Es ist kein großes Geheimnis, dass die IT-Sicherheit vieler Unternehmen allgemein in beklagenswertem Zustand ist. Die nahezu täglichen Berichte über gehackte Kundendaten, Ransomware-Opfer oder gar Produktionsausfälle zeichnen ein eindeutiges Bild.
Bei diesen Angriffen sind jedoch selten besonders begabte „Meister-Hacker“ am Werk. Vielmehr können kriminelle Banden sicher sein, dass alte und einfache Tricks immer und immer wieder funktionieren: Altbekannte Einfallstore werden einfach nicht geschlossen. Besonders hilflos stehen in diesem Kontext kleine und mittelständische Unternehmen da: Sie sehen – mit gutem Recht – ihre IT als ein Werkzeug an, das sie bezahlt haben und von dem sie erwarten, dass es ganz einfach funktioniert. Und zwar sicher. Leider werden sie oft eines Besseren belehrt. Hinterher ist man immer schlauer – aber warum lernen wir so wenig aus den Fehlern anderer?
Um diese Frage zu beantworten, muss man sich zunächst fragen, wer diese Lehren eigentlich ziehen müsste.
Die landläufige Meinung ist, es läge an den Unternehmen selbst, sich zu schützen. Ein nennenswerter Anteil des IT-Budgets müsse nun mal noch in die IT-Sicherheit investiert werden, mahnt die IT-Sicherheitsindustrie gebetsmühlenartig an.
Diese Perspektive ist eigennützig und zu kurz gedacht. Erstens, weil Kunden durchaus erwarten können, sichere Software bekommen, zweitens weil der wichtigste Teil der Sicherheit nicht eine Eigenschaft des Systems ist, sondern viel mehr die Art und Weise, wie es betrieben wird.
Kriminelle Banden können sicher sein, dass alte und einfache Tricks immer und immer wieder funktionieren.
Die menschliche Schwachstelle?
Nehmen wir als Beispiel den klassischen Ransomware-Angriff: Oft beginnt dieser mit einer einfachen E-Mail mit Anhang. Wird der Anhang geöffnet und dabei ein paar Warnmeldungen „weggeklickt“, wie wir es in unseren täglichen Arbeitsabläufen tagtäglich tun, ist die Infektion bereits geschehen. Die Angreifer kundschaften noch ein bisschen das Netzwerk aus und zerstören Backups – falls das Angriffsziel solche überhaupt anfertigt.
Dann werden sämtliche Daten verschlüsselt und für die Entschlüsselung eine „angemessene“ Bearbeitungsgebühr erhoben.
Die ausgenutzte „Schwachstelle“ ist in diesem Fall eine klassisch „menschliche“: Das Öffnen des Anhangs und das Ignorieren von Warnungen. Diese „Schwachstelle“ wird uns aber täglich von unseren Arbeitsabläufen und der Software, die wir dafür verwenden, antrainiert. Die Software ruft diese Anfälligkeiten überhaupt hervor und wälzt die Verantwortung mit kryptischen Warnmeldungen auf die Nutzer ab. Es ist also zu kurz gedacht, hier dem Menschen die Schuld zu geben.
Kein Backup, kein Mitleid
Viel entscheidender ist für den „Erfolg“ des Angriffes aber, dass keine Backups angefertigt wurden, oder diese nur unzureichend geschützt waren: Ein zeitgemäßes Backup-Konzept verhindert, dass die zu sichernden Systeme ihre eigenen Sicherungen zerstören können. Für viele Unternehmen wäre allerdings allein schon das regelmäßige Erstellen von Backups der notwendige erste Schritt. Denn wer Backups hat, muss kein Lösegeld für verschlüsselte Daten zahlen. „Kein Backup, kein Mitleid“ ist eine gnadenlose, aber zutreffende Weisheit unter IT’lern.
Dieses Mitleid bekommt eine ganz neue Bedeutung, wenn sich Versicherungen in dieses Gefüge wagen: Mit der Versicherung von IT-Sicherheitsrisiken gehen Versicherer ein potenziell astronomisches Risiko ein, wenn die Versicherungsnehmer nicht ein Mindestmaß an Prävention betreiben und auf einen Ernstfall vorbereitet sind. Funktionierende, aktuelle Backups und ein Wideranlaufkonzept machen den Unterschied zwischen einem potenziell ruinösen Millionenschaden und einer zwar schmerzhaften, aber verschmerzbaren Betriebsunterbrechung.
Wer trägt das Risiko?
Weder den Versicherungsnehmern noch der allgemeinen IT-Sicherheit wäre also gedient, wenn versicherte Unternehmen ohne Vorsorge einfach das Risiko auf eine Versicherung abwälzen würden. Wenn aber die Versicherungen sinnvolle, gezielte und zumutbare Obliegenheiten zur Bedingung für eine Versicherung machen, dann kann daraus eine tatsächliche und nachhaltige Erhöhung der IT-Sicherheit resultieren. Welches Unternehmen trägt schon gern ein Risiko, das so hoch ist, dass sich eine Versicherung weigert, es zu decken? Auf diese Weise könnten ausgerechnet die Versicherungen einen Beitrag zu dem leisten, was zahlreichen Initiativen und nicht zuletzt dem Bundesamt für Sicherheit in der Informationstechnik nur schwerlich und zögerlich vorantreiben: Eine nachhaltige und resiliente IT-Infrastruktur.
Resilienz bedeutet dabei vor allem eines: Auf den Ernstfall vorbereitet sein. Gerade weil präventive Maßnahmen „löchrig“ sind und keine hundertprozentige Sicherheit schaffen, muss auch für den Ernstfall vorgesorgt sein. Tatsächlich aber überinvestieren viele Unternehmen bevorzugt in „präventive“ Produkte, die versprechen, dass sie Angriffe verhindern.
Alptraum vollautomatisierte Schadsoftware
Computer werden gebaut, um Arbeitsabläufe zu beschleunigen und zu automatisieren. Was ein Computer einmal „gelernt“ hat, kann er unendlich oft anwenden. Diese Eigenschaft ist nicht nur Grundlage der digitalen Revolution, sie macht auch Angriffe so wunderbar profitabel und senkt die Opportunitätskosten fehlgeschlagener Angriffe auf null.
Größter Traum für Angreifer – und somit der größte Alptraum für Angegriffene – sind dabei vollautomatisierte sich selbst weiterverbreitende Schadsoftware-Varianten, bei denen ein infiziertes System autonom das nächste infiziert. Glücklicherweise sind derart schwere Schwachstellen selten – doch sie kommen immer wieder vor. Die unter dem Namen „Wannacry“ und „NotPetya“ bekannt gewordenen Schadsoftware-Varianten nutzen eine solche Schwachstelle aus und führten 2017 zu weltweit zu schweren Schäden.
Die Schwachstelle, die sie sich zur automatischen Weiterverbreitung zunutze machten, war dabei in mehrfacher Hinsicht bemerkenswert: Erstens stammte sie aus einem vormals geheimen „Waffenschrank“ des US-Geheimdienstes NSA. Um international in Systeme eindringen zu können, hatte der Geheimdienst die Schwachstelle geheim gehalten – und dadurch wissentlich die Welt dem Risiko ausgesetzt, dass kriminelle Angreifer die Schwachstelle entdecken und nutzen würden. Zweitens waren jedoch zum Zeitpunkt ihrer Veröffentlichung bereits Updates verfügbar. Jedes von Wannacry oder Not-Petya betroffene Unternehmen hätte den Schaden durch zügige Updates ganz einfach verhindern können.
Der durch Wannacry und NotPetya verursachte Schaden gilt als der höchste in der Geschichte der IT-Unsicherheit. Und doch war er nur ein Vorgeschmack auf das Risiko, das die NSA mit der Geheimhaltung eingegangen war: Eine Mehrheit der Unternehmen war zum Zeitpunkt des Angriffs bereits per Update geschützt. Es bleibt nur zu hoffen, dass es beim nächsten Mal auch so glimpflich ausgeht.
Das internationale Desaster zeigt aber vor allem eindrücklich, dass das Geheimhalten von Schwachstellen für uns alle ein enormes Risiko bedeutet: Das Schadenspotenzial überwiegt sämtliche potenziellen Vorteile der Geheimhaltung – denn die Schwachstelle ist nie exklusiv für einen Angreifer. Egal für wie „gut“ dieser Angreifer sich halten mag, IT-Sicherheit kennt keinen Unterschied zwischen Gut und Böse.
Unbeeindruckt davon beobachten wir weltweit Bestrebungen der Regierungen, ihre Hacking-Befugnisse und -Kapazitäten auszubauen. Jeder der dafür geheimgehaltenen Schwachstellen wohnt ein Risiko für Wirtschaft und Privatpersonen inne. Wenn wir unsere digitale Zukunft resilient und sicher gestalten wollen, werden wir uns kompromisslos entscheiden müssen.
Die Rolle der Versicherungen
Technische Kompetenz, Aufklärung und umsichtige Risiko-Auswahl wären in diesen Zeiten also wichtige Tugenden für Versicherungen. Als Partnerinnen ihrer Kunden könnten Sie dabei helfen, eine höhere Resilienz zu erreichen. Wer das Kleingedruckte liest, weiß auch wie viele Obliegenheiten den üblichen Policen anhaften – aber nur wenige Versicherungen schaffen hierüber eine angemessene Transparenz. Der Grund dafür ist simpel: Kaum ein potenzieller Versicherungsnehmer erfüllt diese Obliegenheiten – der Vertrieb würde also ins Stocken geraten. Stattdessen riskiert man, im Schadensfall mit dem Versicherungsnehmer längere Auseinandersetzungen zu führen, wenn die verletzten Obliegenheiten ursächlich für den Schaden waren. Dauerhaft wird dies dem Ruf der Versicherungswirtschaft nicht zuträglich sein – der IT-Sicherheit ohnehin nicht.
Kombiniert wird diese Nachlässigkeit in der Risikoprüfung mit einem Hang zu immer umfangreichen Deckungen, die teilweise Schadenereignisse abdecken, die gar nicht im Verantwortungsbereich des Versicherungsnehmers liegen. So werden mitunter die Dienstleistungen Dritter oder auch Ausfälle von Infrastruktur versichert – also eindeutige Risiken im Verantwortungsbereich der jeweiligen Betreiber.
So droht die Versicherungswirtschaft ihre Chance zu verspielen, einerseits ihren Beitrag zu einem gesellschaftlichen Vorankommen zu leisten und anderseits ein lukratives Geschäftsmodell zu entwickeln. Wir dürfen gespannt sein, wann die ersten Fälle abgelehnter Deckung entsprechend frustrierte Kundinnen zurücklassen, die den Ruf der Branche weiter ruinieren.
Technische Kompetenz, Aufklärung und umsichtige Risiko- Auswahl wären in diesen Zeiten wichtige Tugenden für Versicherungen.
Linus Neumann
Berater für IT-Sicherheit
