SideWinder APT Targets Maritime & Nuclear: New Risks for Cyber Insurers (DE)

In der zweiten Jahreshälfte 2024 intensivierte die APT-Gruppe SideWinder ihre Kampagne gegen kritische Infrastruktur und griff gezielt Organisationen der maritimen Logistik sowie der Kernenergiebranche in Asien, dem Nahen Osten und Afrika an. Laut einem am 10. März 2025 veröffentlichten Threat-Intelligence-Bericht setzte die Gruppe ein aktualisiertes Toolset ein, um im Laufe von sechs Monaten mindestens 30 Einrichtungen in diesen Sektoren zu kompromittieren. Für Cyber-Versicherer signalisiert diese Eskalation eine Verschiebung des Fokus staatlich unterstützter Bedrohungsakteure hin zu Sektoren, in denen Betriebsunterbrechung, regulatorische Haftpflicht und Risiken physischen Schadens zusammenfallen – Bereiche, die häufig in Deckungsgrauzonen fallen.

Was geschah: Die eskalierte Kampagne von SideWinder

SideWinder, einer Bedrohungsgruppe, die weitgehend einem südasiatischen Staat zugerechnet wird, hat historisch Regierungs- und Militärorganisationen ins Visier genommen. Der jüngste Bericht dokumentiert eine deutliche Expansion hin zu kommerziellen maritimen Betreibern, Hafenbehörden, Logistikunternehmen und nuklearen Forschungseinrichtungen. Die Kampagne nutzte Spear-Phishing-E-Mails mit schädlichen Anhängen, die eine maßgeschneiderte Hintertür installierten und so dauerhaften Zugriff sowie Lateral Movement in den Netzwerken der Opfer ermöglichten.

Geografisch konzentrierten sich die Angriffe auf Häfen in Südostasien, Schifffahrtsunternehmen im Nahen Osten sowie Kernenergiebehörden in Afrika. Das aktualisierte Toolset der Gruppe umfasst verbesserte Evasion-Techniken – verschlüsselte Payloads und mehrstufige Infektionsketten –, die die Verweildauer verlängern und die Erkennung erschweren. Der Bericht vermerkt, dass mehrere Schadenfälle zur Datenexfiltration von Betriebsplänen, Frachtmanifesten und Personaldaten führten sowie zu Versuchen, Umgebungen industrieller Steuerungssysteme (ICS) in kerntechnischen Anlagen zu kartieren.

Warum dies für die Cyber-Versicherung relevant ist

Die Ausrichtung von SideWinder auf die Sektoren Maritime und Kernenergie beeinflusst direkt die Schadenfallhäufigkeit und -schwere für Cyber-Versicherer. Die maritime Logistik ist das Rückgrat des globalen Handels; ein erfolgreicher Angriff, der Hafenbetriebe oder Schiffspläne stört, kann sich in mehrwöchige Betriebsunterbrechungen ausweiten, mit Schäden in Höhe von zig Millionen Dollar. Kernenergieanlagen wiederum stehen vor katastrophalen Risikoszenarien – nicht nur Datendiebstahl, sondern potenzieller physischer Schaden, wenn eine ICS-Kompromittierung zu Ausfällen von Sicherheitssystemen führt. Selbst ohne physischen Schaden können aufsichtsrechtliche Geldbußen für Verstöße gegen die nukleare Sicherheit erheblich sein.

Staatlich unterstützte Angriffe werfen zudem Deckungsstreitigkeiten auf. Viele Cyber-Policen schließen „Kriegshandlungen“ oder „Cyberoperationen von Staaten“ aus. Doch die Grenze zwischen staatlich unterstützter und krimineller Aktivität ist oft verschwommen. Versicherer und Makler müssen das Policenwording sorgfältig prüfen, um festzustellen, ob die Aktivitäten von SideWinder solche Ausschlüsse auslösen würden. Das Fehlen eindeutiger Attribution in der unmittelbaren Nachfolge eines Vorfalls kann zu langwierigen Rechtsstreitigkeiten führen, was die Schadenregulierungskosten erhöht und Unsicherheit für die Versicherungsnehmer schafft.

Darüber hinaus sind die Implikationen für die Lieferkette erheblich. Organisationen der maritimen und nuklearen Sektors greifen häufig auf Drittanbieter für IT- und OT-Support zurück. Eine Kompromittierung eines Logistikdienstleisters kann Dutzende nachgelagerter Kunden exponieren, was die aggregierte Exposition für Versicherer verstärkt, die Policen über den gesamten Sektor hinweg gezeichnet haben.

Technische Details in geschäftssprachlicher Formulierung

Das aktualisierte Toolset von SideWinder ist auf Tarnung und Persistenz ausgelegt. Der initiale Infektionsvektor ist typischerweise eine Spear-Phishing-E-Mail, die angeblich von einem vertrauenswürdigen Partner stammt – einem Schifffahrtsagenten, einer Regulierungsbehörde oder einer Atomaufsichtsbehörde. Der Anhang, häufig ein PDF- oder Office-Dokument, nutzt eine bekannte Sicherheitslücke aus, um einen schlanken Downloader abzusetzen, der die Haupt-Backdoor von einem Remote-Server nachlädt.

Sobald im System eingedrungen, etabliert die Backdoor eine verschlüsselte Kommunikation mit der Command-and-Control-Infrastruktur. Sie kann beliebige Befehle ausführen, Dateien hoch- und herunterladen sowie Netzwerkfreigaben auflisten. Die Gruppe nutzt Living-off-the-Land-Techniken – sie nutzt legitime Systemtools wie PowerShell und WMI –, um eine Auslösung der Endpunkterkennung zu vermeiden. Lateral Movement wird durch gestohlene Anmeldedaten und RDP-Sitzungen erreicht, was den Angreifern ermöglicht, kritische Server zu erreichen, einschließlich jener, die Frachtverfolgungssysteme oder Sicherheitsüberwachungs-Dashboards verwalten.

Bei nuklearen Zielen strebte die Gruppe gezielt Zugriff auf Engineering-Arbeitsplätze und speicherprogrammierbare Steuerungen (SPS) an. Obwohl der Bericht keine Manipulation physikalischer Prozesse bestätigt, deutet die Aufklärungsaktivität auf Vorbereitungen für potenzielle Sabotage hin – ein Szenario, das unter das Cyber-Physical-Risiko fiele, welches die meisten Standard-Cyber-Policen nicht ausdrücklich abdecken.

Implikationen für Deckung und Underwriting

Underwriter müssen ihren Risikoappetit für Bestände aus dem maritimen und nuklearen Sektor angesichts der Aktivitäten von SideWinder neu justieren. Wesentliche Underwriting-Signale umfassen:

• Netzwerksegmentierung: Organisationen mit flachen Netzwerken, die Lateral Movement von IT zu OT ermöglichen, weisen ein höheres Risiko auf. Policen könnten separate Sublimits für OT-bezogene Schäden erfordern.
• Widerstandsfähigkeit gegen Phishing: Der primäre Vektor ist E-Mail. Underwriter sollten die Reife der Sicherheitsunterweisung und der E-Mail-Filterkontrollen bewerten.
• Bereitschaft der Incident Response: Die Verweildauer in SideWinder-Kampagnen kann 90 Tage überschreiten. Versicherer sollten verlangen, dass Versicherungsnehmer Rahmenverträge mit Incident-Response-Dienstleistern haben, die auf die Beseitigung von APTs spezialisiert sind.
• Regulatorische Exposition: Schadenfälle im Nuklearsektor lösen Meldepflichten gegenüber Organisationen wie der Internationalen Atomenergiebehörde (IAEA) aus. Deckung für Verteidigung gegen Aufsichtsverfahren und Geldbußen sollte ausdrücklich ein- oder ausgeschlossen werden.

Deckungslücken sind besonders ausgeprägt bei Betriebsunterbrechungen durch Lieferkettenstörungen. Wird eine Hafenbehörde angegriffen und kann ein Schifffahrtsunternehmen nicht operieren, greift die eigene Police des Reeders möglicherweise nicht, weil der Schaden bei einem Dritten entstanden ist. Makler sollten Kunden raten, eine Deckung für kontingente Betriebsunterbrechung mit klaren Auslösern für Cyber-Ereignisse in Betracht zu ziehen.

Zudem wirft das Potential für physischen Schaden durch ICS-Kompromittierung Fragen zur Sachversicherung auf. Viele Sachpolicen weisen Silent-Cyber-Risiken oder ausdrückliche Ausschlüsse auf. Versicherer sollten eine Koordination zwischen den Cyber- und Sach-Underwriting-Teams sicherstellen, um eine konsistente Behandlung solcher Risiken zu gewährleisten.

Handlungsempfehlungen für Risk Engineers und Makler

Für Risk Engineers:

• Führen Sie Planspiele durch, die einen SideWinder-ähnlichen Angriff simulieren, mit Fokus auf OT-Umgebungen und Lieferkettenabhängigkeiten.
• Prüfen Sie Netzwerkarchitekturdiagramme, um die Segmentierung zwischen IT und OT zu bestätigen, und verifizieren Sie, dass der Fernzugriff auf ICS über Jump Server mit Multi-Faktor-Authentifizierung kontrolliert wird.
• Testen Sie Phishing-Simulationsprogramme mit gezielten, kontextspezifischen Ködern (z. B. gefälschte Schiffspläne oder Regulierungsmitteilungen), um die Anfälligkeit der Mitarbeiter zu bewerten.

Für Makler:

• Sprechen Sie proaktiv das Vertragswording mit Kunden aus den Sektoren Maritime und Kernenergie durch. Klären Sie, ob staatlich unterstützte Angriffe gedeckt oder ausgeschlossen sind, und empfehlen Sie eine ausdrückliche Deckung für ICS-bezogenen physischen Schaden, sofern verfügbar.
• Ermutigen Sie Kunden zur Implementierung von Programmen zum Austausch von Bedrohungsinformationen (z. B. ISACs für Maritime und Nuklear), um die Frühwarnung zu verbessern.
• Nutzen Sie quantitative Risikoanalysetools, um potenzielle Schäden durch ein SideWinder-ähnliches Ereignis zu schätzen. Beispielsweise kann der FAIR-Risikobericht Überschreitungswahrscheinlichkeiten basierend auf Angriffshäufigkeit, Verweildauer und Wiederherstellungskosten modellieren und Underwritern helfen, angemessene Prämien und Sublimits festzulegen.

Für CISOs:

• Priorisieren Sie die Bereitstellung von Patches für bekannte Sicherheitslücken, die SideWinder für den Erstzugriff nutzt. Der Bericht hebt einen spezifischen Dokumenten-Exploit hervor, der ungepatchte Office-Installationen angreift.
• Implementieren Sie Endpoint Detection and Response (EDR)-Lösungen mit Verhaltensanalytik, um Living-off-the-Land-Techniken zu erkennen.
• Etablieren Sie ein dediziertes Threat-Hunting-Team oder einen entsprechenden Dienst, um Lateral Movement vor der Datenexfiltration zu erkennen.

Klare Erkenntnis

Die intensivierte Kampagne von SideWinder gegen die Sektoren Maritime und Kernenergie ist ein deutliches Signal, dass staatlich unterstützte Bedrohungsakteure ihren Fokus auf kritische Infrastruktur mit hohem Potential für Betriebsunterbrechung und physischen Schaden ausweiten. Für Cyber-Versicherer bedeutet dies eine Überarbeitung der Underwriting-Richtlinien, die Klärung von Policenausschlüssen und die Empfehlung sektorspezifischer Kontrollen an die Kunden. Das Zusammenwirken von Lieferkettenabhängigkeiten, ICS-Exposition und aufsichtsrechtlicher Kontrolle macht diese Bestände besonders komplex. Durch die Integration von Bedrohungsinformationen in die Risikoquantifizierung und Policengestaltung kann die Versicherungsbranche die sich entwickelnde Exposition besser steuern – und den Versicherungsnehmern helfen, die langwierige, kostspielige Wiederherstellung zu vermeiden, für die das Toolset von SideWinder konzipiert ist.