Cyberversicherer sollten „aktuelle Bedrohungslagen aufmerksam verfolgen“

Die Schwachstelle ermögliche es Tätern, auf den betroffenen Servern Daten abzugreifen oder weitere Schadsoftware zu installieren. Die Bedrohung sei als äußerst kritisch zu bewerten und mache ein sofortiges Handeln notwendig – so warnte das Bundesamt für Sicherheit in der Informationstechnik (BSI) bereits im März 2021 die Unternehmen in Deutschland. Doch passiert ist seither viel zu wenig, um die Gefahr zu bannen – der Schaden, der infolge der Sicherheitslücke Proxylogon, die sich in der beliebten Unternehmenssoftware Microsoft Exchange auftat, sei gewaltig. Zu dieser Einschätzung kommt das Softwarehaus PPI in einer aktuellen Untersuchung.

Mehr zum Thema

Zu viele und zu teure Schäden

Cyberversicherungen rutschen in die roten Zahlen

Studie

Anleger vernachlässigen Cyberverstöße in Unternehmen

Spezialist an der Spitze

Assekurata ermittelt beste Cyberversicherungen

Zu viele und zu teure Schäden

Cyberversicherungen rutschen in die roten Zahlen

Studie

Anleger vernachlässigen Cyberverstöße in Unternehmen

Spezialist an der Spitze

Assekurata ermittelt beste Cyberversicherungen

Denn trotz dieses ausdrücklichen Appells des BSI hätten viele Unternehmen lange Zeit nichts unternommen, um diese Lücke zu schließen, wie PPI mitteilte. Entsprechende Erkenntnisse habe das hauseigene Cyberanalysetool Cysmo geliefert, auf die sich PPI nun beruft. Demnach identifizierte Cysmo drei Wochen nach Bekanntwerden der Schwachstelle rund 18.000 installierte Backdoors sogenannte „Webshells“ auf MS-Exchange-Servern. Dadurch hätten Dritte von außen auf Server zugreifen und diese steuern können – und das taten sie offenbar auch nach Herzenslust: Rund 800 der betroffenen Unternehmen fanden sich laut PPI im März 2023 auf sogenannten „Victim-Listen“ von bekannten Ransomware-Gruppen. Bei dieser Form des Cyberangriffs sperren die Täter den Zugriff auf Daten bis hin zum gesamten System. Die Freischaltung erfolgt oft erst nach Zahlung eines Lösegelds.

Was Experte Schwade besonders erschreckend findet

„Bei 200 dieser Firmen können wir mit sehr hoher Wahrscheinlichkeit sagen, dass sie durch die Proxylogon-Schwachstelle angegriffen wurden“, sagt Jonas Schwade, Produktmanager Cysmo bei PPI. Besonders erschreckend findet Schwade, dass die meisten der 200 geschädigten Unternehmen eigentlich noch ausreichend Zeit gehabt hätten, um auf die Exchange-Sicherheitslücke zu reagieren als diese im März 2021 bekannt wurde. Denn wie die Cysmo-Auswertung zeigt, kam es bei mehr als der Hälfte der Betroffenen erst nach über sechs Monaten zum tatsächlichen Ransomware-Angriff.

Was Cyberversicherer tun sollten

„Trotz der ausdrücklichen Warnung des BSI haben diese Unternehmen zu spät oder gar nicht auf die Schwachstelle reagiert. Die Hacker hatten so leichtes Spiel“, schildert Jonas Schwade. Er siedelt den entstandenen Schaden im hohen zweistelligen Millionenbereich an – und das sei noch konservativ geschätzt, wie der Experte hinzufügt.  

Dabei nimmt der PPI-Manager auch Cyberversicherungen in die Pflicht – diese sollten Entwicklungen wie diese aufmerksam verfolgen, empfiehlt Schwade und appelliert an die Branche:

Proxylogon war nicht die erste und garantiert auch nicht die letzte Schwachstelle auf den Servern deutscher Unternehmen. Um ihre Kunden und damit auch sich selbst vor weiteren Schäden zu bewahren, sollten Versicherer die aktuellen Bedrohungslagen aufmerksam verfolgen und ihre Kunden frühzeitig auf Cyberrisiken hinweisen.“