Schlagwortarchiv für: Cyberversicherung

Eine der meistgenutzten Java-Bibliotheken hat eine kritische Schwachstelle. Es besteht dringender Handlungsbedarf für die Nutzer dieser Bibliothek.

Hinweis zu einer kritischen Schwachstelle in Java-Bibliothek „log4j“

Wir erhielten mittlerweile auf mehreren Kanälen die Information, dass eine kritische Schwachstelle in der weit verbreiteten Protokollierungsbibliothek für Java-Anwendungen namens „log4j“ vorliegt. Das BSI (Bundesamt für Sicherheit in der Informationstechnik) erhöhte die Warnstufe am Wochenende auf Rot. (CVE-2021-44228)

Auf der Seite des BSI werden Handlungsempfehlungen ausgesprochen.

Nachfolgend eine etwas genauere Beschreibung, die wir von einem unserer Partner erhalten haben:

„Sehr geehrte Damen und Herren,

das BSI warnt eindringlich vor einer kritischen Schwachstellen in der IT-Sicherheit von „log4j“. Log4j ist eine weit verbreitete Protokollierungsbibliothek für Java-Anwendungen. Diese kritische Schwachstelle hat demnach potentiell Auswirkungen auf alle aus dem Internet erreichbaren Java-Anwendungen, die mit Hilfe von log4j Teile der Nutzeranfragen protokollieren.

Diese aktuelle, hohe Gefährdungslage nehmen wir zum Anlass, Sie auch von unserer Seite auf die Empfehlung des BSI hinzuweisen. Es sind laut BSI eine Reihe an Maßnahmen zwingend erforderlich, um das Risiko eines Angriffs zu reduzieren. Dazu zählen:

Zugriffe aus dem Internet blockieren
Patches von den Herstellern beziehen und einspielen
Untersuchung der Systeme auf eine Kompromittierung

Bei der Umsetzung von Maßnahmen sollten stets die aktuellen Empfehlungen und Informationen des BSI berücksichtigt werden. Die Empfehlungen des BSI vom 11.12.2021 finden Sie anbei.

Die Schwachstelle ermöglicht es Angreifern auf dem Zielsystem eigenen Programmcode auszuführen und so den Server zu kompromittieren. Aufgrund der öffentlichen Verfügbarkeit von sogenannten Proof-of-Concept Exploit-Codes sowie starken weltweiten Scan-Aktivitäten sieht das BSI aktuell ein sehr hohes Angriffsrisiko. Daher bitten wir Sie dringend, Ihre Kunden über die Warnungen und Empfehlungen des BSI zu informieren.

Mit freundlichen Grüßen,

Ihr COGITANDA Team“

Warum benötigt man eine Cyberversicherung?

Dieser Fall zeigt, dass man sich nicht gänzlich vor Cyber-Angriffen schützen kann. Viele Komponenten der heutigen IT-Architektur liegen außerhalb des eigenen Einflussbereiches und einen vollständigen Schutz gibt es, unserer Meinung nach, nicht.  Der Microsoft Exchange-Server-Hack war ebenfalls ein Beispiel hierfür.

Bei solchen Restrisiken kann nur ein Airbag in Form einer Cyberversicherung helfen. Aber Vorsicht, die Versicherung ist kein Ersatz für eine gute IT-Infrastruktur. Oder würden Sie, nur weil Sie einen Airbag haben, auf die Bremsen im Auto verzichten?

Bitte besprechen Sie die aktuelle Bedrohungslage mit Ihrem IT-Dienstleister.

Gerne hilft Ihnen Ihr Finanz- und Versicherungsmakler in Fellbach bei Stuttgart , die confin GmbH, dabei den passenden Versicherungsschutz zu finden und den Überblick zu behalten.

…kritisch.

Was ist passiert?

In den letzten Tagen wurde eine Schwachstelle in den von Microsoft zur Verfügung gestellten Exchange-Servern der breiteren Öffentlichkeit bekannt.

Die erstmals mit dem Namen „CVE-2021-26855“ bezeichnete Schwachstelle nutzt Lücken bei der Authentifizierung gegenüber den Microsoft-Exchange-Servern aus. Die Hacker-Gruppe „Hafnium“ wird von Microsoft in diesem Zusammenhang genannt.

Microsoft Exchange Server werden vor allem in Zusammenhang mit Microsoft Outlook benutzt. Microsoft Exchange bezeichnet die Server- und Softwarestruktur, die u. a. zur zentralen Ablage und Verwaltung von E-Mails, Terminen und Kontakten genutzt wird.

Viele Unternehmen weltweit sind von der Schwachstelle betroffen. Es ist deshalb wenig verwunderlich, dass das BSI (Bundesamt für Sicherheit in der Informationstechnik) bereits vor einigen Tagen die Bedrohungslage als kritisch bezeichnet hat und die Bedrohungsstufe als rot (sehr hoch) eingestuft hat. Es wird dringendst empfohlen, die mittlerweile von Microsoft bereit gestellten Sicherheitsupdates durchzuführen.

Entsprechende Stellen bei den Datenschutzbehörden haben ebenfalls erste Stellungnahmen veröffentlicht. Die Behörden haben sich in den einzelnen Bundesländern unterschiedlich darüber geäußert, ab wann ein tatsächlicher Datenschutzverstoß und eine Meldung nötig sind. Der Landesdatenschutzbeauftragte des Landes Baden-Württemberg (Dr. Stefan Brink) führte hierzu aus: „Wird bei der Überprüfung der Systeme die Ausnutzung der Schwachstelle festgestellt, so ist grundsätzlich von einer Meldepflicht an die Aufsichtsbehörde auszugehen. Nur in atypischen Konstellationen wird kein Risiko für die Rechte und Freiheiten von betroffenen Personen bestehen (vgl. Artikel 33 Absatz 1 DS-GVO). Ein Verzicht auf die Meldung sollte begründet und dokumentiert werden.“

Was sollten die Unternehmen nun beachten?

  1. Rasche Beseitigung der Schwachstelle.
  2. Überprüfung, ob das eigene System kompromittiert wurde. Falls das eigene System nachweislich nicht betroffen ist, sollte dies unbedingt dokumentiert werden.
  3. Falls eine nachweisliche Kompromittierung stattgefunden hat, sollten umgehend die weiteren Schritte eingeleitet werden. Diese sind u. a. Meldung bei der Datenschutzbehörde, Feststellung des Umfangs der Kompromittierung, Bereinigung des kompromittierten Systems, Dokumentation der gesamten Situation, Benachrichtigung an die entsprechenden Kunden, etc.

Was bedeutet dieser Fall in Bezug auf die Cybersicherheit von Unternehmen?

Eine 100%tige Sicherheit der IT-Systeme ist nicht möglich. Die Bedrohungen können aus unterschiedlichen Richtungen kommen und IT-Systeme beinhalten unterschiedliche Komponenten.

In Falle des „Exchange-Server-Hacks“ konnten Unternehmen und deren IT-Administration nur reagieren. Ein aktives Vorbeugen war nicht möglich. Die Schließung der Lücken konnte nur vom Anbieter (Microsoft) angestoßen werden. Vor dem 03.03.2021 war die Schließung der Lücken schlichtweg nicht möglich. Erst seit dem 09.03.2021 ermöglicht Microsoft die Einspielung der Patches für alle betroffenen Server-Systeme.

Viele der Server wurden vermutlich bereits vor diesem Zeitraum kompromittiert. Der Schaden und die finanziellen Auswirkungen, die sich aus den oben angeschnittenen Maßnahmen ergeben, sind nicht durch die eigene IT-Sicherheit zu verhindern gewesen.

Zusätzlich stellt sich nun für die Firmen die Frage, ob die Maßnahmen alleine in Angriff genommen werden sollen oder ob vielleicht auch entsprechende Experten aus diesem Bereichen mit ins Boot geholt werden sollen. Bei den Experten könnte es sich beispielsweise um IT-Forensiker, Fachanwälte, PR-Berater usw. handeln. Diese lassen sich Ihre Arbeit allerdings entsprechend bezahlen.

Die Cyberversicherung: der Airbag, falls doch etwas schief geht

Die guten „Cyber-Versicherungen“ am Markt beinhalten sowohl die Kosten, die auf ein betroffenes Unternehmen zukommen, als auch die Experten.

Das Zusammenspiel zwischen den Vorbeugemaßnahmen (eigene IT-Struktur) und der Absicherung des Restrisikos („Cyber-Versicherung“) lässt sich in etwa mit dem Zusammenspiel von Bremsen und Airbags in Fahrzeugen vergleichen. Die meisten Fahrzeuge haben, obwohl sie gut funktionierende Bremsen haben, auch Airbags. Die Bremsen sind eine Vorbeugemaßnahme und dienen der Unfallvermeidung. Für die Absicherung des Restrisikos der Personen existieren Airbags. Es gibt wohl kaum jemanden der auf einen Airbag verzichten würde, nur weil das Fahrzeug gut funktionierende Bremsen hat.

Warum geht man dieses Risiko als Unternehmen jedoch im Bereich der digitalen Gefahren ein?

 

Gerne hilft Ihnen Ihr Finanz- und Versicherungsmakler confin aus dem Raum Stuttgart dabei den passenden Versicherungsschutz zu finden und den Überblick zu behalten.

 

 

 

 

 

 

 

Quellen:

Der Landesdatenschutzbeauftragte Dr. Stefan Brink zu „Hafnium“: Pressemitteilung vom 10.03.2021: „Aktive Ausnutzung der Microsoft Exchange Schwachstelle“
https://www.tagesschau.de/inland/bsi-hacker-sicherheitsluecke-101.html
https://www.heise.de/news/Der-Hafnium-Exchange-Server-Hack-Anatomie-einer-Katastrophe-5077269.html
https://www.heise.de/news/Exchange-Hack-Uneinheitliche-Position-der-Datenschutzbehoerden-zur-Meldepflicht-5078453.html

https://www.heise.de/news/Exchange-Luecken-BSI-ruft-IT-Bedrohungslage-rot-aus-5075457.html?utm_source=pocket-newtab-global-de-DE

…und wir legen großen Wert auf den sicheren, gesetzeskonformen Umgang damit.

In 2017 gabe es diese Meldung:

IBM analysiert strategischen Wert von Daten als Ressource der Zukunft

Wer wüsste besser als wir, Ihr Versicherungsmakler in Stuttgart, dass diese Einschätzung zutrifft. Daten und deren Aufbereitung sind unser Tagesgeschäft. Weil es so bedeutend ist, haben wir, obwohl gesetzlich nicht für uns vorgeschrieben, einen externen Datenschutzbeauftragten. Das spannende Thema war aber auch Gegenstand einer umfangreichen Weiterbildung, der sich zwei Mitarbeiter der confin GmbH gestellt haben. Wie immer mit Prüfung und Bestätigung.

Damit haben wir unser Spezialgebiet, die Absicherungen von Cyberrisiken durch so genannte Cyberversicherungen, noch einmal von einer ganz anderen Seite beleuchtet.

Die Zusammenhänge zu kennen, die rechtlichen Vorgaben einordnen zu können und die passenden Versicherungslösungen zusammen zu stellen ist kein Zufall. Es ist das Ergebnis konsequenter Aus- und Weiterbildung in unserem Unternehmen. Sprechen Sie uns gerne an wenn Sie Fragen zu Cyberrisiken und deren Absicherung haben. Wir sind nur einen click oder einen Anruf entfernt.