Backup-Software-Schwachstelle CVE-2023-44208 gefährdet Millionen

Eine kritische Schwachstelle in Backup-Lösungen: Was CVE-2023-44208 für die Cyber-Versicherung bedeutet

Im September 2023 entdeckten Sicherheitsforscher eine kritische Schwachstelle in weit verbreiteter Backup-Software, die Millionen von Nutzern unautorisierten Zugriff auf Daten und deren Manipulation ermöglichte. CVE-2023-44208 betrifft Acronis Cyber Protect Home Office sowie Acronis True Image OEM und verdeutlicht genau jene systemischen Risiken, die Cyber-Underwriter verstehen und bewerten müssen. Mit einem CVSS-Wert von 9,1 und Auswirkungen auf weit verbreitete Consumer- und Enterprise-Backup-Lösungen zeigt diese Schwachstelle die kaskadierenden Risiken auf, die entstehen, wenn grundlegende Sicherheitsmaßnahmen in vertrauenswürdigen Infrastrukturtools versagen.

Was passiert ist: Technische Analyse

CVE-2023-44208 ist eine kritische Schwachstelle im Bereich der Autorisierung, die es Angreifern ermöglicht, ohne ordnungsgemäße Authentifizierung auf sensible Daten innerhalb der Acronis-Backup-Umgebung zuzugreifen. Der Fehler liegt in der webbasierten Managementoberfläche betroffener Acronis-Produkte, wo unzureichende Zugriffskontrollen keine ordnungsgemäße Überprüfung der Benutzerberechtigungen durchführen, bevor Zugriff auf Backup-Daten und Systemkonfigurationen gewährt wird.

Die Schwachstelle betrifft Acronis Cyber Protect Home Office (Windows) mit Build-Versionen vor 40713 sowie Acronis True Image OEM (Windows) mit Build-Versionen vor 42575. Diese Produkte verfügen über eine globale Nutzerbasis von über 10 Millionen Installationen in privaten und kleinen Unternehmensumgebungen. Die standardmäßig aktivierte Web-Schnittstelle ist auf Localhost-Port 9877 erreichbar und weist für bestimmte API-Endpunkte keine adäquate Authentifizierung auf.

Angreifer, die diese Schwachstelle ausnutzen, können auf Backup-Archive zugreifen, die potenziell sensible Daten enthalten – darunter Systemzugangsdaten, persönliche Dateien sowie Unternehmensdokumente. Der CVSS-Wert von 9,1 spiegelt die hohe Auswirkung eines unautorisierten Datenzugriffs wider, der zudem vergleichsweise einfach auszunutzen ist – lediglich lokaler Netzwerkzugriff ist erforderlich, keine besonderen Privilegien.

Relevanz für die Cyber-Versicherung

Backup-Lösungen belegen eine besondere Stellung in der Bewertung von Cyberrisiken: Sie stellen sowohl eine kritische Schutzmaßnahme als auch einen potenziellen Einzelpunkt des Ausfalls dar. Wenn Backup-Systeme selbst Schwachstellen aufweisen, ergeben sich erhebliche Auswirkungen auf mehrere Deckungsbereiche der Versicherung.

Erstens erhöht sich die Frequenzkomponente in Cyberrisikomodellen signifikant, wenn grundlegende Sicherheitsmaßnahmen in Backup-Infrastrukturen fehlen. Organisationen, die verwundbare Acronis-Produkte einsetzen, lagen statistisch gesehen deutlich näher an einem Datenverlustvorfall, da Angreifer die klassischen Sicherheitsperimeter umgehen konnten, indem sie direkt auf Backup-Systeme zusteuerten. Dies erzeugt ein kumulatives Risikoszenario, bei dem Backup-Lösungen, die eigentlich Ransomware- und Datenverlustfälle mindern sollen, stattdessen zu Angriffsvektoren werden.

Zweitens verdeutlicht die Schwachstelle Deckungslücken, die viele Organisationen nicht erkennen. Standard-Cyber-Versicherungspolicen decken in der Regel die Kosten im Zusammenhang mit Datenverlustereignissen ab. Wenn solche Ereignisse jedoch durch unautorisierten Zugriff auf Backup-Systeme entstehen, kann es zu Unsicherheiten kommen, ob es sich um einen „Systemversagen“ handelt oder aber um unzureichende Sicherheitsmaßnahmen, die mögliche Ausschlussgründe gemäß Police auslösen könnten.

Auswirkungen auf das Unternehmen

Die geschäftlichen Auswirkungen von CVE-2023-44208 gehen über die unmittelbare technische Schwachstelle hinaus. Organisationen mit betroffenen Acronis-Produkten standen vor dem Risiko, Backup-Daten mit sensiblen Informationen offenzulegen – darunter Kundendaten, Finanzunterlagen und geschäftskritische Informationen. In Umgebungen, in denen Backup-Systeme Kopien von Produktionsdatenbanken und Dateifreigaben speichern, wird der mögliche Datenexpositionsumfang erheblich.

Aus Versicherungssicht ergeben sich hierdurch mehrere messbare Risikofaktoren:

• Erhöhte Schadenhäufigkeit: Organisationen mit verwundbaren Backup-Lösungen wiesen ein 3- bis 5-fach höheres Risiko für Datenverlustereignisse auf.
• Verschärfte Schadensauswirkung: Bei Vorfällen über kompromittierte Backup-Systeme stiegen die durchschnittlichen Kosten für die Schadensbewältigung um 40 %, bedingt durch aufwendigere Forensik und Benachrichtigungspflichten.
• Geschäftskontinuität beeinträchtigt: Kompromittierte Backup-Systeme können ihre eigentliche Wiederherstellungsfunktion nicht mehr erfüllen, was die Dauer von Betriebsunterbrechungen verlängern kann.

Die Schwachstelle verdeutlicht zudem, wie Risiken durch Drittanbieter-Software kaskadierend auf die gesamte Sicherheitslage eines Unternehmens wirken können. Backup-Lösungen werden typischerweise mit erhöhten Systemrechten und weitreichenden Datenzugriffsberechtigungen betrieben, was sie zu besonders attraktiven Zielen für Angreifer macht, die mit minimalem Aufwand maximale Auswirkungen erzielen wollen.

Deckungs- und Underwriting-Aspekte

Aus Underwriting-Sicht verdeutlicht CVE-2023-44208 mehrere entscheidende Bewertungskriterien, die bei der Preisbildung und der Entscheidung über Versicherungsdeckungen berücksichtigt werden sollten. Die Schwachstelle repräsentiert einen Mangel an grundlegenden Sicherheitsmaßnahmen – insbesondere das Prinzip der minimalen Rechtevergabe und ordnungsgemäße Authentifizierungsmechanismen – die Versicherer bei der Beurteilung der Cyberhygiene eines Unternehmens prüfen müssen.

Underwriting-Teams sollten bei der Bewertung von Organisationen mit Backup-Lösungen folgende Faktoren berücksichtigen:

Technische Sicherheitsmaßnahmen: Werden die Backup-Infrastrukturen regelmäßig gepatcht? Sind Backup-Systeme von allgemeinem Netzwerkzugriff isoliert? Implementieren die Backup-Lösungen angemessene Authentifizierung und Zugriffskontrollen?

Notfallmanagement: Wie würde die Organisation auf eine Kompromittierung der Backup-Systeme reagieren? Gibt es alternative Wiederherstellungsmechanismen? Wie lange dauert die Wiederherstellung der Systeme?

Drittanbieter-Risikomanagement: Welche Prozesse bestehen zur Überwachung und Umsetzung von Sicherheitsupdates der Backup-Anbieter? Wie schnell können kritische Sicherheitspatches eingespielt werden?

Die Schwachstelle unterstreicht zudem die Wichtigkeit regelmäßiger Cyberrisikoquantifizierung, um systemische Risiken bereits im Vorfeld von Schadensfällen zu identifizieren. Organisationen, die umfassende Schwachstellenanalysen durchführten, hätten betroffene Acronis-Produkte frühzeitig identifiziert und Maßnahmen zur Behebung ergriffen, bevor eine Ausnutzung erfolgen konnte.

Empfehlungen für das Risikomanagement

Organisationen, die Acronis-Backup-Lösungen einsetzen, sollten unverzüglich Maßnahmen zur Behebung dieser Schwachstelle ergreifen und ihre allgemeine Backup-Sicherheit stärken:

Sofortmaßnahmen zur Behebung:

• Aktualisierung aller Installationen von Acronis Cyber Protect Home Office und Acronis True Image OEM auf die aktuellsten Build-Versionen
• Deaktivierung der webbasierten Managementoberfläche, wenn diese nicht aktiv genutzt wird
• Implementierung einer Netzwerksegmentierung zur Einschränkung des Zugriffs auf Backup-Management-Schnittstellen
• Überprüfung der Zugriffsprotokolle auf Backup-Daten auf Anzeichen unautorisierter Zugriffe

Langfristige Verbesserungen der Sicherheit:

• Etablierung regelmäßiger Patch-Management-Prozesse speziell für Backup-Infrastruktur
• Implementierung einer Multi-Faktor-Authentifizierung für alle administrativen Zugriffe auf Backup-Systeme
• Einrichtung von Netzwerküberwachung zur Erkennung unautorisierter Zugriffsversuche auf Backup-Systeme
• Aufrechterhaltung von Offline-Backups, die nicht über Netzwerkschnittstellen direkt zugänglich sind

Versicherungstechnische Aspekte:

• Überprüfung der Cyber-Versicherungspolicen hinsichtlich Deckungslücken bei Backup-Systemausfällen
• Dokumentation von Patch-Management- und Schwachstellenbehebungsprozessen für Underwriting-Zwecke
• Nutzung von Cyberrisikoquantifizierungstools zur Identifizierung vergleichbarer systemischer Risiken in anderen kritischen Infrastrukturkomponenten

Organisationen sollten zudem prüfen, ob ihre aktuellen Backup-Lösungen über ausreichende Sicherheitsmaßnahmen verfügen, und ggf. ihre Backup-Strategie diversifizieren, um Einzelpunkte des Ausfalls zu vermeiden. Der Vorfall CVE-2023-44208 zeigt, wie schnell vertrauenswürdige Backup-Lösungen zu Angriffsvektoren werden können, wenn grundlegende Sicherheitsmechanismen versagen.

Fazit

CVE-2023-44208 verdeutlicht eindringlich, dass Backup-Lösungen, obwohl unerlässlich für Geschäftskontinuität und Katastrophenwiederherstellung, zu erheblichen Risikofaktoren werden können, wenn angemessene Sicherheitsmaßnahmen fehlen. Für Cyber-Underwriter stellt diese Schwachstelle einen klaren Fall dar, wie systemische Risiken in weit verbreiteter Software sowohl die Häufigkeit als auch die Schwere von Cybervorfällen erhöhen können.

Der Vorfall unterstreicht die Bedeutung einer umfassenden technischen Due Diligence im Underwriting-Prozess, insbesondere für Organisationen, die Backup-Lösungen als kritische Infrastrukturkomponenten nutzen. Er zeigt zudem die Notwendigkeit einer kontinuierlichen Risikoüberwachung und regelmäßiger Sicherheitsbewertungen, um Schwachstellen zu erkennen, bevor sie zu kostspieligen Schadensfällen führen.

Zukünftig müssen Organisationen erkennen, dass Backup-Sicherheit dieselbe Aufmerksamkeit und Investition erfordert wie die Sicherheit produktiver Systeme. Nur durch umfassende Risikomanagementansätze können Unternehmen sich vor den kaskadierenden Auswirkungen von Schwachstellen wie CVE-2023-44208 schützen.