Cyber-Versicherungen & Zukunftsdefinitionen: Hacks, Cyber-Attacken und ein militärischer Kontext? #Mondelēz

Cyber-Risiken gelten in der Wahrnehmung von CEOs und Unternehmen mittlerweile als eine der Hauptbedrohungen für die globale Marktwirtschaft. Versicherer liefern einen wichtigen Beitrag zum Funktionieren unserer Marktwirtschaft für das Risikomanagement. Aufgrund dessen haben sich vor wenigen Jahren auch die ersten Cyber Versicherungen in Deutschland und Kontinentaleuropa herausgebildet. Der noch vergleichbar junge Bereich der Cyber-Versicherungssparte könnte bald einen ersten Präzedenzfall erleben, denn zwischen dem Lebensmittelkonzern Mondelēz und dem Versicherer Zurich ist es zu einem Rechtstreit gekommen. Bei diesem geht es um die Frage, wie bestimmte Klauseln eines Versicherungsvertrages in Bezug auf Cyber-Attacken ausgelegt werden. Im konkreten Fall geht es um eine Deckung von 100 Mio $ und einem entstandenen Schaden von etwa 180 Mio $. Als Experten im versicherungsfachlichen Umfeld und mit vertieften Kenntnissen im Bereich Cyberrisk-Rating, möchten wir von PPI dieses Thema und seine Auswirkungen auf den Cyber Versicherungsmarkt nicht aus juristischer, aber aus fachlicher sowie technischer Sicht kurz und präzise beleuchten.

Was ist vorgefallen

Der Lebensmittelkonzern Mondelēz wurde Opfer der Windows-Malware NotPetya und erlitt Schäden von etwa 180 Mio $. Unter anderem waren diese Schäden gezeichnet, durch die Verschlüsselung und Beschädigung von unzähligen Laptops, den Folgekosten durch Produktionsausfall und den Kosten für die Fehleranalyse und Wiederherstellung. Gegen diese Risiken hatte sich das Unternehmen im Vorfeld mit einer Cyber-Police geschützt. Die Deckungssumme dieser Police betrug 100 Mio $ und sollte Schäden in folgenden Bereichen abdecken: physischer Datenverlust, Beschädigung elektronischer Daten oder Software, Schäden durch böswillig eingebrachten Schadcode oder Anweisungen[1] ab. Somit wäre zumindest ein Großteil der Schäden abgesichert gewesen. Der Versicherer Zurich hatte anfänglich einer Schadenregulierung zugestimmt, im späteren Verlauf die Regulierung allerdings gestoppt. Der Versicherer berief sich auf neue Erkenntnisse im Schadenprozess, welche sich direkt auf die Versicherungsbedingungen auswirkten. Denn sowohl in den USA, als auch in anderen Ländern, wurden kritische Stimmen laut, dass es sich bei der Schadsoftware um das Werk von Hackern mit russischem Ursprung handeln könnte. Diese sollen im staatlichen Auftrag gehandelt haben oder für eine regierungsnahe Organisation tätig gewesen sein. Tatsächlich werden in den Versicherungsbedingungen vieler Versicherer Kriegshandlungen oder kriegsähnliche Handlungen ausgeschlossen. Diese Ableitung hat die Zurich hier aufgrund der Russland-Thematik getroffen.

„NotPetya - Wer soll der Schuldige sein“:

Wer ist der Schuldige? Die Vermutungen, Verdachtsmomente und Spekulationen lesen sich wie ein guter Mix aus Kriminalbericht, Agentenroman und SciFi-Drehbuch. Die aufgezeigten Wege führen demnach nach Russland und die Ähnlichkeit zum Cyberangriff „Petya“ könnte eine Tarnung zur Spurenverwischung gewesen sein. Anders als bei Petya ist es in diesem Fall nicht möglichgewesen, die verschlüsselten Geräte gegen Zahlung von „Lösegeld“ wieder zu aktivieren. Dieser Umstand hat sich besonders kritisch auf betroffene Systeme in digitalisierten Produktionsstrecken ausgewirkt.

Technische Sicht - Wie sich der Wurm verbreitet hat:

Die EternalBlue Schwachstelle im Windows SMB-Dienst war das Ziel von NotPetya. Server Message Block (SMB) ist ein Netzprotokoll für Datei-, Druck- und andere Serverdienste in Rechnernetzen und wird für den Dateiaustausch zwischen Windows Systemen mit Unix Systemen verwendet. Windows XP und Windows 2000 nutzen die Version 1 des Protokolls standardmäßig. Der standardmäßige SMB Port ist 445. Ab Windows Vista stehen auch neuere Versionen (SMBv2 und SMBv3) zur Verfügung, jedoch wird SMBv1 immer noch angeboten und musste oft händisch deaktiviert werden. Betroffen dieser Cyber-Attacke war vor allem der SMBv1-Dienst, der durch speziell entwickelte Pakete angegriffen wurde und dadurch eine Remote Code Execution, das Ausführen von beliebigem Programmcode, ermöglichte.[2] Durch regelmäßige Überwachung der im Internet sichtbaren IT-Infrastruktur eines Unternehmens hätte man unter Umständen mögliche Angriffsflächen, in Form von verwendeten Diensten und Protokollen, frühzeitig erkennen und Gegenmaßnahmen treffen können. Die Ransomware hatte kein bestimmtes Unternehmen zum Ziel, sondern befiel hunderttausende Computer und Dienste auf der ganzen Welt. Die Beschaffenheit von NotPetya legt nahe, dass es sich bei Mondelēz nicht um einen gezielten Angriff gehandelt hat.

Der Streitpunkt:

Die im US-Bundesstaat Illinois eingereichte Klage von Mondelēz könnte für viele andere Schäden dieser Art maßgeblich sein. Ob das Urteil Versicherern und Versicherten mehr Sicherheit darüber geben wird, welche Schäden abgedeckt werden, wird mit hohem Interesse verfolgt. Wie man zukünftig die Ausnutzung von Sicherheitslücken in unterschiedlichen Diensten durch Massenangriffe werten wird, ist ebenfalls spannend. Fest steht aber jetzt schon: Eine Versicherungspolice ist kein Garant für ein sicherheitsvorfallfreies Leben. Aus Sicht der Versicherungsindustrie könnte das Urteil auch den Anstoß für neue Risikokonzepte im Kontext „Cyber Warfare“ geben. Denkbar wäre die Bildung von Spezialversicherern analog zur EXTREMUS Versicherung AG, die sich besonders auf Schäden durch Terroranschläge spezialisiert hat(„Terror Pool“). Bereits im Jahr 2018 warnte das World Economics Forum davor, dass es durch die wachsende Vernetzung zu höheren Risiken durch Cyberangriffe führen könnte. Außerdem sahen die Top-Manager der Wirtschaftselite bereits damals, dass das Top-Risiko der nächsten Jahre Cyberattacken sein würden.[3] Durch die so neu geschaffenen Märkte für Spezialversicherer könnten dem Risiko angemessene Prämien angesetzt werden. Neben dem Aspekt der Versicherbarkeit verdeutlicht der Fall aber auch die dringende und konsequente Auseinandersetzung mit Cyber Security in jedem Unternehmen. Die Relevanz von Patch Management und sonstigen präventiven Maßnahmen, welche zur Vermeidung solcher hohen Schadensummen beitragen können, rückt unweigerlich in den Fokus. Präventiv sinnvoll sind hier regelmäßige Audits oder Reports, die Auskunft über die aktuelle Aufstellung eines Unternehmens im Internet geben. Der o. g. technische Verbreitungsweg über SMB Port 445 ist auch für passive Aufklärungstools und Schwachstellenanalysen identifizierbar. Solche Verfahren sollten im Versicherungsmarkt und auf Kundenseite noch stärker zum Einsatz kommen. Der beste Schaden ist immer der, den man vermeiden kann.

Fazit

Egal wie das Urteil ausfallen wird, es ist für alle Beteiligten ein wesentlicher Erfahrungswert, aus dem wichtige Ableitungen getroffen werden können. Das Urteil wird für mehr Klarheit sorgen und aus unserer Sicht keinen negativen Einfluss auf das Wachstum im Cyberversicherungs-Markt haben. Im Gegenteil, es könnte sogar für weiteres Wachstum, neue Produkte und Dienstleistungen, höhere Risikoawareness und die intensive Auseinandersetzung mit solchen Risiken sorgen. Kunden, die weder das Know-How noch die Kapazitäten für ein eigenverantwortliches IT-Security-Management haben, könnten zum Beispiel proaktiv auf ihren Versicherungspartner zugehen und unterstützende Dienstleistungen in Anspruch nehmen. Damit dies in Zukunft noch besser funktioniert, sollte dieser Bereich auch auf Seiten der Versicherer weiter ausgebaut und aktiver im Markt angeboten werden. Bei einer guten partnerschaftlichen Verbindung kommt es vielleicht gar nicht erst zu Unklarheiten und nachgelagerten Streitigkeiten, wie im Fall Mondelēz.

Beste Grüße!
Mario

[1] https://www.databreachninja.com/my-least-favorite-exclusion-challenged-by-milks-favorite-cookie/

[2] https://www.sichere-industrie.de/ransomware-notpetya-was-passierte-wer-vermutlich-dahinter-steckt-warum-eine-versicherung-den-schaden-nicht-bezahlt-und-wie-sie-sich-davor-schuetzen-koennen/


[3] https://www.handelsblatt.com/politik/international/global-risk-report-2018-alarmstufe-rot/20856178.html?ticket=ST-113088-ITf9gqFr7Rfs7ulb79to-ap6

Passwort-Hygiene Fehlanzeige (Teil 2) – Wenn ein Kühlschrank den gesamten Unternehmensbetrieb einfriert! #CYBERCRIME #IOT #CYBERVERSICHERUNG

Was hat ein Kühlschrank mit einer übergreifenden Betriebsunterbrechung zu tun oder gar mit Passwort-Hygiene? Natürlich (aber nicht ausgeschlossen) geht es hier nicht um den heimischen Kühlschrank in dem vorrangig Lebensmittel untergebracht werden …

Supermärkte, Krankenhäuser, Labore und andere Einrichtungen nutzen Kühlschränke. Aus den unterschiedlichsten Motivationen werden hier allerlei Dinge aufbewahrt. Diese sind immer häufiger direkt mit dem Internet (Stichwort IoT) verbunden. Sei es, um bei Ressourcenknappheit automatisiert eine Nachbestellung auszulösen, Qualität zu sichern oder um Prozesse zu optimieren.

Diese Entwicklung wirkt sich natürlich auch auf Fragen rund um das Thema IT-Sicherheit aus. Bei automatisierten Bestellabläufen oder vernetzten Gerätesteuerungsanlagen besteht großes Schadenpotenzial, wenn diese einem Cyber-Angriff zum Opfer fallen.

Heutzutage werden immer mehr Geräte mit dem Internet verbunden und manchmal ist das den Betreibern gar nicht bewusst. Solche Geräte existieren in den unterschiedlichsten Bereichen. Von der WLAN-fähigen Glühbirne, über Maschinen, bis zur Steuerung von ganzen Produktionsanlagen kann heute alles ans Internet angebunden werden. Daher muss immer bedacht werden, welche Angriffsmöglichkeiten hier unter Umständen geschaffen werden.

Szenario 1 – Der Fall „Mayonaise“
Wenn dort Lebensmittel gelagert werden und ein Ausfall rechtzeitig bemerkt wird, ist dies meist nicht kritisch, da Lebensmittel einfach entsorgt und neu beschafft werden können.

Doch bei der Produktion von Lebensmitteln wie Beispielsweise Mayonnaise darf die Kühlkette unter keinen Umständen für längere Zeit unterbrochen sein. Ansonsten besteht eine erhöhte Salmonellengefahr. Angefangen von Rückrufaktionen bis hin zu Schadenersatzansprüchen von betroffenen Konsumenten, ist als Folge vieles vorstellbar. Für eine große Lebensmittelkette könnte ein plötzlicher Ausfall der Kühlgeräte also zu sehr hohen Kosten und vielleicht sogar dem Ruin führen. Spannend ist auch die Frage, inwieweit diese Schadenszenarien durch entsprechende Cyber-Policen abgedeckt werden (können).

Szenario 2 – Durch „Kühlschrank-Hack“ rein ins Unternehmensnetz

Es ist fahrlässig genug, IoT Geräte jedermann zugänglich zu machen. Viel schlimmer kann es aber werden, wenn diese netzabhängigen und verbundenen Geräte die gängigen Sicherheitsmechanismen wie VPN Zugänge oder Firewallsysteme komplett umgehen. Wenn dazu schlechte organisatorische Sicherheitsmaßnahmen wie z. B. fehlende Netztrennung kommen, ist es für Hacker sogar möglich, ins Unternehmensnetz einzudringen und weiteren Schaden anzurichten.

Als konkretes Beispiel ist hier der Hersteller Ressource Data Management (RDM) zu nennen[1]. Durch ein einfach zu erratendes Standardpasswort, „1234“, ist es Hackern möglich gewesen, Zugriff auf weltweit verteilte Kühlschränke zu erhalten, sie fernzusteuern und sogar auszuschalten.

Dieses Beispiel ist nur eines von vielen. Im Darknet werden immer wieder Hacks veröffentlicht, bei denen vielfach Zugänge zu schlecht oder komplett ungeschützten IoT[2]-Geräten veröffentlich werden. Für versierte Hacker ist es möglich, weite Bereiche des öffentlichen Internets nach ungeschützten Komponenten und Services zu suchen.

Welche Absicherungsmöglichkeiten gibt es?

Wie in vorherigen Beiträgen erwähnt, ist es sehr wichtig, eingesetzte IoT-Geräte ausreichend zu schützen. Zum einen sollten diese Geräte nicht für jedermann öffentlich einsehbar sein und des Weiteren sollte das Passwort schon etwas konstruktiver gewählt werden als „1234“. Zusätzlich gibt es diverse weitere Maßnahmen um sich vor solchen Angriffen zu schützen. Netztrennung und ein entsprechend gutes Firewallsystem sind nur einige der Möglichkeiten. Auf eine gute Schulung der Mitarbeiter sollte ebenfalls geachtet werden. Vielleicht werden zukünftig dann weniger IoT-Geräte für jedermann im Internet zugänglich gemacht.

Doch einen guten Anfang und dementsprechend einer ersten Prävention, realisiert man mit der regelmäßigen Aktualisierung der Passwörter.

Beste Grüße
Mario

[1] https://www.golem.de/news/resource-data-management-kuehlschraenke-lassen-sich-mit-passwort-1234-abschalten-1902-139300.html


[2] IoT (Internet of Things)

Passwort-Hygiene Fehlanzeige – sind Sie das nächste Leak-Opfer? #passwortsicherheit #cybercrime #darknet

In unserem letzten Beitrag haben wir über ein Datenleck bei der Starwood-Hotelkette berichtet. Hier wurden Daten absichtlich entwendet, um daraus Profit zu schlagen. Mit Hilfe von Kreditkartendaten lässt sich so einiges anstellen. Die Betroffenen hatten hier kaum eine Möglichkeit, ihre persönlichen Daten zu schützen.

Dieses Mal möchten wir auf die Gefahr aufmerksam machen, welche von unsicheren Passwörtern ausgeht. Die aktuellen Datenleaks zeigen deutlich, dass viele Benutzer keinen Wert auf sicherere Passwörter legen. Hier eine kleine Rangfolge der am häufigsten verwendeten Passwörter aus der aktuellen Leak-Quelle:

Platz 1: „123456“

Platz 2: „12345“

Platz 3: „123456789“

Platz 4: „fic*en“

Dicht gefolgt von „hallo“ und „passwort“.

Dass die beliebtesten Anbieter im Freemailbereich solche Passwörter akzeptieren und diese dem Nutzer sogar als sicher suggerieren, macht es nicht besser.

Durch solche unsicheren Passwörter für E-Mail-Konten können Hacker weitere Zugänge zu anderen Plattformen erhalten. Das Vorgehen der Hacker ist denkbar einfach. Durch die E-Mail-Adressen in Leak-Collections (Veröffentlichung von E-Mail-Listen im DarkNet) wird das erste Angriffsziel ausgemacht. Anschließend werden die gängigsten Passwörter mithilfe entsprechender Tools durchprobiert. Dabei können je nach Rechenleistung mehrere zehntausend Passwörter oder mehr pro Sekunde mithilfe von dictionary attacks oder brut force attacks ausprobiert werden.

Um die Gefahr zu verdeutlichen, sind einige Rechenbeispiele beigefügt worden. Die Rechenleistung pro Sekunde ist ein fiktiver Wert (hier 2 Milliarden pro Sekunde). Dieser kann durch Cloudanbieter wie Amazon aber deutlich höher liegen.

Passwort
besteht aus
Mögliche Kombinationen
Benötigte Zeit
zum Entschlüsseln
5 Zeichen
(3 Kleinbuchstaben,
2 Zahlen)
365 = 60.466.176 60.466.176 /
2.000.000.000 =
0,03 Sekunden
7 Zeichen
(1 Großbuchstabe,
6 Kleinbuchstaben)
527 = 1.028.071.702.528 1.028.071.702.528 /
2.000.000.000 =
514 Sekunden =
ca. 9 Minuten
12 Zeichen
(3 Großbuchstaben,
4 Kleinbuchstaben,
3 Sonderzeichen,
2 Zahlen)
9412 = 475.920.314.814.253.376.475.136 475.920.314.814.253.376.475.136 /
2.000.000.000 =
237.960.157.407.127 Sekunden =
ca. 7,5 Millionen Jahre


Man kann sich also vorstellen, wie ein Hacker bei einfachen Passwörtern sehr schnell Zugriff auf einen Account erhalten kann. Anschließend wird durch Recherche (z. B. Social Media Accounts oder direkt im Mail-Postfach) herausgefunden, wo die nun zugänglichen E-Mail Adressen noch verwendet werden. Durch die Aktion „Passwortzurücksetzen“ der so herausgefundenen Dienste bekommt der Hacker Zugangsdaten für weitere Plattformen und Dienste.

Im Internet kursieren riesige Datenmengen mit E-Mail-Adressen und Passwörtern von ahnungslosen Nutzern. Troy Hunt, Betreiber der Passwort-Sicherheits-Webseite „Have I Been Pwned (HIBP)“, hat eine umfangreiche Sammlung mit knapp 773 Millionen unterschiedlichen E-Mail-Adressen und 21 Millionen unterschiedlichen Passwörtern. Aus Datenschutzgründen bietet die Website nur die Möglichkeit zu prüfen, ob man betroffen ist. Es ist jedoch nicht möglich zu sagen, auf welchen konkreten Hack sich ein Treffer bezieht, nur dass es einen gibt.

Ob man selbst betroffen ist, lässt sich über den folgenden Link schnell herausfinden:

https://haveibeenpwned.com/

Um die eigene Sicherheit im Internet zu erhöhen, wird dringend empfohlen, sichere Passwörter zu verwenden und wann immer möglich die Zwei-Faktor-Authentifizierung zu nutzen. Natürlich sollten Anbieter von beliebten Diensten auch geeignete Sicherheitsmaßnahmen zur Verfügung stellen. Die Bemerkungen einiger Nutzer im Internet „Ein Dienst muss mein Passwort akzeptieren, egal wie schlecht es ist“ sollten aus Security-Sicht nicht gelten! Falls sich Anwender keine komplexen Passwörter merken wollen oder können, gibt es die Möglichkeit, einen Passwortmanager zu nutzen. Hier gibt es verschiedene Offline-Varianten. Wenn man diese dann zusätzlich auf einem separaten Gerät, z. B. einem USB-Stick, verwendet, ist man schon um einiges sicherer unterwegs.

Das Restrisiko lässt sich über entsprechende Cyber-Policen abdecken. Zukünftig wird das Angebot in diesem Bereich auch im privaten Sektor weiter wachsen, um den unterschiedlichen Bedrohungslagen gerecht werden zu können.

Viele Grüße!
Mario Lünser


Datenklau in fremden Bett! #Marriott #Starwood #cybercrime

Bei der Angabe von Daten im Internet sind die meisten Menschen mittlerweile schon vorsichtiger geworden. Bevor persönliche Informationen oder gar Kreditkartendaten herausgegeben werden, muss es schon ein gewisses Vertrauensverhältnis zum Empfänger der Daten geben. Kunden vertrauen darauf, dass die Unternehmen ihre preisgegebenen Daten bestmöglich schützen. Das Daten aber auch auf indirektem Wege in Datenbanken von Unternehmen landen können und auch dort gehackt werden können, das haben weniger Kunden im Blick. Das Vertrauen gegenüber einer realen Person, die diese Daten für einen eingibt, ist erheblich größer.

Ein Fall, in dem dieses Vertrauen nicht gerechtfertigt war geht derzeit durch die Presse. Hinter dem etwas technischen Namen „Starwood Guest Reservation Database Security Incident“ versteckt sich ein Kundendatenklau von riesigem Ausmaß. Die Starwood Hotelkette, eine Tochter der Marriott Hotels musste im letzten Monat eingestehen, dass Daten von bis zu 500 Millionen Kunden durch Dritten eingesehen werden konnten. Neben den Reservierungsdaten gehören insbesondere auch Kreditkartendaten und Informationen zu Ausweisdokumenten zu den entwendeten Daten. Das betroffene Unternehmen kann noch nicht mit Sicherheit sagen, ob dabei die für die Entschlüsselung notwendigen Schlüssel, ebenfalls entwendet wurden. Dies wäre besonders schlimm, da durch diese Schlüssel die Kundendaten im Klartext lesbar wären.

Was hinter dem Datenklau steckt ist noch nicht final geklärt, mögliche Spuren nach China werden in den Nachrichten derzeit diskutiert. Was Kriminelle mit einer Datenbank dieser Größe jedoch alles anstellen könnten lässt sich kaum ausmalen: wenn man mal überlegt, wie viele Daten bei einer Hotelreservierung angegeben werden müssen wird schnell klar, das für ein komplettes Bild über einen Gast kaum noch etwas fehlt, ein Identitätsdiebstahl lässt sich nur noch schwer verhindern. Kommt dann auch noch Leichtsinn, wie etwa das Verwenden von gleichen Passwörtern auf mehreren Plattformen hinzu, dann sind den Kriminellen kaum noch Grenzen gesetzt.

Die Analysen unserer Experten zeigen, dass auf den einschlägigen Darknet-Plattformen noch keine der Daten verfügbar sind. Gerade bei Bekanntwerden eines solchen Hacks würden sich hier in den Communities Hacker dazu bekennen, um Ansehen in der Community zu erwerben. Auszüge aus den erbeuteten Daten sind dabei ein gängiges Mittel für den Beweis eines vollzogenen Hacks. Manche Hacker gehen gar so weit, komplette Datensätze online zu stellen. Frei verfügbar oder zum Verkauf – alles ist hier möglich. Prominent sind etwa die Daten aus einem älteren Vorfall bei LinkedIn, bei dem E-Mailadressen und Passwort Kombinationen erbeutet wurden. Bei einer nicht unerheblichen Anzahl von Benutzern bedeutet dies, dass auch die E-Mail-Konten selber offen sind, da das gleiche Passwort verwendet wurde.

Dies kann nicht nur eine Gefahr für die Privatperson an sich darstellen, sondern auch gegebenenfalls für das Unternehmen, indem die Person arbeitet. Gerade Bei Hotelreservierungen wird oft die berufliche E-Mail-Adresse oder Kreditkarte verwendet, woraus sich wiederum eine potentielle Angriffsoberfläche auf das Unternehmen selbst ergibt.

Hier empfiehlt sich sowohl als Unternehmen für eine entsprechende Mitarbeiterawereness zu sorgen, dass Passwörter regelmäßig geändert werden, als auch selbige Ableitung für die Privatperson. Durch eine mögliche Verwendung von Unternehmenskreditkarten kann auch dem Unternehmen ein finanzieller Schaden entstehen. Denn ob wir wollen oder nicht. Unabhängig von Unternehmen oder Privatperson, wir alle können durch solche Datenleaks zu einem für Angreifer potentiell lohnenswerten Ziel werden.

Viele Grüße
Felix

Schützt die Burgen – Neue Gefahr aus dem DarkNet (Teil 6) #darknet #hacks

Lange Zeit war es still um die Burg...

Die in unseren vorherigen Beiträgen beschriebenen Gefahren konnten von den Wächtern der Burg erfolgreich abgewandt werden. In dieser Zeit hat sich die Burg weiterentwickelt und ist gewachsen. Dies hat zur Folge, dass immer mehr „Bewohner“ in der Burg ein und ausgehen, was die Wachen vor eine organisatorische Herausforderung gestellt hat.

In unserer Welt der Burgen hat sich ein System durchgesetzt. Zur Identifikation bei der Burg oder den umliegenden Händlern kann jede Person ein individuelles Erkennungs-Symbol (E-Mail-Adresse) mit zugehörigem Passwort wählen. Die Symbole sind unterschiedlich je nach Adressat (Burg, Händler, etc.)

Das System hat die Effizienz bei der Identifizierung stark erhöht. Die Wachen können die Symbole mit den hinterlegten Passwörtern anhand einer Liste abgleichen und so den Überblick darüber behalten, dass auch nur berechtigte Personen Zutritt in die Burg erlangen. Zusätzlich wird in unserer Burg eine Richtlinie eingeführt, dass nach Ablauf von drei Monaten das Passwort geändert werden muss.

Nun sind die Bewohner der Burg aber eher gemütlich und möchten sich nicht für jeden Händler und den Zutritt zur Burg verschiedene Symbole und Passwörter ausdenken/merken. Daher verwendet eine Vielzahl an Personen dieselbe Kombination aus Symbol und Passwort bei Burg, Schenke oder Händler.

So weit, so gut könnte man jetzt meinen, ist ja kein Problem, solange die Personen gut auf ihr Passwort aufpassen.

Doch jetzt ist es passiert! Einer der kleineren Händler wurde, aufgrund einer nicht verschlossenen Tür, ausgeraubt und bei dem Raubzug wurde seine Liste mit Symbolen und Passwörtern entwendet. Der Dieb (Hacker) fährt nun in einen Wald (DarkNet) und prahlt dort vor anderen Dieben mit seinem Diebesgut. Er bietet den anderen Dieben die Listen zum Kauf an.

Der kleine Händler hat inzwischen veranlasst, dass die Symbole und Passwörter bei ihm ausgetauscht werden, sodass sich seine Kunden wieder sicher bei ihm identifizieren können.

Die Diebe vermuten aber, dass eine Vielzahl der betroffenen Personen die Kombination Symbol+Passwort auch für den Zugang zur Burg verwenden und versuchen nun dort Eintritt zu erlangen. Und tatsächlich gelingt es den Dieben sich so Zutritt zur Burg zu verschaffen!

Diese Gefahr besteht nicht nur in der Welt der Burgen, sondern auch in der realen Welt. Heutzutage melden wir uns bei den verschiedensten Diensten im Internet mit unseren E-Mail-Adressen und dazugehörigen Passwörtern an. Sollte einer der Dienste gehackt werden und dort als Diebesgut eine Liste mit E-Mail-Adressen und Passwörtern entwendet werden, ist die Gefahr groß, dass wenn man diese Kombination auch bei anderen Diensten verwendet, sich der Hacker nun mit meiner Identität in die jeweiligen Dienste einloggt.

Für Unternehmen wird es besonders dann gefährlich, wenn Mitarbeiter sich mit Ihrer beruflichen E-Mail-Adresse bei privaten Diensten anmelden und im worst-case auch noch dieselben Passwörter verwenden.

So kann aus einem Hack eines privaten Dienstes urplötzlich eine Gefahr für das Unternehmen entstehen.

Beste Grüße und bis bald
Jonas Schwade


https://ppiag-digitalisierung-versicherungen.blogspot.com/p/blog-page.html

Sind sie gegen POODLE und co. gewappnet? #cybercrime

Welche Folgen veraltete Verschlüsselungsverfahren haben können, erfahren Sie jetzt:

Die E-Mail-Kommunikation ist im geschäftlichen Kontext mittlerweile absoluter Standard und nicht mehr wegzudenken. Doch per Mail werden nicht nur unkritische Daten ausgetauscht. Häufig sind personenbezogene Daten von Kunden oder Geschäftspartnern, interne Besprechungsprotokolle oder Firmengeheimnisse, Inhalte einer Mail.

Wie oft machen Sie sich Gedanken darüber „Was passiert, wenn diese Mail von der falschen Person gelesen wird“ oder „Gehe ich ein Risiko ein, wenn ich diese Informationen per Mail versende?“.

Wahrscheinlich geht es Ihnen wie mir und Sie denken nicht groß darüber nach.

Damit die oben angesprochenen Daten sicher an den von Ihnen vorgesehenen Kontakt geschickt werden gibt es Verschlüsselungsverfahren. Diese Sorgen dafür, dass die Inhalte der Mails nicht von Dritten mitgelesen werden können.

Der Unterschied zwischen einer verschlüsselten und unverschlüsselten Mail ist leicht zu erklären.

Wenn ich die Mail verschlüsselt verschicke, dann schicke ich bildlich gesprochen einen zugeklebten Brief los. Dieser wird erst bei dem entsprechenden Empfänger geöffnet.


Schicke ich die Mail unverschlüsselt los, ist es so, als wenn ich eine Postkarte mit allen Informationen verschicke. Auf dem Transportweg kann nun jeder, der meine Mail /Postkarte sieht, die Daten darauf mitlesen.




Verschlüsselungen für den Mailverkehr gibt es schon seit 1994. Gestartet damals mit der Version SSL 1.0 (SSL steht hier für „Secure Sockets Layer“), über die Versionen SSL 2.0 (1995), SSL 3.0 (1996), dann abgelöst durch sogenannte TLS (Transport Layer Security), beginnend mit der Version TLS 1.0 (1999), TLS 1.1 (2006), TLS 1.2 (2008) und neuerdings der Version TLS 1.3 (2018).

Wenn ich nun eine Mail an einen meiner Kontakte losschicke, dann kommunizieren die beiden betroffenen Mail-Server miteinander und fragen sich „Hey, welche Verschlüsselung unterstützt du?“. Beide einigen sich dann auf die neuste Verschlüsselung, welche beide Server unterstützen und tauschen die Mail aus.

Soweit so gut. Die meisten Unternehmen unterstützen auch die neusten Verschlüsselungs-technologien. Der Knackpunkt ist hier das Wort „auch“. Denn wir sehen mit cysmo (Cyberrisk-Rating-Tool) in der Praxis, dass ein Großteil der Unternehmen auch veraltete und sehr unsichere Verschlüsselungen, wie z. B. SSL3 oder das seit dem 30.06.18 auch unsichere TLS 1.0 verwenden.

Der aufmerksame Leser denkt sich jetzt „Gut, ist ja kein Problem, solange ich die aktuellsten Versionen unterstütze, werden meine Mails und meine Kommunikation im Internet ja auch verschlüsselt übermittelt“. Für die meisten Übertragungen stimmt diese Aussage auch, dennoch gibt es ein großes Problem. Und das Problem heißt „Man in the Middle“.

Bei einem Man in the Middle (MitM) Angriff setzt sich ein Angreifer zwischen die Kommunikation zweier Parteien und täuscht diese, indem er den Datenaustausch zwischen beiden Parteien mitliest und verändert.

Dann kann der Angreifer mit Hilfe der sogenannten „POODLE Attack“ (Padding Oracle On Downgraded Legacy Encryption), verschlüsselte Datenübertragungen teilweise entschlüsseln und dadurch angreifen.

Die Attacke funktioniert so: Der Cyberkriminelle zwingt den anzugreifenden Server indem er mit der Aussage „Ich kann nur SSL3 Verschlüsselungen“ so tut, als ob das Zielsystem keine bessere Verschlüsselung anbietet dazu, dass dieser auf die veraltete Verschlüsselung SSL3 zurückgreift und erhält so die Möglichkeit eine Poodle-Attacke durchzuführen. Diese ermöglicht ihm Teile der Kommunikation zu Manipulieren und zu entschlüsseln.
Ziel solcher Angriffe ist es meist die Sitzung des Opfers zu übernehmen. So kann der Angreifer beispielsweise auch Zugriff auf Online-Banking Sitzungen o.Ä. erhalten. Die Auswirkungen können Sie sich sicher vorstellen. Unternehmen arbeiten vermehrt mit Webanwendungen und sind damit auch Ziel solcher Angriffe.

Um dieser Gefahr entgegenzuwirken empfehlen wir ausdrücklich nur die neusten Verschlüsselungs-technologieren TLS 1.3 und TLS 1.2 zu unterstützen. So gehen Sie sicher, dass man nicht Opfer einer Poodle-Attacke wird und der Mail-Verkehr sicher bleibt.

Bis zum nächsten Mal
Jonas Schwade

 

Cyberversicherung - Fluch oder Segen?

Was in den USA schon zu einem Standardversicherungsprodukt von Unternehmen gehört, ist in Deutschland noch eher eine Spezialversicherung. Die Rede ist von Cyberversicherungen.

Es gibt zahlreiche Studien zu diesem Thema, die ich an dieser Stelle ungern wiederholen möchte.

Quintessenz aller Studien ist folgendes:

  • Der Cyberversicherungsmarkt in Deutschland ist vergleichsweise jung.
  • Das Wachstum des Prämienvolumens wird im Laufe der nächsten Jahre zunehmen.
  • Die Anzahl an Cyberattacken nimmt zu und jedes Unternehmen ist grundsätzlich gefährdet.

Als Versicherungsunternehmen würde ich mir jetzt denken „WOW, Cyberversicherung, da steckt ja echt viel Potential drin, muss ich auch machen“.

Und in der Tat steigen immer mehr Versicherungsunternehmen in den Cyberversicherungsmarkt ein. Dies führt dazu, dass das Angebot an Cyberpolicen für die Unternehmen zunimmt. Unternehmen haben so die verschiedensten Möglichkeiten sich den für sie passenden Versicherungsschutz rauszusuchen.

Ein Traum oder?
Naja, leider sieht die Realität etwas anders aus. Den meisten Unternehmen ist Cyberkriminalität zwar ein Begriff und sie registrieren natürlich auch Attacken wie „Wanna Cry“, doch ist die Awareness, dass man selbst als Unternehmen betroffen sein kann, eher gering.

„Ja Cyber ist echt eine gefährliche Sache aber ich mache mir da keine Sorgen, wer soll mich schon angreifen?“ – das ist eine klassische Aussage eines mittelständischen Unternehmens.

Also doch eher ein Fluch?
Das mangelnde Bewusstsein bei Unternehmen führt nun im Umkehrschluss dazu, dass die Nachfrage nach Cyberversicherungen noch stockt und die Unternehmen auch nicht bereit sind größere Prämien für eine Versicherung auszugeben. Im Schnitt gibt ein KMU für eine Cyberversicherung ca. 50€/Monat aus.

Das Bewusstsein an Cyberversicherungen wird in den nächsten Monaten und Jahren definitiv zunehmen, da bin ich mir sicher, auch die Nachfrage wird im Laufe der Zeit steigen.

Für Versicherungsunternehmen ist es natürlich wichtig sich frühzeitig auf dem Markt zu platzieren und Marktanteile zu sichern aber nicht um jeden Preis!

Ein ausgeglichenes Portfolio, mit einem stabilen Wachstum ist der Schlüssel zum Erfolg. Frühzeitige Portfolioanalysen hinsichtlich potentieller Kumulbildungen, sowie eine effiziente, kostengünstige und vor allem möglichst umfangreiche Risikobewertungen, sind aus meiner Sicht die entscheidenden Faktoren, um sich langfristig auf dem Cyberversicherungsmarkt zu halten.

Dann ist die Cyberversicherung kein Fluch, sondern ein Segen.

Viele Grüße
Jonas