Cyber-Versicherungen sind eine sinnvolle Ergänzung im Werkzeugkasten des Risikomanagements einer Unternehmung – so das Fazit dieser Blog-Serie bisher (hier geht es zu Teil 1 und Teil 2). Cyber-Versicherungen decken einen grossen Teil der möglichen Risiken ab und können dabei helfen, finanzielle Schäden einer Cyber-Attacke oder eines IT-Vorfalls zu minimieren. Letztendlich ist der Mix entscheidend: eine Kombination aus präventiven Massnahmen, der Fähigkeit Angriffe rasch zu erkennen bzw. darauf zu reagieren und einer Cyber-Versicherung zur finanziellen Absicherung. Es gibt dazu aber auch kritische Stimmen und auf einen Punkt möchte ich abschliessend noch genauer eingehen: die Sache mit den Lösegeldzahlungen.
Lösegeldzahlungen gehen durch die Decke
Das amerikanische Unternehmen Chainalysis hat sich auf das Thema Blockchain spezialisiert, berät Unternehmen beim Einsatz von Kryptowährungen und setzt sich auch gegen Missbrauch und kriminelle Machenschaften ein. Gemäss der Analyse von Chainalysis haben sich Lösegeldzahlungen im Zusammenhang mit Ransomware und Cyber-Erpressung im letzten Jahr gegenüber 2019 mehr als vervierfacht und erreichen einen Wert von mehr als 400 Millionen US-Dollar. Die Dunkelziffer dürfte dabei recht gross sein.
Es ist offensichtlich, dass das Geschäft mit Ransomware sehr gut funktioniert und für die kriminellen Organisationen dahinter sehr attraktiv ist. Prominente Vorfälle wie der Angriff auf Colonial Pipeline zeigen die dramatischen Auswirkungen einer solchen Attacke (der Betrieb musste zeitweise eingestellt werden) und wozu Unternehmen in dieser schwierigen Lage bereit sind: Colonial Pipeline zahlte 4.4 Millionen US-Dollars in Bitcoins an die Erpresser.
Auch der Schweizer Vergleichsdienst Comparis wurde jüngst Opfer einer Ransomware-Attacke. Da einige operativ essenzielle Daten nicht oder nur mit grossem Aufwand wiederherstellbar gewesen wären, hat man sich mit den Erpressern geeinigt. Sprich: Comparis hat zumindest einen Teil des geforderten Lösegelds bezahlt.
Das Dilemma mit dem Lösegeld – und die Rolle der Cyber-Versicherungen
Lösegeld zahlen ist eine ganz schlechte Option. Damit wird ein kriminelles System unterstützt und gestärkt und die Angriffe werden in Anzahl und Professionalität weiterhin zunehmen. Würde niemand Lösegeld zahlen, gäbe es kein Geschäft und das Problem wäre für alle Unternehmen gelöst. Warum gehen also Unternehmen auf die Erpresser ein und zahlen Lösegeld?
Wer schlecht vorbereitet ist, wem die Backups fehlen oder diese nicht funktionieren und wer geschäftskritische Systeme nicht in ausreichender Zeit wiederherstellen kann, der steht tatsächlich vor der unangenehmen Entscheidung, Lösegeld zu zahlen. Das Lösegeld kann aber ganz einfach auch die günstigere Variante sein oder der schnellste Weg, um Systeme wieder lauffähig zu machen und den Betrieb wieder hochzufahren. Wer schnell wieder online ist, kann den Imageschaden in Grenzen halten. Wer keinerlei Datenverlust erleidet, dem drohen auch keine Bussgelder aufgrund des Datenschutzgesetzes.
Cyber-Versicherungen verstärken dieses Dilemma. Zum einen besteht das Risiko, dass versicherte Unternehmen weniger in technische Massnahmen zum Schutz vor Angriffen investieren. Zum anderen fällt es diesen Firmen noch leichter, eine Lösegeldzahlung zu leisten, wenn die Versicherung diese Summe vollständig oder zu grossen Teilen deckt.
Es gibt daher bereits Stimmen, welche das Zahlen von Lösegeld verbieten wollen und erste Versicherungen, die Lösegeldzahlungen aus ihren Policen wieder ausschliessen.
Unternehmen müssen Verantwortung für ihre IT-Security übernehmen
Unternehmen müssen sich darauf einstellen, dass das Zahlen von Lösegeld in Zukunft unwägbarer wird. Auch wenn ein Verbot kurz- bis mittelfristig unrealistisch scheint, könnte die entsprechende Zahlung bereits bald nicht mehr durch Versicherungen gedeckt sein. Zudem kann ein nicht vernachlässigbarer Imageschaden entstehen, wenn Unternehmen ihre Hausaufgaben nicht machen und im Gegenzug kriminelle Organisationen bezahlen und damit das Ransomware-Geschäftsmodell unterstützen. Letztendlich auch ein sozial-ethisches Thema.
Unternehmen müssen Verantwortung übernehmen. Das Abschliessen einer Cyber-Versicherung darf nicht dazu führen, dass bei den technischen Massnahmen zur Abwehr einer Cyber-Attacke bzw. bei der Vorbereitung für den Ernstfall gespart wird. Es braucht präventive Massnahmen zur automatischen Blockierung von Angriffen, aber auch Möglichkeiten, Angriffe im Netzwerk und auf den Clients unmittelbar zu erkennen, damit rasch und richtig reagiert werden kann. Zudem müssen Unternehmen über funktionierende Back-up-Konzepte und Disaster-Recovery-Pläne verfügen und diese auch regelmässig testen, um eine Ransomware-Attacke zu überstehen und möglichst rasch den normalen Betrieb wiederaufzunehmen.
Anbieter von Cyber-Versicherungen sollten sich gut überlegen, ob sie tatsächlich Lösegeldzahlungen unterstützen wollen oder sie nicht besser in Zukunft aus den Policies ausschliessen wollen.
Das Zahlen von Lösegeld darf immer nur die aller-allerletzte Option sein.
Der Beitrag Alles was Sie jetzt über Cyber-Versicherungen wissen sollten – Teil 3: die Sache mit den Lösegeldzahlungen erschien zuerst auf Tec-Bite.