird beziehungsweise werden kann, desto höhere Kosten entstehen dem betroffenen Unternehmen. Ähnliches gilt entsprechend auch für die Bearbeitung eines Cyberschadens, da ein schnelles, effizientes und richtiges Handeln maßgeblich dazu beiträgt, dass Schäden bestmöglich minimiert werden können. Und sollten im Cyberschadenfall dennoch Kosten beispielweise für Krisenreaktionsmanager, IT-Forensiker oder im Hinblick auf einen Betriebsunterbrechungsschaden anfallen, kann jenes Restrisiko durch den Versicherer getragen werden.

Björn Fehre

bfehre@chubb.com

Über den Autor

Björn Fehre ist seit 2016 Leiter der Abteilung Financial Lines Claims bei Chubb in Düsseldorf. Seine Laufbahn im Unternehmen startete er 2009 zunächst als Specialty Claims Examiner, ab 2010 übernahm er dann als Technical Supervisor die fachliche Führung des Specialty Claims für Deutschland und Österreich. Björn Fehre, Jahrgang 1975, studierte Rechtswissenschaft an der Universität Hamburg; sein zweites Staatsexamen absolvierte er am Oberlandesgericht Düsseldorf. Von 2002 bis 2009 war er als angestellter Rechtsanwalt mit den Schwerpunkten Bank- und Kapitalmarktrecht sowie Handels- und Gesellschaftsrecht tätig.

Archiv

Sie möchten eine ältere Ausgabe der Face lesen? Dann stöbern Sie bitte durch das Archiv und laden sich die entsprechende Ausgabe als PDF herunter.

Zum Archiv

Anmeldung Face

Sie möchten in Zukunft darüber informiert werden, wann die neue Ausgabe der Face hier zu lesen ist? Dann melden Sie sich bitte hier an, gerne lassen wir Ihnen eine Nachricht zukommen.