1. Aktuelle Seite:  
  2. Prinz-Blog
  3. Trotz mangelhafter IT-Sicherheit musste Cyber-Versicherung zahlen

Trotz mangelhafter IT-Sicherheit musste Cyber-Versicherung zahlen

Kausalität war im konkreten Fall nicht gegeben

Im Mai 2020 verschafften sich Cyber-Kriminelle mit einer Pass-the-Hash-Attacke den Zugriff auf sämtliche Server – interne wie externe – eines Herstellers ökologischer Heizungsanlagen. Einen erheblichen Teil der Server setzten Sie mit einer Ransomware, einem Verschlüsselungsprogramm, außer Gefecht. Dieses Programm brachte ein Mitarbeiter des Unternehmens in Umlauf, weil er den Anhang einer E-Mail öffnete. In der Konsequenz entstand dem Unternehmen aufgrund einer Betriebsunterbrechung ein Schaden von rund drei Millionen Euro.

Betriebsunterbrechung bis fünf Millionen versichert

Der Heizungsanlagenhersteller hatte sich mit einer Cyber-Versicherung mit einer Deckungssumme von fünf Millionen Euro explizit auch gegen die Folgen von Betriebsunterbrechungen abgesichert. Beim Vertragsschluss beantwortete das Unternehmen Fragen zur IT-Sicherheit. Es bestätigte, dass wenigstens ein IT-Spezialist die IT des Betriebs betreue, dass die Daten regelmäßig gesichert würden und dass Sicherheitsupdates regelmäßig und „ohne schuldhaftes Zögern" durchgeführt würden. Nach der Cyber-Attacke stellte ein Sachverständiger fest, dass von 21 internen und externen Servern des Unternehmens lediglich auf 10 Servern die nötigen Sicherheitsupdates ausgeführt worden waren. Die restlichen waren entweder so veraltet, dass keine Updates mehr zur Verfügung standen, oder zur Verfügung stehende Sicherheitsupdates wurden schlicht nicht ausgeführt.

Cyber-Kriminelle erbeuteten Administratorenrechte

Der Angriff war bei den meisten Servern erfolgreich: Auf 16 Servern wurden die Inhalte verschlüsselt. Darunter waren allerdings auch Server, deren Sicherheitsupdates aktuell waren. Dies lag daran, dass die Cyber-Kriminellen bei dem Angriff auch in den Besitz der Administratorenrechte für diese Server kamen.

Cyber-Versicherung verweigert Zahlung

Diese Sicherheitsmängel nahm die Versicherung zum Anlass, die Zahlung zu verweigern. Begründet wurde diese Haltung damit, dass das Unternehmen die Fragen zu den Sicherheitsupdates und der Aktualität der Systeme nicht richtig beantwortet habe. Das Unternehmen reichte Klage ein und das Landgericht Tübingen entschied in dessen Sinne, weil es keinen Zusammenhang zwischen den Sicherheitsmängeln der IT und dem Schaden sah: Ursächlich sei gewesen, dass es den Kriminellen bei dem Pass-the-Hash-Angriff gelang, der Administratorenrechte habhaft zu werden und so Zugriff auch auf die Server zu bekommen, die auf aktuellem Stand waren. Das nicht alle Server auf aktuellem Stand waren, habe in diesem Fall keinen Einfluss auf die Leistungspflicht des Versicherers, weil hierin nicht die Ursache des Schadenfalls gesehen werden könne.

IT-Sicherheit kann über Unternehmenserfolg entscheiden

Sie wollen keine unnötigen Risiken eingehen? Dann sprechen Sie mit uns über das wichtige Thema IT-Sicherheit. Sie erreichen uns telefonisch unter 09122 6937302 und selbstverständlich auch mit Ihrer digitalen Nachricht. Wir beraten Sie sehr gern!

Ihr Team von Datenschutz Prinz 


Schwachstelle Drucker
Newsletter und Datenschutz

Um hier diese Inhalte zu sehen, stimmen Sie bitte zu, dass diese in die Webseite von https://www.datenschutz-prinz.de/ geladen werden.