Bezahlen Cyberversicherungen den Schaden durch Cyberkriminalität?

Der gesamte Cyberversicherungsmarkt steht unter enormen Druck, seit Cyberkriminelle vermehrt auf Lösegeldforderungen (durch Ransomware) setzen und die Vorfälle und Schadenssummen exponentiell ansteigen.

Aktuelle Untersuchungen zeigen einen enormen Anstieg der Schadenssummen bei Cyberattacken auf Unternehmen. Laut dem Ransomware Threat Report lag 2021 die durchschnittliche Summe erpresster Beträge bei ca. 570.000 USD im Vergleich zu 2019, da lag sie durchschnittlich noch bei ca. 115.000 USD. Versicherer haben im Zuge dessen mit enormen Schadensvorfällen zu tun. Cyberanalysten gehen davon aus, dass die meisten Cyberattacken durch russische und chinesische Aktivisten erfolgen und somit aktuell einige Versicherungskonzerne die Zahlungen verweigern mit der Begründung, Kriegsrisiken seien vom Versicherungsschutz ausgeschlossen.

Quellen: Ransomware-Statistiken [2, 3, 4]

Das BSI (Bundesamt für Sicherheit in der Informationstechnik) warnt vor vermehrten Cyberattacken durch die Ukrainekrise – dies kann im Schadensfall für betroffene Unternehmen in den nächsten Wochen und Monaten vermehrt Zahlungsausfälle von Versicherungssummen zur Folge haben. Ob die Versicherungskonzerne am Ende mit Ihrem Versicherungsschutz recht bekommen werden und Gerichte den Paragraph der Kriegshandlung akzeptieren, bleibt abzuwarten. Allerdings werden sich Unternehmen und Organisationen bereits auf längere Gerichtsverfahren einstellen müssen.

Als erstes globales Versicherungsunternehmen reagierte 2021 die AXA bereits auf das wachsende Risiko und gab deshalb im Mai letzten Jahres bekannt, dass man in Frankreich künftig keine Cyber-Versicherungspolicen mehr abschließen wird, um Erpressungszahlungen an Ransomware-Kriminelle zu erstatten. [1]

Es bleibt abzuwarten, ob betroffene Unternehmen genug finanzielle Spielräume haben, um langwierige Gerichtsverfahren zu überstehen oder ob am Ende die Doppelbelastung von Neuinstallation der IT-Infrastruktur und Verfahrenskosten viele Unternehmen letztendlich doch überlasten.

Laut einer Studie des Risikoversicherers Allianz AGCS mit Befragung von 2650 Fachleuten in 89 Ländern, sehen Manager und Sicherheitsfachleute in Cyberangriffen und in den damit verbundenen Betriebsunterbrechungen die größte Gefahr für Unternehmen. Selbst die besten IT-Sicherheitsvorkehrungen schützen nicht 100 % gegen erfolgreiche Attacken.

Damit Sie sich jedoch bestmöglich auf Cyberattacken vorbereiten können, haben wir folgende Handlungsempfehlungen und wichtige Hinweise zusammengestellt:

Welche Szenarien führen am häufigsten zu erfolgreichen Cyberattacken?

Die Endpoints sind weiterhin, die am häufigsten verwendeten Angriffsvektoren, da viele Unternehmensmitarbeiter nicht ausreichend auf die verschiedensten Gefahren im Cyberraum sensibilisiert sind. Es werden weiterhin erfolgreiche Phishing-Kampagnen durchgeführt und E-Mail-Anhänge mit Schadcode geöffnet. Hierbei sollte unbedingt auf moderne Endpoint-Detection-and-Response-Lösungen (EDR-Lösungen) gesetzt werden, um ein proaktives Threat Hunting zu ermöglichen und frühzeitig auf Angriffe zu reagieren.

Ein weiteres Problem sind ungepatchte und kompromittierte Systeme, da in vielen Organisationen kein vernünftiges Patch- und Vulnerability Management etabliert ist, um verwundbare Systeme zu erkennen und für eine gewisse Grundhygiene zu sorgen. Darüber hinaus sollte in Unternehmen ein „Least Priviliged Management“ und „Need-to-know-Prinzip“ eingeführt werden, damit nicht jeder User auf alle Dateien im Unternehmen zugreifen kann, sondern klar geregelt ist, welche Dateien für die Aufgaben notwendig sind. Ein weiteres Problem stellt die korrekte Absicherung von Lieferanten dar, um Lieferkettenangriffe zu vermeiden. Hier bietet sich sinnvollerweise ein passendes Vendor Risk Management an, um die angebundenen Lieferanten und die eingesetzten öffentlichen Systeme zu überwachen.

Welche konkreten Maßnahmen empfehlen Managed Security Service Provider (MSSP) gegen Betriebsunterbrechungen durch Cyberattacken?

Einführung eines vernünftigen Backupsystems und regelmäßige Überprüfung nach Funktionalität sowie Durchführung von Recovery-Szenarien

Einführung eines Netzwerksegmentierungs-Konzepts, um Teilbereiche und Systeme zu trennen und Anforderungen an ein Sicherheitskonzept zu gewährleisten.

Vulnerabilbility Management und regelmäßiges Pentesting wird ebenfalls empfohlen und ist wichtig, um zu überprüfen ob die Systeme vernünftig gehärtet und anständig konfiguriert sind.

Für den IT-Notfall sollte jedes Unternehmen auf ein professionelles „Digital Forensic and Incident Response“ Team (DFIR-Team) zurückgreifen können, damit eine gerichtssichere Analyse des Vorfalls durchgeführt werden kann. Ein DFIR-Team ist beispielsweise in der Lage zu klären, wie die Angreifer in die Infrastruktur gekommen sind, welche Schwachstelle ausgenutzt wurde, welche Daten abgeflossen sind und welche Systeme manipuliert wurden. Ein forensischer Bericht hilft Organisationen am Ende, dass die Versicherung den Schaden ggf. übernimmt – vorausgesetzt der Schadensfall ist natürlich in der Police abgedeckt. Immer mehr Versicherungen übernehmen solche Schäden nicht mehr in vollem Umfang und setzen mittlerweile höhere Anforderungen an der Sicherheitsinfrastruktur der Kunden voraus.

Ein MDR (managed detection & response)- oder FERNAO-MTDA (managed threat detection & alerting)-Service der magellan, hilft Unternehmen und Organisationen frühzeitig Cyberattacken zu erkennen und proaktives Threat Hunting zu betreiben. Wir unterstützen Sie dabei, rechtzeitig die richtigen Gegenmaßnahmen einzuleiten, bevor Cyberkriminelle mit der Verschlüsselung von Unternehmensdaten beginnen und Lösegeldforderungen platzieren.

Was unterscheidet einen reinen MDR-Anbieter von einem Managed Security Service Provider?

Reine MDR-Anbieter fokussieren sich auf den Endpoint und erhalten somit keine Transparenz in die komplette IT-Infrastruktur. In der Regel bieten sie auch keine forensische Analyse und individuelle Reports zu allen Assets an.

Ein MSSP (Managed Security Provider) wie die magellan, bietet nicht nur eine technische Lösung und Beratung an, sondern führt auch regelmäßige Review Meetings durch, um den Reifegrad ihrer IT-Infrastruktur kontinuierlich zu verbessern – das Managed SOC (MTDA-Service) hilft dabei, Cyberangriffe frühzeitig zu erkennen und darauf zu reagieren. Erfahrene SOC-Analysten sind in der Lage, die Alarme (Incidents) zu bewerten und die richtigen Handlungsempfehlungen sowie Gegenmaßnahmen einzuleiten.

Wie kann ein MSSP (Managed Security Service Provider) dem Deutschen Mittelstand helfen, den Fachkräftemangel im Bereich Cybersecurity zu kompensieren?

Viele Unternehmen werden Stand heute und auch mittelfristig nicht in der Lage sein, ein eigenes Security Operation Center aufzubauen und zu betreiben. Für einen 24x7-SOC-Betrieb, müssen verschiedene Stellen/Bereiche mit mehreren digitalen Experten wie SOC-Analysten besetzt sein. Von der Technologieplattform und Entwicklung einmal abgesehen, denn hierfür sind zusätzlich Entwickler für Use-Cases und Operatoren notwendig. Komplexe IT-Security-Themen sollten am sinnvollsten mit einem Dienstleister ihres Vertrauens umgesetzt und betrieben werden.