Cyberangriff auf die Haftpflichtkasse
Die Haftpflichtkasse wurde im Juli 2021 Ziel eines kriminellen Cyberangriffs. Den Tätern gelang es, die hohen Sicherheitsstandards zu überwinden, einige Daten zu stehlen und Systeme zu verschlüsseln. Die betroffenen IT-Systeme wurden kurzfristig wieder hergestellt. Inzwischen sind alle notwendigen datenschutzrechtlichen Maßnahmen abgearbeitet.
Im Juli 2021 wurde die Haftpflichtkasse Opfer eines kriminellen Cyberangriffs, der zu Systemausfällen und Datenabfluss führte, obwohl die Sicherheitsmaßnahmen dem Stand der Technik entsprachen und alle Systeme laufend überprüft wurden.
Von Anfang an war klar, dass das Versicherungsunternehmen offen und transparent mit dem kriminellen Vorfall umgehen wird und selbstverständlich alle datenschutzrechtlichen Regeln beachten wird. Dies entspricht dem Markenkern der Haftpflichtkasse als Serviceversicherer.
Sofort nach Kenntnis des Angriffs hat ein Notfallteam die technischen Aspekte untersucht, den Zugangsweg der Hacker identifiziert und die Schadsoftware beseitigt. Gleichzeitig hat sich das Team mit Polizei und Datenschutzbehörden abgestimmt, juristische Fragen geklärt und die interne und externe Kommunikation organisiert. Im Anschluss ging es darum, den möglichen Datenverlust abzuschätzen.
Die Wiederherstellung der Systeme und Daten ist recht schnell gegangen. Nach vier Tagen war die Haftpflichtkasse wieder erreichbar, und nach zehn Tagen konnten fast alle Services wieder angeboten werden. Der vollständige Geschäftsbetrieb mit allen Systemen und Schnittstellen war nach rund zwei Wochen wieder sichergestellt.
Bereits zu Beginn der Wiederherstellungsmaßnahmen hatte die Haftpflichtkasse erklärt, dass Sie auf Erpresserforderungen nicht eingehen wird und den Cyberangriff zur Anzeige gebracht. Im August hat das Unternehmen dann Kenntnis darüber erhalten, dass Daten von Versicherungskunden und Geschäftspartnern im sogenannten Darknet publiziert worden seien. Die sukzessive und individuelle Analyse jeder einzelnen von den Angreifern veröffentlichten Datei war – auch unter Zuhilfenahme entsprechender Software, die eine Priorisierung der Dateien erleichterte – sehr zeitaufwendig. Denn ein großes Problem ist, dass letztlich nicht sicher feststellbar ist, welche Daten gestohlen wurden. Anders als beim Diebstahl von Wertsachen, werden Daten kopiert, liegen aber auf den internen Servern weiterhin vor. Aus diesem Grund ist auch nicht auszuschließen, dass zukünftig noch weitere Datenpublikationen bekannt werden.
Die Datenschutzbeauftragten mussten tausende Dateien durchsehen, um festzustellen, inwieweit personenbezogene Daten abgeflossen waren. Nach der Analyse wurden die Betroffenen individuell informiert. Parallel dazu hatte sich die Haftpflichtkasse entschieden, eine öffentliche Information vorzunehmen.
Leider hat es aufgrund des großen Datenvolumens relativ lange gedauert, bis wirklich klar war, um wessen Daten es sich handelt. Erst schrittweise, nachdem die einzelnen Dateien durchgesehen und ausgewertet worden waren, konnten direkte Informationen an die Betroffenen verschickt werden.
Tatsache ist, dass Transparenz einerseits und konsequente Anwendung der Datenschutzregeln andererseits nicht unbedingt immer gut miteinander vereinbar sind. Die DSGVO erfordert eine individuelle schriftliche Information, diese ist naturgemäß aufwändig und zeitintensiv. Leider gibt es wenig Beschleunigungsmöglichkeiten, weil auch in der Analysephase der Datenschutz ganz besonders beachtet werden muss. Das ist auch der Grund, warum die Haftpflichtkasse ihren Vertriebspartnern keine Namenslisten der Betroffenen zur Verfügung stellen durfte.
Das Team der Haftpflichtkasse dankt allen an der Aufarbeitung Beteiligten für ihre Unterstützung!
Informationen für Kunden und Vertriebspartner
1. Was können Kunden und Vertriebspartner der Haftpflichtkasse tun, um sich zu schützen?
In den Fällen, wo wir Kenntnis von relevanten Datenschutzverletzungen haben, informieren wir die Betroffenen individuell im Rahmen der einschlägigen gesetzlichen Vorgaben.
Vorsorglich haben wir die Passwörter in unserem Kundenportal zurückgesetzt. Die Kunden erhalten neue Zugangsdaten. Sollten Kunden das gleiche oder ähnliche Passwörter auch für andere Online-Zugänge nutzen, empfehlen wir auch diese kurzfristig zu ändern.
Neben den üblichen Sicherheitsmaßnahmen bei der Nutzung digitaler Systeme (Sicherheit Ihrer Passwörter, eigene Schutzmaßnahmen für Ihre Systeme, vorsichtiger Umgang mit E-Mails etc.) können wir aus der aktuellen Situation keinen zusätzlichen Handlungsbedarf für Kunden und Vertriebspartner ableiten.
Wenn Sie uns Bankverbindungsdaten überlassen haben, prüfen Sie Ihr Konto auf verdächtige Kontenbewegungen.
Sollten Kunden oder Vertriebspartner Unregelmäßigkeiten (Idenditätsmissbrauch, Phishing oder verdächtige Kontobewegungen) feststellen, insbesondere wenn sie uns Bankverbindungsdaten überlassen haben, sollen sie sich bitte mit uns und mit ihrer Bank in Verbindung.
Den Austausch vertraulicher Daten mit der Haftpflichtkasse können Sie über ein gesichertes Postfach abwickeln. Dafür nutzen wir Dienstleistungen eines deutschen IT-Sicherheitsunternehmens. Hinweise dazu finden Sie hier.
Zudem empfehlen wir allen Kunden und Geschäftspartnern allgemein, selbst Vorsichtsmaßnahmen zu ergreifen. Hinweise dazu gibt es beispielsweise auf der Website des BSI.
Insbesondere unsere Vertriebspartner sollten im gebotenen Umfang ihre eigenen IT-Sicherheitsmaßnahmen überprüfen und diese gegebenenfalls optimieren.
2. Welche Daten sind betroffen?
Durch den Cyberangriff sind Daten abgeflossen. Sofern personenbezogene Daten betroffen sind, informieren wir diese Personen im Rahmen der gesetzlichen Vorgaben.
Die sich daraus ergebenden datenschutzrechtlichen Pflichten erfüllen wir selbstverständlich. Wir sind laufend mit der zuständigen Datenschutzbehörde in Kontakt.
3. Kann ich ohne Risiko auf die Systeme der Haftpflichtkasse zugreifen?
Die Haftpflichtkasse geht sehr sensibel mit Ihren Daten um. Gleichwohl hat der Cyberangriff gezeigt, dass es absolute Sicherheit nicht gibt. Deshalb empfehlen wir allen Kunden und Geschäftspartnern, stets auch selbst Vorsichtsmaßnahmen zu ergreifen. Viele Hinweise dazu gibt es beispielsweise auf der Website des Bundesamtes für Sicherheit und Informationstechnik.
Nach dem erfolgreichen Wiederanfahren unserer Systeme gehen wir davon aus, dass mit der Nutzung unserer Website oder der Web-Services keine besonderen Gefahren verbunden sind. Für die Übermittlung besonders vertraulicher Daten an Kunden oder Vertriebspartner nutzt die Haftpflichtkasse verschlüsselte Postfächer eines anerkannten deutschen IT-Sicherheitsunternehmens. Nähere Hinweise zum Datenschutz finden Sie hier.
4. Welche Maßnahmen hat die Haftpflichtkasse ergriffen?
Nach dem Angriff im Juli haben wir unverzüglich alle Systeme vom Netz getrennt, um weitere unrechtmäßige Zugriffe auszuschließen. Im Rahmen der forensischen Untersuchung konnte auch der Zugangsweg der Angreifer ermittelt und unterbunden werden. Zudem haben wir die zuständige Datenschutzbehörde sowie die Strafverfolgungsbehörden informiert und Strafanzeige erstattet.
Auch nach Wiederherstellung der Systeme überwachen wir den Betrieb und analysieren weiterhin die Situation.
Sofern es sich um personenbezogene Daten handelt, informieren wir die betroffenen Personen im Rahmen der gesetzlichen Vorgaben
5. Welche Folgen drohen generell bei Cyber-Attacken?
Generell könnten bei derartigen Attacken die Angreifer oder unberechtigte Dritte, die in den Besitz der Daten gelangen, versuchen die Daten zu missbrauchen, z. B. durch
- Kontaktaufnahme per Telefon oder E-Mail, um weitere Daten zu erlangen (Pishing)
- Ausnutzung der Identität von Kunden, um sich Vorteile zu verschaffen (Identitätsdiebstahl)
- Versuch unberechtigter Lastschrift-Verfahren
Ob und inwieweit dies bei Kunden der Haftpflichtkasse der Fall sein kann, ist zur Zeit noch Gegenstand von Ermittlungen.
Im Allgemeinen empfehlen wir allen Kunden und Geschäftspartnern, Vorsichtsmaßnahmen zu ergreifen, insbesondere wenn sie uns Bankverbindungsdaten oder ähnlich sensible Darten überlassen haben. Hinweise dazu gibt es beispielsweise auf der Website des BSI.