Ransomware-Attacken nehmen zu Ransomware-Versicherungen – Eine Lösung ohne Risiko?

Von Dr. Dieter Kehl

Anbieter zum Thema

Cyber-Kriminalität hat Hochkonjunktur und verursacht in der deutschen Wirtschaft Schäden in Höhe von mehr als 220 Milliarden Euro pro Jahr. In den letzten Jahren ist eine starke Zunahme von Ransomware-Angriffen zu verzeichnen, was dazu führt, dass immer mehr Firmen sogenannte Cyber-Versicherungen abschließen. In Folge übernehmen die Versicherer die Kosten der Erpressung. Können solche Versicherungen Kriminelle aber in ihren Aktivitäten sogar bestärken und kontraproduktiv wirken?

Sind Cyber-Versicherungen verantwortlich für einen Kreislauf, der dazu führt, dass die Anzahl der Ransomware-Attacken immer weiter zunimmt?
Sind Cyber-Versicherungen verantwortlich für einen Kreislauf, der dazu führt, dass die Anzahl der Ransomware-Attacken immer weiter zunimmt?
(Bild: Inna - stock.adobe.com )

Die französische Versicherungsgruppe AXA hat im letzten Jahr Aufmerksamkeit mit der Ankündigung erregt, dass sie in ihrem Heimatmarkt künftig keine Versicherungen gegen Ransomware mehr verkaufen werde. Dieser Entschluss kommt nicht unbedingt überraschend und könnte Nachahmer finden. Denn das Risiko für Unternehmen, Ziel eines Ransomware-Angriffs zu werden, steigt: Laut dem ITK-Branchenverband Bitkom bestätigten in einer Umfrage im Sommer 2021 bereits fast ein Fünftel der Unternehmen (18 Prozent), dass ein solcher Angriff bei ihnen in den vergangenen zwölf Monaten Schaden angerichtet hat. Zu den Betroffenen zählen dabei genauso große Konzerne wie auch der Mittelstand.

Mittels Ransomware Attacken verschlüsseln Kriminelle Geschäftsdaten und verlangen hohe Lösegeldsummen, bevor sie den Zugriff auf die Daten wieder freigeben. Oft ist diese Taktik erfolgreich, denn für viele Unternehmen ist es wichtiger und eventuell auch kostengünstiger, lange Ausfallzeiten zu vermeiden, indem sie die Forderungen erfüllen. Mittlerweile drohen Cyber-Kriminelle vermehrt damit, die gestohlenen vertraulichen Daten weiterzugeben, um dem entsprechenden Unternehmen und seiner Reputation zu schaden und mögliche Geldstrafen aufgrund der EU-Datenschutzgrundverordnung als Folgeschäden und damit zusätzliche Druckmittel zu nutzen. Dies kann ein weiterer Grund für betroffene Unternehmen sein, das Lösegeld zu zahlen, selbst wenn die Opfer über angemessene Backups verfügen.

Cyber-Kriminelle setzen ihre bösartige Schadsoftware über unterschiedliche Wege ein, etwa über Schwachstellen in Servern oder ungeschützte Fernzugänge ins Internet. Besonders häufig verbreiten Kriminelle allerdings Ransomware über schädliche Links und E-Mail-Anhänge, die von unvorsichtigen oder unaufmerksamen Mitarbeitern angeklickt oder geöffnet werden. Oft noch erfolgreicher sind Angriffe, bei denen Cyber-Kriminelle im ersten Schritt mithilfe von Phishing Anmeldedaten stehlen. Im nächsten Schritt verschaffen sie sich über die vom Opfer genutzten Anwendungen Zugriff auf interne Systeme, stehlen kritische Daten und verschlüsseln sie dann mittels Ransomware. Die Schäden durch verschlüsselte Geschäftsdaten können enorm sein: Betriebsabläufe, die gestört werden oder komplett zum Erliegen kommen, Bußgelder als Folge von Verstößen gegen die DSGVO sowie indirekte Kosten durch Reputationsschäden und einen Vertrauensverlust bei Kunden.

Lieber zahlen und die Daten zurückerhalten?

Entsprechend mag es – allen Warnungen von Experten wie dem Bundesamt für Sicherheit in der Informationstechnik (BSI) zum Trotz – für Unternehmen am einfachsten erscheinen, die Lösegeldforderungen zu erfüllen, um möglichst schnell wieder Zugang zu ihren Daten zu erhalten. Eine Cyber-Versicherung, die auch die Bezahlung von Lösegeld beinhaltet, scheint damit eine naheliegende Wahl für Unternehmen, um Kosten und Schäden so gering wie möglich zu halten. Im Gegensatz zu anderen Versicherungen, bei denen eine Koppelung mit Lösegeld-Versicherungen durch die zuständige Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) verboten ist, um Kriminellen weniger Anreize für Erpressungen zu geben, existiert für Cyber-Versicherungen seit dem Jahr 2017 eine Ausnahmeregelung, die dies ermöglicht.

Dadurch scheint jedoch ein Kreislauf entstanden zu sein, der dazu führt, dass die Anzahl der Ransomware-Attacken immer weiter zunimmt. Denn die Kriminellen verlassen sich darauf, dass die Versicherer einspringen und zahlen. Deswegen versuchen Cyber-Kriminelle auch herauszufinden, welche Unternehmen über Ransomware-Versicherungen verfügen und nehmen diese häufiger ins Visier. Die Zunahme der Angriffe sorgt wiederum dafür, dass mehr Unternehmen entsprechende Policen abschließen. Allerdings kann sich der Glaube, dass verschlüsselte Daten nach Zahlung des Lösegelds wieder vollständig hergestellt werden, leicht als Trugschluss erweisen: Der Report „Die verborgenen Kosten im Zusammenhang mit Ransomware“ von OpenText / Carbonite + Webroot zeigt, dass dies bei gut jedem fünften Unternehmen (17 Prozent) nicht der Fall war.

Aufmerksamkeit und Sicherheitsmaßnahmen verhindern den Ernstfall

Dennoch ist eine Cyber-Versicherung für Unternehmen grundsätzlich keine schlechte Idee, solange diese nur ein Teil eines umfassenden Sicherheitskonzepts ist. Ein hohes Maß an Cyber-Resilienz könnte in Zukunft auch eine Vorgabe von Versicherern werden, die vor Abschluss einer entsprechenden Cyber-Police erfüllt werden muss. Alternativ könnten sie von Unternehmen mit schwachen Sicherheitsmaßnahmen auch höhere Beiträge verlangen oder Klauseln einfügen, die eine Auszahlung verweigern, damit sich das Geschäft für die Versicherer weiterhin lohnt.

Das vorrangige Ziel für Unternehmen sollte aber trotzdem sein, Schaden durch Ransomware oder andere Cyber-Angriffe von vornerein durch robuste Schutzmechanismen zu verhindern. Dazu gehört beispielsweise die Installation von Sicherheitslösungen auf allen Geräten – ob Desktop PC, Laptop, Smartphone oder Tablet – die sowohl auf Endpunkt- und Netzwerkebene schützen, etwa Viren-Scan-Programme, Multi-Faktor-Authentifizierung, DNS-Filter oder Firewalls. Zudem gilt es, regelmäßige Security-Awareness-Trainings durchzuführen, die auch Phishing-Simulationen beinhalten, damit die Mitarbeiter verstehen, welche Gefahren u.a. in E-Mails lauern können.

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zur IT-Sicherheit

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung

Auch sollten Unternehmen regelmäßig Backups ihrer kritischen Geschäftsdaten erstellen und diese außerhalb des Unternehmensnetzwerks speichern. Dadurch erhalten Cyber-Kriminelle keinen Zugriff auf diese Daten und der Schaden durch Verschlüsselung wird auf ein Minimum begrenzt, da sie wiederhergestellt werden können. In Cyber-Sicherheits-Trainings, die in regelmäßigen Abständen durchgeführt werden, sollten die Mitarbeiter des Weiteren für die Thematik sensibilisiert und auf neue Gefahren und Methoden hingewiesen werden.

Fazit

Die Gefahr durch Ransomware steigt für Unternehmen, entsprechend sollten sie sich umgehend mit diesem Risiko beschäftigen. Eine Ransomware-Versicherung kann durchaus ein Mittel sein, um im Ernstfall den Schaden gering zu halten. Unternehmen sollten aber in erster Linie auf ein hohes Maß an Wachsamkeit unter ihren Mitarbeitern und umfangreiche technische und organisatorische Sicherheitsmaßnahmen setzen, damit dieser erst gar nicht eintritt.

Über den Autor: Dieter Kehl ist Sales Director DACH bei OpenText / Carbonite + Webroot.

(ID:48361535)