"Kriminelle verkaufen Kundenlisten von Cyberversicherungen"

4. Februar 2022 um 15:14
  • security
  • cybercrime
  • finanzindustrie
image
Foto: Claudio Schwarz / Unsplash

Cyberversicherungen zahlen für Kunden Lösegeld an Ransomware-Banden. Wir haben bei Versicherungen, Experten und NCSC nachgefragt und erklären, warum das problematisch ist.

Die Schäden von erfolgreichen Ransomware-Angriffen sind oft immens, die Lösegeldforderungen entsprechend hoch. Im Schnitt betrugen sie im 1. Halbjahr 2021 über 5 Millionen Dollar pro Angriff, wie Security-Forscher von Palo Alto Networks berechnet haben. Trotz der hohen Forderungen und der Empfehlung, diese nicht zu begleichen, bezahlen viele Opfer, da sie dies für den einfachsten oder gar einzigen Weg zurück zur Normalität halten. Fast jedes zweite Unternehmen will bezahlen, wie eine Umfrage von McAfee im letzten Herbst zeigte. Oftmals ist eine Cyberversicherung Teil des Schutzes, deren Anbieter in der Mehrzahl Lösegeldzahlungen als letztes Mittel der Schadensbegrenzung decken.
Dies geschieht oftmals abseits der Öffentlichkeit und erzeugt ein grosses Problem: Die Praxis unterstützt nicht nur Cyberkriminelle, eine Studie von 2021 zeigte auch, dass rund 80% der Firmen, die nach eigenen Angaben ein Lösegeld bezahlt hatten, ein zweites Mal angegriffen wurden. Rund die Hälfte der Opfer glaubte, dass dieselbe Bande nochmals zugeschlagen hatte. Auch wird unter den Kriminellen über lohnende Ziele diskutiert, wohl auch welche Firmen von Versicherungen gestützt werden und die Forderung mit hoher Wahrscheinlichkeit einzutreiben ist.
Security-Experte Peter Sandkuijl, der die Entwicklungen seit über rund 25 Jahren beobachtet, bestätigt dies. "Meine Kollegen bei Checkpoint haben schon beobachtet, wie Kriminelle Versicherungen gehackt haben und die Liste mit deren Cyberkunden auf dem Darkweb angeboten haben", sagt Sandkuijl im Gespräch. Damit könne man bei einem Angriff hoffen, dass das Lösegeld auch fliesst. Der IT-Ingenieur hält die Praxis der Versicherungen für ein Problem.

Versicherungen ändern ihre Praxis

Nun hat Generali in Frankreich angekündigt, kategorisch keine Forderungen der Kriminellen mehr zu erfüllen: Bei Neuverhandlungen der Cyberversicherungsverträge mit grossen Firmen sei entschieden worden, kein Geld mehr zu sprechen. Dies berichtet 'Les Echos Entrepreneurs'. Die Zunahme der Angriffe habe die Versicherung zum Schritt bewogen, sagte Régis Lemarchand von Generali France zum Journal. Konkurrentin AXA hatte in Frankreich einen solchen Kurswechsel bereits verkündet.
Doch wie sieht es in der Schweiz aus? Generali Schweiz bietet keine Cyberversicherungen für Unternehmen. Auf Nachfrage bei sechs weiteren Anbietern für Cyberversicherungen für Firmenkunden zeigt sich: fünf davon würden Lösegeld für ihre Kunden bezahlen. Lediglich von der Mobiliar heisst es: "Wir verzichten auf Lösegeldzahlungen, weil diese dazu dienen können, kriminelle Organisationen zu unterstützen." Man halte sich damit an die Empfehlungen des Nationalen Zentrums für Cybersicherheit des Bundes (NCSC) und rate seinen Kunden von Zahlungen ab.
Pascal Lamia, Leiter Operative Cybersicherheit beim NCSC, sagt auf Anfrage: "Jede erfolgreiche Erpressung motiviert die Angreifer zum Weitermachen, finanziert deren Infrastrukturen und die Weiterentwicklung der Angriffe." Man fördere damit die Verbreitung von Ransomware, das NCSC rate klar von einer Bezahlung ab, stattdessen solle man die Strafverfolgung einschalten. Gefragt nach einer Forderung nach staatlicher Regulierung oder einem Verbot, erklärt er aber: "Die zuständigen Behörden klären zurzeit ab, ob Handlungsbedarf besteht. Es ist noch verfrüht, dazu Aussagen zu machen."

Die gängige Praxis in der Schweiz

Das französische Pendant des NCSC ist hier deutlicher. Das ANSSI verlangt laut 'Les Echos Entrepreneurs' einen strengen Rahmen oder gar ein Verbot der Lösegeld-Garantien seitens der Cyberversicherungen. Angesichts der Entwicklung im Milliardenmarkt Ransomware dürfte dringender Handlungsbedarf bestehen. Der Schweizerische Versicherungsverband (SVV) hat erst vor wenigen Tagen Cyberattacken als ein "Toprisiko" ausgemacht. Die verheerendsten Angriffe erfolgen meist mit Ransomware, deren Verbreitung angesichts der hohen Margen in der kriminellen Industrie rasant zunimmt.
Die meisten Schweizer Versicherungen gehen noch den gleichen Weg: AXA, Allianz, Baloise, Helvetia und Zurich stellen generell Kompensation von Lösegeld für ihre Firmenkunden in Aussicht. Man sei zwar bislang nie auf eine Forderung eingetreten und versuche das auch künftig zu vermeiden, heisst es von AXA. Die Versicherung erklärt aber: "Die Lösegeld-Erstattung ist als Teil einer umfassenden Cyberdeckung bei der AXA Schweiz als Zusatzdeckung und auf ausdrücklichen Kundenwunsch versicherbar". Dieselbe Praxis pflegt auch die Baloise Group, die Erpressung versicherbar macht und die Begleichung einer Forderung als letzte Massnahme sieht. "Grundsätzlich raten wir aber davon ab, Lösegeld zu bezahlen", so das Unternehmen.
Auch Helvetia rät von einer Zahlung ab, die Durchführung einer möglichen Transaktion sei zudem Sache der Kunden. Die Versicherung ergänzt: "Helvetia ersetzt lediglich geleistete Zahlungen des Versicherungsnehmers im Rahmen der vereinbarten Limite, sofern keine alternative Lösung möglich ist." Praktiziert wird dies aber nur bei Gefährdung von Gut und Leben, wie Helvetia schreibt, etwa wenn ein Konkurs droht oder Menschenleben in Gefahr sind. Ähnlich klingt es bei der Allianz und der Zurich Versicherung, die nach eigenen Angaben nur in Ausnahmefällen bezahlen.
Die Cyberversicherungen stellen in der Regel auch Dienstleistungen im Krisenfall in Aussicht. Zudem verweisen alle darauf, dass die Kunden Rücksprache mit der Versicherung und Behörden nehmen müssten. "Unser Anspruch ist es, dass es erst gar nicht so weit kommt. Unseren Kunden steht aus diesem Grund rund um die Uhr ein Krisenmanagement-Team zur Verfügung. Zudem haben wir die Möglichkeit, auf ein Netzwerk an IT-Spezialisten zurückzugreifen", heisst es etwa von Zurich. Basis einer Cyberversicherung sei bei ihnen in jedem Fall, dass Security-Standards eingehalten würden, so Helvetia.
"Wir beobachten natürlich aufmerksam die Initiativen wie zum Beispiel in Frankreich und den USA oder auch die parlamentarischen Vorstösse in der Schweiz, solche Zahlungen zu untersagen", schreibt uns Allianz Schweiz. Im Nationalrat ist dazu ein Postulat von Edith Graf-Litscher hängig. Die SP-Politikerin fordert unter anderem, eine Meldepflicht für Lösegeldzahlungen und die Pflicht, Behörden einzubeziehen.

Loading

Mehr erfahren

Mehr zum Thema

image

Weiterer Supply-Chain-Angriff auf Open-Source-Bibliothek

Cyberkriminelle wollten sich Zugang zu einem Open-Source-Projekt erschleichen. Das zeigt die Anfälligkeit von solchen Lösungen.

publiziert am 16.4.2024
image

Zero-Day-Lücke bedroht PAN-OS-Software von Palo Alto

Während drei Wochen konnten Hacker über eine kritische Schwachstelle in den betroffenen Systemen Remotecode ausführen. Der Hersteller empfiehlt dringende Massnahmen.

publiziert am 15.4.2024
image

Wo sich der Grossteil der Cybercrime-Aktivitäten abspielt

Eine Forschungsarbeit der Universität Oxford zeigt die globalen Cybercrime-Hotspots. Dies soll dem privaten wie öffentlichen Sektor helfen, Ressourcen gezielt einzusetzen.

publiziert am 12.4.2024
image

Podcast: Das Gesundheitswesen und die Cybersicherheit

Das Bundesamt für Gesundheit ist auf der Suche nach einem Dienstleister, der Unterstützung im Bereich Cybersicherheit bietet. In einer Ausschreibung haben wir mehrere Mängel festgestellt. In der aktuellen Podcast-Episode reden wir unter anderem darüber.

publiziert am 12.4.2024