IT-Sicherheit: „WannaCry“ als Weckruf

Versicherungen Digital von Michael Fiedler

Die Schadsoftware „WannaCry“ sorgte am Wochenende für Störungen und Ausfälle in über 150 Ländern. Was zu tun ist, wie sich Microsoft äußert und welche Erwartungen die BaFin an die Versicherungsbranche richtet.

Cyberattacke legt Krankenhäuser lahm

Eine Cyberattacke sorgte in GB für Störfälle in Krankenhäusern. Fotolia / chrisdorney

Es begann am Freitag-Nachmittag in Großbritannien und Spanien: Großflächig fielen Netzwerke aus und Rechner waren nicht erreichbar. In Britannien mussten Operationen abgesagt werden und Rettungswagen mussten in andere Klinken umgeleitet werden. In Deutschland seien auch Dienste der Deutschen Bahn betroffen gewesen, berichten übereinstimmend mehrere Medien.

Europol geht mittlerweile von über 200.000 Betroffenen in mehr als 150 Ländern aus. Doch gut möglich, dass zu Beginn der neuen Woche weitere Störfälle bekannt werden, die über das Wochenende unbemerkt blieben. Denn die Schadsoftware „WannaCry“ verbreitet sich ohne Zutun des Nutzers, warnt das Bundesamt für Sicherheit in der Informationstechnik (BSI). Die Weiterverbreitung könne durch den Software-Patch von Microsoft vom 14. März 2017 (MS17-010) verhindert werden. Handlungsempfehlungen zum Schutz vor Schadsoftware hat das Amt in einem Dossier bereitgestellt.

Weckruf „WannaCry“

„Die aktuellen Angriffe zeigen, wie verwundbar unsere digitalisierte Gesellschaft ist. Sie sind ein erneuter Weckruf für Unternehmen, IT-Sicherheit endlich ernst zu nehmen und nachhaltige Schutzmaßnahmen zu ergreifen. Die aktuelle Schwachstelle ist seit Monaten bekannt, entsprechende Sicherheitsupdates stehen zur Verfügung. Wir raten dringend dazu, diese einzuspielen“, so BSI-Präsident Arne Schönbohm.

Ähnlich äußerte sich auch der leitende Microsoftanwalt Brad Smith auf einem Unternehmensblog. Die Regierungen der Welt sollten die Attacke als Weckruf verstehen. Es bestehe dringender Handlungsbedarf und Mircosoft sei bereit, Verantwortung zu übernehmen.
Die angesprochenen Regierungen der Welt hatten auch schon Gelegenheit, Stellung zu beziehen. So hieß es einhellig vom Finanzminister-Treffen der G7 in Bari, dass „angemessene und umfassende politische Antworten für die gesamte Wirtschaft“ erforderlich seien. Bundesfinanzminister Wolfgang Schäuble warnte mit Blick auf die Attacke: „Auch die großen Finanzunternehmen sind natürlich in besonderer Weise ein Objekt für Angriffe.“

IT-Sicherheit: Was die BaFin von Versicherern erwartet

Auch auf der ersten Fachkonferenz „IT-Sicherheitsmanagement in Versicherungen“ am 11. Und 12. Mai 2017 in Leipzig war die Cyber-Attacke Thema. Doch die „Hands-on“-Mentalität wie sie aus dem Mircosoft-Blog spricht, war nicht zu spüren. Seit Juli 2015 ist das IT-Sicherheitsgesetz (IT-SIG) in Kraft und muss nun umgesetzt werden. Die Veröffentlichung des zweiten Teils der KRITIS-Verordnung steht unmittelbar bevor. Das zuständige Bundesamt des Inneren hatte die Veröffentlichung für dieses Frühjahr angekündigt. Die Versicherer sorgen sich mit Blick auf die neuen Anforderungen vor der Meldepflicht für IT-Störungen nach § 8b BSIG. Auch der mehrfach im Gesetz erwähnte, einzuhaltende „Stand der Technik“ und die damit verbundenen Anpassungen in den IT-Abteilungen sorgen für Bedenken. Nach Ansicht von Rechtsanwalt Karsten Bartels (HK2 Rechtsanwälte) müssen Versicherer ihre IT nicht komplett neu aufsetzen, wenn sie sinnvoll begründen können, warum der aktuellste Stand der Technik nicht eingehalten wird. 

Dr. Wolfgang Winkler (BSI) und Dr. Jens Gampe (BaFin) baten, die finale KRITIS-Verordnung abzuwarten, da auf viele Fragen erst dann eine Antwort gegeben werden kann. „Die BaFin geht davon aus, dass die Unternehmen in der Versicherungswirtschaft über die gesetzlichen Anforderungen hinaus ein besonderes Interesse haben, das Vertrauen ihrer Kundschaft – nicht nur in die Solvenz, sondern insbesondere auch in die Integrität und Vertraulichkeit der ihnen anvertrauten Daten in den IT-Systemen – zu gewährleisten bzw. sicherzustellen“, so Gampe. „Insoweit erwartet die Aufsicht, dass auch das Niveau der Informationssicherheit in der Versicherungswirtschaft bereits heute erheblich über dem Mindestmaß, welches das BSI-Gesetz vorgibt, liegt.“

  • Facebook Kommentare
  • Disqus Kommentare