Anfang März 2021 warnte das Bundesamt für Sicherheit in der Informationstechnik (BSI) vor der Sicherheitslücke Proxylogon bei Microsoft Exchange. Die Schwachstelle ermögliche es Tätern, auf den betroffenen Servern Daten abzugreifen oder weitere Schadsoftware zu installieren. Die Bedrohung sei als äußerst kritisch zu bewerten, dies mache ein sofortiges Handeln notwendig, warnte das BSI damals.
Doch trotz dieses ausdrücklichen Appells haben viele Unternehmen lange Zeit nichts unternommen, um diese Lücke zu schließen. Drei Wochen nach Bekanntwerden der Schwachstelle identifizierte das Cyber-Analysetool Cysmo der Firma PPI rund 18.000 installierte Backdoors sogenannte Webshells auf MS-Exchange-Servern, mit denen Dritte von außen auf Server zugreifen und diese steuern können.
Freischaltung kommt oft erst, wenn ein Lösegeld fließt
Rund 800 der betroffenen Unternehmen fanden sich im März 2023 auf sogenannten Victim-Listen von bekannten Ransomware-Gruppen. Bei dieser Form des Cyber-Angriffs sperren die Täter den Zugriff auf Daten bis hin zum gesamten System. Die Freischaltung erfolgt oft erst, wenn Lösegeld fließt.
„Bei 200 dieser Firmen können wir mit sehr hoher Wahrscheinlichkeit sagen, dass sie durch die Proxylogon-Schwachstelle angegriffen wurden“, sagt Jonas Schwade, Produktmanager Cysmo von PPI. Besonders erschreckend sei, dass die meisten der 200 geschädigten Unternehmen nach Bekanntwerden der Exchange-Sicherheitslücke im März 2021 ausreichend Zeit gehabt hätten, aktiv zu werden. Wie die Cysmo-Auswertung aber verdeutlicht, kam es bei mehr als der Hälfte der Betroffenen erst nach über sechs Monaten zum tatsächlichen Ransomware-Angriff.
Zu spät oder gar nicht auf die Schwachstelle reagiert
Trotz der ausdrücklichen Warnung des BSI hätten diese Unternehmen zu spät oder gar nicht auf die Schwachstelle reagiert. Die Hacker hätten so leichtes Spiel gehabt. Der dadurch entstandene Schaden dürfte im hohen zweistelligen Millionenbereich liegen, vermuten die Sicherheitsexperten von PPI.
Auch Cyberversicherungen sollten Entwicklungen wie diese aufmerksam verfolgen. „Proxylogon war nicht die erste und garantiert auch nicht die letzte Schwachstelle auf den Servern deutscher Unternehmen. Um ihre Kunden und damit auch sich selbst vor weiteren Schäden zu bewahren, sollten Versicherer die aktuellen Bedrohungslagen aufmerksam verfolgen und ihre Kunden frühzeitig auf Cyber-Risiken hinweisen“, kommentiert Schwade die Sachlage.
Hintergrundinformationen
Mit Cysmo sollen Cyber-Versicherer die Chance erhalten, die Bedrohungssituation von bestehenden, aber auch potenziellen Kunden schnell zu analysieren. Der Fokus des automatisierten Risikobewertungstools liegt im Erkennen und Identifizieren betroffener Systeme. Cysmo verwendet laut Unternehmensangaben hierzu ausschließlich passive Erhebungsmethoden, nutzt also nur öffentlich zugängliche und frei verfügbare Daten. Das Ergebnis ist ein Report, der dem Versicherer und dem Unternehmen eine erste Einschätzung der bestehenden Cyberrisiken erlaubt sowie Gefahren- und Schwachpunkte aufzeigt.
Auf dieser Basis sollen dann Assekuranz und Kunde gemeinsam die individuelle Cyber-Risikosituation des Kunden einschätzen und neben einer passenden Versicherungslösung auch erste Maßnahmen veranlassen können, um die Cyber-Hhygiene zu verbessern.
Quelle: PPI
Autor(en): versicherungsmagazin.de