Cyber-Datendiebstahl von Riesterverträgen bei der Provinzial

Ende Mai wurden weltweit mehrere tausend Unternehmen und Organisationen Opfer eines Cyber-Angriffs. Ziel des Angriffs war eine kritische Sicherheitslücke in einer Datenaustauschsoftware, die auch ein Dienstleister der Provinzial einsetzt. Betroffen sind Riester-Verträge der Lebensversicherer Provinzial Rheinland Lebensversicherung und Provinzial NordWest Lebensversicherung.

Was ist passiert? MOVEit ist eine Managed File Transfer Software, die von Tausenden von Unternehmen weltweit eingesetzt wird. Der Hersteller wirbt mit „vollständiger Transparenz und Kontrolle über Dateiübertragungsaktivitäten“ und mit „Zuverlässigkeit wichtiger Geschäftsprozesse und sicherer Übertragung vertraulicher Daten zwischen Partnern, Kunden, Benutzern und Systemen“. Werbeversprechen, die am Ende nichts wert sind. Alle Versionen der Software waren von dem Programmierfehler betroffen.

Bei dem Angriff handelte es sich um eine SQL-Injection, bei der beliebiger Code in Abfragen eingeschleust wird. Dadurch ist es möglich, unbefugt Informationen auszulesen oder sogar die Kontrolle über die gesamte Datenbank zu erlangen. Die Angriffsmethode wurde 1998 entdeckt und gilt seitdem als eine der hartnäckigsten Bedrohungen. Unter den Top 10 der Sicherheitsrisiken für Webanwendungen belegt SQL-Injection seit 2010 kontinuierlich einen Platz unter den ersten drei.

Der Verlauf des Hacks ist bezeichnend. In einer weltweit genutzten Software wird eine kritische Lücke gemeldet und Sicherheitspatches bereitgestellt. Sofort machen sich Kriminelle daran, ungepatchte Systeme ausfindig zu machen, in diese einzudringen und die Betreiber mit den gestohlenen Daten zu erpressen. Sicherheitsforscher fanden nach der Veröffentlichung über 2500 Systeme, die über das Internet erreichbar waren. Gleichzeitig gibt es Hinweise darauf, dass Cyberkriminelle die Schwachstelle bereits seit 2021 kannten, die Betreiber also ahnungs- und chancenlos waren.

Am 14.06.2023 informierte der Dienstleister die Provinzial über eine kritische Sicherheitslücke in seiner Anwendung. Daraufhin hat die Provinzial den Datentransfer sofort gestoppt. Erste forensische Untersuchungen haben ergeben, dass auch Daten von Provinzial-Kunden entwendet wurden. Betroffen sind ausschließlich Daten von Riester-Verträgen der Lebensversicherer Provinzial Rheinland Lebensversicherung und Provinzial NordWest Lebensversicherung. Bankdaten sowie Login-Name und Passwort für die Riester-Online-Anmeldung wurden jedoch nicht entwendet.

Die Provinzial arbeitet an einer lückenlosen Aufklärung und hat den Vorfall den Landesdatenschutzbehörden gemeldet und alle betroffenen Kunden informiert. Telefonische Anfragen zu Riester-Verträgen werden derzeit nur noch schriftlich beantwortet.