Risikomanagement Ransomware-Folgen für Cyberversicherungen

Anbieter zum Thema

sysob IT-Distribution GmbH & Co. KG

FTAPI Software GmbH

In den vergangenen Jahren waren Cyberversicherungen ein gängiger Bestandteil des Risikomanagements vieler Firmen. Jetzt hat sich der Wind gedreht, denn die immense Ransomware-Angriffswelle und andere Sicherheitsbedrohungen haben dieses Geschäftsmodell der Versicherungsgesellschaften erheblich unter Druck gesetzt. Die Cyberkriminalitätszahlen (und damit auch die Schadenssummen) sind förmlich explodiert.

Sicherheitsverstöße wie bei der Unfallkasse Thüringen, dem Flughafen- und Gebäudedienstleister Wisag in Frankfurt oder im Landkreis Anhalt-Bitterfeld, die früher alle zehn Jahre auftraten, machen inzwischen fast monatlich Schlagzeilen. Die steigende Anzahl an erfolgreichen Cyberattacken wirkt sich negativ auf die Versicherungstarife aus: Viele Versicherer haben 2022 ihre Prämien drastisch erhöht – teilweise um 50 bis 100 Prozent. Grund dafür sind die sprunghaft gestiegenen Schadenssummen, die für Versicherungskonzerne immer riskanter werden. Der französische Axa-Konzern bietet deshalb in Frankreich gar keine Cyberversicherungen mehr an, die Zahlungen an Cyber-Kriminelle abdecken. Die Branche hat insgesamt schwer mit der Flut an Erpressersoftware zu kämpfen und ergreift somit Gegenmaßnahmen. Ransomware-Akteure greifen ganz gezielt Unternehmen an, die eine lukrative Cyberversicherung besitzen — einige Hackerangriffe richteten sich sogar gegen die Versicherer selbst, um an deren Kundendaten zu gelangen.

Ein aktueller Rechtsstreit zwischen dem Logistikkonzern Maersk und der Versicherung Ace American zeigt die Höhe der fälligen Versicherungssummen auf. Vertraglich versichert waren alle Risiken bis zu einer Summe von 1,75 Milliarden US-Dollar, Schäden durch Datenverlust oder -zerstörung eingeschlossen. Als der Krypto-Trojaner NotPetya 2017 die Unternehmensnetze infiltrierte, bezifferte Maersk den Schaden auf insgesamt 1,4 Milliarden US-Dollar. Ace American verweigerte jedoch die Begleichung der Versicherungssumme mit der Begründung, dass der offenbar von einem staatlichen Akteur eingeschleuste Trojaner „durch feindselige oder kriegerische Aktionen in Zeiten von Frieden oder Krieg“ verursacht wurde und daher von der Versicherungspolice ausgeschlossen sei. Auch bei der Risikominimierung legen Versicherer nach, indem sie strengere IT-Sicherheitsvorgaben an die Versicherungsnehmer stellen. Können Versicherungsnehmer die umfassenden Sicherheitsvorkehrungen nicht einhalten, riskieren sie, dass Auszahlungen nach einem Schadensfall abgelehnt oder Verträge gekündigt werden.

Noch profitieren aber die Cyberkriminellen im Hintergrund von den Versicherungsgeldern, die zumeist in digitaler Währung ausgezahlt werden. Kryptowährungen sind ideal für kriminelle Aktivitäten, da das Zahlungsmittel nicht reguliert und daher schwer nachverfolgbar sowie wertsteigernd ist. Aus diesem Grund sind Bitcoin, Ether & Co. aktuell die Hauptzahlungsmittel einer milliardenschweren Schattenwirtschaft aus Cyber-Erpressung und Phishing-Angriffen mit gefälschten Identitäten. Die Zahl der Ransomware-Angriffe und die daraus resultierenden Lösegeldbeträge steigen seit Jahren und erreichen immer neue Rekordwerte. Neben Angriffen auf zahlungskräftige Privatunternehmen erhöhen sich auch die Attacken auf kritische Infrastrukturen, wie im Fall des Tanklogistikunternehmens Oiltanking in Hamburg — damit werden sie sogar zu einem nationalen Sicherheitsrisiko.

Maßnahmenkatalog für höhere Sicherheit

In jedem Fall ist es Zeit, dass Organisationen ihre Sicherheitskonzepte auf den Prüfstand stellen. Mit den folgenden IT-Security-Maßnahmen können Unternehmen die Sicherheitslage im IT-Unternehmensverbund im Blick behalten und Gefahren minimieren:

Durchsetzung von Least-Privilege-Strategien: Zu den grundlegenden Anforderungen vieler Cyberversicherer gehören das Entfernen von Administratorrechten für Benutzer und die Durchsetzung des Prinzips der geringsten Rechte (Least-Privilege-Prinzip) im gesamten Unternehmen. Dieses grundlegende Prinzip ist sehr effektiv bei der Reduzierung des Cyberrisikos gegen eine breite Palette von Angriffsvektoren. Lösungen wie BeyondTrust Endpoint Privilege Management kombinieren Berechtigungsmanagement und Anwendungskontrolle, um Administrator -bzw. Rootrechte auf Windows-, Mac-, Unix-, Linux- und Netzwerkgeräten effizient zu verwalten.

IT-Verwaltung personenbezogener und maschineller Anmeldedaten: Laut Forrester Research sind kompromittierte Zugriffsprivilegien an etwa 80 Prozent der Sicherheitsverstöße beteiligt. Passwortmanagement-Lösungen ermöglichen die automatisierte Erkennung und das Onboarding aller privilegierten Konten. Darüber hinaus sichern sie den Zugriff auf privilegierte Anmeldeinformationen sowie Secrets und ermöglichen umfassende Audits aller privilegierten Aktivitäten.

Remote-Access-Sicherheit: Durch eine pandemiebedingte Zunahme an Remote-Arbeit und die digitale Transformation hat sich die Angriffsfläche auf Unternehmensseite stark erhöht. Bedrohungsanalysen zeigen, dass Ransomware-Betreiber beispielsweise das Remote Desktop Protocol (RDP) ausnutzen, um Systeme aus der Ferne steuern zu können. Dies ermöglicht es ihnen bei etwa 50 Prozent der erfolgreichen Angriffe, in der Umgebung des Opfers weiter Fuß zu fassen. Cyberversicherungen fordern deshalb starke Sicherheitskontrollen für den Fernzugriff einschließlich Multi-Faktor-Authentifizierung.

Schutz gegen Ransomware und Malware: Die Kombination aus Schäden durch Ransomware-Angriffe und Lösegeldauszahlungen hat zu immensen Verlusten für Cyberversicherer geführt. Privileged-Access-Management-Technologien bieten einen leistungsstarkern Ransomware-Schutz, um Firmennetze gegen Ransomware und andere Bedrohungen abzusichern. Sie unterbrechen die Ransomware-Angriffskette, indem privilegierte Zugriffsrechte und Anmeldeinformationen geprüft und richtlinienkonform durchgesetzt werden. Auf diese Weise ist auch eine Abwehr dateiloser Bedrohungen zur Kompromittierung eines Systems möglich, da ein Hacker hierfür bereits installierte Anwendungen ausnutzt.

Visibilität und Überblick: Effektives Risikomanagement erfordert eine kontinuierliche Sicht auf IT-Umgebungen, damit sich potenziell schädliche Aktivitäten rechtzeitig identifizieren und beheben lassen. Die Versicherungspolicen verpflichten Unternehmen daher, die notwendigen Cybersicherheitskontrollen über einen manipulationsfreien Audit-Trail aller Aktivitäten nachzuweisen. Zu den Anforderungen gehören technische Funktionen, wie Bildschirmaufzeichnungen, Tastatureingabeprotokollierung und die Beendigung oder Unterbrechung verdächtiger Sitzungen.

Zero-Trust-Sicherheit: Das Zero-Trust-Modell basiert auf der Erstellung von Zonen, die sensible IT-Ressourcen vor unbefugten Zugriffen abgrenzen. Diese Segmentierung beinhaltet auch die Bereitstellung von Technologien zur Überwachung und Verwaltung von Datenübertragungen sowie Benutzerinteraktionen. Auf diese Weise wird die Architektur eines vertrauenswürdigen Netzwerks im Vergleich zum klassischen, festen Unternehmensperimeter völlig neu definiert.

Steigende Risiken

Die neue Politik der Versicherungskonzerne ist vorwiegend ein Zeichen für das gestiegene Risiko, von Cyberkriminellen gefährdet und erpresst zu werden. Im Cyberspace gibt es nun einmal keinen sicheren Rückzugsort. Jede Organisation mit digitaler Präsenz ist wie eine Insel, die von einem unberechenbaren Ozean umgeben ist, der Welle um Welle Cyberangriffe an Land spülen kann. Für die Pandemiejahre 2020 und 2021 trifft das in ganz besonderer Weise zu. Deshalb müssen IT-Verantwortliche die Sicherheitsstrategie im Unternehmen nicht nur überdenken, sondern ihre IT-Sicherheitssysteme auch neu auf die technologischen Herausforderungen und veränderten Arbeitsprozesse ausrichten.

Einerseits gibt es einen längst überfälligen Quantensprung bei der digitalen Transformation, um den pandemiebedingt neuen Anforderungen gerecht zu werden. Das hat Unternehmen dabei geholfen, innovativ zu bleiben, effizientere Arbeitsprozesse zu forcieren und Mitarbeitern das Arbeiten im Homeoffice zu ermöglichen. Andererseits hat das auch einen Wettlauf auf Seiten der Cyberkriminellen ausgelöst, die sich die schlagartig vergrößerte Angriffsfläche zunutze machen. Das Wall Street Journal bezeichnete hybride Arbeitsplatzstrukturen sogar als „Cybersecurity-Alptraum“ und richtete den Blick auf die Sicht der Hacker, denen sich ganz neue Einbruchsmöglichkeiten in Firmennetze eröffnen. Dafür sorgt die sich ständig verändernde Mischung aus Büro- und Remote-Mitarbeitern, immer neuen Geräten innerhalb und außerhalb der Unternehmensnetze sowie personelle Engpässe. Zu den aktuell gefährlichsten Angriffsmöglichkeiten zählen privilegierte Zugriffsrechte, schwache Sicherheitsvorkehrungen in Remote-Access-Strukturen und zu weit gefasste Nutzerrechte, die fatale Kettenreaktionen im Unternehmensnetz auslösen können.

Über den Autor: Mohamed Ibbich ist Director Solutions Engineering bei BeyondTrust.

(ID:48314064)