Branche der Cybersecurity-Versicherungen ändert sich grundlegendRansomware schlägt zu, doch was zahlt die Versicherung?
21. Juni 2021Ransomware stellt mit der Forderung hoher Geldsummen eine immer ernster werdende Bedrohung für Unternehmen dar. Sicher ist, dass sie auch die Cybersecurity-Versicherungsbranche in vielerlei Hinsicht radikal verändert.
Ransomware ist von einer anfänglichen Nebenerscheinung zur größten Bedrohung im Bereich der Cyber-Sicherheit geworden, über die sich heute jeder in dem Bereich sorgt. Meldungen über E-Mail-Würmer, bösartige Insider oder Pass-the-Hash-Angriffe werden seltener. Ihren Platz nehmen tägliche Meldungen über Ransomware-Angriffe ein, die überall stattfinden und jeden betreffen.
Die Zahl der von Ransomware Geschädigten ist über die Jahre deutlich gestiegen, ebenso wie der Prozentsatz der Geschädigten, die das Lösegeld zahlen, und die Höhe des gezahlten Lösegelds pro Geschädigten. Noch vor wenigen Jahren lag das durchschnittlich gezahlte Lösegeld unter 20.000 Dollar, und meist wurde nicht gezahlt – heute jedoch zahlen die Meisten das Lösegeld. Es liegt durchschnittlich bei über 100.000 Dollar, und selbst Zahlungen in Millionenhöhe sind mittlerweile so üblich geworden, dass diese nur noch selten große Schlagzeilen machen. Die höchste KnowBe4 bekannte und öffentlich gewordene Lösegeldzahlung beträgt 40 Millionen Dollar, wobei anzunehmen ist, dass es weit höhere unveröffentlichte Zahlungen gab.
All diese Lösegeldzahlungen haben der Cybersecurity-Branche in den USA einen starken Impuls gegeben.
Vor wenigen Jahren witterten Versicherungsunternehmen eine rentable Geschäftsmöglichkeit. Cybersecurity-Versicherungen behielten 60 Prozent eines jeden Dollars der gezahlten Versicherungskosten, wobei viele sich kaum damit befassten, wie sicher das durch sie versicherte Unternehmen wirklich war. Die Cybersecurity-Versicherungsexpertin Anjali Camara, Cyber Practice Leader bei Connected Risk Solutions, erinnert sich: „Früher haben viele Versicherungsgesellschaften einen Fragebogen mit fünf Fragen versandt, und drei dieser Fragen waren Name, Adresse und Telefonnummer!“ Das ist heute nicht mehr so.
Ransomware war bei der Kompromittierung von Geschädigten und der Erzielung hoher Auszahlungen so erfolgreich, dass sie zu einem schnellen, grundlegenden Wandel in der Cyber-Sicherheitsbranche geführt hat. Viele frühere Anbieter von Cyber-Sicherheitsversicherungen steigen aus der Branche aus oder weigern sich, Ransomware und andere Cyber-Kriminalität zu versichern. Diejenigen, die übrig geblieben sind, verlangen höhere Preise, versichern weniger und verlangen den Nachweis von weitaus stärkeren Kontrollen, bevor ein Vertrag ausgestellt wird.
Camara erklärt: „Wir beobachten, dass einige Versicherer davon absehen, bestimmte Branchen aufgrund ihrer hohen Gefährdung und Anfälligkeit für Ransomware-Angriffe zu versichern – dazu gehören Immobilienunternehmen/Titelmakler, insbesondere aufgrund des Betrugsrisikos bei Geldtransfers, Professional Employer Organizations, Managed Security Providers und Produktionsunternehmen. Wir haben ein paar Versicherungsgesellschaften, die die Unternehmen noch versichern, aber die Anforderungen an die Sicherheitskontrolle sind lang und die Versicherungskosten sind hoch. Die einzigen Geschäftszweige, die wir überhaupt nicht versichert bekommen konnten, sind Zahlungsabwickler und Glücksspiel/Gaming. Ich habe gehört, dass einige Anbieter damit beginnen, den Kriminalitätsanteil der Versicherung mitzuversichern, was wir unseren Brokern jedoch nicht anbieten wollen. Und dann gibt es andere, die sich komplett aus diesem Bereich zurückziehen, und ich bin sicher, dass das mit der Zeit noch mehr tun werden.“
Die meisten Versicherer, zu denen Connected Risk Solutions Beziehungen hat (insgesamt verfügt das Unternehmen über etwa 30 Vereinbarungen), schließen Ransomware und Verbrechen nicht aus, aber sie schränken die Deckung stark ein. Bevor sich der Markt verhärtete, waren Deckungen bis zu einer Million Dollar der Standard. Jetzt bieten die meisten Versicherer eine Deckungssumme von maximal 100.000 bis 250.000 Dollar an, in der Immobilienklasse liegt die Deckungsgrenze bei 50.000 Dollar.
Wenn der Versicherte ein Limit von 500.000 Dollar wünscht, sind die Sicherheitsanforderungen umfangreich und die Versicherungsbeiträge werden deutlich erhöht. Das gilt erst recht für ein Limit von einer Million Dollar, wenn der Versicherer überhaupt bereit ist, eine Deckung für Verbrechen in der Höhe anzubieten. In einem Fall hat der Versicherer den Social-Engineering-Teil der Kriminalitätsdeckung ausgegliedert. Man kann also davon ausgehen, dass sich dieser Trend bei Risiken, die stärker exponiert sind oder bei denen es zu einer Verletzung aufgrund eines Social-Engineering- oder Phishing-Angriffs gekommen ist, weiterhin fortsetzen wird.
Deutlich höhere Versicherungsbeiträge, weniger Versicherungsschutz
Ein Teil des Problems ist, dass Ransomware-Banden begonnen haben, das Versicherungssystem direkt zu missbrauchen. Viele Cybersecurity-Experten sind besorgt darüber, dass die Cybersecurity-Versicherungsbranche zu leicht Geld vom Geschädigten zur Versicherungsgesellschaft an die Ransomware-Bande weiterleitet.
Wenn Unternehmen jedoch einen Versicherungsschutz kaufen können, der ihr finanzielles Risiko deutlich reduziert, dann ist der Abschluss einer solchen Versicherung oft sinnvoll. Wenn schnell auf die Forderungen der Banden eingegangen und das Lösegeld gezahlt wird, dann lassen sich für das betroffene Unternehmen dank der Versicherung Folgekosten vermeiden. Auch die Versicherung kommt bei einer Lösegeldzahlung finanziell besser davon als bei einer Zahlung der anfallenden Betriebsausfallskosten bei anhaltender Lahmlegung der Betriebsabläufe des gehackten Unternehmens. Das spielt den Hackern in die Hände, da sie so schnell an ihr Ziel gelangen können. Die Folge ist eine weltweite Zunahme der Schadensfälle.
Hinzu kommt, dass die Cybersecurity-Versicherungsbranche oft Zugang zu den besten Ansprechpartnern für Vorfälle hat. Sobald ein Vorfall gemeldet wird, möchte die Versicherungsgesellschaft die Kosten niedrig halten und die Wiederherstellungszeit auf ein Minimum beschränken. Zu diesem Zweck schließen sie Verträge mit erfahrenen Unternehmen ab, die auf Hunderte bis Tausende von Ransomware-Vorfällen pro Jahr reagieren. Das ist von Vorteil für die Kunden. Sie müssen nicht inmitten einer Krise erst nach einem guten Spezialisten für Ransomware-Angriffe suchen, denn die Versicherung kann dem Geschädigten schnell gute Hilfe besorgen. Beide Seiten profitieren also.
Cybersecurity-Versicherungsgesellschaften direkt im Visier
Eines der Hauptprobleme ist, dass Ransomware-Banden neuerdings gezielt einige Cybersecurity-Versicherungsunternehmen und deren Kunden ins Visier nehmen, nachdem sie mit ein wenig Nachforschung die Höhe des Lösegelds herausfanden, das sie ohne viel Arbeit fordern konnten. Es wurden viele Fälle öffentlich, bei denen Ransomware-Banden offensichtlich die Versicherungspolice eines Geschädigten suchten und fanden, nachdem sie in seine Umgebung eingefallen waren.
Der Geschädigte nannte dann zu Beginn der Verhandlungen eine niedrige Summe, und die Ransomware-Bande antwortete darauf mit der maximalen Summe, die ihr als Versicherungssumme des Geschädigten bekannt war. Bei Cyber-Sicherheitsrichtlinien sollte also sichergestellt werden, dass das Dokument nicht online ist oder es sollte speziell geschützt werden, damit eine vollständige Kompromittierung der Umgebung nicht dazu führt, dass das Dokument gelesen werden kann.
Versicherungsunternehmen wurden auf mehrere Arten ins Visier genommen. Zunächst wurden sie von den Ransomware-Banden geknackt und ihre Kundenlisten und Versicherungssummen in Erfahrung gebracht. Dadurch haben sich Ransomware-Banden eine Liste erstellt, wen sie für wie viel angreifen können. Zusätzlich griffen sie gezielt Versicherungsunternehmen an, die erklärten, sie würden keine Lösegelder mehr zahlen – als Warnung für andere Unternehmen, die die gleiche Pauschalversicherung in Erwägung ziehen. Alles in allem steht die Cyber-Sicherheits-Versicherungsbranche unter Druck wie nie zuvor. Das hat dazu geführt, dass weniger Versicherungen verfügbar sind, die Beiträge höher sind und sich die Dienstleistungen ändern.
Vollständiger Scan auf Schwachstellen
Wer aktuell eine Cybersecurity-Versicherung abschließen will, der erhält mit großer Wahrscheinlichkeit einen langen Fragenkatalog darüber, ob seine Cybersecurity-Richtlinien ausreichend sind oder nicht. Viele Versicherungsunternehmen führen aktuell tatsächlich externe Scans auf Schwachstellen durch, um zu sehen, ob es eklatante öffentlich zugängliche Lücken gibt, bevor sie einen Vertrag ausstellen. Früher wurde Kunden beim Abschluss einer Cybersecurity-Versicherung eine 30-, 60- oder sogar 90-tägige Nachbesserungsfrist eingeräumt, um bei gefundenen Schwachstellen die Probleme zu beheben.
Mittlerweile bekommen sie höchstens ein paar Wochen und meistens müssen die Schwachstellen vor Ausstellung der Versicherung behoben werden. Entdeckt der Versicherer später eine Schwachstelle, dann hat die versicherte Organisation zur Behebung dieser möglicherweise nur eine begrenzte Zeit, bevor ihre Cyber-Sicherheits-Versicherung ungültig wird.
Neuartige Versicherungsangebote
Einige Cybersecurity-Versicherungsunternehmen gehen sogar noch weiter und versuchen, Risikomanagement in ihr Portfolio aufzunehmen. Sie scannen Unternehmen nicht nur bei der Registrierung und Erneuerung ihrer Richtlinie auf Schwachstellen, sondern durchgehend zwischen diesen Schritten. Aufgrund ihrer hervorragenden Erfahrungen bei der Reaktion auf Vorfälle beginnen einige fortschrittliche Cybersecurity-Versicherungsunternehmen, Managed Security Service Provider (MSSPs) anzubieten oder als solche aufzutreten.
Die Versicherungsunternehmen ermitteln das aktuelle Risiko der Versicherten, sprechen Empfehlungen aus und überwachen den Status der Versicherten ständig. Zudem nehmen sie den Versicherten ab, Log-Dateien zu lesen oder Computer zu patchen. Warum sich also an ein Unternehmen wenden, wenn es um die Risikoversicherung geht, um dann ein zweites mit der Verwaltung dieser Versicherung zu beauftragen?
Für den Fall, dass der Versicherte von Ransomware betroffen ist, haben viele Cybersecurity-Versicherungsunternehmen mittlerweile ihre eigenen internen Incident-Response-Teams und Spezialisten. Früher haben alle Cybersecurity-Versicherungsunternehmen diese Aufgaben an „Experten“ ausgelagert – aufgrund ihrer eigenen Erfahrungen beschäftigen sie heute aber selbst Experten auf dem Gebiet.
Wie KnowBe4 von einer Cybersecurity-Versicherungsfirma erfuhr, gibt es durchaus mehr Incident Responder und Fixer als Versicherungsträger. Dieselbe Firma führt bei von Ransomware Betroffenen sogar eine schnelle Blockchain-Suche durch, um herausfinden, ob die Zahlung des Lösegelds überhaupt legal in Betracht gezogen werden kann.
Das ist der Punkt, an dem Ransomware die Cyber-Sicherheits-Versicherungsbranche trifft. Sie führt dazu, dass die Tarife steigen und die Versicherungsoptionen und der Versicherungsschutz sinken. Aber dadurch wandeln sich Cybersecurity-Versicherungsunternehmen zu Managed Security Service Providern (MSSPs). Bei der Cyber-Sicherheitsverteidigung ging es schon immer um Risikomanagement, nur wird sie jetzt vollständig auf diese Weise verwaltet.
Vorbeugen und auf dem aktuellen Stand bleiben
Der beste Weg zur sicheren Unternehmensführung besteht nach wie vor darin, gar nicht erst von Hackern und Malware kompromittiert zu werden. Hacker und Malware dringen am häufigsten durch Social Engineering (gefolgt von ungepatchter Software) ein. Alle Maßnahmen zur Verhinderung eines Kontakts der Endbenutzer mit Social Engineering und Phishing müssen vollständig ergriffen werden. Eine gute Verteidigung ist günstiger als die Reaktion auf Vorfälle.
Die Cybersecurity-Versicherungsbranche befindet sich mitten im Umbruch. Wer bereits eine Cybersecurity-Versicherung hat, der sollte seinen Makler kontaktieren – denn mit Sicherheit werden die bisherigen Vertragsbedingungen nicht mehr mit den zukünftigen übereinstimmen. Außerdem sollte geprüft werden, ob die Versicherung noch neue Dienstleistungen anbietet, denn die Branche verändert sich stetig. Die Cybersecurity-Versicherungsbranche ist praktisch nie von gestern.
Roger Grimes, KnowBe4
Informationen zur Verhinderung von Social Engineering und Malware finden sich in einem E-Book.