Cyberversicherer bieten im Krisenfall oftmals Unterstützung von vorab bestimmten IT-Kooperationspartnern, die im Fall der Fälle eingreifen und das geschädigte Unternehmen unterstützen. Oftmals sind diese all-in-one-Dienstleister, die in den Bedingungswerken vorgeschrieben sind – d.h. das betroffenen Unternehmen hat keine Auswahlmöglichkeit, was den Dienstleister angeht.
Dass diese „Werkstatt“-Bindung nicht immer gut ist, zeigt das folgende Beispiel:
Ein Logistik-Dienstleister aus Norddeutschland (ca. 20 Mio. EUR Umsatz und rund 100 Mitarbeiter*innen) wurde das Opfer einer Ransomware-Attacke. Alle Systeme, einschließlich der Finanzbuchhaltungsdaten, wurden verschlüsselt. Das brachte das Unternehmen in eine prekäre Lage, da es wichtige Anschlussfinanzierungen nicht ausweisen konnte. Zudem war auch eine digitale Verarbeitung von Logistikaufträgen über Tage nicht darstellbar.
Der vom Cyber-Versicherer vorgesehene Incident-Response-Dienstleister konnte schnell vor Ort sein, um erste Hilfe zu leisten. Zu diesem Zeitpunkt waren alle Systeme vollständig verschlüsselt. Das geschädigte Unternehmen war noch nie in einer solchen Situation und verließ sich voll und ganz auf die Anweisungen des Versicherers und des hinzugerufenen Dienstleisters.
Nach einer ersten Prüfung und einer erfolglosen Intervention, zog sich der Dienstleister jedoch wieder zurück und hinterließ das Unternehmen in Ungewissheit und somit in einer äußerst schwierigen Lage, da auf sich allein gestellt. Ohne Unterstützung begann das Unternehmen selbst mit dem Recovery-Prozess.
Sie haben Fragen? Sprechen Sie mich an!
Weiterführende Informationen
Drei Wochen nach dem Angriff war dann die Wiederherstellung des Geschäftsbetriebs weitestgehend erreicht – ausreichende Datensicherungen waren vorhanden. Lediglich ein Fehler in der Back-up-Konfiguration der Finanzbuchhaltung sorgte für Kopfschmerzen. Diese waren leider nicht wiederherstellbar.
In dieser Situation wandte sich das Unternehmen an SCHUNCK, um Unterstützung bei der Entschlüsselung der restlichen noch verschlüsselten Daten zu erhalten. Nachdem sich auch unser Partnernetzwerk Defency einen Überblick über die Lage verschafft hatte, zeigten sich gleich mehrere problematische Aspekte in dem Fall:
- Mangelnde Kommunikation: Der ursprüngliche Dienstleister und der Versicherer hatten dem betroffenen Unternehmen wichtige Informationen nicht mitgeteilt. Es blieben viele Fragen zur Identität der Angreifer, zur Höhe des Lösegelds, zur Herkunft des Angriffs und zur weiteren Vorgehensweise offen.
- Falsche Informationen: Der Versicherer war seitens seines Dienstleisters falsch informiert worden, dass kein Backup vorhanden sei und lehnte daher weitere Unterstützung ab.
- Vorgehensweise und Professionalität des Dienstleisters: Der erste Dienstleister, obwohl schnell vor Ort, konnte das Problem nicht effizient lösen und hat es, durch mangelnde Kommunikation und Unterstützung, sogar noch verschlimmert. Zudem hatte der Versicherer zu diesem Zeitpunkt die Kosten (ca. 10.000 EUR) des Dienstleisters ohne Zustimmung des Versicherungsnehmers schon reguliert.
Zur Lösung des „IT-Problems“ kontaktierten wir ein auf Ransomware-Attacken spezialisiertes Unternehmen aus unserem Partnernetzwerk Defency, welches bei der Untersuchung und Entschlüsselung der Daten half. Die Expert*innen des neuen Dienstleisters konnten schnell Ergebnisse liefern und klären, wer hinter dem Angriff steckte und welche Technologien verwendet wurden.
Weitere 4 Wochen nach Eingang des Anrufs bei unserem Competence Center Cyber war die Krise vollends überstanden.
Der SCHUNCK-Lösungsansatz: 100 Prozent Kundenfokus
Ebenso wichtig wie die finale Entschlüsselung der Daten war, den Versicherer und den ursprünglichen Dienstleister anzusprechen. Diesen haben wir – als ein im Kundeninteresse handelnder Versicherungsmakler – die oben geschilderten Irritationen und Problemen dargelegt und eine Klärung der Situation angestrebt.
Der Versicherungsnehmer dokumentierte dazu im Nachgang mit Unterstützung von SCHUNCK das Vorgehen, die Schadenkosten usw. Mit dem Kunden gemeinsam haben wir nun damit den Versicherer konfrontiert, mit dem Ziel, mit offener und transparenter Kommunikation eine Einigung am „grünen Tisch“ zu erzielen.
Der Einwand des Versicherers, dass keine Datensicherung vorlag, konnte widerlegt werden und verpflichtete den Versicherer zur Begleichung aller Kosten (ca. 40.000 EUR).
Schlussfolgerungen und Empfehlungen
Dieser Fall zeigt, wie entscheidend die Wahl des richtigen Krisendienstleisters und die effektive Kommunikation zwischen allen Parteien während einer Cyberkrise sind. Einige Schlüsselerkenntnisse und Empfehlungen aus diesem Fall sind:
- Der geschilderte Sachverhalt hat deutlich gemacht, wie wichtig es ist, sorgfältig und vorausschauend zu handeln, wenn es um Cybersicherheit geht. Dazu gehört auch die Wahl eines geeigneten Dienstleisters. Ein Anbieter, der schnell vor Ort sein kann, ist nur dann wertvoll, wenn er auch die erforderliche Spezialisierung hat, das Problem effektiv zu lösen.
- Zudem wurde klar, wie wichtig eine offene und effektive Kommunikation zwischen allen Beteiligten ist. Missverständnisse und Fehlinformationen können zu unnötigen Kosten, Verzögerungen und Frustrationen führen. Es ist daher absolut empfehlenswert, einen Kommunikationsplan für den Notfall zu entwickeln und die Erwartungen und Verantwortlichkeiten aller Beteiligten klar zu definieren.
- Abschließend möchten wir betonen, dass jeder (Cyber-)Vorfall ein Lernprozess ist. Es ist wichtig, aus Fehlern zu lernen und die erworbenen Kenntnisse zu nutzen, um zukünftige Angriffe zu verhindern, oder besser darauf zu reagieren. Eine kontinuierliche Verbesserung der Sicherheitsmaßnahmen und der Zusammenarbeit aller Expert*innen sollte daher ein zentrales Anliegen für jedes Unternehmen sein.
Checkliste – ist mein Krisendienstleister der Richtige?
Cyber-Attacke: Welche Krisendienstleister gibt es?
- Ist der vermeintliche „All-in-one-Provider“ das richtige Pferd, auf das gesetzt wird?
- Wie werden Know-how, Erfahrung und Technologie durch den Versicherer festgestellt und bewertet?
- Macht eine Bindung an den Dienstleister für alle Parteien Sinn?
- Was passiert, wenn das Problem durch einen spezialisierteren Dienstleister effizienter gelöst werden kann?
- Welche Interessen werden verfolgt? Die des Versicherers oder die des Versicherungsnehmers?
- Wer hat die „Hoheit“ in der Krise?