Cybercrime: Nicht mehr Banken, sondern Versicherer sind zunehmend im Visier – die IT schwächelt häufiger

Cyber-Angriffe in der Versicherungs­branche nehmen zu: Laut Accenture ist ein typischer Versicherer monatlich mehr als drei effektiven Cyber-Angriffen ausgesetzt. Dass die globale Versicherungsbranche auf einen Wert von fast einer Billion US-Dollar pro Jahr geschätzt wird, macht sie mit zu einem Hauptziel für Cybercrime, die sich vom Bankensektor abwenden und sich möglicherweise weniger gut geschützte Ziele suchen.

von Eckhard Bogner, Threat Intelligence Blueliv

Obwohl Versicherungsunternehmen wachsende Mengen an vertraulichen Daten handhaben, gibt es in Bezug auf die Absicherung ihrer IT-Infrastrukturen häufig noch Nachholbedarf. Dabei ist der Umgang mit Cyber-Risiken dem Kundenrisikomanagement nicht unähnlich. Im Vordergrund steht nicht die Frage, ob ein Angriff erfolgen könnte, sondern nur, wie wahrscheinlich er ist.

Prominente Beispiele sind die US-amerikanischen Versicherer Anthem und Premera Blue Cross, denen die Daten von Millionen von Kunden gestohlen wurden – Imageschaden inklusive.”

Selbst Unternehmen, die hohe Budgets in ihre Cyber-Sicherheit investieren, sind vor Angriffen nicht gefeit. Ein proaktives, robustes Sicherheitskonzept ist daher unverzichtbar, um das Unternehmen, seine Kunden und ihre Daten zu schützen. Dazu gehört auch, die eigene Bedrohungslage besser zu verstehen.

Das Cyber-Risiko definieren

Die Bedrohungen aus dem Cyber-Raum sind vielfältig: von organisierten Verbrechergruppen, die es auf personenbezogene Daten, Kontodaten und alles, was sich zu Geld machen lässt, abgesehen haben, über Hacktivisten, denen es um die Störung des Geschäftsbetriebs geht, bis hin zu Advanced Persistent Threats (APT), die Informationen sammeln, um damit das Unternehmen und seine Kunden anzugreifen. Aber das ist noch nicht alles.

Laut einer Definition des Institute of Risk Management handelt es sich bei Cybercrime um „jegliches Risiko von finanziellem Verlust, Geschäftsunterbrechungen oder Rufschädigung eines Unternehmens aufgrund von Störungen seiner IT-Systeme“.

Diese Definition macht deutlich, dass zu den Risikofaktoren nicht nur vorsätzliche Sicherheitsverletzungen zählen. Auf Angriffe durch Cyber-Kriminelle, etwa durch Cybersquatting, Schadsoftware oder Übernahme von geschäftlichen E-Mail-Konten mithilfe eines Spear-Phishing-Angriffs, muss zwar jedes Unternehmen vorbereitet sein. Aber auch unbeabsichtigte Datenpannen, interne Benutzerfehler, Konfigurationsfehler und nachlässige Drittanbieter tragen zum Cybercrime-Risiko bei.

Ein umfassendes Risikomanagementprogramm deckt deshalb sowohl vorsätzliche und geplante Cyber-Bedrohungen ab als auch versehentliche grobe Fehler, die dem Unternehmen Schaden zufügen können. Da diese Risiken allgegenwärtig sind, müssen alle Bereiche eines Versicherungsunternehmens gründlich durchleuchtet werden.

Welche Daten sind gefährdet?

Zu den am meisten gefährdeten Informationen gehören Kundendaten, Anmeldedaten, vertrauliche Geschäftspläne, finanzielle Bewertungen sowie andere geschäftsrelevante Daten.”

Gestohlene Anmeldedaten von Mitarbeitern bergen die Gefahr von Kontoübernahmen, Identitätsdiebstahl, Verbreitung von Schadsoftware, Betrug und anderen kriminellen Aktivitäten. Raffinierte Phishing-Kampagnen haben schon manches Unternehmen in die Krise gestürzt: Der Data Breach Investigations Report 2018 von Verizon zeigt, dass Phishing-Kampagnen immerhin bei 4 Prozent aller Empfänger erfolgreich sind.

Doch selbst wenn nur wenige Mitarbeiter auf Phishing hereinfallen, reicht ein einziger Satz von gestohlenen Anmeldedaten, um in die Unternehmensinfrastruktur einzudringen und erheblichen Schaden anzurichten. Wird der Angriff entdeckt, ist es in der Regel schon zu spät.

Auf der Kundenseite sind Versicherer aufgrund der Art der von ihnen verwalteten Informationen anfälliger als viele andere Branchen.”

So kann beispielsweise der Diebstahl von Bankdaten und medizinischen Unterlagen nicht nur im Unternehmen eine Kettenreaktion auslösen, sondern auch bei den direkt betroffenen Kunden großen Schaden anrichten. Vorfälle, bei denen solche Daten abgegriffen werden – sei es durch schlecht gepatchte Softwareschwachstellen oder nicht ausreichend verschlüsselte Datenbanken – haben im geschäftlichen Bereich und für das Unternehmensimage oft massive negative Folgen. Und neben Entschädigungszahlungen an die Betroffenen können auch Bußgelder im Rahmen der DSGVO fällig werden, wenn das Unternehmen keine ausreichenden Schutzmaßnahmen ergriffen hat. Die durchschnittlichen Kosten für jeden durch Cybercrime verlorenen oder gestohlenen Datensatz werden übrigens derzeit auf 148 US-Dollar beziffert, Tendenz steigend.

Die Digitalisierung schafft neue Angriffspunkte

Eine Studie von Ernst & Young ergab, dass fast die Hälfte der befragten Versicherer in ihren Unternehmen bereits „beträchtliche“ Cyber-Sicherheitsvorfälle aufgedeckt hatten. Die zunehmende Umstellung auf digitale Kanäle entpuppt sich jetzt als weiterer Risikofaktor: Integrierte Plattformen und Portale, Online-Formulare und mobile Apps sind neue Zielscheiben für Kriminelle. Diese neuen Kundenkanäle zu verteidigen, erfordert oft erhebliche Ressourcen und spezielles Know-how.

Trojaner wie Pony, Azorult und LokiPWS bieten Hackern hier verschiedene Möglichkeiten zum Stehlen vertraulicher Informationen, etwa Man-in-the-Browser-Techniken, Keylogger und Formular-Grabbing. Diese Schadsoftware wird zum Großteil über Spam-Mail-Kampagnen und Exploit-Kits verbreitet, bei denen der Trojaner mittels eines so genannten Loaders implementiert wird. Die Techniken im Cybercrime entwickeln sich dabei ständig weiter.

Zu den neueren Methoden zählen Webfilter, DNS-Filter und Webinjects – eine Technik zum Abfangen von Daten, nachdem diese von SSL entschlüsselt wurden, jedoch vor ihrer Anzeige im Browser.”

Diese Methode erlaubt dem Angreifer, die Antwort des Webservers zu manipulieren, um weitere Informationen vom Opfer zu erfragen.

Eine andere Gefahr sind Bots. Cyber-Kriminelle nutzen immer wieder Backdoors, um maßgeschneiderte Schadsoftware zu installieren und in einem Netzwerk nach vertraulichen Daten zu schnüffeln.

Trends bei DDoS-Angriffen, Ransomware und Krypto-Minern

Distributed Denial of Service (DDoS)-Angriffe legen ganze Systeme lahm und stellen aufgrund der Betriebsunterbrechungen sowie der Kosten für Systemwiederherstellung und Kundenentschädigungen ein erhebliches Risiko für Versicherer dar. Die Größenordnung solcher Angriffe hat sich vervielfacht, seit Angreifer sie inzwischen mithilfe von gesicherten Memcached-Datenbankservern intensivieren.

Daneben lassen sich vermehrt Cybercrime-Angriffe beobachten, die mit manipulierten Webseiten die Prozessorleistung des Webseitenbesuchers zum Krypto-Mining missbrauchen. Dabei beschränken sie sich nicht mehr auf PCs, sondern haben es längst auf leistungsfähigere Ressourcen wie Webserver abgesehen. Infektionen bleiben oftmals über Monate hinweg unentdeckt.

Die gefürchtete Ransomware ist mittlerweile online als Ransomware-as-a-Service verfügbar – sogar mit Support-Optionen. Beispiele sind die relativ neuen Services GrandCrab, Saturn und Data Keeper.”

Dass damit prinzipiell jeder zum potenziellen Angreifer werden kann, macht weitere Ransomware-Angriffe wahrscheinlich. Und ein Ransomware-Befall kann den Ruf eines Versicherers irreparabel schädigen.

Website-Imitationen und Spoofing

Gefälschte Websites bergen eine echte Gefahr für Versicherer. Je breiter das eigene Serviceangebot aufgestellt ist, desto größer das Risiko, denn es gibt dann mehr Unternehmens-URLs, die von Angreifern imitiert werden können. Wenn ein Versicherungsunternehmen unter der gleichen Marke Zusatzservices anbietet, vergrößert sich die Angriffsfläche entsprechend, da Kunden die angezeigte Webseite oft akzeptieren, ohne ihre Authentizität anzuzweifeln.

Eine sorgfältig erstellte Spoof-Website zeigt das gleiche Design, die gleichen Logos, Schriften und Formulierungen wie die Originalseiten und häufig auch eine ähnliche URL. Sie kann im Cybercrime zu verschiedenen Zwecken dienen, von erweiterten Phishing-Kampagnen über die Verbreitung von Schadsoftware bis hin zum Erfassen der Besucherdaten.

Neben diesen Trends machen die Gefahr eines Angriffs durch Hacktivisten sowie neue gesetzliche Bestimmungen die Verteidigung der Unternehmensdaten zu einer immer komplexeren Aufgabe. Auch aus technischer Sicht sind Versicherer kontinuierlich gezwungen, ihre Infrastruktur zu modernisieren. Allerdings bringt dieser Innovationsdruck eigene Stolperfallen in Bezug auf das Cyber-Risikomanagement mit sich: nicht zuletzt die Notwendigkeit, dass kritische Daten extrem sicher, aber gleichzeitig jederzeit verfügbar sein müssen.

Das Cybercrime-Risiko effektiv senken

Es ist besorgniserregend, dass laut einer Studie von Accenture nur 37 Prozent der befragten Versicherungsunternehmen eine klare Verantwortungsstruktur in Bezug auf die Cyber-Sicherheit definiert haben. Denn eine robuste Sicherheitskultur ist unverzichtbar und muss sich vom Managementteam bis hin zu neuen Mitarbeitern über das gesamte Unternehmen erstrecken.

Neben einer entsprechenden Schulung der Mitarbeiter sollte jedes Versicherungsunternehmen regelmäßig seine Cyber-Abwehr überprüfen und auf den neuesten Stand bringen. Threat Intelligence kann dabei helfen, Bedrohungen von innerhalb und außerhalb des Netzwerks zu erkennen und Maßnahmen zu priorisieren. Moderne Threat-Intelligence-Lösungen finden zum Beispiel gestohlene Anmeldedaten, gefälschte Domains oder geleakte Dokumente. Sie stellen automatisch verwertbare Informationen bereit, mit deren Hilfe Sicherheitsteams ihre – häufig eingeschränkten – Ressourcen auf die größten Gefahren für ihr Netzwerk und ihre Infrastruktur fokussieren können. Nur so kann es gelingen, den Cybercrime-Angreifern einen Schritt voraus zu sein.

10 Fragen, die Sie sich zu ihrem Cyber-Risikomanagement stellen sollten:

1. Wie wichtig ist Cyber-Sicherheit für unsere Geschäftsstrategie? Ist das Budget ausreichend bemessen?
2. Versteht die Führungsetage, wie wichtig ein robustes Sicherheitskonzept ist?
3. Haben wir eine etablierte Verantwortungsstruktur und einen Eskalationsweg für eventuelle Vorfälle?
4. Wissen wir, warum wir ein Ziel von Cyber-Kriminellen sind? Worauf haben sie es in unseren Systemen abgesehen?
5. Haben wir Zugriff auf verwertbare Daten und Analysen, um unser Risiko detailliert zu beurteilen?
6. Können wir die vollständige Compliance mit den relevanten gesetzlichen Bestimmungen nachweisen?
7. Sind unsere Anstrengungen ausreichend, unternehmensweit über die Wichtigkeit von Cyber-Sicherheit zu informieren?
8. Legen wir bei allen externen Firmen, mit denen wir zusammenarbeiten und die Zugriff auf unsere Systeme haben, die gleichen strengen Maßstäbe an wie bei uns selbst?
9. Haben wir unsere Sicherheitsbudgets korrekt verteilt? Sind unsere Ausgaben in bestimmten Bereichen unnötig hoch?
10. Prüfen wir unsere Sicherheitsprotokolle oft genug, etwa mit regelmäßigen Softwarepatches, Penetrationstests und Red-Teaming? Wird jedes einzelne unserer neuen digitalen Produkte umfassend getestet?aj