Das Landgericht Tübingen hat in einem Schadensfall gegen die Cyber Versicherung entschieden. Diese muss für Schäden zahlen, obwohl die Server unzureichend abgesichert waren. Das betroffene Unternehmen hat allgemeine Sicherheitsstandards gekonnt ignoriert und daher schon grob fahrlässig gehandelt.
Warum die Cyber Versicherung nicht zahlen wollte
Die Details des Schadensfalls sind interessant für alle, die ebenfalls eine Cyber Versicherung haben oder eine abschließen wollen. Der Fall zeigt, dass eine Cyber Versicherung unerlässlich für Unternehmen ist. Ebenso für IT-Spezialisten, die für die Sicherheit der Computersysteme verantwortlich sind. Wie in jedem Schadensfall hat die Versicherung prüfen lassen, wie schlecht die Sicherheitsvorkehrungen waren, und ob der Schaden hätte vermieden werden können. Wie tarnkappe.info berichtet, ergab die Überprüfung die folgenden Sicherheitslücken im Unternehmen:
- Von 21 Servern verfügten nur 10 über die erforderlichen Sicherheitsupdates. Bei 11 Servern hatte man es folglich versäumt, die Software-Updates einzuspielen.
- 2-FA fehlt (Zwei Faktor Authentifizierung)
- Kein Monitoring System für Internetverkehr und Servernutzung
- Der Cyberangriff war bei insgesamt 16 der 21 Server erfolgreich und betraf Systeme mit allen Betriebssystemversionen, darunter auch die aktuelle Version Windows Server 2019.
- IT-Forensiker fanden heraus, dass Hacker die „Design-Schwachstelle – Pass the Hash“ von Windows ausnutzten, die auch in der aktuellen Version vorhanden ist.
Bei dem Cyberangriff wurden die Festplatten des Unternehmens verschlüsselt und Geld für die Freigabe verlangt. Dabei hat eine Phishing-Mail am 29.05.2020 einen Verschlüsselungs-Trojaner (Ransomware) durch eine Rechnung von einem Dienst-Laptop eingeschleust (Punkt 59 – Az. 4 O 193/21). Die Cyber Versicherung muss nach dem Gerichtsurteil etwas mehr als 4 Millionen Euro (Gerichtsbeschluss – Az. 4 O 193/21) bezahlen.
Urteil kein Freibrief für Fahrlässigkeit
Das Landgericht Tübingen argumentierte das Urteil so, dass auch ihre ordentlich gepatchten Systeme erfolgreich aufgemacht wurden, und daher der Stand der Systemversion und Updates keine Rolle spielen kann. Des Weiteren waren in dem Vertrag mit der Cyber Versicherung die 2-FA und Überwachungssysteme nicht aufgeführt. Trotz allem muss die Cyber Versicherung nun 70 % des Schadens übernehmen.
Aus IT Sicht hält das Argument aber nicht Stand und könnte angezweifelt werden. Je nachdem, wie die IT-Infrastruktur des Unternehmens aufgebaut ist, sind die Server und Computer keine isolierten Einzelstücke, sondern hängen in einem Vertrauensverhältnis zusammen, Stichwort „Active Directory“ bei Windows. Einige Computer vertrauen den anderen „blind“ und könnten gespeicherte Passwörter für die anderen Computer enthalten. Bekommt man Zugriff auf den Hauptserver, der alle Accounts verwaltet, ist es egal wie gut die anderen Computer geschützt sind, da man sich ganz normal anmelden könnte.
Dem Urteil nach muss die Versicherung 70 % des berechneten Schadens bezahlen. Der Löwenanteil des Schadens ergibt sich aus der Betriebsunterbrechung (3.657.303,20 €) über den gesamten Zeitraum, während der Sachschaden (322.540,58 €) weniger als 10 % davon ausmacht. Da § 81 Abs. 2 VVG (kurz: Schadensminderung wegen grober Fahrlässigkeit) nicht erfüllt ist, steht in Punkt 181 des Urteils:
Der Anspruch der Klägerin ist nicht wegen grob fahrlässiger Herbeiführung des Versicherungsfalls zu kürzen.
Die Begründung ist, dass die grobe Fahrlässigkeit bereits zu Vertragsbeginn bestand, da damals keine 2-FA eingerichtet war und im Vertrag auch keine 2-FA gefordert wurde.
Pass the Hash
Ein noch viel wichtiger Punkt für diesen Fall ist die angesprochene Sicherheitslücke „Pass the Hash“. Diese Lücke zielt genau darauf ab, dass man Zugriff auf einen Computer in einem Netzwerk bekommt und durch „Pass the Hash“ dann Zugriff auf weitere Systeme im Netzwerk erhält. Mit einer 2-FA hätte der „Pass the Hash“ Angriff jedoch abgewehrt werden können.
Daher ist die Systemversion und der Stand der Updates sehr wichtig, da man nur Zugriff auf ein einziges System benötigt und durch die Sicherheitslücke dann auf weitere Systeme. Der eigentliche Zugriff erfolgt ja durch eine andere Sicherheitslücke, die man durch Updates hätte verhindern können. Das Urteil könnte also angezweifelt werden.
Da der Angriff durch den Anhang in einer E-Mail kam, ist trotzdem fragwürdig, ob ein Windows Update da geholfen hätte. Da nicht genau bekannt ist, welche Versionen verwendet wurden und mit welcher Schadsoftware der Angriff erfolgt ist, könnte man nur spekulieren, welche Versionen Ende Mai 2020 im Einsatz waren.
(TB)