US-Versicherungsaufsicht bestätigt Datenpanne

Was ist passiert

Die National Association of Insurance Commissioners (NAIC), die gemeinnützige Organisation, die für die Regulierung des Versicherungssystems in den Vereinigten Staaten zuständig ist, hat eine erhebliche Cybersicherheitsverletzung bekannt gegeben. In einer Erklärung bestätigte die Organisation, dass Angreifer in ihre Systeme eingedrungen sind und auf sensible Informationen, einschließlich Kreditrating-Daten von US-Bürgern, zugegriffen haben. Der Vorfall hat in der Versicherungs- und Finanzbranche Besorgnis ausgelöst.

Laut dem von der NAIC veröffentlichten Zeitplan wurde der Cyberangriff erstmals am 11. Juni 2026 entdeckt. Nach der Entdeckung leitete die Organisation umgehend eine Untersuchung ein und ergriff Maßnahmen zur Eindämmung der Situation. Die erste öffentliche Bekanntgabe erfolgte etwa eine Woche später, am 17. Juni. Das jüngste detaillierte Update zu diesem Thema wurde am 26. Juni veröffentlicht. Dieses Update lieferte weitere Informationen zu den technischen Ursachen des Verstoßes und der Art der betroffenen Daten. Obwohl dies die Bemühungen der Organisation zeigt, ihre Stakeholder und die Öffentlichkeit transparent zu informieren, hat die sensible Natur der durchgesickerten Daten die Bedenken nicht vollständig zerstreut.

Kompromittierte Daten

Nach vorläufigen Erkenntnissen der NAIC sind die Daten, auf die die Angreifer zugegriffen und die sie teilweise veröffentlicht haben, sehr vielfältig, und einige davon sind von entscheidender Bedeutung. Die Organisation hat eine transparente Liste der kompromittierten Datentypen veröffentlicht. Zu den abgerufenen Daten gehören:

• Gesetzliche Finanzberichterstattungsinformationen: Diese Kategorie umfasst Informationen, die bereits über staatliche Websites oder Datenhändler wie InsData öffentlich zugänglich waren. Die Bedeutung der Kompromittierung dieser Daten liegt nicht in ihrer Neuheit, sondern darin, dass sie konsolidiert aus einer einzigen Quelle beschafft wurden.
• Daten von Kreditratingagenturen: Dies ist der sensibelste Teil des Verstoßes. Dieser Datensatz, der kritische Informationen wie Rating-Entscheidungen zu den Investitionen von Versicherern enthält, ist für die Finanzmärkte von hohem Wert. Das Leck dieser Daten könnte die Anlagestrategien von Versicherungsunternehmen aufdecken und möglicherweise Möglichkeiten zur Marktmanipulation schaffen.
• Potenziell zusätzliche Speicherdaten: Die NAIC gab an, dass die Angreifer möglicherweise auch auf zusätzliche Daten zugegriffen haben. Dazu könnten routinemäßige technische Informationen wie veraltete Protokolle (Logs) oder Konfigurationsinformationen gehören. Obwohl solche Daten auf den ersten Blick harmlos erscheinen mögen, könnten sie genutzt werden, um die Schwachstellen oder die Architektur des Systems für nachfolgende Angriffe zu verstehen.

Die Organisation begann auch, Informationen über Daten bereitzustellen, die nicht von der Verletzung betroffen waren, aber der Quelltext enthielt nicht die vollständige Liste. Daher ist noch kein klares Bild davon entstanden, welche kritischen Daten sicher geblieben sind. Als Folge des Verstoßes haben einige Kreditratingagenturen Berichten zufolge ihre Datenfeeds an die NAIC unterbrochen. Dies hat dazu geführt, dass die NAIC die Zuweisung von Bezeichnungen für die Investitionen von Versicherern vorübergehend ausgesetzt hat. Die Organisation hat den Versicherern geraten, das AVS+ (Automated Valuation Service Plus) System auf Updates zu überwachen.

Wie der Angriff geschah

Laut der Erklärung der NAIC wurde der Cyberangriff mit einer sehr ausgeklügelten Methode durchgeführt. Die Angreifer nutzten eine Zero-Day-Schwachstelle in der Oracle PeopleSoft-Software aus, die die Organisation für die interne Finanzberichterstattung verwendet. Eine Zero-Day-Schwachstelle ist eine Sicherheitslücke, die selbst dem Softwareentwickler unbekannt ist und für die noch kein Sicherheitspatch veröffentlicht wurde. Solche Schwachstellen verschaffen Angreifern einen erheblichen Vorteil, um unbemerkt in Systeme einzudringen.

Die Organisation erklärte, dass dies kein Einzelfall war, sondern Teil einer umfassenderen Cyberangriffs-Kampagne, die zu dieser Zeit auf mehrere Organisationen abzielte. Nachdem sie in die PeopleSoft-Umgebung eingedrungen waren, beschafften sich die Angreifer die notwendigen Informationen, um vorübergehenden Zugriff auf bestimmte Datenspeicherbereiche zu erhalten. Mit diesem Zugriff kopierten sie die oben aufgeführten sensiblen Daten und veröffentlichten einen Teil davon online. Bisher wurden keine Informationen über den Bedrohungsakteur hinter dem Angriff oder die vollständigen technischen Details veröffentlicht.

Wer ist betroffen

Die Auswirkungen dieser Datenpanne betreffen eine breite Palette von Parteien. Direkt betroffen sind:

• Die National Association of Insurance Commissioners (NAIC): Die Organisation selbst ist das Hauptopfer des Angriffs in Bezug auf ihre operative Integrität und ihren Ruf. Die Unterbrechung der Datenfeeds und die Aussetzung von Dienstleistungen beeinträchtigen direkt die Fähigkeit der Organisation, ihre Kernfunktionen zu erfüllen.
• Versicherungsunternehmen: Da die Zuweisung von Anlage-Ratings ausgesetzt ist, könnten die Anlagestrategien und die Finanzplanung dieser Unternehmen negativ beeinflusst werden. Darüber hinaus wurde ihr Vertrauen in die Systeme der NAIC erschüttert.
• Kreditratingagenturen: Die Kompromittierung ihrer eigenen Daten und die Notwendigkeit, die Datenfeeds an die NAIC einzustellen, machen diese Agenturen zu einer Partei des Vorfalls.
• US-Bürger: Das Leck von Kreditrating-Daten betrifft indirekt die US-Bürger. Es ist noch unklar, ob diese Daten für Zwecke wie Identitätsdiebstahl oder Finanzbetrug verwendet werden.

Was Sie tun können

Angesichts einer solch groß angelegten Verletzung gibt es mehrere Maßnahmen, die verschiedene Gruppen ergreifen können:

• Organisationen, die Oracle PeopleSoft verwenden: Die Quelle weist darauf hin, dass der Angriff Teil einer breiten Kampagne war, die auf mehrere Organisationen abzielte. Daher ist es für alle Organisationen, die die Oracle PeopleSoft-Software verwenden, von entscheidender Bedeutung, alle von Oracle veröffentlichten Notfall-Patches sofort anzuwenden, ihre Systeme auf verdächtige Aktivitäten zu untersuchen und proaktive Maßnahmen gegen eine potenzielle Verletzung zu ergreifen.
• Fachleute der Versicherungsbranche: Gemäß dem Rat der NAIC sollten sie die Updates auf der AVS+-Plattform genau beobachten. Möglicherweise müssen sie auch ihre Geschäftspläne überprüfen, um potenzielle Verzögerungen bei der Zuweisung von Anlage-Ratings zu berücksichtigen.
• Einzelne Benutzer und Bürger: Angesichts der Möglichkeit, dass Kreditrating-Daten kompromittiert wurden, wird den Bürgern empfohlen, ihre Kreditauskünfte regelmäßig zu überprüfen und verdächtige oder unbekannte Aktivitäten den zuständigen Behörden zu melden. Es ist wichtig, wachsam gegenüber Identitätsdiebstahl zu sein.

Was das Unternehmen sagt

In ihren öffentlichen Erklärungen zu dem Vorfall hat die NAIC versucht, die Situation transparent zu handhaben. Das letzte Update der Organisation vom 26. Juni bestätigte, dass der Angriff von einer Zero-Day-Schwachstelle in Oracle PeopleSoft ausging und Teil einer weit verbreiteten Kampagne war, die mehrere Organisationen betraf. In der Erklärung hieß es: „Ein unbefugter Akteur erlangte Zugang zu einem Teil unserer Umgebung durch die Ausnutzung einer Zero-Day-Schwachstelle in Oracle PeopleSoft, das wir für unsere interne Finanzberichterstattung verwenden.“ Die NAIC erklärte, dass die Untersuchung andauert und dass sie die betroffenen Parteien weiterhin informieren werden. Sie betonten auch, dass sie daran arbeiten, die Datenfeeds mit den Kreditratingagenturen wiederherzustellen und den Betrieb zu normalisieren.

Quelle

https://www.infosecurity-magazine.com/news/us-insurance-regulator-confirms/