Ransomware- und Cybercrime-Risiken für Unternehmen Allein auf Cyberversicherungen setzen reicht nicht!

Autor / Redakteur: Mike Campbell / Peter Schmitz

Ransomware-Angriffe sind auf dem Vormarsch, wobei die Zahl der Ransomware-Angriffe in diesem Jahr im Vergleich zu Anfang 2020 um 102 Prozent gestiegen ist. Dies stellt die Versicherer vor ein Rätsel und wirft die Frage auf: Zahlen oder nicht zahlen?

Firmen zum Thema

In der Vergangenheit haben die Versicherer die Unternehmen dazu ermutigt, das Lösegeld der Cyberkriminellen zu zahlen, da dies als billigere und einfachere Methode angesehen wurde als die Wiederherstellung der IT-Systeme.
In der Vergangenheit haben die Versicherer die Unternehmen dazu ermutigt, das Lösegeld der Cyberkriminellen zu zahlen, da dies als billigere und einfachere Methode angesehen wurde als die Wiederherstellung der IT-Systeme.
(Bild: Creativa Images - stock.adobe.com)

Innerhalb eines Monats wurde die Welt von drei schweren Angriffen heimgesucht. Zunächst legte eine Cyberkriminelle die Colonial Pipeline, Nordamerikas größte Pipeline für raffiniertes Öl, lahm. Dann wurde das irische Gesundheitssystem innerhalb einer Woche zweimal mit Ransomware angegriffen. Zuletzt war der weltgrößte Fleischverarbeiter JBS gezwungen, die Produktion einzustellen, was die weltweite Fleischversorgung beeinträchtigte. Diese Vorfälle werden nicht die letzten sein. Dies wirft nicht nur ein ernstes Licht auf die Frage, wie Unternehmen am besten mit Cyberangriffen umgehen und darauf reagieren sollten, sondern ist auch ein großes Warnsignal für die Versicherungsbranche, die möglicherweise gezwungen sein könnte, Zahlungen in Millionenhöhe für Ransomware-Angriffe zu leisten.

In der Vergangenheit haben die Versicherer die Unternehmen dazu ermutigt, das Lösegeld der Cyberkriminellen zu zahlen, da dies als billigere und einfachere Methode angesehen wurde als die Wiederherstellung der IT-Systeme. Dadurch wird das Problem jedoch weiter verschärft, da es eine kurzfristige Lösung für mangelnde Cyberhygiene bietet. Langfristig kann die Einbeziehung von Ransomware-Zahlungen in Versicherungspolicen zu einem umfassenderen Problem beitragen, da sich Unternehmen weniger darauf konzentrieren, die richtigen Sicherheitstools einzusetzen, um die Auswirkungen von Ransomware zu vermeiden oder zu begrenzen.

Die Löcher im Sicherheitsnetz der Cyberversicherung

Da Ransomware-Angriffe nur allzu häufig vorkommen, wird das Risiko für die Versicherer potenziell unkontrollierbar, vor allem, wenn Unternehmen nicht von Anfang an über einen angemessenen Schutz verfügen. Dies ist das Äquivalent zu einem Autounfall, bei dem die Sicherheitsgurte nicht angelegt sind. Um die heutigen ausgeklügelten Angriffe abzuwehren, müssen die Unternehmen über einen Checkbox-Ansatz hinausgehen, und die Versicherungsunternehmen unterstützen diesen Wandel nicht.

Stattdessen verschärfen die Versicherer den Cyber-Versicherungsmarkt, da sie auf die sich verschlechternden Schadensquoten und die steigenden Rückversicherungskosten reagieren müssen. Für die Kunden bedeutet dies, dass sie steigende Prämien zahlen müssen und eine Verringerung der verfügbaren Deckungssummen erleben, während die Cyberrisiken zunehmen. Die Versicherung war schon bisher ein dünnes Sicherheitsnetz, das nur einen Teil des finanziellen Risikos eines Unternehmens abmilderte und technische Risiken, geistiges Eigentum und persönliche Daten ungeschützt ließ. Sie löst nicht die grundlegenden Probleme, die Cyberangriffe verursachen, wie z. B. die Wiederherstellung von Backups, das Verhindern des Verkaufs von Daten im Dark Web oder den Schaden für den Ruf einer Marke.

Der Ansturm von Ransomware-Angriffen verändert auch die Spielregeln. Zunächst ermutigten viele Versicherer die Unternehmen, das Lösegeld zu zahlen, da es oft viel billiger war als die Wiederherstellung von Systemen und Backups. Die Stadt Baltimore weigerte sich bekanntlich, 76.000 Dollar Lösegeld an eine Cyberkriminelle Bande zu zahlen, doch die vollständige Wiederherstellung ihrer Systeme kostete die Stadt schließlich 18,2 Millionen Dollar. Aufgrund von Geschichten wie dieser haben Versicherungsunternehmen begonnen, bestimmte Klauseln einzufügen, um sicherzustellen, dass sie Ransomware-Angriffe nicht abdecken müssen. Diese Ausschlussklauseln bedeuten, dass, wenn eine Organisation von einem Angriff eines Nationalstaates betroffen ist, eine vertragliche Vereinbarung zur Zahlung von Ransomware-Angriffen nicht erstattungsfähig ist. Tatsächlich haben die meisten Versicherungspolicen gesonderte Klauseln und zusätzliche Prämien für den Fall einer "Kriegshandlung" oder eines "Terrorismus", und angesichts der Überlegungen der USA, Ransomware-Angriffe als eine ähnliche Priorität wie Terrorismus zu behandeln, könnte dies erhebliche Auswirkungen auf die Versicherer und ihre Kunden haben.

In den meisten Fällen wird Terrorismus-Deckung zu einem gesonderten Preis angeboten, der die aktuellen Umstände durch private Versicherer oder die Bundesregierung im Einklang mit dem Terrorism Risk and Insurance Act (TRIA) widerspiegelt. Damit der Versicherungsschutz nach dem TRIA in Anspruch genommen werden kann, muss ein Terroranschlag vom Finanzministerium zu einem "zertifizierten Akt" erklärt werden. Darüber hinaus sind Kriegshandlungen fast nie versichert, da die Ausschlüsse die Wahrscheinlichkeit widerspiegeln, dass Kriegshandlungen grundsätzlich nicht versicherbar sind.

Das kann auch bedeuten, dass die Versicherung eines Unternehmens im Falle eines Ransomware-Angriffs nicht für die Kosten aufkommen muss. Daher müssen Unternehmen unbedingt in der Lage sein, schnell zu reagieren und den Schaden selbst zu verringern, indem sie die richtigen Systeme zur Bekämpfung potenzieller Ransomware-Angriffe einsetzen.

Absicherung eines wachsenden Netzwerks

Das Risiko potenzieller Ransomware-Angriffe hat sich erhöht, da hybrides Arbeiten nach der Pandemie immer beliebter wird. Die Netzwerke von Unternehmen sind nicht mehr auf ein oder mehrere Büros vor Ort beschränkt, sondern es gibt viel mehr Berührungspunkte und Datenrisiken. Es ist wichtig, dass Unternehmen die Risiken in dieser neuen Umgebung quantifizieren können. Auch die Ransomware-Angriffe entwickeln sich weiter. Sicherheitsteams müssen sich jetzt nicht nur mit der Entschlüsselung von Dateien und einer kurzen Wiederherstellungszeit auseinandersetzen, sondern auch mit dem Risiko der Datenexfiltration, die einen schwerwiegenden Verstoß gegen die Datenschutzrichtlinie darstellen könnte.

Es ist zwar wichtig, dass Unternehmen ein Programm entwickeln, das es den Mitarbeitern ermöglicht, digitale Umgebungen besser zu verstehen, so dass sie Risiken und potenzielle Bedrohungen in einer hybriden Umgebung leichter erkennen können, aber wir sollten die Last vom Nutzer nehmen.

Auch das Sicherheitsteam muss moderne Tools einsetzen, um einen vollständigen Einblick in das Unternehmensnetzwerk zu erhalten. Da die heutigen Bedrohungen Frühwarnzeichen wie ungewöhnlichen Datenverkehr, Ost-West-Bewegungen und Datenexfiltration liefern, ist die Netzwerktransparenz ein wichtiger erster Hinweis darauf, dass etwas nicht in Ordnung ist. Mithilfe von maschinellem Lernen und verhaltensbasierten Analysen können Unternehmen zudem Routineverhalten im Netzwerk feststellen, wodurch Sicherheitsteams in die Lage versetzt werden, bösartige Aktivitäten zu erkennen, wenn Anomalien auftreten.

Ein klarer Überblick über das Netzwerk eines Unternehmens verschafft den Sicherheitsteams ein Verständnis dafür, welche Teile geschäftskritisch sind und für Cyber-Kriminelle wahrscheinlich ein wertvolles Ziel darstellen. Dieser Überblick über die IT-Immobilien ist nützlich für die Wahl des Versicherungsmodells, das Unternehmen am besten schützt, um eine zusätzliche Schutzschicht für wichtige Teile des Netzwerks zu schaffen.

Cyberangriffe sind unvermeidlich, und Unternehmen können keinen standardisierten Ansatz für ihr weit verzweigtes Netzwerk haben. Durch die Quantifizierung der Teile des Netzwerks, für die es sich lohnt, neben fortschrittlicher Cybersicherheitssoftware eine Versicherung abzuschließen, können Unternehmen sich und ihre Mitarbeiter wirksam vor Ransomware-Angriffen schützen.

Über den Autor: Mike Campfield ist VP und GM für internationale und globale Sicherheitsprogramme bei ExtraHop. Mike Campfield leitet den Bereich Security GTM bei ExtraHop und ist seit über zwei Jahrzehnten in den Bereichen Sicherheit, Risiko- und Informationsmanagement tätig. Vor seiner Tätigkeit bei ExtraHop war Mike bei FireEye in verschiedenen Schlüsselpositionen in den Teams für die FireEye Threat Analytics Platform und Global Accounts tätig. Mike hat Erfahrung in der Beratung zur Qualität von Sicherheitsprogrammen und hat mit vielen führenden Programmen zusammengearbeitet, um deren Reaktionsfähigkeit auf Vorfälle zu verbessern.

(ID:47775047)