Cyberangriff bei Smart InsurTech - Daten teilweise verschlüsselt

In einer Mail an die Makler spricht Smart Insurtech von einem verschlüsselten Kundensystem. Der aktuelle Systemstatus zeigt, dass mehrere Systeme aus Sicherheitsgründen vom Netz genommen wurden. Der Anbieter erklärt, dass die forensische Untersuchung und Dokumentation des Vorfalls im Gange sei, es lägen derzeit noch keine gesicherten Erkenntnisse vor.

Jetzt wird die Berichterstattung die üblichen Aussagen über Cyberkriminalität wiederholen, ähnliche Fälle aufwärmen und schließlich auf die Cyber-Risikoprodukte der Versicherungswirtschaft verweisen. Das ist zwar interessant, greift aber zu kurz, weil damit nur die Symptome eines einzelnen Opfers beschrieben werden, während die Herde im gleichen Trott weiterzieht. Das Problem liegt tiefer.

IT-Sicherheit ist ein undankbares Geschäft. Jeder von uns kennt die erzwungene Passwortänderung und hat schon über die notwendige Verwendung von Sonderzeichen im Passwort geflucht. Und wer im Rahmen eines IT-Projektes schon einmal die Kolleginnen und Kollegen der IT-Sicherheit (und des Datenschutzes) im Nacken hatte, hat sie eher als Stör- und Nervfaktor denn als Unterstützung empfunden. Sie nörgeln und mahnen, wiederholen gebetsartig, was man doch schon hundertmal gehört hat und als langweilig empfindet.

Dabei wird leicht übersehen, dass die Bedrohungen und Angriffsflächen in den letzten Jahren exponentiell zugenommen haben. Nahezu alle Mitarbeiter benötigen sichere Zugänge von außen, denn das Homeoffice ist für uns zum Standard und damit zu einer Ausnahmesituation für die IT-Sicherheit geworden. Gleichzeitig gibt es unzählige interne Digitalisierungsprojekte, das bindet Kapazitäten und schafft neue Angriffsflächen. Die erpresserische Ransomware ist so lukrativ, dass die Angriffsversuche mehr und nicht weniger werden. Dass in der Branche am Ende Cloud-Lösungen von Microsoft und Amazon gewählt werden, die den Anforderungen der DSGVO nicht genügen, ist dabei nur ein Randthema.

Cyberversicherung. Dürfte an Bedeutung weiter zunehmen.

Wir haben hier in Europa ein massives IT-Sicherheitsproblem. Die Älteren unter uns werden sich noch daran erinnern, dass es zu Beginn des WWW-Internets für Länder außerhalb der USA eigene Browserprogramme gab, weil uns nur eine einfache 40-Bit-Verschlüsselung erlaubt war. Seit Alan Turing die Enigma-Verschlüsselung geknackt hat, konsumieren wir in Deutschland und Europa Verschlüsselung und Sicherheit als Standardsoftware und stellen sie nicht mehr selbst her. Betriebssysteme für Computer und Smartphones, alles kommt von außen, präsentiert sich als Blackbox und verlangt absolutes Vertrauen in den Hersteller. Und in die Nachrichtendienste, für die es immer ein Hintertürchen in den Produkten gibt. Unsere Politik hat darauf reagiert, indem sie den Gebrauch von Hackertools und das Hacken an sich verboten hat. Das behindert nur den experimentierfreudigen eigenen IT-Nachwuchs, nicht aber Angreifer von außen.

Die Qualität von Software und Systemen nimmt ab, Sicherheitslücken sind teilweise Jahrzehnte alt. Jetzt sitzen wir auf Windows-Systemen mit Active Directory, Outlook und Teams und hoffen, dass der monatliche Patch-Day ausreichenden Schutz bietet. Doch die ständigen Offline-Meldungen aus Unternehmen, Universitäten und Behörden zeigen, dass das Risiko kaum beherrschbar ist. Nun hat es wieder einen Branchenteilnehmer erwischt. Und die Tatsache, dass ein Wiederanlauf nach einem Angriff Wochen und Monate dauern kann, zeigt, dass zu wenig in die IT-Sicherheit bzw. in das dafür notwendige qualifizierte Personal investiert wurde und wird. Erpressungssoftware als Angriffsmethode gibt es seit über 10 Jahren und noch immer gibt es keine Praxis der Notfallwiederherstellung aller Systeme nach einem Angriff und Totalausfall. Auf die Versicherer von Cyberrisiken und uns Anwender kommen spannende Zeiten zu. Und wer administrativ für Systeme verantwortlich ist, sollte seinen Disaster Recovery Plan noch einmal kritisch unter die Lupe nehmen, denn im Schadensfall schmerzt dieser Spruch besonders: "Kein Backup - kein Mitleid".

Update 14:45 Uhr:

Smart InsurTech weist darauf hin, dass ein Abfluss von personenbezogenen Daten bislang nicht festgestellt werden konnte. Der Artikel wurde entsprechend angepasst.

Verfassen Sie den ersten Kommentar