Ransomware: Ein Schadenfall über einen Trojaner und ungenügende Absicherung

In Anbetracht zunehmender Bedrohungen durch Cyberkriminalität raten Expertinnen und Experten Unternehmen bereits seit geraumer Zeit dazu,  ihre IT-Systeme am besten Fachleuten zu überlassen. Doch niemand ist perfekt und auch IT-Dienstleister:innen können Fehler machen – in diesem echten Schadenfall sogar mehrmals und mit teuren Folgen, wie dieser echte exali Schadenfall eindrucksvoll unter Beweis stellt.

Cyberattacke mit weitreichendem Schaden

Als Unternehmen bestimmte Aufgaben an Profis auszulagern, entlastet die eigenen Mitarbeiter:innen und sorgt im besten Fall für reibungslose Abläufe. Diesen Gedanken hatte auch eine Consultingfirma, die einen Dienstleister mit der Aufsicht über ihre IT-Umgebung betraute. Leider entwickelte sich diese Zusammenarbeit für beide Seiten bald zu einem wahren Albtraum: Nicht nur wurde das Beratungsunternehmen Opfer einer Cyberattacke , auch beim anschliessenden Wiederherstellen der Systeme ging wirklich alles schief.

Die Fallzahlen im Bereich Cyberkriminalität befinden sich auf einem neuen Allzeithoch. Eine wichtige Säule, um Ihr Unternehmen zu schützen, ist der Abschluss einer Cyber-Versicherung – mehr dazu erfahren Sie in unserem Video:

 
 

Cybersecurity-Risiko Mitarbeiter:innen

Eines der grössten Cyber-Risiken für Unternehmen sind unachtsame Mitarbeiter:innen, so auch in diesem Fall: Über den Terminaldesktop eines Praktikanten wurden die IT-Systeme der Consultingfirma zunächst unbemerkt mit einem Kryptotrojaner infiziert. Bei einem Kryptotrojaner handelt es sich um schädliche Software (sogenannte Ransomware), die sich selbsttätig in Netzwerken installiert und dort Dateien verschlüsselt. Meist verlangen die Kriminellen hohe Lösegelder, damit die Betroffenen wieder auf ihre Daten zugreifen können. Im Falle des Consulting-Unternehmens blieb die Schadsoftware über mehrere Wochen unbemerkt und verschlüsselte in dem Zeitraum um die 60.000 Dateien – knapp 30 Prozent aller Unternehmensdaten.

Tipp:

Die Bandbreite möglicher Schadenfälle ist beinahe endlos, auch im IT-Sektor. Im Artikel IT Risiken: Learnings und Vorkehrungen für Ihr Business können Sie sich selbst davon überzeugen.

Cyber-Risiken - der Faktor Mensch und veraltete Technik

Massgeblich mitverantwortlich für den Befall war neben dem unachtsamen Praktikanten auch die die völlig veraltete Hard- und Software des Unternehmens. So gelang es dem Trojaner, Dateien samt Backup sowie sämtliche Dateiablagen zu überschreiben. Als der Fehler bemerkt wurde, waren lediglich die Datenbanken und Mailboxen noch verfügbar. Damit aber nicht genug: Wie sich herausstellte, hatte der zuständige IT-Dienstleister Mailserver und Backupserver-Systeme nur unzureichend abgesichert.

So konnten viele der verlorenen Daten und Systeme nicht wiederhergestellt werden. Doch nicht nur die Wiederherstellung der Systeme gestaltete sich problematisch: Beim Aufsetzen des Backendstorages – der Speicherlösung zur Sicherung digitaler Daten – unterlief dem IT-Experten dann auch noch während der Anbindung ein Konfigurationsfehler. Dieser zog ein Performanceproblem bei der Wiederherstellung (Recovery) nach sich. Das Missgeschick fiel im laufenden Betrieb längere Zeit nicht auf, sorgte aber während der Recovery dennoch für erhebliche Zeitverzögerungen und weitere Ausfälle samt Folgefehler. Letzten Endes blieb der Consultingfirma nichts anderes übrig, als die 60.000 überschriebenen Files neu zu erstellen, schliesslich waren diese Daten von essentieller Wichtigkeit für die Unternehmensberatung.

Schadenersatzforderung im sechsstelligen Bereich

Für den IT-Dienstleister wurde es im Anschluss an das Debakel nun richtig teuer: Die Consultingfirma forderte über CHF 900'000 Schadenersatz für die unzureichende Absicherung der IT-Systeme, sowie den Fehler bei der Datenwiederherstellung. Als Basis dafür nannte sie neben den Kosten zur Wiederherstellung der Daten auch geschäftliche Verluste, die durch die Betriebsunterbrechung sowie die fehlenden Daten zustande kamen.

Im Rahmen seiner abgeschlossenen IT-Haftpflichtversicherung meldete der Dienstleister den Schaden dem  exali-Kundenservice, von dort wurde der Fall sofort an die Schadenabteilung des  Versicherers weitergeleitet. Dieser prüfte im ersten Schritt die grundsätzliche Berechtigung der Ansprüche. Bei einem ausführlichen persönlichen Gespräch zwischen dem IT-Dienstleister, dem exali Kundenservice und den Schadenexperten des Versicherers stellt sich schnell heraus, dass es auch Anzeichen für ein Mitverschulden des Consulting-Unternehmens und in diesem Zuge entsprechende Zweifel an der Höhe der Kosten für die Wiederherstellung der Daten und der angefallenen Überstunden gab.

Daher einigte man sich darauf, die geforderten Ansprüche in dieser Form nicht anzuerkennen und in die Verhandlung mit dem Geschädigten einzutreten. Da sich die Parteien (Versicherer und Geschädigter) über die Höhe des gerechtfertigten Schadenersatzes nicht einigen konnten, wurde diese Frage letztendlich vor Gericht geklärt: Dort einigten  sich die Parteien nach zweieinhalb Jahren juristischer Auseinandersetzung auf einen Vergleich in Höhe von CHF 175'000. Immerhin noch sechsstellig, aber nur etwa 19 Prozent der ursprünglich geforderten Schadensumme.

Diese Vergleichssumme für den erlittenen finanziellen Schaden übernahm der Versicherer im Rahmen der Vermögensschadenhaftpflicht, die bereits im Basisschutz der IT-Haftpflichtversicherung enthalten ist. Sie deckt unter anderem finanzielle Schäden - so genannte reine Vermögensschäden - ab, die durch berufliche Fehler und Versäumnisse bei Dritten entstehen. In diesem konkreten Fall kamen noch die Kosten für Anwältinnen und Anwälte hinzu, die der Versicherer ebenfalls trug.

Berufshaftpflicht – mehr als finanzielle Absicherung

Dieser Fall zeigt einmal mehr, dass die Leistungen einer Berufshaftpflichtversicherung mehr umfassen, als das blosse Begleichen von Schadenersatzforderungen. Der Versicherer springt nicht nur finanziell in die Bresche, sondern prüft im Vorfeld die an Sie gestellten Ansprüche auf ihre Richtigkeit. Sind die Forderungen gerechtfertigt, begleicht er die Summe. Sofern die Ansprüche dem Grunde oder der Höhe nach nicht gerechtfertigt sind, wehrt er den Anspruch in Ihrem Namen ab und trägt möglichweise anfallende Kosten für Anwältinnen, Anwälte, Gutachter:innen und Gerichtsverfahren.

Sie sehen also: Der Abschluss einer IT-Haftpflicht ist ein lohnendes Investment in den Fortbestand Ihres Unternehmens, denn dann sind Sie Schadenersatzforderungen, Vertragsstrafen, Bussgeldern etc. nicht länger allein ausgeliefert. Sofern Sie noch weiter Fragen haben stehen Ihnen unsere Kundenbetreuer:innen  sehr gerne von Montag bis Freitag von 9 Uhr bis 18 Uhr für zur Verfügung. Rufen Sie uns gerne unter + 41 (0) 58 255 60 00 an oder nutzen Sie unser Kontaktformular.

Jetzt IT-Haftpflicht berechnen: