Unpatchbare Netzwerkgeräte erhöhen Cyber-Risiko für Versicherer

Eine kritische Schwachstelle in weit verbreiteter Netzwerkausrüstung verdeutlicht wachsende Versicherungsrisiken

Im September 2023 enthüllten Sicherheitsforscher die Schwachstelle CVE-2023-43314, eine Pufferüberlauf-Schwachstelle, die die Zyxel PMG2005-T20B Glasfaser-Mediakonverter mit Firmware-Version V1.00(ABNK.2)b11_C0 betrifft. Obwohl die Schwachstelle mit einer CVSS-Bewertung von 7,5 (hohe Schwere) klassifiziert ist, hat sie für Versicherungsfachleute besondere Bedeutung, da sie Netzwerkinfrastruktur-Geräte betrifft, die trotz fehlender Herstellerunterstützung weit verbreitet im Einsatz sind.

Dieser Fall verdeutlicht die zunehmende Herausforderung für Versicherer bei der Bewertung von Cyberrisiken in Umgebungen, in denen veraltete Geräte ohne Sicherheits-Updates weiterbetrieben werden – ein Szenario, das direkt mit einer erhöhten Schadenhäufigkeit und -schwere korreliert.

Was diese Schwachstelle ermöglicht

CVE-2023-43314 ist eine Pufferüberlauf-Schwachstelle im Zyxel PMG2005-T20B Glasfaser-Mediakonverter, die von nicht authentifizierten Angreifern ausgenutzt werden kann. Der Fehler liegt in der Art, wie das Gerät Benutzerkennungen (uid) verarbeitet, wodurch Angreifer gezielt gestaltete Anfragen senden können, die den Speicherbereich überschreiten. Dieser Überlauf kann dazu führen, dass das Gerät abstürzt und eine Denial-of-Service-Situation entsteht, die die Netzwerkkonnektivität beeinträchtigt.

Die Schwachstelle ist besonders problematisch, da:

• keine Authentifizierung erforderlich ist, wodurch die Ausnutzung einfach wird
• sie die Kernfunktionen der Netzwerktechnik beeinträchtigt
• eine erfolgreiche Ausnutzung das Gerät funktionsunfähig macht, bis es manuell neu gestartet wird
• die Wiederherstellung in der Regel physischen Zugriff oder Zugang zur Netzwerkverwaltungsschnittstelle erfordert

Der Zyxel PMG2005-T20B ist ein häufig eingesetzter Glasfaser-Mediakonverter in Unternehmensnetzwerken, Telekommunikationsinfrastrukturen sowie in Klein- und Mittelbetrieben zur Herstellung von Glasfaser-Anbindungen. Diese Geräte sind oft kritische Bestandteile der Netzwerkinfrastruktur und deren Kompromittierung kann erhebliche Auswirkungen haben.

Bedeutung für die Cyber-Versicherung

Diese Schwachstelle verdeutlicht mehrere Risikofaktoren, die sich direkt auf das Underwriting und die Schadensbearbeitung in der Cyber-Versicherung auswirken:

Erhöhte Betriebsunterbrechungsgefahr: Netzwerkinfrastruktur-Geräte wie die betroffenen Zyxel-Mediakonverter fungieren in kleineren Netzwerken oft als Single Point of Failure. Im Schadensfall kann dies zu vollständigen Netzwerkausfällen führen, die alle verbundenen Systeme und Nutzer betreffen. Bei Unternehmen, deren Geschäftstätigkeit auf diesen Netzwerken beruht, kann der wirtschaftliche Schaden erheblich sein.

Anstieg der Schadenhäufigkeit: Geräte ohne Herstellerunterstützung stellen dauerhafte Angriffsflächen dar, die nicht über Standard-Patchprozesse behoben werden können. Organisationen mit einer hohen Anzahl ungestützter Netzwerkgeräte weisen chronisch erhöhte Risikoprofile auf, was sich direkt auf die Wahrscheinlichkeit erfolgreicher Angriffe und nachfolgender Schäden auswirkt.

Deckungslücken: Viele Unternehmen gehen fälschlicherweise davon aus, dass Schwachstellen in der Netzwerkinfrastruktur automatisch durch Standard-Cyber-Policen abgedeckt sind, ohne die Folgen des Betriebs ohne Herstellerunterstützung zu berücksichtigen. Diese Diskrepanz zwischen wahrgenommener und tatsächlicher Deckung kann erhebliche Risiken für den Versicherer darstellen, die im Rahmen des Risikoassessments identifiziert werden müssen.

Verstärkung von Lieferkettenrisiken: Die weit verbreitete Nutzung von Zyxel-Geräten in verschiedenen Marktsegmenten bedeutet, dass eine einzelne Schwachstelle gleichzeitig unterschiedliche Kundengruppen betreffen kann. Dies kann zu kaskadierenden Risikoszenarien führen, bei denen mehrere Policennehmer innerhalb kurzer Zeit von ähnlichen Vorfällen betroffen sind, was die Ressourcen des Versicherers und Rückversicherungsvereinbarungen belasten kann.

Technische Details im betriebswirtschaftlichen Kontext

Pufferüberlauf-Schwachstellen entstehen, wenn ein Programm mehr Daten in einen temporären Speicherbereich (Puffer) schreibt, als dieser aufnehmen kann. Im Fall von CVE-2023-43314 validiert die Software des Zyxel-Geräts die Länge eingehender Benutzerdaten nicht korrekt, wodurch Angreifer überlange Anfragen senden können, die benachbarte Speicherbereiche überschreiben.

Die geschäftlichen Auswirkungen dieses technischen Fehlers sind:

Betriebliche Beeinträchtigungen: Bei Ausnutzung stürzen betroffene Geräte ab und reagieren nicht mehr, sodass ein manueller Eingriff zur Wiederherstellung erforderlich ist. Insbesondere bei Unternehmen mit begrenzten IT-Ressourcen kann dies zu längeren Ausfallzeiten führen, bis technischer Support oder Ersatzgeräte zur Verfügung stehen.

Erkennungsschwierigkeiten: Viele Organisationen haben keinen vollständigen Überblick über ihre Netzwerkinfrastruktur-Geräte, wodurch die Identifizierung gefährdeter Geräte erschwert wird. Im Gegensatz zu Servern oder Arbeitsplätzen, die in der Regel in Asset-Management-Systemen erfasst sind, arbeiten Netzwerkinfrastruktur-Geräte oft „unsichtbar“ im Hintergrund, bis sie ausfallen.

Komplexität der Wiederherstellung: Im Gegensatz zu herkömmlichen Computersystemen, die remote neu gestartet oder neu installiert werden können, benötigen Netzwerkinfrastruktur-Geräte unter Umständen vor Ort tätige Techniker zur Wiederherstellung, was die Betriebsunterbrechungszeiten erheblich verlängert.

Die Kennzeichnung „UNSUPPORTED WHEN ASSIGNED“ bedeutet, dass Zyxel den Support für diese Produktlinie bereits vor Bekanntgabe der Schwachstelle eingestellt hatte. Dies erzeugt eine dauerhafte Sicherheitslücke, die Unternehmen durch alternative Risikominderungsstrategien wie Netzwerksegmentierung, Überwachung oder Geräteersatz kompensieren müssen.

Auswirkungen auf Deckung und Underwriting

Diese Schwachstelle wirft spezifische Herausforderungen für das Underwriting und die Deckungsentscheidung auf:

Deckungsausschlüsse bei nicht unterstützter Ausrüstung: Viele Cyber-Versicherungspolicen enthalten Ausschlüsse für Schäden, die durch den Betrieb nicht unterstützter oder end-of-life-Geräte entstehen. Stellt der Underwriter beim Risikoträger eine weit verbreitete Nutzung solcher Geräte fest, muss sorgfältig geprüft werden, ob die Standardbedingungen gelten oder ob Zusatzprämien oder Deckungsausschlüsse erforderlich sind.

Risikoauswahlkriterien: Underwriter sollten die Verbreitung nicht unterstützter Netzwerkausrüstung als entscheidendes Kriterium bei der Risikoauswahl berücksichtigen. Organisationen mit erheblichen Investitionen in veraltete Infrastruktur weisen unter Umständen höhere Verlustquoten auf – sowohl aufgrund der erhöhten Angriffsanfälligkeit als auch wegen längerer Wiederherstellungszeiten.

Prämienanpassungen: Das Vorhandensein weit verbreiteter, nicht unterstützter Geräte rechtfertigt prämienanpassende Maßnahmen basierend auf dem Risiko. Organisationen, die ihre Netzwerkinfrastruktur aktuell halten und über Herstellerunterstützung verfügen, demonstrieren bessere Risikomanagementpraktiken und können günstigere Prämienbedingungen erhalten.

Komplexität bei der Schadensaufklärung: Wenn Schäden durch Schwachstellen in nicht unterstützter Ausrüstung entstehen, müssen Versicherer genau prüfen, ob der Vorfall innerhalb der Deckungslage liegt. Dies erfordert detaillierte technische Analysen und kann zusätzliche Aufklärungskosten verursachen.

Handlungsempfehlungen für Risikomanager

Versicherungsfachkräfte sollten bei der Bewertung und dem Management von Risiken wie CVE-2023-43314 folgende Strategien implementieren:

Erweiterte Due-Diligence-Anforderungen: Entwicklung standardisierter Fragebögen für Policeninhaber zur Beurteilung des Lebenszyklusmanagements von Netzwerkinfrastruktur, insbesondere:

• Bestandsaufstellung der Netzwerkgeräte nach Hersteller, Modell und Firmware-Version
• Status der Herstellerunterstützung aller eingesetzten Geräte
• Ersetzungspläne für veraltete Infrastruktur
• Patchmanagement-Prozesse für verschiedene Gerätekategorien

Risikobewertungsinstrumente: Einsatz von Frameworks wie FAIR (Factor Analysis of Information Risk) zur quantitativen Erfassung des finanziellen Einflusses des Betriebs nicht unterstützter Netzwerkgeräte. Dies ermöglicht datenbasierte Underwriting-Entscheidungen und hilft Policeninhabern, ihre tatsächlichen Risiken besser einzuschätzen.

Portfolioweites Risikomonitoring: Systematische Überwachung von Schwachstellenmeldungen, die weit verbreitete Netzwerkgeräte betreffen, um proaktiv Policeninhaber mit erhöhtem Risikoprofil zu identifizieren, bevor Vorfälle eintreten.

Aufklärungsinitiativen: Bereitstellung von Leitlinien für Policeninhaber zum Management von Netzwerkinfrastruktur-Risiken, insbesondere zur Wichtigkeit aktiver Herstellerbeziehungen und zur Entwicklung von Ersatzstrategien für veraltete Geräte.

Weiterbildung technischer Expertise: Investition in technische Schulungen für Underwriting- und Claims-Teams, um eine angemessene Bewertung infrastrukturbezogener Cyberrisiken sicherzustellen. Das Verständnis der betrieblichen Auswirkungen von Netzwerkgeräte-Schwachstellen ist entscheidend für eine präzise Risikoeinschätzung.

Vertragliche Risikoübertragung: Policeninhaber sollten ermutigt werden, Verträge mit Anbietern so auszuhandeln, dass diese Sicherheitsgarantien und Supportverpflichtungen für kritische Netzwerkinfrastruktur-Komponenten enthalten.

Fazit für Versicherungsfachkräfte

CVE-2023-43314 verdeutlicht die wachsende Herausforderung, die nicht unterstützte Netzwerkinfrastruktur für das Cyber-Underwriting und das Risikomanagement darstellt. Da Organisationen aufgrund von Budgetrestriktionen oder operativen Abhängigkeiten weiterhin veraltete Geräte betreiben, müssen Versicherer ausgereifte Ansätze entwickeln, um diese erhöhten Risiken zu identifizieren, zu quantifizieren und entsprechend zu bewerten.

Die Klassifizierung als „UNSUPPORTED WHEN ASSIGNED“ führt zu dauerhaften Deckungslücken, die nicht durch herkömmliche Sicherheitsmaßnahmen geschlossen werden können. Es ist daher unerlässlich, dass Underwriter das Lebenszyklusmanagement von Infrastruktur in ihre Risikoprüfung einbeziehen. Organisationen mit umfassenden Asset-Management-Praktiken – inklusive regelmäßiger Bestandsaufnahmen und Ersetzungsplanung – weisen bessere Risikoprofile auf und sollten im Rahmen des Underwritings entsprechend berücksichtigt werden.

Durch die Fokussierung auf die operativen und finanziellen Auswirkungen von Infrastruktur-Schwachstellen – statt ausschließlich auf technische Details – können Versicherungsfachkräfte die Deckungsbedingungen besser an die tatsächliche Risikoausprägung anpassen und Policeninhabern fundierte Entscheidungen über ihre Cybersicherheitsinvestitionen ermöglichen.