zephyr_p - stock.adobe.com
Ransomware-Attacken und die Lage bei Cyberversicherungen
Cyberversicherungen können den finanziellen Schaden bei einer Ransomware-Attacke mindern, doch allein der Versicherungsschutz reicht nicht als Absicherung gegen Erpressung.
Ransomware ist zu einer beliebten Waffe in den Händen böswilliger Akteure geworden, die täglich versuchen, Regierungen, Unternehmen und Einzelpersonen Schaden zuzufügen, berichtet die EU-Agentur für Cybersicherheit ENISA in dem aktuellen Bericht ENISA Threat Landscape.
Die steigende Zahl von Ransomware-Angriffen hat das Interesse von bedrohten Unternehmen an Cyberversicherungs-Policen erhöht, so ENISA weiter. Demnach sind Ransomware-Angriffe einer der Hauptgründe für das in den letzten fünf Jahren gestiegene Interesse an dieser Art von Versicherung. In einigen der Vorfälle wurden das Lösegeld oder die Kosten für die Wiederherstellung durch solche Verträge gedeckt.
Wenn Ransomware-Angriffe als Versicherungsfall betrachtet werden können, hat dies aber nicht nur Vorteile, auch wenn die finanziellen Schäden abgemildert werden können.
Versicherungsschutz kann unerwünschte Nebeneffekte haben
So warnt die EU-Agentur ENISA: „Wenn potenzielle Ransomware-Ziele als versichert bekannt sind, gehen die Angreifer leider davon aus, dass sie höchstwahrscheinlich bezahlt werden“.
Damit nicht genug, nennt ENISA ein weiteres Problem: „Ein weiterer Nachteil für das Opfer ist, dass die Versicherer das Lösegeld im Voraus zahlen, um den Schaden zu mindern und den Ruf des Opfers aufrechtzuerhalten. Eine solche Compliance-Regelung durch die Zahlung von Lösegeld ermutigt jedoch die Hacker-Community und stellt weder die Wiederherstellung des Schadens noch die des Rufes des Opfers sicher.“
Doch was sagen die Versicherungsgesellschaften selbst zu dem Risiko durch Ransomware?
Unterstützung durch Versicherung im Fall einer Online-Erpressung
Mit der rasant zunehmenden Digitalisierung verändern sich Cyberrisiken und Schadensszenarien immer schneller, sagt zum Beispiel Munich Re. Für alle Risikoträger sei es daher umso wichtiger, aus vergangenen Vorfällen zu lernen und kommende Cybersecurity-Trends, Bedrohungen und Schwachstellen zu erkennen. Cyberversicherer hätten bereits bewiesen, dass sie Teil der Lösung sein können, wenn es um den Aufbau von Resilienz und Abwehrbereitschaft über alle Branchen hinweg geht.
Speziell zu dem Cyberrisiko Ransomware erklärt der Rückversicherer: Es wird erwartet, dass das rasante Wachstum von Ransomware-Angriffen auch in Zukunft anhalten wird. Dies wird sich nicht nur auf die Verschlüsselung von Daten begrenzen, sondern zunehmend Exfiltration von Daten inkludieren. Mit steigender Häufigkeit nehmen auch die Lösegeldforderungen exponentiell zu.
Dabei macht das Versicherungsunternehmen deutlich, dass das Lösegeld nicht der einzige finanzielle Schaden sein kann: Die Kosten durch Ausfallzeiten könnten genauso hoch sein wie das gezahlte Lösegeld. Munich Re schätzt, dass die Kosten für die Wiederherstellung nach Ransomware-Angriffen weiter steigen werden. Munich Re befürchtet, dass mehr Daten, Geräte und sogar Menschenleben gefährdet sein können, wenn Ressourcen wie Stromnetze, medizinische Systeme oder das Transportmanagement erfolgreich angegriffen werden.
Für die Unternehmen als mögliche Versicherungsnehmer ist auch die weitere Strategie von Munich Re interessant: Der Versicherer möchte noch offensiver agieren, die Portfolios noch selektiver gestalten, und man erwartet von den Kunden die höchsten Sicherheitsstandards beziehungsweise unterstützt sie bei der Integration entsprechender Vorsichtsmaßnahmen.
Zur Cyberversicherung gehören immer auch Sicherheitsmaßnahmen
Die Ergebnisse des Hiscox Cyber Readiness Reports 2021 (PDF) zeigen: Zwar stieg der Anteil deutscher Unternehmen mit mindestens einer Cyberattacke auf 46 Prozent (2020: 41 Prozent), aber auch die Zahl der gut vorbereiteten „Cyberexperten“ erhöhte sich auf 21 Prozent (2020: 17 Prozent). Im internationalen Vergleich investieren die befragten deutschen Unternehmen zudem am meisten in Cybersicherheit – 62 Prozent mehr als im Vorjahr.
Wie wichtig ein umfassendes Sicherheitskonzept ist, machen die hohen Kosten im Schadenfall deutlich, so Hiscox: Deutsche Firmen verzeichneten im vergangenen Jahr unter allen acht Ländern die höchsten mittleren Gesamtkosten durch Cyberangriffe. Auch die teuerste Einzelattacke mit Kosten von über 4,6 Millionen Euro traf ein Unternehmen in Deutschland. Um sich vor existenzbedrohenden Schadensfällen zu schützen, hat ein Großteil der befragten Firmen die Relevanz der Absicherung durch eine Cyber-Police erkannt, nur noch 15 Prozent gaben an, dass sie an eine solchen Versicherung keinerlei Interesse hätten – im letzten Jahr lag dieser Wert noch um zehn Prozentpunkte höher (2020: 25 Prozent).
Die Zukunft des Versicherungsrisikos Ransomware
Allerdings sollten sich Unternehmen sehr klar machen, dass Cyberversicherungen zum einen das Vorhandensein bestimmter Sicherheitsmaßnahmen im Unternehmen voraussetzen. Zudem anderen muss man als Unternehmen sehen, dass viele Versicherungsgesellschaften wegen der hohen Versicherungsschäden auch eine Erhöhung der Schutzmaßnahmen seitens der Unternehmen erwarten werden.
Zudem kann man in Zukunft womöglich nicht mehr immer von einer Deckung bei Ransomware-Schäden durch die eine oder andere Versicherung ausgehen: Die Cyberversicherung deckt in der Regel Zahlungen für Ransomware und Forensik im Zusammenhang mit Cyberereignissen ab, erklärt die Ratingagentur Fitch Ratings. Axa S.A., eine Cyberversicherung in Frankreich, hat jedoch kürzlich angekündigt, dass sie keine Ransomware-Zahlungen für Cyberversicherungspolicen in Frankreich mehr abdecken wird. Dies kann dazu führen, dass andere Marktteilnehmer diesem Beispiel folgen, so die Ratingagentur.
Man kann aber auch feststellen, dass sich die Cyberversicherer neu aufstellen: Mehrere Cyberversicherer gaben die Gründung von CyberAcuView bekannt, einem Unternehmen, das sich einer besseren Eindämmung von Cyber-Risiken in der Versicherungsbranche verschrieben hat. Durch das kollektive Fachwissen seiner Mitglieder will CyberAcuView cyberbezogene Daten zusammenstellen und analysieren, um den Wert und den Service für die Versicherungsnehmer zu steigern und einen wettbewerbsfähigen Markt für Cyberversicherungen zu gewährleisten.
Die Gründungsmitglieder von CyberAcuView wollen Best Practices der Branche zur Verbesserung der Widerstandsfähigkeit gegenüber Cyberrisiken bereitstellen, mit Aufsichtsbehörden, Strafverfolgungsbehörden und anderen Sicherheitsbehörden proaktiv zusammenarbeiten, um der Cyberkriminalität und dem schnellen Anstieg von Ransomware entgegenzuwirken, systemische Risikolösungen für Cyber entwickeln und Cybertrends analysieren, um Cyberangriffe und die Ursachen von Schäden besser sichtbar zu machen, damit Versicherer kritische Kontrollen identifizieren und Versicherungsnehmer über Strategien zur Schadenverhütung aufklären können.
Offensichtlich sollten die Unternehmen als Versicherungsnehmer solche Entwicklungen zum Anlass nehmen, auch die eigenen Schutzmaßnahmen gegen Cyberrisiken wie Ransomware auf den Prüfstand zu stellen und zu optimieren.