Cyber-Risiken gelten in der Wahrnehmung von CEOs und Unternehmen mittlerweile als eine der Hauptbedrohungen für die globale Marktwirtschaft. Versicherer liefern einen wichtigen Beitrag zum Funktionieren unserer Marktwirtschaft für das Risikomanagement. Aufgrund dessen haben sich vor wenigen Jahren auch die ersten Cyber Versicherungen in Deutschland und Kontinentaleuropa herausgebildet. Der noch vergleichbar junge Bereich der Cyber-Versicherungssparte könnte bald einen ersten Präzedenzfall erleben, denn zwischen dem Lebensmittelkonzern Mondelēz und dem Versicherer Zurich ist es zu einem Rechtstreit gekommen. Bei diesem geht es um die Frage, wie bestimmte Klauseln eines Versicherungsvertrages in Bezug auf Cyber-Attacken ausgelegt werden. Im konkreten Fall geht es um eine Deckung von 100 Mio $ und einem entstandenen Schaden von etwa 180 Mio $. Als Experten im versicherungsfachlichen Umfeld und mit vertieften Kenntnissen im Bereich Cyberrisk-Rating, möchten wir von PPI dieses Thema und seine Auswirkungen auf den Cyber Versicherungsmarkt nicht aus juristischer, aber aus fachlicher sowie technischer Sicht kurz und präzise beleuchten.
Was ist vorgefallen
Der Lebensmittelkonzern Mondelēz wurde Opfer der Windows-Malware NotPetya und erlitt Schäden von etwa 180 Mio $. Unter anderem waren diese Schäden gezeichnet, durch die Verschlüsselung und Beschädigung von unzähligen Laptops, den Folgekosten durch Produktionsausfall und den Kosten für die Fehleranalyse und Wiederherstellung. Gegen diese Risiken hatte sich das Unternehmen im Vorfeld mit einer Cyber-Police geschützt. Die Deckungssumme dieser Police betrug 100 Mio $ und sollte Schäden in folgenden Bereichen abdecken: physischer Datenverlust, Beschädigung elektronischer Daten oder Software, Schäden durch böswillig eingebrachten Schadcode oder Anweisungen[1] ab. Somit wäre zumindest ein Großteil der Schäden abgesichert gewesen. Der Versicherer Zurich hatte anfänglich einer Schadenregulierung zugestimmt, im späteren Verlauf die Regulierung allerdings gestoppt. Der Versicherer berief sich auf neue Erkenntnisse im Schadenprozess, welche sich direkt auf die Versicherungsbedingungen auswirkten. Denn sowohl in den USA, als auch in anderen Ländern, wurden kritische Stimmen laut, dass es sich bei der Schadsoftware um das Werk von Hackern mit russischem Ursprung handeln könnte. Diese sollen im staatlichen Auftrag gehandelt haben oder für eine regierungsnahe Organisation tätig gewesen sein. Tatsächlich werden in den Versicherungsbedingungen vieler Versicherer Kriegshandlungen oder kriegsähnliche Handlungen ausgeschlossen. Diese Ableitung hat die Zurich hier aufgrund der Russland-Thematik getroffen.
„NotPetya – Wer soll der Schuldige sein“:
Wer ist der Schuldige? Die Vermutungen, Verdachtsmomente und Spekulationen lesen sich wie ein guter Mix aus Kriminalbericht, Agentenroman und SciFi-Drehbuch. Die aufgezeigten Wege führen demnach nach Russland und die Ähnlichkeit zum Cyberangriff „Petya“ könnte eine Tarnung zur Spurenverwischung gewesen sein. Anders als bei Petya ist es in diesem Fall nicht möglichgewesen, die verschlüsselten Geräte gegen Zahlung von „Lösegeld“ wieder zu aktivieren. Dieser Umstand hat sich besonders kritisch auf betroffene Systeme in digitalisierten Produktionsstrecken ausgewirkt.
Technische Sicht – Wie sich der Wurm verbreitet hat:
Die EternalBlue Schwachstelle im Windows SMB-Dienst war das Ziel von NotPetya. Server Message Block (SMB) ist ein Netzprotokoll für Datei-, Druck- und andere Serverdienste in Rechnernetzen und wird für den Dateiaustausch zwischen Windows Systemen mit Unix Systemen verwendet. Windows XP und Windows 2000 nutzen die Version 1 des Protokolls standardmäßig. Der standardmäßige SMB Port ist 445. Ab Windows Vista stehen auch neuere Versionen (SMBv2 und SMBv3) zur Verfügung, jedoch wird SMBv1 immer noch angeboten und musste oft händisch deaktiviert werden. Betroffen dieser Cyber-Attacke war vor allem der SMBv1-Dienst, der durch speziell entwickelte Pakete angegriffen wurde und dadurch eine Remote Code Execution, das Ausführen von beliebigem Programmcode, ermöglichte.[2] Durch regelmäßige Überwachung der im Internet sichtbaren IT-Infrastruktur eines Unternehmens hätte man unter Umständen mögliche Angriffsflächen, in Form von verwendeten Diensten und Protokollen, frühzeitig erkennen und Gegenmaßnahmen treffen können. Die Ransomware hatte kein bestimmtes Unternehmen zum Ziel, sondern befiel hunderttausende Computer und Dienste auf der ganzen Welt. Die Beschaffenheit von NotPetya legt nahe, dass es sich bei Mondelēz nicht um einen gezielten Angriff gehandelt hat.
Der Streitpunkt:
Die im US-Bundesstaat Illinois eingereichte Klage von Mondelēz könnte für viele andere Schäden dieser Art maßgeblich sein. Ob das Urteil Versicherern und Versicherten mehr Sicherheit darüber geben wird, welche Schäden abgedeckt werden, wird mit hohem Interesse verfolgt. Wie man zukünftig die Ausnutzung von Sicherheitslücken in unterschiedlichen Diensten durch Massenangriffe werten wird, ist ebenfalls spannend. Fest steht aber jetzt schon: Eine Versicherungspolice ist kein Garant für ein sicherheitsvorfallfreies Leben. Aus Sicht der Versicherungsindustrie könnte das Urteil auch den Anstoß für neue Risikokonzepte im Kontext „Cyber Warfare“ geben. Denkbar wäre die Bildung von Spezialversicherern analog zur EXTREMUS Versicherung AG, die sich besonders auf Schäden durch Terroranschläge spezialisiert hat(„Terror Pool“). Bereits im Jahr 2018 warnte das World Economics Forum davor, dass es durch die wachsende Vernetzung zu höheren Risiken durch Cyberangriffe führen könnte. Außerdem sahen die Top-Manager der Wirtschaftselite bereits damals, dass das Top-Risiko der nächsten Jahre Cyberattacken sein würden.[3] Durch die so neu geschaffenen Märkte für Spezialversicherer könnten dem Risiko angemessene Prämien angesetzt werden. Neben dem Aspekt der Versicherbarkeit verdeutlicht der Fall aber auch die dringende und konsequente Auseinandersetzung mit Cyber Security in jedem Unternehmen. Die Relevanz von Patch Management und sonstigen präventiven Maßnahmen, welche zur Vermeidung solcher hohen Schadensummen beitragen können, rückt unweigerlich in den Fokus. Präventiv sinnvoll sind hier regelmäßige Audits oder Reports, die Auskunft über die aktuelle Aufstellung eines Unternehmens im Internet geben. Der o. g. technische Verbreitungsweg über SMB Port 445 ist auch für passive Aufklärungstools und Schwachstellenanalysen identifizierbar. Solche Verfahren sollten im Versicherungsmarkt und auf Kundenseite noch stärker zum Einsatz kommen. Der beste Schaden ist immer der, den man vermeiden kann.
Fazit
Egal wie das Urteil ausfallen wird, es ist für alle Beteiligten ein wesentlicher Erfahrungswert, aus dem wichtige Ableitungen getroffen werden können. Das Urteil wird für mehr Klarheit sorgen und aus unserer Sicht keinen negativen Einfluss auf das Wachstum im Cyberversicherungs-Markt haben. Im Gegenteil, es könnte sogar für weiteres Wachstum, neue Produkte und Dienstleistungen, höhere Risikoawareness und die intensive Auseinandersetzung mit solchen Risiken sorgen. Kunden, die weder das Know-How noch die Kapazitäten für ein eigenverantwortliches IT-Security-Management haben, könnten zum Beispiel proaktiv auf ihren Versicherungspartner zugehen und unterstützende Dienstleistungen in Anspruch nehmen. Damit dies in Zukunft noch besser funktioniert, sollte dieser Bereich auch auf Seiten der Versicherer weiter ausgebaut und aktiver im Markt angeboten werden. Bei einer guten partnerschaftlichen Verbindung kommt es vielleicht gar nicht erst zu Unklarheiten und nachgelagerten Streitigkeiten, wie im Fall Mondelēz.
Beste Grüße!
Mario
[1] https://www.databreachninja.com/my-least-favorite-exclusion-challenged-by-milks-favorite-cookie/
[2] https://www.sichere-industrie.de/ransomware-notpetya-was-passierte-wer-vermutlich-dahinter-steckt-warum-eine-versicherung-den-schaden-nicht-bezahlt-und-wie-sie-sich-davor-schuetzen-koennen/
[3] https://www.handelsblatt.com/politik/international/global-risk-report-2018-alarmstufe-rot/20856178.html?ticket=ST-113088-ITf9gqFr7Rfs7ulb79to-ap6
