Kritische Backup-Sicherheitslücke CVE-2023-44209 gefährdet Versicherungsnehmer

Eine lokale Rechteausweitung gefährdet verwaltete Backup-Umgebungen erheblich

Im September 2023 enthüllten Sicherheitsforscher die Schwachstelle CVE-2023-44209, eine lokale Rechteausweitungsanfälligkeit in Acronis Cyber Protect-Produkten mit einem CVSS-Wert von 7,8. Diese Schwachstelle betrifft weit verbreitete Backup- und Endpunktschutzlösungen in Linux-, macOS- und Windows-Umgebungen. Für Underwriter und Risikoprüfer im Bereich der Cyber-Versicherung stellt diese Schwachstelle ein kritisches Underwriting-Signal dar, das unmittelbare Aufmerksamkeit erfordert, da sie die Kerninfrastruktur gefährden kann, auf die Versicherungsnehmer angewiesen sind.

Technische Auswirkungen verstehen

Die Schwachstelle CVE-2023-44209 resultiert aus einer fehlerhaften Behandlung von symbolischen Links innerhalb der Acronis Cyber Protect-Produkte. Konkret ermöglicht die Schwachstelle lokalen Angreifern, ihre Rechte von Standardbenutzerkonten auf SYSTEM-Ebene auf betroffenen Systemen auszuweiten. Dies geschieht, wenn die Software symbolische Links ohne ordnungsgemäße Validierung verarbeitet, wodurch Angreifer Dateisystemoperationen manipulieren können.

Die betroffenen Produkte umfassen:

• Acronis Cyber Protect Cloud Agent Versionen vor Build 29051
• Acronis Cyber Protect 17 Versionen vor Build 41186

Organisationen, die diese veralteten Versionen einsetzen, sind in ihrer gesamten verwalteten Backup-Infrastruktur gefährdet. Da Backup-Lösungen oft mit erhöhten Rechten laufen, um auf alle Systemdateien zugreifen zu können, könnte eine erfolgreiche Ausnutzung Angreifern umfassenden Systemzugriff und dauerhafte Zugangspunkte innerhalb von Zielnetzwerken bieten.

Warum Underwriter betroffen sind

Diese Schwachstelle wirkt sich direkt auf mehrere Schlüsselbereiche der Cyber-Risikobewertung aus. Backup-Lösungen stellen eine kritische Infrastruktur für Versicherungsnehmer dar und dienen oft als letzte Verteidigungslinie gegen Ransomware-Angriffe und Datenverletzungen. Wenn diese Systeme ausnutzbare Schwachstellen enthalten, verändert sich das gesamte Risikoprofil einer Organisation erheblich.

Aus Underwriting-Sicht erhöht CVE-2023-44209 das Schadenhäufigkeitsrisiko auf mehrfache Weise. Erstens kann eine erfolgreiche Ausnutzung zu einem vollständigen Systemkompromittierung führen, was potenziell zu Betriebsunterbrechungsansprüchen führt. Zweitens können Angreifer, die über die Backup-Infrastruktur SYSTEM-Zugriff erhalten, dauerhaften Zugang im Netzwerk einer Organisation aufrechterhalten, was die Wahrscheinlichkeit nachfolgender Sicherheitsvorfälle erhöht.

Die Schwachstelle verdeutlicht auch Deckungslückenrisiken. Viele Policen schließen Schäden aus ungepatchten Systemen aus, doch Organisationen erkennen möglicherweise nicht, dass Backup-Lösungen regelmäßige Sicherheitsupdates benötigen. Dies kann zu Streitigkeiten über die Deckung führen, wenn Schäden durch diese Schwachstelle entstehen.

Geschäftliche Auswirkungen

Organisationen, die betroffene Acronis-Produkte nutzen, sind in ihrer gesamten Infrastruktur erheblich gefährdet. Mit über 500.000 Organisationen weltweit, die auf Acronis Cyber Protect-Lösungen setzen, erstreckt sich das potenzielle Ausmaß dieser Schwachstelle über zahlreiche Branchen und geografische Regionen hinweg.

Die geschäftlichen Auswirkungen gehen über eine unmittelbare Systemkompromittierung hinaus. Backup-Lösungen haben oft Zugriff auf sensible Daten in einer Organisation, darunter personenbezogene Daten, Finanzdaten und Geschäftsgeheimnisse. Eine erfolgreiche Ausnutzung könnte Angreifern direkten Zugriff auf diese Daten bieten, ohne traditionelle Sicherheitsüberwachungssysteme auszulösen.

Darüber hinaus wird die Backup-Infrastruktur typischerweise mit weniger Aufsicht betrieben als primäre Produktionssysteme. Diese geringere Sichtbarkeit erhöht die Wahrscheinlichkeit, dass eine Ausnutzung über einen längeren Zeitraum unentdeckt bleibt, wodurch Angreifer tiefer in das Netzwerk eindringen und Daten über einen längeren Zeitraum ausspionieren können.

Auswirkungen auf Deckung und Underwriting

Für Underwriter, die Cyber-Risiken bewerten, ist CVE-2023-44209 ein entscheidendes Signal zur Beurteilung der Sicherheitslage von Versicherungsnehmern. Organisationen, die betroffene Acronis-Versionen nutzen, zeigen unzureichende Praktiken im Schwachstellenmanagement auf, insbesondere bei Infrastrukturkomponenten, die bei Sicherheitsbewertungen oft übersehen werden.

Diese Schwachstelle sollte zu einer intensivierten Sorgfaltspflicht bei Underwriting-Prozessen führen. Versicherungsnehmer, die Acronis Cyber Protect-Lösungen nutzen, müssen nachweisen, dass sie entweder auf gepatchte Versionen aktualisiert oder Kompensationsmaßnahmen zur Risikominderung implementiert haben.

Underwriter sollten auch prüfen, wie diese Schwachstelle die aggregierte Risikomodellierung beeinflusst. Wenn mehrere Versicherungsnehmer auf dieselbe verwundbare Infrastruktur zurückgreifen, steigt das Korrelationsrisiko erheblich. Eine einzige Ausnutzungsmethode könnte potenziell zahlreiche Versicherte gleichzeitig betreffen und damit ein Konzentrationsrisiko schaffen, das traditionelle Cyber-Versicherungsmodelle möglicherweise nicht ausreichend berücksichtigen.

Empfehlungen zur Risikobewertung

Organisationen, die Acronis Cyber Protect-Produkte nutzen, sollten unverzüglich ihre Softwareversionen überprüfen und verfügbare Patches anwenden. Acronis hat Korrekturen in den Builds 29051 und 41186 veröffentlicht, die die fehlerhafte Behandlung von symbolischen Links beheben, welche die Rechteausweitung ermöglicht.

Sicherheitsteams sollten umfassende Inventuren der Backup-Lösungen in ihren Umgebungen durchführen, um sicherzustellen, dass diese kritischen Infrastrukturkomponenten dieselbe Sicherheitsaufmerksamkeit erhalten wie primäre Produktionssysteme. Dazu gehört die Etablierung regelmäßiger Patch-Management-Prozesse speziell für Backup- und Disaster-Recovery-Tools.

Für Risikoingenieure bei Bewertungen unterstreicht diese Schwachstelle die Wichtigkeit der Prüfung von Sicherheitspraktiken bei Drittanbietern. Organisationen sollten sicherstellen, dass ihre Backup-Anbieter robuste Sicherheitsentwicklungszyklen pflegen und zeitnah auf offengelegte Schwachstellen reagieren.

Versicherungsmakler sollten proaktiv mit Kunden kommunizieren, die betroffene Acronis-Produkte nutzen, um sicherzustellen, dass diese sowohl die technischen Risiken als auch die möglichen Versicherungsauswirkungen verstehen. Versicherungsnehmer sollten ihre Sanierungsmaßnahmen umfassend dokumentieren, da dies bei Schadenfällen im Zusammenhang mit dieser Schwachstelle die Deckungsentscheidung beeinflussen kann.

Zukünftige Risikosicht verbessern

CVE-2023-44209 zeigt, wie Schwachstellen in scheinbar peripheren Systemen erhebliche Unternehmensrisiken schaffen können. Backup-Lösungen, die oft als sekundäre Infrastruktur betrachtet werden, können zu primären Angriffsvektoren werden, wenn ausnutzbare Schwachstellen bestehen. Für Fachkräfte im Bereich der Cyber-Versicherung unterstreicht diese Schwachstelle die Notwendigkeit umfassender Risikobewertungsansätze, die alle Systeme einer Organisation prüfen, nicht nur die offensichtlichen Ziele.

Organisationen und Versicherer müssen gleichermaßen erkennen, dass moderne Angriffsflächen weit über traditionelle Netzwerkperimeter hinausreichen. Eine effektive Risikoquantifizierung erfordert Sichtbarkeit in Softwareabhängigkeiten von Drittanbietern und Infrastrukturkomponenten, die möglicherweise nicht ausreichend beachtet werden. Werkzeuge wie der FAIR-Risikobewertungsrahmen von Resiliently können helfen, diese erweiterten Bedrohungslandschaften zu quantifizieren und bessere Underwriting-Entscheidungen zu treffen.

Da Angriffstechniken sich weiterentwickeln und zuvor übersehene Systemkomponenten zunehmend ins Visier rücken, wird die Pflege aktueller Bedrohungsintelligenz für eine präzise Risikobewertung und Preisgestaltung immer wichtiger. Schwachstellen wie CVE-2023-44209 werden voraussichtlich häufiger auftreten, da Angreifer erkennen, dass Backup- und Wiederherstellungssysteme oft ausnutzbare Schwächen enthalten und gleichzeitig wertvolle strategische Vorteile bieten.

Die wesentliche Erkenntnis für Stakeholder der Cyber-Versicherung ist klar: Umfassende Risikobewertungen müssen die Sicherheit von Backup- und Wiederherstellungsinfrastruktur einbeziehen. Organisationen, die betroffene Acronis-Produkte nutzen, sollten diese Schwachstelle unverzüglich beheben, während Versicherer Drittanbieter-Software-Risiken in ihre Underwriting-Rahmenbedingungen integrieren sollten, um präzise Risikoanalysen und angemessene Preisstrategien zu gewährleisten.