Ja, da draußen herrscht tatsächlich ein Cyber-Krieg

Sicherheitsunternehmen sind dafür bekannt, das Risiko durch verschiedene Online-Bedrohungen etwas auszuschmücken und die Situation für Internet-Nutzer als eine Art Kriegsschauplatz zu beschreiben. Eine Versicherungsgesellschaft hat einen Ransomware-Angriff jetzt – und das ist keine Übertreibung – als Kriegsakt bezeichnet und will den entstandenen Schaden daher nicht zahlen. Ein sehr unschönes Beispiel für die Kommunikationsstrategie FUD – Fear, Uncertainty, and Doubt (auf Deutsch „Angst, Ungewissheit und Zweifel“).

Die harten Fakten

Auslöser ist der Angriff durch die Ransomware NotPetya in den Jahren 2017 und 2018. Ziel des Angriffs war der amerikanische Lebensmittelriese Mondelēz. Das Unternehmen bekam Probleme mit Hardware und Software und konnte seinem Tagesgeschäft wie dem Vertrieb und der Abwicklung von Bestellungen nicht mehr nachkommen.

Glücklicherweise ist Mondelēz jedoch bei der Zurich American Insurance Company gegen alle möglichen Gefahren versichert. So auch gegen Sachschäden und Schäden durch schädlichen Maschinencode. Also beantragte Mondelēz bei der Versicherungsgesellschaft die Übernahme der verursachten Kosten von 100 Millionen US-Dollar. Nachdem Zurich zunächst eine geringe Zahlung zugesagt hatte, zog der Versicherer diese Zusage zurück und will nun überhaupt nicht für den Schaden aufkommen. Als Begründung führt Zurich an, dass der NotPetya-Angriff ein Kriegsakt gewesen sei und diese Art von Angriffen aus dem Leistungsumfang ausgeschlossen sei. Mondelēz hat inzwischen Klage eingereicht.

Die (Not)Petya-Familie

Petya und NotPetya stammen aus derselben Ransomware-Familie, die auch von der NSA genutzte Exploits missbrauchte. NotPetya hatte es besonders auf ukrainische Ziele abgesehen. Man geht davon aus, dass die Angriffe im Jahr 2018 zu 80 Prozent ukrainischen Zielen galten. Dazu gehörten in erster Linie Energiekonzerne, Versorgungsbetriebe und das Stromnetz. Da die Angriffe sehr gezielt in der Ukraine und zudem am Vorabend des ukrainischen Verfassungstags verübt wurden, geht man davon aus, dass es sich um einen politisch motivierten Angriff handelt. Unter den bekannten Opfern waren der Reedereigigant Maersk, das Atomkraftwerk Tschernobyl und Mondelēz. Es ist anzunehmen, dass es hier zum größten Schaden kam, der bisher durch einen Ransomware-Angriff verursacht wurde.

Zürich spielt die Kriegskarte

Die Zurich American Insurance Company weigert sich, die geforderten 100 Millionen US-Dollar zu zahlen. Die Versicherungsgesellschaft begründet dies damit, dass es sich bei dem Angriff um einen Kriegsakt handelt, was von der Versicherung nicht gedeckt ist. Dieses Problem wird nun also vor Gericht geklärt. Laut Analysten müsste Zurich jedoch einen stichhaltigen Beweis dafür finden, dass Russland – oder ein anderes Land – hinter dem Angriff steckt.

Hier geht es um mehr als Snacks im Wert von 100 Millionen Dollar. In den letzten Jahren gab es eine Menge Malware-Angriffe und Datendiebstähle, in denen der Staat involviert war. Denken Sie nur mal an Stuxnet (USA und Israel), an Nordkorea und den Filmstudio-Hackerangriff oder den schwerwiegenden Angriff auf Equifax. Wie auch immer dieser Rechtsstreit ausgeht, der Effekt auf Unternehmen, Versicherungsgesellschaften im Allgemeinen und den aufstrebenden Markt für Cyber-Versicherungen im Besonderen werden noch lange nachwirken.

Dieser Artikel ist auch verfügbar in: Englisch

As a PR Consultant and journalist, Frink has covered IT security issues for a number of security software firms, as well as provided reviews and insight on the beer and automotive industries (but usually not at the same time). Otherwise, he’s known for making a great bowl of popcorn and extraordinary messes in a kitchen.