Wie Schweizer Versicherer mit Ransomware-Opfern umgehen
Wer nach einer Ransomware-Attacke das Lösegeld zahlt, hofft wohl auf seine Cyberversicherung. In der Schweiz sind solche Zahlungen (teilweise) gedeckt - allerdings nicht bei allen Versicherungen. Trotzdem sollten Unternehmen sich nicht auf solche Forderungen einlassen.
Man muss nur einmal auf eine falsche E-Mail klicken, um sich etwas einzufangen. Zwar ist keine Malware auf die leichte Schulter zu nehmen. Eine Ransomware ist aber besonders destruktiv.
Derartige Schadprogramme dringen in ein System ein und verschlüsseln sämtliche Dateien darauf. Nicht selten springt die Ransomware auch über auf angeschlossene Netzwerk- und Cloud-Speicher. Anschliessend verlangen die dafür verantwortlichen Cyberkriminellen ein Lösegeld, damit sie die Daten wieder freigeben.
Insbesondere Unternehmen sind in so einer Situation, wenn der ganze Betrieb still steht, wohl schnell geneigt, dieser Forderung nachzukommen. Insbesondere dann, wenn sie eine Cyberversicherung haben und darauf hoffen, dass diese den finanziellen Aufwand wieder zurückerstatten wird.
Über die Hälfte würde Lösegeld zahlen
Im April zeigte eine Studie von Kaspersky, dass 56 Prozent der befragten Unternehmen das geforderte Lösegeld zahlen würden. Die Bereitschaft steigt zudem signifikant gemäss dem russischen Cybersecurity-Anbieter. Lesen Sie im IT-Security-Blog mehr dazu im Beitrag "Über die Hälfte zahlt Lösegeld nach Ransomware-Angriff" vom 12. April 2021.
Diese Haltung könnte sich nun aber ändern - zumindest für französische Axa-Kunden. Das Versicherungsunternehmen mit Hauptsitz in Paris kündigte Anfang Mai an, in Frankreich keine Cyberversicherungs-Policen mehr abzuschliessen, die Entschädigungen für Ransomware-Zahlungen enthalten.
Übrigens: Nur eine Woche später wurde das Unternehmen selbst Opfer einer Ransomware. Betroffen waren die Niederlassungen in Thailand, Malaysia, Hongkong und in den Philippinen. Die Ransomware-Gruppierung Avaddon will zudem nach eigenen Angaben rund 3 Terabyte an Daten gestohlen haben, wie Bleepingcomputer damals berichtete.
Welche Versicherungen in der Schweiz zahlen
Werden Ransomware-bedingte Lösegeldzahlungen in der Schweiz noch abgedeckt durch Cyberversicherungen? Wie Axa Schweiz auf Anfrage mitteilt, sind derartige Rückerstattungen auf ausdrücklichen Kundenwunsch als Zusatzdeckung und Teil einer umfassenden Cyberdeckung versicherbar.
"Bis anhin ist die Axa Schweiz jedoch nie auf entsprechende Forderungen eingetreten und versucht, dies auch in Zukunft nach Möglichkeit zu vermeiden", schreibt das Unternehmen. Zudem beobachte man auch weiterhin das sich entwickelnde regulatorische Umfeld für Lösegeldzahlungen.
Carlos Casián, Cyberexperte der Allianz Suisse. (Source: zVg)
Die meisten Versicherer, die Cyberversicherungen für Unternehmen in der Schweiz anbieten, sehen dies ähnlich. "Lösegeldzahlungen sind nur versichert, wenn vorgängig eine gemeinsame Prüfung und Besprechung stattgefunden hat und alle möglichen Optionen evaluiert wurden", sagt etwa Carlos Casián, Cyberexperte der Allianz Suisse. In der Regel seien Zahlungen bis zu 50 Prozent der gewählten Versicherungssumme gedeckt.
Ähnlich sieht es auch die Baloise. Mit ihrem Cyberprodukt für KMUs könnten Kunden Erpressungen optional mit einer Sublimite versichern. "Liegt der Lösegeldbetrag innerhalb der Sublimite, würde er vollständig entschädigt werden und ansonsten bis zur Sublimite", sagt Pierre Mitschi, Leiter Haftpflicht, Cyber, Rechtsschutz, Garantien und Leiter Produktentwicklung/Support bei der Baloise. Diese Sublimite kann der Kunde selbst festlegen - in 10'000er-Schritten von 10'000 bis maximal 50'000 Franken.
Zum Vergleich: Gemäss dem britischen IT-Security-Anbieter Sophos fordern Cyberkriminelle bei einer Ransomware-Attacke durchschnittlich 156'000 Franken. Allerdings ist die Streuung hier gross: Der höchste Betrag lag bei rund 2,42 Millionen, die häufigsten Beträge bei 7300 Franken. Lesen Sie hier mehr zum "The State of Ransomware 2021"-Bericht von Sophos.
Pierre Mitschi, Leiter Haftpflicht, Cyber, Rechtsschutz, Garantien und Leiter Produktentwicklung/Support bei der Baloise. (Source: zVg)
Sowohl Allianz als auch Baloise erachten eine Lösegeldzahlung allerdings nur in Ausnahmefällen als angebracht. "Grundsätzlich raten wir davon ab, Lösegeld zu bezahlen", sagt Mitschi von der Baloise. "Die Bezahlung eines Lösegeldes ist daher die äusserste beziehungsweise letzte Massnahme in der Schadenbearbeitung."
Welche Versicherung in der Schweiz nicht zahlt
Wer Kunde der Mobiliar ist und sich entschliesst, auf eine Ransomware-Forderung einzugehen, wird diesen Betrag komplett selbst berappen müssen. "Unsere Cyberversicherung beinhaltet keine Deckung für Lösegeldzahlungen", erklärt Andreas Hölzli, Leiter des Kompetenzzentrums Cyberrisk der Mobiliar. "Vom Versicherungsnehmer bezahlte Lösegelder werden demzufolge von uns nicht entschädigt."
Andreas Hölzli, Leiter des Kompetenzzentrums Cyberrisk der Mobiliar. (Source: zVg)
Das Unternehmen habe sich im Herbst 2017 bei der Entwicklung des Produkts bewusst gegen eine solche Deckung entschieden. "Es bestand zu diesem Zeitpunkt noch keine Nachfrage", sagt Hölzli.
Die Mobiliar könnte sich aber möglicherweise in die umgekehrte Richtung entwickeln als die Axa. Das Unternehmen beobachte den Markt diesbezüglich sehr genau. Und gemäss Hölzli stelle die Mobiliar eine zunehmende Nachfrage für eine Lösegeld-Deckung fest.
Eine Lösegeldzahlung ist keine Garantie
Einigen Vertretern der Cybersecurity-Branche wäre es wohl am liebsten, die Mobiliar halte an ihrem jetzigen Kurs fest. Eine Lösegeldzahlung ist nämlich keine Garantie dafür, dass man die verschlüsselten Daten tatsächlich zurückerhält.
Laut der Studie von Kaspersky waren nur 13 Prozent der betroffenen Europäer (weltweit 29 Prozent) in der Lage, alle ihre verschlüsselten Daten wiederherzustellen - unabhängig davon, ob sie das Lösegeld bezahlten oder nicht. 20 Prozent (13 weltweit) verloren sogar fast alle Daten.
Vergleichbare Zahlen liefern auch die Experten von Sophos. Lediglich 8 Prozent der Firmen, die ein Lösegeld zahlen, erhalten alle ihre Daten wieder zurück. Weniger als ein Drittel - nämlich 29 Prozent - erhalten nur die Hälfte der verschlüsselten Daten zurück.
"Das könnte zum Teil daran liegen, dass die Nutzung von Entschlüsselungs-Keys zur Wiederherstellung kompliziert ist", lässt sich Chester Wisniewski, Principal Research Scientist bei Sophos, in der Mitteilung zitieren. "Und selbst wenn die Hacker nach Zahlung des Lösegelds den Code für die verschlüsselten Daten herausrücken, ist das keine Garantie für die erfolgreiche Wiederherstellung."
Chester Wisniewski, Principal Research Scientist bei Sophos. (Source: zVg)
"Mit jeder Zahlung wird diese Art von Angriffen gefördert", sagt ein Medienprecher der Helvetia auf Anfrage. "Aus diesem Grund raten wir von Zahlungen ab." Die Versicherung betrachtet es als "Sache des Kunden", ob diese auf eine Lösegeldforderung eingehe oder nicht. Helvetia erstattet sie im Rahmen der vereinbarten Limite zurück. Dies setze jedoch eine vorgängige Meldung an die Behörden voraus.
Die übrigen angefragten Versicherungen sind sich dieser Problematik ebenfalls bewusst. Der Fokus einer Versicherung muss jedoch woanders liegen: "Bei einer allfälligen Zahlung steht der Fortbestand des Unternehmens in einer existenzgefährdenden Situation im Vordergrund", sagt etwa Casián von der Allianz.
Ein anderer Ansatz
"Versetzt man sich jedoch in die Notlage des betroffenen Unternehmens, schnellstmöglich wieder über die eigenen Daten verfügen können zu müssen, scheint es schwierig, diesen Kreislauf zu durchbrechen", sagt Mitschi von der Baloise.
Statt den Kreislauf zu durchbrechen, versucht Zurich Schweiz solche Situationen zu verhindern, bevor sie eintreffen. "Unseren Kunden steht aus diesem Grund rund um die Uhr ein Krisenmanagement-Team zur Verfügung", heisst es seitens des Unternehmens. "Zudem haben wir die Möglichkeit, auf ein Netzwerk an IT-Spezialisten zurückzugreifen."
Aber auch Zurich Schweiz zahlt Lösegelder zurück - allerdings nur in Ausnahmefällen und nur bis maximal 25 Prozent der Versicherungssumme. "Unser Anspruch ist es, dass es erst gar nicht so weit kommt."
Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den wöchentlichen Newsletter von Swisscybersecurity.net an. Auf dem Portal gibt es täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.