Auslagern - Wenn die vierte Mitigationsmethode versagt

Zugegeben, der Titel dieses Artikels ist schwer verdaulich, darum zunächst eine schnelle Erklärung. Wenn man im Rahmen einer Risikoanalyse Risiken für das Unternehmen identifiziert hat, zum Beispiel die grundsätzliche Verwundbarkeit von Systemen gegenüber Schadsoftware, muss man das Risiko behandeln. Dazu gibt es generell und ganz besonders, wenn die ISO 27001 angewandt wird, vier Möglichkeiten: Verringern, Vermeiden, Akzeptieren und, darum geht es gleich, Auslagern. Verringern könnte man das Risiko durch aktuelle Anti-Malware-Software, vermeiden würde bedeuten, dass die Server keinen Kontakt in irgendeiner Form mit der Außenwelt haben dürfen und beim Akzeptieren schätzt man das Risiko als vertretbar ein und tut nichts. Die Vierte Option, das Auslagern, verteilt das Risiko auf die Schultern einer anderen Partei – normalerweise eine Versicherung. Seit einigen Jahren sind zahlreiche Anbieter mit Cyber-Crime-Versicherungen auf dem Markt aktiv, mit dem Unternehmen Risiken gegen die Zahlung beachtlicher Summen versichern können.

So weit so gut, allerdings haben weder Versicherungsnehmer noch Versicherungsgeber die komplexer werdende Malware-Landschaft in Betracht gezogen. Kostspielig werden Attacken zurzeit vor allem durch Ransomware. Egal ob am Ende Lösegeld gezahlt wird oder nicht, die Verschlüsselung zahlreicher betriebsrelevanter Daten legt den Geschäftsbetrieb praktisch bei jedem Opfer für Stunden bis Tage lahm. Einer der bekanntesten Fälle ist der globale Logistikkonzern Maersk, wo die Kosten für Wiederherstellung und fehlende Produktivität etwa 300 Millionen US Dollar betrugen. Aber auch der Lebensmittelgigant Mondelez musste Ende 2017 erkennen, dass sich die berüchtigte NotPetya-Ransomware auf seinen Servern eingenistet hatte. Der Geschäftsbetrieb des Oreo- und Cadbury-Herstellers lahmte, angeblich waren 1.700 Server und 24.000 Computer davon betroffen. Das ist natürlich mehr als ärgerlich und zeigt einmal mehr, dass Endpunkt-Schutz nicht ausreicht. Ohne vernünftige interne Detektionssysteme auf Netzebene sowie eine eisenharte Segmentierung von Netzen lassen sich solche Vorfälle nicht eindämmen. Aber darum soll es hier nicht gehen.

Mondelez hatte nämlich das Restrisiko im Rahmen der eigenen Risikoanalyse in weiser Voraussicht, trotz aller getroffenen Schutzmaßnahmen immer noch als zu hoch eingeschätzt. Darum schloss der Konzern eine Versicherungspolice bei Zurich American gegen exakt solche Risiken ab. Und natürlich erwartete Mondelez, dass Zurich American nach dem Schadensfall die Kosten von etwa 100 Millionen US Dollar übernahm. Die Versicherung lehnte die Schadensübernahme allerdings ab (PDF). Warum das? Kommen wir zur eingangs erwähnten, zunehmend komplexen Situation in der Malwareszene. NotPetya nutzte eine modifizierte Version des EternalBlue-Exploits, der damals aus der NSA-Sammlung von gefundenen aber nicht veröffentlichen Exploits geleakt wurde. In den Wochen danach beschuldigten England, die USA und die ukrainische Regierung, dass die NotPetya-Angriffe von einer Gruppe so genannter „State-Sponsored“ Hacker, also Hacker im Regierungsauftrag durchgeführt wurden. Zurich American nutzte diese Einordnung, um eine Klausel der Police zu aktivieren: In dieser sind feindliche oder kriegsähnliche Handlungen im Frieden oder in Kriegen von der Haftung ausgenommen, wenn sie von Regierungen oder souveränen Kräften, dem Militär, der Marine, Luftwaffe oder einem Agenten oder einer Autorität ausgeübt werden. Schon hatte sich die 100 Millionen Forderung im Nichts aufgelöst.

Das sah Mondelez naturgemäß anders und klagt gegen Zurich American. Dadurch entsteht ein sehr interessanter Präzedenzfall, denn die gleiche oder eine ähnliche Klausel findet sich in praktisch jedem Cyber-Versicherungsvertrag. Und – wohlgemerkt – der Vorwurf, dass der Angriff durch einen staatlichen Agenten ausgeübt wurde, ist natürlich nicht bewiesen und wird wahrscheinlich auch nie bewiesen werden. Bei NotPetya genauso wenig wie bei allen noch folgenden Vorfällen. Die rechtliche Auseinandersetzung ist noch in vollem Gang und muss einige spannende Fragen klären, darunter die, ob es eine internationale bewaffnete Auseinandersetzung (IAC) war oder nicht, ob die Einstufung „bewaffnet“ zutrifft und ob es sich um einen Angriff nach internationalem Recht handelte. Alle drei Bedingungen sind sehr klar definiert – nur eben nicht für virtuelle Cyber-Auseinandersetzungen. Der Ausgang des Prozesses wird enorme Auswirkungen auf die Versicherungsbranche haben, nicht nur auf Zurich American. Doch dieser Versicherer verliert in jedem Fall: Gibt der Richter Mondelez recht, kostet es Zurich American 100 Millionen US Dollar. Urteilt der Richter hingegen im Sinne des Versicherers, behält dieser die 100 Millionen, wird sich aber schwer tun, weitere Cyber-Versicherungen zu verkaufen. Schon jetzt ist klar, dass Unternehmen, die „Versichern“ als Option zur Risikobehandlung nutzen oder nutzen wollen, ihren Vertrag sehr genau auf die Klausel „Handlungen im Kriegsfall“ überprüfen sollten.

Blog abonnieren

CAPTCHA-Bild zum Spam-Schutz Wenn Sie das Wort nicht lesen können, bitte hier klicken.