Ransomware: Ein Schadenfall über einen Trojaner und ungenügende Absicherung
Cyberattacke mit weitreichendem Schaden
Als Unternehmen bestimmte Aufgaben an Profis auszulagern, entlastet die eigenen Mitarbeiter:innen und sorgt im besten Fall für reibungslose Abläufe. Diesen Gedanken hatte auch eine Consultingfirma, die einen Dienstleister mit der Aufsicht über ihre IT-Umgebung betraute. Leider entwickelte sich diese Zusammenarbeit für beide Seiten bald zu einem wahren Albtraum: Nicht nur wurde das Beratungsunternehmen Opfer einer Cyberattacke , auch beim anschließenden Wiederherstellen der Systeme ging wirklich alles schief.
Die Fallzahlen im Bereich Cyberkriminalität befinden sich auf einem neuen Allzeithoch. Eine wichtige Säule, um Ihr Unternehmen zu schützen, ist der Abschluss einer Cyber-Versicherung – mehr dazu erfahren Sie in unserem Video:
Cybersecurity-Risiko Mitarbeiter:innen
Eines der größten Cyber-Risiken für Unternehmen sind unachtsame Mitarbeiter:innen, so auch in diesem Fall: Über den Terminaldesktop eines Praktikanten wurden die IT-Systeme der Consultingfirma zunächst unbemerkt mit einem Kryptotrojaner infiziert. Bei einem Kryptotrojaner handelt es sich um schädliche Software (sogenannte Ransomware), die sich selbsttätig in Netzwerken installiert und dort Dateien verschlüsselt. Meist verlangen die Kriminellen hohe Lösegelder, damit die Betroffenen wieder auf ihre Daten zugreifen können. Im Falle des Consulting-Unternehmens blieb die Schadsoftware über mehrere Wochen unbemerkt und verschlüsselte in dem Zeitraum um die 60.000 Dateien – knapp 30 Prozent aller Unternehmensdaten.
Die Bandbreite möglicher Schadenfälle ist beinahe endlos, auch im IT-Sektor. Im Artikel IT Risiken: Learnings und Vorkehrungen für Ihr Business können Sie sich selbst davon überzeugen.
Cyber-Risiken - der Faktor Mensch und veraltete Technik
Maßgeblich mitverantwortlich für den Befall war neben dem unachtsamen Praktikanten auch die die völlig veraltete Hard- und Software des Unternehmens. So gelang es dem Trojaner, Dateien samt Backup sowie sämtliche Dateiablagen zu überschreiben. Als der Fehler bemerkt wurde, waren lediglich die Datenbanken und Mailboxen noch verfügbar. Damit aber nicht genug: Wie sich herausstellte, hatte der zuständige IT-Dienstleister Mailserver und Backupserver-Systeme nur unzureichend abgesichert.
So konnten viele der verlorenen Daten und Systeme nicht wiederhergestellt werden. Doch nicht nur die Wiederherstellung der Systeme gestaltete sich problematisch: Beim Aufsetzen des Backendstorages – der Speicherlösung zur Sicherung digitaler Daten – unterlief dem IT-Experten dann auch noch während der Anbindung ein Konfigurationsfehler. Dieser zog ein Performanceproblem bei der Wiederherstellung (Recovery) nach sich. Das Missgeschick fiel im laufenden Betrieb längere Zeit nicht auf, sorgte aber während der Recovery dennoch für erhebliche Zeitverzögerungen und weitere Ausfälle samt Folgefehler. Letzten Endes blieb der Consultingfirma nichts anderes übrig, als die 60.000 überschriebenen Files neu zu erstellen, schließlich waren diese Daten von essentieller Wichtigkeit für die Unternehmensberatung.
Schadenersatzforderung im sechsstelligen Bereich
Für den IT-Dienstleister wurde es im Anschluss an das Debakel nun richtig teuer: Die Consultingfirma forderte über 900.000 Euro Schadenersatz für die unzureichende Absicherung der IT-Systeme, sowie den Fehler bei der Datenwiederherstellung. Als Basis dafür nannte sie neben den Kosten zur Wiederherstellung der Daten auch geschäftliche Verluste, die durch die Betriebsunterbrechung sowie die fehlenden Daten zustande kamen.
Im Rahmen seiner abgeschlossenen IT-Haftpflichtversicherung meldete der Dienstleister den Schaden dem exali-Kundenservice, von dort wurde der Fall sofort an die Schadenabteilung des Versicherers weitergeleitet. Dieser prüfte im ersten Schritt die grundsätzliche Berechtigung der Ansprüche. Bei einem ausführlichen persönlichen Gespräch zwischen dem IT-Dienstleister, dem exali Kundenservice und den Schadenexperten des Versicherers stellt sich schnell heraus, dass es auch Anzeichen für ein Mitverschulden des Consulting-Unternehmens und in diesem Zuge entsprechende Zweifel an der Höhe der Kosten für die Wiederherstellung der Daten und der angefallenen Überstunden gab.
Daher einigte man sich darauf, die geforderten Ansprüche in dieser Form nicht anzuerkennen und in die Verhandlung mit dem Geschädigten einzutreten. Da sich die Parteien (Versicherer und Geschädigter) über die Höhe des gerechtfertigten Schadenersatzes nicht einigen konnten, wurde diese Frage letztendlich vor Gericht geklärt: Dort einigten sich die Parteien nach zweieinhalb Jahren juristischer Auseinandersetzung auf einen Vergleich in Höhe von 175.000 Euro. Immerhin noch sechsstellig, aber nur etwa 19Prozent der ursprünglich geforderten Schadensumme.
Diese Vergleichssumme für den erlittenen finanziellen Schaden übernahm der Versicherer im Rahmen der Vermögensschadenhaftpflicht, die bereits im Basisschutz der IT-Haftpflichtversicherung enthalten ist. Sie deckt unter anderem finanzielle Schäden - so genannte reine Vermögensschäden - ab, die durch berufliche Fehler und Versäumnisse bei Dritten entstehen. In diesem konkreten Fall kamen noch die Kosten für Anwältinnen und Anwälte hinzu, die der Versicherer ebenfalls trug.
Berufshaftpflicht – mehr als finanzielle Absicherung
Dieser Fall zeigt einmal mehr, dass die Leistungen einer Berufshaftpflichtversicherung mehr umfassen, als das bloße Begleichen von Schadenersatzforderungen. Der Versicherer springt nicht nur finanziell in die Bresche, sondern prüft im Vorfeld die an Sie gestellten Ansprüche auf ihre Richtigkeit. Sind die Forderungen gerechtfertigt, begleicht er die Summe. Sofern die Ansprüche dem Grunde oder der Höhe nach nicht gerechtfertigt sind, wehrt er den Anspruch in Ihrem Namen ab und trägt möglichweise anfallende Kosten für Anwältinnen, Anwälte, Gutachter:innen und Gerichtsverfahren.
Sie sehen also: Der Abschluss einer IT-Haftpflicht ist ein lohnendes Investment in den Fortbestand Ihres Unternehmens, denn dann sind Sie Schadenersatzforderungen, Vertragsstrafen, Bußgeldern etc. nicht länger allein ausgeliefert. Sofern Sie noch weiter Fragen haben stehen Ihnen unsere Kundenbetreuer:innen sehr gerne von Montag bis Freitag von 9 Uhr bis 18 Uhr für zur Verfügung. Rufen Sie uns gerne unter 0 821 80 99 46-0 an oder nutzen Sie unser Kontaktformular.
Jetzt IT-Haftpflicht berechnen: