Freiwillig ins „Auge des Orkans“?

Ein Artikel von red | 12.06.2021 - 06:00
Sam Curry Cyberreason.png

 Sam Curry, den CSO von Cybereason .

Immer mehr Unternehmen entscheiden sich für Cyberversicherungen. Die übernehmen zumindest teilweise auch bei Ransomware-Angriffen die Deckung. Fühlen Angreifer sich durch solche Versicherungen weiter ermutigt? 

Sam Curry: Es ist kaum davon auszugehen, dass Ransomware-Banden ihr Treiben beenden, wenn Cyberversicherungen dieser Art über Nacht verschwinden würden. Das Kalkül, zu zahlen oder nicht zu zahlen, bleibt davon im Wesentlichen unberührt. Trotz einiger bereits geleisteter Großzahlungen, könnten weniger Versicherungen für mehr Zahlungen sorgen. So oder so haben Ransomware-Angriffe sich aber längst als Geschäftsmodell bewährt. Woher das Geld kommt ändert letzten Endes nichts an der ROI-Gleichung. 

Hat diese Entwicklung dazu geführt, dass die Zahlungsbereitschaft generell steigt? 

Sam Curry: Die natürliche Wachstumsfunktion bei Ransomware-Zahlungen funktioniert offensichtlich ziemlich gut. Und sie steigt weiter. Die einzige verbleibende Frage ist, ob die Zahlungen einen quasi natürlichen "Preis" erreichen und sich bei diesem Wert einpendeln, oder ob das Volumen der Gesamtzahlungen weiter nach oben geht. Die DarkSide-Gruppe hat in nur einem Monat über 90 Millionen US-Dollar eingenommen, unabhängig davon, wer bezahlt hat. 

Ist eine Lösung in Sicht? 

Sam Curry: Ein Allheilmittel gibt es sicher nicht. Letztendlich müssen wir das Geschäftsmodell untergraben. Der beste Weg ist es, sich vorzubereiten, den Schadensradius zu begrenzen und im Falle eines erfolgreichen Angriffs, die Wiederherstellung zu gewährleisten. Prävention leistet einen wichtigen Beitrag, will man die „Ransom-Ops“ frühzeitig erkennen. Dazu wurden in der Vergangenheit APT-ähnliche Techniken eingesetzt, um sich im Unternehmen auszubreiten, Daten abzuziehen und die Ransomware gleichzeitig detonieren zu lassen. Es gibt keinen Grund zur Verzweiflung, aber es ist an der Zeit, Sicherheitsabteilungen zu stärken und in die nötigen Vorkehrungen zu investieren. Tut man das nicht und investiert stattdessen in Cyberversicherungen, ist das wahrscheinlich die schlechteste aller Entscheidungen. Denn weder verhindert man so die Wahrscheinlichkeit eines Angriffs noch die möglichen Folgen. Eine Versicherung deckt Verluste ab, und das ist auch gut so. Aber eine Versicherung ohne Investitionen in Sicherheit ist wie eine Investition in eine Sterbeversicherung ohne Krankenversicherung als Lösung für vermeidbare Todesfälle. Man braucht beide Teile. Das eine ohne das andere ist eine fatale Strategie. 

Besonders Ziel: Unternehmen mit Cyber-Versicherungen?

Jochen Rummel.jpg

und Jochen Rummel, Regional Director bei Illusive 

Haben es Hacker speziell auf Unternehmen mit einer Ransomware-Versicherung abgesehen? 

Sam Curry: Es ist nicht unbedingt wahrscheinlicher, dass Lösegeld gezahlt wird, nur weil eine Versicherung existiert: Einige Policen decken ohnehin keine Lösegeldzahlungen ab, und andere Policen bieten einer Versicherungsgesellschaft jede Menge Möglichkeiten, um die Zahlung herumzukommen. Letztendlich liegt die Entscheidung beim Unternehmen.  

Immer mehr Unternehmen entscheiden sich für Cyberversicherungen. Die übernehmen zumindest teilweise auch bei Ransomware-Angriffen die Deckung. Fühlen Angreifer sich durch solche Versicherungen weiter ermutigt? 

Jochen Rummel: mAngreifer haben inzwischen gelernt, dass es sehr viel profitabler sein kann, Unternehmen anzugreifen, die das Lösegeld zahlen können. Eine Ransomware-Versicherung erleichtert dies in gewisser Weise. Das kann für Angreifer durchaus ein Anreiz sein, ihre kriminellen Aktivitäten auszudehnen.  

Hat diese Entwicklung dazu geführt, dass die Zahlungsbereitschaft generell steigt? 

Jochen Rummel: Das ist schwer zu sagen. Viele Unternehmen legen nicht offen, ob sie überhaupt eine Versicherung abgeschlossen hatten und ob das Lösegeld vom Versicherer stammt oder das betreffende Unternehmen aus der eigenen Tasche gezahlt hat. Davon abgesehen ist es nur logisch, dass ein Versicherer die kostengünstigste Option wählen würde: Wenn der Wiederaufbau des Netzwerks mehr kosten würde, als die Angreifer für die Rückgabe der verschlüsselten Daten verlangen, neigen sie eher dazu zu zahlen. Der andere Grund, warum wir so viele Zahlungen sehen, sind die potenziell schweren Beeinträchtigungen, die raffinierte Ransomware-Angriffe verursachen.  

Oft wird der Betrieb so stark beeinträchtigt, dass für Unternehmen die Entscheidung, zu zahlen oder nicht zu zahlen, existenziell ist. Ist eine Lösung in Sicht? 

Jochen Rummel: Einige Ransomware-Banden haben bereits öffentlich bekundet, dass sie Unternehmen mit einer Cyberversicherung ins Visier nehmen, weil es die Zahlungsbereitschaft erhöht. In jüngster Zeit hat es einige Angriffe auf Versicherungskonzerne wie CNA und AXA gegeben, die auch bei Cyberversicherungen führend sind. Angreifer haben also wahrscheinlich Informationen über die Kunden von Cyberversicherungen. Es gibt zudem Anzeichen, dass Angreifer dort gezielt nach Informationen über Cyber-Versicherungspolicen suchen, um herauszufinden, wie hoch sie ihr Lösegeld ansetzen können. Die Sicherheitsverletzung bei Colonial Pipeline ist ein Beispiel dafür, denn hier wurde vermutet, dass das Unternehmen über eine solche Police verfügt.