Microsoft Exchange-Server-Hack – Wie hilft die Cyberversicherung?

Der Microsoft Exchange-Server-Hack der chinesischen Hackergruppe Hafnium ist weiterhin in aller Munde. Immer mehr Unternehmen stellen fest, dass sie von dem Hack betroffen sind und dass in ihre IT-Systeme eingedrungen wurde. Nach Ergreifen der erforderlichen Sofortmaßnahmen, die das Unternehmen mit Hilfe der Hinweise des Bundesamts für Sicherheit in der Informationstechnik (BSI) bereitgestellten Tools selbst vornehmen kann, stellt sich stets die Frage, ob der Angriff damit abgewendet wurde und nichts weiter zu tun ist. Die Antwort hierauf lautet in der Regel eindeutig: „Nein“. Auch wenn die von Microsoft im Nachhinein bereitgestellten Updates zwischenzeitlich aufgespielt wurden, kamen die Patches oft zu spät.

 

Was ist neben den Sofortmaßnahmen zu tun?

 

Die Angreifer hatten durch den Hack möglicherweise Zugriff auf sämtliche Daten des Exchange-Servers, so dass vor allem E-Mails und Adressbücher kompromittiert sein können. Möglich ist aber auch, dass die Schwachstelle weiterhin besteht und für weitere Angriffe genutzt werden kann oder Hintertüren eingebaut wurden, durch die möglicherweise weitere Schadsoftware aufgespielt wurde oder wird. Für die Unternehmen besteht daher die dringende Notwendigkeit, ihre Systeme und Daten umfassend zu kontrollieren. Zudem liegt durch den Zugriff auf E-Mails und Adressbücher ein Datenschutzverstoß vor, der ggf. eine datenschutzrechtliche Melde- oder Benachrichtigungspflicht gem. Art. 33, 34 DSGVO auslöst. Unabdinglich ist der Sachverhalt gem. Art. 33 Abs. 5 DSGVO hinreichend zu dokumentieren.

 

Cyberversicherung

 

Wertvolle Unterstützung bei der Bewältigung des Microsoft Exchange-Server-Hacks kann eine Cyberversicherung leisten.

 

Incident-Response-Hotline/IT-Dienstleister

 

In vielen modernen Cyberpolicen und den FINLEX Cyber-Spezialkonzepten ist die kostenfreie Nutzung einer Incident-Response-Hotline vom Versicherungsschutz umfasst. Das versicherte Unternehmen nimmt über die Notfallhotline direkten Kontakt zu einem IT-Dienstleister auf, der bei der Umsetzung von Sofortmaßnahmen hilft und eine erste Einschätzung über das Ausmaß und die weiteren notwendigen Maßnahmen abgibt. Die Hotline kann bereits bei dem bloßen Verdacht eines Cyberangriffs angerufen werden. Zieht das versicherte Unternehmen auch nur die Möglichkeit in Betracht, vom Microsoft Exchange-Server-Hack betroffen zu sein, kann es sich an die Hotline wenden. Vorteilhaft beim Kontakt über die Notfall-Hotline ist, dass die Kosten für die Nutzung der Hotline und die Erstmaßnahmen des IT-Dienstleisters nicht auf die Versicherungssumme angerechnet werden und ein möglicherweise vereinbarter Selbstbehalt keine Anwendung findet.

 

IT-Forensiker

 

Wird im Rahmen der Erstanalyse festgestellt, dass weitere Maßnahmen notwendig werden, greift der IT-Dienstleister auf einen IT-Forensikern aus seinem Netzwerk zurück, der das Ausmaß des Angriffs untersucht und dem versicherten Unternehmen bei der Aufarbeitung des Vorfalls hilft. Hierbei geht es in aller erster Linie um die technische Bewältigung. Im Rahmen des Microsoft Exchange-Server-Hacks prüft der Forensiker beispielsweise das System des Unternehmens auf Sicherheitslücken und schließt diese. Geprüft wird zudem, ob ein Befall mit Schadsoftware vorliegt, die der Forensiker sodann entfernt.

 

Verletzung der DSGVO

 

Weiterhin werden etwaige Datenabflüsse oder die Verletzung von datenschutzrechtlichen Verstößen gegen die DSGVO untersucht. Hierbei nimmt der IT-Forensiker gemeinsam mit dem versicherten Unternehmen bzw. dessen Datenschutzbeauftragten die gem. Art. 33 Abs. 5 DSGVO zwingend notwendige Dokumentation des Sachverhalts vor. Die rechtlichen Anforderungen an eine Dokumentation sind hoch. Z.B. muss beweisbar dokumentiert werden, dass keine Datenschutzrechtsverletzung vorliegt bzw. dass die Datenpanne voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten der betroffenen Personen führt.

 

Der Forensiker oder eine aus dem Netzwerk des IT-Dienstleisters/Versicherers beauftragte spezialisierte Kanzlei hilft zudem bei der Einschätzung, ob der Vorfall der zuständigen Datenschutzbehörde gemeldet werden muss (Art. 33, 34 DSGVO). Liegt eine Kompromittierung des Systems inkl. Datenabfluss vor, ist eine Meldung grundsätzlich innerhalb von 72 Stunden vorzunehmen.

 

Nichts so einfach ist die Frage der Meldeverpflichtung bei Sachverhalten zu beurteilen, in denen das System kompromittiert wurde, ein Datenabfluss aber nicht feststellbar ist. Die Datenschutzbehörden der verschiedenen Bundesländer beurteilen die Frage unterschiedlich. So nimmt der Landesbeauftragte für Datenschutz Baden-Württemberg an, dass ganz grundsätzlich von einer Meldepflicht an die Aufsichtsbehörde auszugehen ist. Differenzierter wird dies vom Bayerischen Landesbeauftragten für den Datenschutz beurteilt, wonach z.B. keine Meldung erfolgen muss, wenn trotz festgestellter Kompromittierung ausgeschlossen werden kann, dass personenbezogene Daten betroffen sind. Allein diese beiden Beispiele zeigen, dass die korrekte Einschätzung der Rechtslage das betroffene Unternehmen vor große Herausforderungen stellen kann und der zeitnahe Rückgriff auf Experten eine erhebliche Hilfe darstellt.

 

Betriebsunterbrechung, Datenverlust und Informationspflichten

 

Treten im Zusammenhang mit dem Microsoft Exchange-Server-Hack weitere Schäden beim versicherten Unternehmen auf, wie z.B. eine Betriebsunterbrechung oder Datenverlust, kann auch hier das Vorhandensein einer Cyberversicherung von großem Vorteil sein. Sowohl Betriebsunterbrechungsschäden als auch Mehrkosten zur Aufrechterhaltung des Geschäftsbetriebs sind in den FINLEX Spezialkonzepten versichert. Ebenso die Wiederherstellungskosten bei Datenverlust. Darüber hinaus besteht beispielsweise u.a.  Versicherungsschutz für die Kosten zur Erfüllung gesetzlicher und vertraglicher Informationspflichten an Dateninhaber.

 

FINLEX Cyber-Spezialkonzepte

 

Der Microsoft Exchange-Server-Hack zeigt, dass es Unternehmen nicht immer selbst in der Hand haben, Cyberangriffe durch Präventivmaßnahmen zu verhindern. Um bei einem Cybervorfall zeitnahe Unterstützung von Experten zu erhalten, kann der Abschluss einer Cyber-Police sehr hilfreich sein. Insbesondere die Möglichkeit, direkten Zugriff auf IT-Dienstleister einer Incident-Response-Hotline zu haben, spart wertvolle Zeit und kann Schlimmeres verhindern.

 

Haben Sie Fragen zu den FINLEX Cyber-Spezialkonzepten? Ihre Ansprechpartner bei FINLEX stehen Ihnen jederzeit zur Seite. Sprechen Sie uns gerne an.