Versicherungsnehmer könnten das Hauptziel beim Hack des Cyber-Versicherungsanbieters CNA sein

Cyber Security News

Das CNA Center in Chicago. (Antoine Taveneaux, CC BY-SA 3.0 https://creativecommons.org/licenses/by-sa/3.0, via Wikimedia Commons)

Das Versicherungsunternehmen CNA Financial, ein prominenter Anbieter von Cyber-Versicherungen, hat einen Cyber-Angriff auf seine Systeme bestätigt, was einige besorgt, dass Cyber-Kriminelle es auf Versicherungsnehmer abgesehen haben könnten.

Cyberkriminelle wissen in der Regel, dass Unternehmen, die von einer Cyber-Versicherung vertreten werden, eher bereit sind, eine hohe Ransomware-Forderung zu bezahlen als ein unversichertes Unternehmen, das nicht über den finanziellen Rückhalt verfügt.

Es ist derzeit unklar, welche Kundendaten bei dem Angriff auf die in Chicago ansässige Firma mit einem Jahresumsatz von rund 10 Milliarden US-Dollar möglicherweise kompromittiert wurden. Der illegale Zugriff auf die Daten einer Cyber-Versicherungsgesellschaft könnte den Tätern jedoch Einblicke in die Verhandlungstaktik der Versicherungsgesellschaft geben und darüber Aufschluss geben, was aktuelle Kunden bereit und in der Lage wären, bei einem zukünftigen Angriff zu zahlen.

“Der Diebstahl von Kundenpolicen ist das Damoklesschwert, das seit den Anfängen der Cyber-Versicherungsbranche über ihr hängt”, sagt Aaron Portnoy, leitender Wissenschaftler bei Randori. “Der Gewinn, den Ransomware-Gruppen von einem Ziel erpressen können, hat historisch gesehen als eine fundierte Vermutung begonnen, die sich im Laufe der feindlichen Verhandlungen ändert. Wenn man die Details der Cyber-Versicherungspolice von Anfang an kennt, können Ransomware-Gruppen ihren Erfolg maximieren, indem sie einen Preis festlegen, der innerhalb der Grenzen der Deckung liegt.”

Natürlich sind die Angreifer nicht unbedingt auf eine Ransomware-Strategie beschränkt. Sie könnten auch bestimmte Versicherungsnehmer phishen. Brett Callow, Malware-Analyst bei Emsisoft, bemerkte, wie bestimmte Bedrohungsakteure – einschließlich der Betreiber der Clop-Ransomware, die angeblich den File-Sharing-Dienst Accellion angriffen – “exfiltrierte Daten verwenden, um die Dritten, auf die sie sich beziehen, mit Spear-Phishing zu erreichen. Und natürlich ermöglicht die Tatsache, dass die Akteure im Besitz bestimmter Informationen sind, ihnen, Spear-Phishing-E-Mails zu erstellen, die sehr überzeugend sind.”

In der Tat sagte Rick Betterley, Präsident von Betterley Risk Consultants, dass, wenn böswillige Akteure Versicherungsanträge oder -policen erhalten, die bestimmte Angaben enthalten, dies “den Angreifern helfen könnte, ihre Bedrohung zu verfeinern. Beispielsweise könnte die Nachricht nun lauten: ‘Wir wissen, dass Sie die Firewall xyz verwenden und wir wissen, wie man sie knackt'”, sagte er.

“Ich denke, es ist ein ernstes Problem”, sagte John Reed Stark, Präsident von John Reed Stark Consulting LLC. Allzu oft, sagte er, denken Unternehmen nur an die Gefahr des Verlusts von persönlichen Daten durch einen Einbruch, während sie den potenziellen Schaden übersehen, den Angreifer durch den Zugriff auf geschützte E-Mails und kritische Informationen über Unternehmen und Geschäftsbeziehungen erleiden.

“Wenn diese Informationen gestohlen und der Öffentlichkeit zugänglich gemacht werden, kann das viel verheerender sein und es ist viel schwieriger, sich davon zu erholen”, so Stark.

“Für ein Versicherungsunternehmen sind geschützte Informationen über Policen sicherlich etwas, das ein ausgeklügeltes kriminelles Unternehmen zu seinem Vorteil nutzen könnte”, so Stark weiter. “Es kann alle Arten von internen Preisinformationen geben, proprietäre Modelle, sehr sensible E-Mails. Der Inhalt all dieser Arten von Dateien, egal ob es sich um E-Mail-Dateien oder PowerPoint-Decks oder Excel-Tabellen oder Word-Dokumente handelt, kann kritische Informationen für ein Unternehmen enthalten.”

Aus diesem Grund ist es zwingend erforderlich, dass Versicherungsunternehmen, die sich in dieser Situation befinden, eine robuste Reaktion auf den Vorfall durchführen, die mit einer rechtzeitigen Benachrichtigung der Kunden einhergeht.

“Versicherungsunternehmen sollten natürlich die Ressourcen für den Breach Coach und die Incident Response aktivieren, mit denen sie eng zusammenarbeiten, wenn sie ihren eigenen Kunden während eines Vorfalls helfen, so dass diese Kunden sofort informiert und mit Überwachungsdiensten unterstützt werden”, sagt Isabelle Dumont, Vice President of Market Engagement beim Cyber-Versicherungsunternehmen Cowbell Cyber.

Darüber hinaus ist das Verständnis des “Umfangs des Vorfalls, mit der Art und dem Volumen der betroffenen Daten, von größter Bedeutung, wenn ein Cybervorfall eintritt. Dieser Einblick gibt Aufschluss darüber, wer einen Verhandlungsvorteil hat”, so Dumont weiter.

SC Media hat CNA um eine Stellungnahme zu dem Vorfall gebeten. In der Zwischenzeit gab das Unternehmen eine Erklärung auf seiner Website heraus, die zum Teil wie folgt lautet: “Am 21. März 2021 stellte CNA fest, dass es von einem ausgeklügelten Cybersecurity-Angriff betroffen war. Der Angriff verursachte eine Netzwerkunterbrechung und beeinträchtigte bestimmte CNA-Systeme, einschließlich der Unternehmens-E-Mail… Die Sicherheit unserer Daten und die unserer Versicherten und anderer Interessengruppen ist für uns von größter Bedeutung. Sollten wir feststellen, dass dieser Vorfall die Daten unserer Versicherten oder Versicherungsnehmer betroffen hat, werden wir diese Parteien direkt benachrichtigen.”

Die Firma wies auch darauf hin, dass forensische Ermittler und Strafverfolgungsbehörden von Drittanbietern auf den Fall angesetzt wurden und dass “wir vorerst unsere Systeme von unserem Netzwerk getrennt haben, die weiterhin funktionieren.”

Auf lange Sicht, zusätzliche Offenlegungen werden wahrscheinlich notwendig sein, sagten Experten.

“Wie bei den meisten Kompromittierungen wird die Aufdeckung und Weitergabe der Techniken der Angreifer entscheidend sein, um proaktive Abwehrmechanismen zur Erkennung zukünftiger Versuche zu verstärken”, so Portnoy. “In diesem speziellen Fall werden die Details zu den entwendeten Informationen den versicherten Organisationen helfen, die Verhandlungsposition zu verstehen, in der sie sich im Falle einer eigenen Kompromittierung befinden könnten.”

Einige Teile dieses Artikels stammen aus:
www.scmagazine.com