Wie gehen Versicherer mit den Opfern von Lösegeldforderungen um?

/ Kategorie: CISO, Detect & Response
Erstellt von Reto Zeidler

Deckt die Versicherung Lösegeldzahlungen, wenn ein Unternehmen Opfer eines Cyberangriffs geworden ist und wenn ja, wie hoch ist die Abdeckung? Das ist nur eine der wichtigsten Fragen, die sich im Zuge eines solchen Vorfalls stellen. Und wie sicher ist es, dass durch die Zahlung die Unternehmensdaten vollständig zurückgegeben werden? Verstossen Lösegeldzahlungen gegen Gesetze? Wie sollen Unternehmen reagieren, wenn Sie erfolgreich angegriffen worden sind?

Erfolgreiche Hackerattacken gehen häufig mit einer Lösegeldforderung einher. Im April zeigte eine Studie von Kaspersky, dass 56 Prozent der befragten Unternehmen das geforderte Lösegeld zahlen würden. Ein Wert, der nur erahnen lässt, wie lukrativ das Geschäft für Angreifer erscheinen muss. Was diese ebenfalls erfreuen dürfte: Gemäss Kaspersky ist die Zahlungsbereitschaft nicht gesunken, sondern eher noch angestiegen.

Anders hingegen die Versicherer. Diese bekommen die Auswirkungen der "Ransomware-Pandemie" deutlich zu spüren. Das hat Folgen. Bislang war es so, dass einige Versicherer kulant mit entsprechenden Fällen umgegangen sind - auch wenn sie grundsätzlich alle von Lösegeldzahlungen abraten.

Diese Haltung könnte sich nun aber ändern - zumindest für französische Axa-Kunden. Das Versicherungsunternehmen mit Hauptsitz in Paris kündigte Anfang Mai an, in Frankreich keine Cyberversicherungs-Policen mehr abzuschliessen, die Entschädigungen für Ransomware-Zahlungen enthalten.

Übrigens: Nur eine Woche später wurde das Unternehmen selbst Opfer einer Ransomware. Betroffen waren die Niederlassungen in Thailand, Malaysia, Hongkong und auf den Philippinen. Die Ransomware-Gruppierung Avaddon hat zudem nach eigenen Angaben rund 3 Terabyte Daten gestohlen, wie Bleepingcomputer berichtete.

Versicherer mit unterschiedlicher Praxis

"Bis anhin ist die Axa Schweiz nie auf entsprechende Forderungen eingetreten und versucht, dies auch in Zukunft nach Möglichkeit zu vermeiden", schreibt das Unternehmen. Zudem beobachte man auch weiterhin das sich entwickelnde regulatorische Umfeld für Lösegeldzahlungen.

Die meisten Versicherer, die Cyberversicherungen für Unternehmen in der Schweiz anbieten, sehen dies ähnlich. "Lösegeldzahlungen sind nur versichert, wenn vorgängig eine gemeinsame Prüfung und Besprechung stattgefunden hat und alle möglichen Optionen evaluiert wurden", sagt etwa Carlos Casián, Cyberexperte der Allianz Suisse. In der Regel seien Zahlungen bis zu 50 Prozent der gewählten Versicherungssumme gedeckt.

Ähnlich sieht es auch die Baloise. Mit ihrem Cyberprodukt für KMUs könnten Kunden Erpressungen optional mit einer Sublimite versichern. "Liegt der Lösegeldbetrag innerhalb der Sublimite, würde er vollständig entschädigt werden und ansonsten bis zur Sublimite", sagt Pierre Mitschi, Leiter Haftpflicht, Cyber, Rechtsschutz, Garantien und Leiter Produktentwicklung/Support bei der Baloise. Diese Sublimite kann der Kunde selbst festlegen - in 10'000er-Schritten, von 10'000 bis maximal 50'000 Franken.

Zum Vergleich: Gemäss dem britischen IT-Security-Anbieter Sophos fordern Cyberkriminelle bei einer Ransomware-Attacke durchschnittlich 156'000 Franken. Allerdings ist die Streuung hier gross: Der höchste Betrag lag bei rund 2,42 Millionen, die häufigsten Beträge bei 7300 Franken.

Ein Problem: Eine Lösegeldzahlung ist keine Garantie

Das Problem, welchem sich die Versicherer durchaus bewusst sind, ist der Umstand, dass eine Lösegeldzahlung nicht automatisch eine Garantie dafür ist, dass die Daten wiederhergestellt werden können.

Laut der Studie von Kaspersky waren nur 13 Prozent der betroffenen Europäer (weltweit 29 Prozent) in der Lage, alle ihre verschlüsselten Daten wiederherzustellen - unabhängig davon, ob sie das Lösegeld bezahlten oder nicht. 20 Prozent (13 weltweit) verloren sogar fast alle Daten. Vergleichbare Zahlen liefert auch Sophos; Lediglich 8 Prozent der Firmen, die ein Lösegeld zahlen, erhalten alle ihre Daten wieder zurück. Weniger als ein Drittel - nämlich 29 Prozent - erhalten nur die Hälfte der verschlüsselten Daten zurück.

Ein zweites Problem: Lösegeldzahlungen können rechtlich problematisch sein

Sowohl für die betroffenen Unternehmen als auch für deren Versicherer können Zahlungen auch aus einem anderen Grund problematisch sein. Je nach Jurisdiktion kann es nämlich sein, dass entsprechende Zahlungen gegen Geldwäscherei- oder sogar gegen Gesetze gegen die Terrorfinanzierung verstossen. Viele Versicherer sind sich dieses Umstands bewusst.

ISPIN CSIRT empfiehlt, im Umgang mit Ransomware-Forderungen Umsicht walten zu lassen

Im Notfall einen kühlen Kopf bewahren. Der Umgang mit Lösegeldforderungen ist ein umstrittenes Thema. Der überwiegende Teil der Cyber Incidents ist finanziell motiviert. In diesen Fällen ist das betroffene Unternehmen über kurz oder lang mit einer Lösegeldforderung konfrontiert. Sei es, um verschlüsselte Daten freizukaufen oder um die Veröffentlichung gestohlener Daten zu verhindern.

  • Durch die Zahlung ist nicht sichergestellt, dass die Daten wieder zugänglich werden.
  • Die Täter werden zu weiteren Erpressungsversuchen motiviert. Weitere Forderungen sind keine Seltenheit.

Sie tragen das Risiko, durch Ihre Zahlungen unbewusst gegen Geldwäschegesetze oder Gesetze gegen Terrorismusfinanzierung zu verstossen.

Wir empfehlen, grundsätzlich niemals auf solche Forderungen einzugehen, sondern immer die Polizei beizuziehen.

Zusammen. Sicher.

Auch Ihr Unternehmen kann es treffen und Sie stehen vor der Entscheidung, auf eine Lösegeldforderung einzugehen oder nicht. Verringern Sie Ihr Cyber-Risiko durch entsprechende Schutzmassnahmen und verhindern Sie, dass Sie diese Entscheidung jemals treffen müssen. Gehen Sie lieber auf Nummer sicher und lassen Sie sich von unseren Experten beraten.

Kontaktieren Sie uns via marketing[at]ispin.ch oder +41 44 838 3111.

 

Notfall?

ISPIN 7/24 Incident Hotline: 0848 800 017 | cyberdefense[at]ispin.ch

Jetzt Leitfaden herunterladen

ISPIN Cyber Defence Services-CSIRT-Leitfaden

Die rasche und effektive Reaktion bei Cyberattacken entscheidet über das Ausmass der Schäden, die dem betroffenen Unternehmen entstehen. Der ISPIN Leitfaden «Cyberattacke: Richtig handeln im Ernstfall» erklärt in 10 Punkten, welche organisatorischen und technischen Massnahmen Sie im Ernstfall unmittelbar umsetzen sollten. 

» Download

Haben Sie Fragen zu unseren News, Events oder Blogartikeln? Nehmen Sie mit mir Kontakt auf.

Reiner Höfinger

Marketing & Communications

Kontakt

ContactKontaktGo to top