"Kriminelle verkaufen Kundenlisten von Cyberversicherungen"

4. Februar 2022, 15:14
  • security
  • cybercrime
  • finanzindustrie
image
Foto: Claudio Schwarz / Unsplash

Cyberversicherungen zahlen für Kunden Lösegeld an Ransomware-Banden. Wir haben bei Versicherungen, Experten und NCSC nachgefragt und erklären, warum das problematisch ist.

Die Schäden von erfolgreichen Ransomware-Angriffen sind oft immens, die Lösegeldforderungen entsprechend hoch. Im Schnitt betrugen sie im 1. Halbjahr 2021 über 5 Millionen Dollar pro Angriff, wie Security-Forscher von Palo Alto Networks berechnet haben. Trotz der hohen Forderungen und der Empfehlung, diese nicht zu begleichen, bezahlen viele Opfer, da sie dies für den einfachsten oder gar einzigen Weg zurück zur Normalität halten. Fast jedes zweite Unternehmen will bezahlen, wie eine Umfrage von McAfee im letzten Herbst zeigte. Oftmals ist eine Cyberversicherung Teil des Schutzes, deren Anbieter in der Mehrzahl Lösegeldzahlungen als letztes Mittel der Schadensbegrenzung decken.
Dies geschieht oftmals abseits der Öffentlichkeit und erzeugt ein grosses Problem: Die Praxis unterstützt nicht nur Cyberkriminelle, eine Studie von 2021 zeigte auch, dass rund 80% der Firmen, die nach eigenen Angaben ein Lösegeld bezahlt hatten, ein zweites Mal angegriffen wurden. Rund die Hälfte der Opfer glaubte, dass dieselbe Bande nochmals zugeschlagen hatte. Auch wird unter den Kriminellen über lohnende Ziele diskutiert, wohl auch welche Firmen von Versicherungen gestützt werden und die Forderung mit hoher Wahrscheinlichkeit einzutreiben ist.
Security-Experte Peter Sandkuijl, der die Entwicklungen seit über rund 25 Jahren beobachtet, bestätigt dies. "Meine Kollegen bei Checkpoint haben schon beobachtet, wie Kriminelle Versicherungen gehackt haben und die Liste mit deren Cyberkunden auf dem Darkweb angeboten haben", sagt Sandkuijl im Gespräch. Damit könne man bei einem Angriff hoffen, dass das Lösegeld auch fliesst. Der IT-Ingenieur hält die Praxis der Versicherungen für ein Problem.

Versicherungen ändern ihre Praxis

Nun hat Generali in Frankreich angekündigt, kategorisch keine Forderungen der Kriminellen mehr zu erfüllen: Bei Neuverhandlungen der Cyberversicherungsverträge mit grossen Firmen sei entschieden worden, kein Geld mehr zu sprechen. Dies berichtet 'Les Echos Entrepreneurs'. Die Zunahme der Angriffe habe die Versicherung zum Schritt bewogen, sagte Régis Lemarchand von Generali France zum Journal. Konkurrentin AXA hatte in Frankreich einen solchen Kurswechsel bereits verkündet.
Doch wie sieht es in der Schweiz aus? Generali Schweiz bietet keine Cyberversicherungen für Unternehmen. Auf Nachfrage bei sechs weiteren Anbietern für Cyberversicherungen für Firmenkunden zeigt sich: fünf davon würden Lösegeld für ihre Kunden bezahlen. Lediglich von der Mobiliar heisst es: "Wir verzichten auf Lösegeldzahlungen, weil diese dazu dienen können, kriminelle Organisationen zu unterstützen." Man halte sich damit an die Empfehlungen des Nationalen Zentrums für Cybersicherheit des Bundes (NCSC) und rate seinen Kunden von Zahlungen ab.
Pascal Lamia, Leiter Operative Cybersicherheit beim NCSC, sagt auf Anfrage: "Jede erfolgreiche Erpressung motiviert die Angreifer zum Weitermachen, finanziert deren Infrastrukturen und die Weiterentwicklung der Angriffe." Man fördere damit die Verbreitung von Ransomware, das NCSC rate klar von einer Bezahlung ab, stattdessen solle man die Strafverfolgung einschalten. Gefragt nach einer Forderung nach staatlicher Regulierung oder einem Verbot, erklärt er aber: "Die zuständigen Behörden klären zurzeit ab, ob Handlungsbedarf besteht. Es ist noch verfrüht, dazu Aussagen zu machen."

Die gängige Praxis in der Schweiz

Das französische Pendant des NCSC ist hier deutlicher. Das ANSSI verlangt laut 'Les Echos Entrepreneurs' einen strengen Rahmen oder gar ein Verbot der Lösegeld-Garantien seitens der Cyberversicherungen. Angesichts der Entwicklung im Milliardenmarkt Ransomware dürfte dringender Handlungsbedarf bestehen. Der Schweizerische Versicherungsverband (SVV) hat erst vor wenigen Tagen Cyberattacken als ein "Toprisiko" ausgemacht. Die verheerendsten Angriffe erfolgen meist mit Ransomware, deren Verbreitung angesichts der hohen Margen in der kriminellen Industrie rasant zunimmt.
Die meisten Schweizer Versicherungen gehen noch den gleichen Weg: AXA, Allianz, Baloise, Helvetia und Zurich stellen generell Kompensation von Lösegeld für ihre Firmenkunden in Aussicht. Man sei zwar bislang nie auf eine Forderung eingetreten und versuche das auch künftig zu vermeiden, heisst es von AXA. Die Versicherung erklärt aber: "Die Lösegeld-Erstattung ist als Teil einer umfassenden Cyberdeckung bei der AXA Schweiz als Zusatzdeckung und auf ausdrücklichen Kundenwunsch versicherbar". Dieselbe Praxis pflegt auch die Baloise Group, die Erpressung versicherbar macht und die Begleichung einer Forderung als letzte Massnahme sieht. "Grundsätzlich raten wir aber davon ab, Lösegeld zu bezahlen", so das Unternehmen.
Auch Helvetia rät von einer Zahlung ab, die Durchführung einer möglichen Transaktion sei zudem Sache der Kunden. Die Versicherung ergänzt: "Helvetia ersetzt lediglich geleistete Zahlungen des Versicherungsnehmers im Rahmen der vereinbarten Limite, sofern keine alternative Lösung möglich ist." Praktiziert wird dies aber nur bei Gefährdung von Gut und Leben, wie Helvetia schreibt, etwa wenn ein Konkurs droht oder Menschenleben in Gefahr sind. Ähnlich klingt es bei der Allianz und der Zurich Versicherung, die nach eigenen Angaben nur in Ausnahmefällen bezahlen.
Die Cyberversicherungen stellen in der Regel auch Dienstleistungen im Krisenfall in Aussicht. Zudem verweisen alle darauf, dass die Kunden Rücksprache mit der Versicherung und Behörden nehmen müssten. "Unser Anspruch ist es, dass es erst gar nicht so weit kommt. Unseren Kunden steht aus diesem Grund rund um die Uhr ein Krisenmanagement-Team zur Verfügung. Zudem haben wir die Möglichkeit, auf ein Netzwerk an IT-Spezialisten zurückzugreifen", heisst es etwa von Zurich. Basis einer Cyberversicherung sei bei ihnen in jedem Fall, dass Security-Standards eingehalten würden, so Helvetia.
"Wir beobachten natürlich aufmerksam die Initiativen wie zum Beispiel in Frankreich und den USA oder auch die parlamentarischen Vorstösse in der Schweiz, solche Zahlungen zu untersagen", schreibt uns Allianz Schweiz. Im Nationalrat ist dazu ein Postulat von Edith Graf-Litscher hängig. Die SP-Politikerin fordert unter anderem, eine Meldepflicht für Lösegeldzahlungen und die Pflicht, Behörden einzubeziehen.

Loading

Mehr zum Thema

image

EPD-Infoplattform von eHealth Suisse gehackt

Unbekannte haben von der Website Patientendossier.ch Nutzerdaten abgegriffen. Das BAG erstattet Anzeige, gibt aber Entwarnung.

publiziert am 30.9.2022 2
image

Palantir übernimmt 230-Millionen-Auftrag, um US-Drohnen effizienter zu machen

Der opake Datenanalyse-Konzern des rechtslibertären Milliardärs Peter Thiel gibt auch in Europa wieder zu Reden. CEO Alex Karp inszeniert sich als kritischer Geist.

publiziert am 30.9.2022
image

Podcast: Sollten noch Produkte von Huawei und Kaspersky eingesetzt werden?

Wir debattieren, was es für die Schweiz bedeutet, wenn Produkte von Firmen aus autoritären Ländern eingesetzt werden. Zudem gehen wir den Transparenzinitiativen von zum Beispiel Kaspersky und Huawei auf den Grund und fragen uns: Sind die Amerikaner eigentlich besser?

publiziert am 30.9.2022
image

Digitaler Euro könnte 2026 kommen

Kommendes Jahr will die Europäische Zentralbank (EZB) über den digitalen Euro entscheiden. Zu reden gibt die Partnerschaft mit Amazon.

publiziert am 29.9.2022