Ein gezielter Hackerangriff auf die Infrastruktur eines größeren Cloud-Anbieters könnte Schäden verursachen, die der britische Versicherungskonzern Lloyd’s mit rund 120 Milliarden US-Dollar beziffert. Somit bewegen wir uns in Dimensionen, die über den Schäden liegen, die von Naturkatastrophen wie den beiden Hurrikanen Sandy oder Katrina verursacht wurden.
Die Summen basieren auf einem hypothetischen, 56 Seiten umfassenden Risikoszenario, das der Versicherer angesichts der gestiegenen Gefahren für Unternehmen und deren Servicedienstleistungen im Netz erstellt hat. Im untersuchten Worst Case wurde eine Malware in die Software eines Cloud-Service-Providers eingespeist und konnte sich dort rund ein Jahr lang weiterverbreiten, bevor sie schließlich zur eigentlichen Attacke auf die Systeme der Nutzer des Cloud Dienstes ansetzt.
In dieser letzten Welle gingen die Versicherer davon aus, dass sich die Malware von den dann befallenen Systemen der Kunden weiter auf Rechner verbreitet, die u.U. gar nicht mit dem Cloud-Service verbunden sind. Auf diese Weise wurden in dem Szenario also auch Lieferanten oder Kunden der eigentlich betroffenen Unternehmen infiziert, was wiederum zu Betriebsunterbrechungen und aufwendigen Reparaturen führen würde.
Nach Angaben von Lloyd’s steigt die Gefahr eines Angriffs auf einen Cloud Anbieter an, es wäre immerhin der ultimative Verbreitungsweg für einen weltweiten Hack. Weitere Schäden sieht der Versicherungskonzern auch deshalb als wahrscheinlich an, weil der infizierte Dienst zumindest zeitweise vom Netz genommen werden müsste, womit die Kunden des Services vorerst nicht mehr an ihre Daten kämen. Das würde in den verschiedensten Abteilungen zu enormen Behinderungen oder zum vollständigen Ausfall der kaufmännischen und technischen Abläufe führen. Auch immer mehr Behörden wären von einem solchen Angriff betroffen, da diese ihre IT-Infrastruktur zunehmend “outsourcen”.
Erst vor wenigen Wochen hatte die weltweite Attacke durch WannaCry & Co. tausende Unternehmen, Institutionen und Privatpersonen getroffen und deren teilweise nicht ausreichend mit Updates versorgten Systeme tagelang lahmgelegt. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) nennt einen Schaden durch die Erpressungs- und Verschlüsselungstrojaner in Millionenhöhe, allein in Deutschland.
Neben einem potentiell denkbaren Angriff auf die Systeme eines Cloud-Dienstes betrachtet Lloyds weiterhin die möglichen Angriffe auf populäre Betriebssysteme wie Windows oder Android als Gefahr. Je nach Zahl der davon betroffenen Unternehmen könnte eine solche Attacke einen Schaden von bis zu 29 Milliarden US-Dollar verursachen.
Selbstverständlich weisen die Experten darauf hin, dass der weitaus überwiegende Teil der potentiell betroffenen Unternehmen und Behörden gegen solche Cyber-Attacken nicht versichert sind. Dementsprechend bestehe im erstgenannten Szenario eine Versicherungslücke von rund 45 Milliarden US-Dollar, während die Weltwirtschaft im zweiten Fall auf “nur” 26 Milliarden US-Dollar sitzen bliebe.
Das weitaus größte Problem bleibe jedoch der einzelne Nutzer vor dem Bildschirm, sobald Menschen involviert sein, steige das Risiko enorm an. Tatsächlich basieren viele kleinere und größere Angriffswellen immer noch auf der Erwartung, dass eine ausreichend hohe Zahl von Nutzern früher oder später auf unbekannte Links klickt, obskure Dateianhänge in E-Mails öffnet oder sich dem Update ihrer Betriebssysteme – willentlich oder gezwungenermaßen – verweigert.
via theguardian.com