Die Aufsichtsbehörde über Banken und Versicherungen ist Opfer einer Spam-Attacke geworden. Nach Darstellung der Bundesanstalt für Finanzdienstleistungsaufsicht (Bafin) war aber kein Zugriff auf sensible Daten möglich. Der Fall zeigt aber: Nicht einmal Bundesbehörden sind vor Cyber-Angriffen sicher. Damit könnten Versicherungsvermittler das Risikobewusstsein von Unternehmen weiter anregen, wenn es um IT-Schutz geht.
„Wir wurden nicht gehackt. Niemand konnte in unsere Systeme eindringen und Daten abziehen“, sagt Norbert Pieper, Sprecher der Bafin, zum Spamangriff von Unbekannten. Trotzdem verschickte die Behörde am 5. Januar eine „Warnung“, dass das BaFin-Kontaktformular „zweckentfremdet“ worden sei. Über den Jahreswechsel wurde die Behörde mit über 12.000 Spammails überflutet. Nach Angaben der Bafin war wohl ein automatisches Programm – ein Bot (Kurzform von Roboter) - aktiv. Die Spam-Mails erhielten nach Erkenntnis der Bafin Links, mit dem Schadsoftware auf das IT-System hätte kommen können. Das sei aber nicht der Fall gewesen, weil niemand bei der BaFin die Links aufgerufen hätte.
Bafin liegen derzeit keine Beschwerden vor
Die Links wurden aber durch die automatische Bestätigungsfunktion an Absender zurückgespielt. Dabei könnte es sich auch um reale E-Mail-Adressen von Verbrauchern oder Unternehmen handeln, wie die Bafin bestätigt. „Einen Schaden durch den virenbelasteten Link können Verbraucher aber nur bei sehr großer Fahrlässigkeit erleiden“, erläutert Pieper. Denn die Rückantwort der Bafin habe keinen aktiven Link erhalten. Pieper: „Daher hätte man den Link kopieren und in einem Browser neu öffnen müssen.“
Beschwerden liegen der Bafin derzeit nicht vor. Nach Feststellen der Spam-Attacke hat die Behörde die automatische Antwortfunktion zeitweilig abgestellt. Mittlerweile wurden verstärkte Sicherheitsvorkehrungen getroffen, die im Detail aber nicht bekannt gegeben werden. Ersichtlich ist nun ein so genanntes Captcha (Completely Automated Public Turing Test), das Computer von Menschen unterscheiden soll. Anfrager müssen hier künftig verzerrt dargestellte Buchstaben eingeben.
Nach Angaben der Bafin, können Hacker über die Website der Behörde (bafin.de) nicht auf sensible Daten – etwa von Versicherungen oder Banken – zugreifen. So würde etwa die Meldeplattform für beaufsichtigte Unternehmen auf einem ganz anderen Server laufen und sei mit deutlich höherer Sicherheit ausgestattet. Wie alle Bundesbehörden würde sich die Bafin an die IT-Sicherheitsregeln des Bundesamtes für Sicherheit in der Informationstechnik (BSI) halten. Bereits im August 2020 hatte die Behörde vor Fake-Mails gewarnt, mit denen sich Betrüger als Bafin ausgeben würden.
Cyber-Angriff: Klassische Policen schützen nicht
Die Attacken zeigen, dass niemand hundertprozentig vor Cyber-Kriminellen sicher ist. Daher gilt die Cyber- Versicherung weiterhin als besonderer Wachstumsmarkt. Noch 2020 hatte Frank Grund, Exekutivdirektor Versicherungs- und Pensionsfondsaufsicht, in der Öffentlichkeit deutlich gemacht, dass bei Angriffen auf IT-Systeme von Betrieben, die herkömmliche Betriebsunterbrechungs- und Haftpflichtversicherungen in der Regel nicht leisten. Grund: „Denn wenn kein Sach- oder Personenschaden vorliegt, decken klassische Policen häufig weder den Ertragsausfall noch die Forderungen geschädigter Dritter, mit deren Kontodaten die Hacker einkaufen waren.“ Daher sei die Cyber- Versicherung notwendig, um solche Lücken zu schließen.
An das Risiko-Bewusstsein der Kunden appellieren
Die ständigen Cyber-Vorfälle, die auch an der Bafin nicht vorbeigehen, sollten das Bewusstsein für das Risiko und damit die Nachfrage nach entsprechenden Versicherungslösungen vorantreiben. Dennoch ist der Markt derzeit schwierig. „Kleinere Unternehmen wiegen sich fälschlicherweise oft in Sicherheit. Hier glauben Inhaber und Geschäftsführer, dass sich Cyber- Kriminelle ohnehin nur für große Firmennetze interessieren“, sagt Andreas Deptalla, Geschäftsführer der Allgemeine Versicherungsmakler und Wirtschaftsberatung GmbH aus Stuttgart. Das ist nach Ansicht des Vermittlers ein fataler Irrglaube. „Unsere Erfahrung zeigt, dass besonders kleine und mittlere Unternehmen ins Visier der Hacker geraten.“
Das bestätigt auch die Bafin. „Die meisten IT-Angriffe treffen Mittelständler. Jedenfalls die meisten, von denen man weiß“, so Grund. Denn es könnte auch hochprofessionelle Hacker geben, die ihre Cyberangriffe so gut tarnen, dass niemand sie mitbekommt. Das allgemeine Fazit formuliert Deptalla: „Grundsätzlich sollte aber jeder Unternehmer über eine Cyber-Versicherung nachdenken.“
Autor(en): Uwe Schmidt-Kasparek
