Wie die Ransomware-Explosion den Cyber-Versicherungsmarkt umgestaltet

Cyber Security News

Der heutige Sonderkolumnist, Scott Register von Keysight Technologies, sagt, dass Regierung und Industrie zusammenkommen müssen, um die kritische Infrastruktur der Nation nach dem Colonial Pipeline-Hack zu sichern. Kredit: Colonial Pipeline

Noch nie wurde ein helleres Schlaglicht auf die gesellschaftliche Geißel Ransomware geworfen als in den letzten zwei Wochen, als separate Angriffe zu einem vorübergehenden Gasmangel im Osten der USA führten, die IT-Netzwerke der staatlichen Gesundheitssysteme in Irland und Neuseeland störten und einen internationalen Aufschrei auslösten, damit Regierungen und Industrie mehr tun, um Cyberkriminelle zur Verantwortung zu ziehen.

Die Entwicklung von Cybersicherheitsversicherungen hat eine wichtige Rolle dabei gespielt, wie sich Unternehmen auf Ransomware-Angriffe und die daraus resultierenden Folgen vorbereiten und darauf reagieren. Die Versicherung selbst hat sich weiterentwickelt, da Versicherer und Versicherte erfahren haben, wie teuer die Folgen sein können. Es ist jedoch noch unklar, wie die jüngsten und vermutlich weitreichenden Angriffe die Policen in Zukunft beeinflussen werden.

Der Ransomware-Realitätscheck für Versicherer

Vor 2017 deckten die meisten Versicherer Ransomware im Rahmen herkömmlicher Sach- und Haftpflichtversicherungen ab. NotPetya hat das geändert.

Die wurmähnliche Ransomware riss sich durch die Computer und Systeme infizierter Unternehmen und sperrte sie mit blendender Geschwindigkeit, zuerst in der Ukraine und Russland, dann in Europa und den Vereinigten Staaten. Cybersecurity-Beamte im Weißen Haus von Obama sagten, dass der Angriff weltweit einen Schaden von bis zu 10 Milliarden US-Dollar verursacht hat.

Benjamin Wright, ein Anwalt, der am SANS Institute Datensicherheit und Ermittlungsrecht lehrt, sagte, dass NotPetya die globale Versicherungsbranche rund 2,7 Milliarden Dollar an Auszahlungen kostete.Die Geschwindigkeit solcher Angriffe, ihre wachsende Häufigkeit und Effizienz sowie die Auswirkungen zweiter und dritter Ordnung, die sie auf Kundendaten und die Bereitstellung von Dienstleistungen für andere Akteure in der Lieferkette haben können, zwangen zu einer breiteren Neubewertung des Umgangs mit dem Problem.

“Sie haben entschieden, dass NotPetya uns gezeigt hat, dass Ransomware ein ganz neues Ballspiel ist und es sich nicht um traditionelle Sachbeschädigung und Erpressung handelt”, sagte Wright während einer Sitzung auf der RSA Conference.

Klicken Sie hier für weitere Berichte über die RSA-Konferenz 2021.

Besonders verheerend war es für große Unternehmen. Aufgrund ihrer Größe und der Geschwindigkeit, mit der sich die wurmähnliche Ransomware verbreitete, erhielten einige Unternehmen individuelle Versicherungszahlungen in Höhe von 300 Millionen US-Dollar oder mehr.

Große Unternehmen haben in der Regel mehr Computer, es ist teurer, den Schaden zu beheben, es gibt eine größere Anzahl von Kunden, so dass diese Kosten astronomisch sind”, sagte John Pescatore, Director of Emerging Security Trends beim SANS Institute.

Der Vorfall veranlasste viele Versicherer dazu, Ransomware-spezifische Versicherungspolicen zu erstellen und führte zu einer erneuten Wachsamkeit in Bezug auf Compliance. Wie Trent Cooksley, Chief Operation Officer bei Cowbell Cyber, im Februar gegenüber SC Media erklärte, ermöglichen spezifische Kontrollen für Unternehmen den Versicherungsunternehmen, “eine profitable Schadenquote aufrechtzuerhalten.” Auch wenn der Ansatz letztlich vom Ergebnis getrieben ist, glaubt er, dass er “gut für Unternehmen ist, da sie durch den Versicherungsprozess einen besseren Einblick in ihre Cyber-Risiken und Maßnahmen erhalten, die sie einsetzen können, um den digitalen Betrieb sicher und konform mit den Datenschutzbestimmungen zu halten.”

Und da Millionen von Dollar auf dem Spiel stehen, kommt es wirklich auf die Details an, wenn Unternehmen über die Besonderheiten ihrer Sicherheitsmaßnahmen berichten. Was die Sicherheitsrichtlinien einer Organisation vorgeben und was sie tatsächlich tun, ist nicht immer dasselbe. Es mag die offizielle Richtlinie eines Unternehmens sein, Schwachstellen innerhalb von dreißig Tagen zu patchen, aber wenn die Realität differenzierter ist, kann eine oberflächliche Antwort zurückkommen, um sie zu beißen. Ransomware-Angriffe werden oft mit Sicherheitsaudits von Versicherungsunternehmen verfolgt und Wright sagte, dass Ihr Unternehmen von einem Ransomware-Angriff betroffen ist und ein Audit Unstimmigkeiten findet, könnte dies dazu verwendet werden, den Versicherungsschutz zu verweigern oder zu reduzieren.

“Eines der wirklich wichtigen Dinge, die ein Sicherheitsteam bei der Zusammenarbeit mit der Versicherung beachten muss, ist, die Wahrheit zu sagen”, sagte Wright. “Das ist so offensichtlich, aber einer Versicherung die Wahrheit zu sagen, wenn es um ein sehr komplexes, technisches Thema wie Cybersecurity geht, kann eine Herausforderung sein.”

Vielleicht ist eine Aussage darüber, wie ein professionelles Team Patches überprüft, dann eine Risikobewertung durchläuft und Entscheidungen auf der Grundlage einer verantwortungsvollen Überprüfung trifft, genauer, so Wright, als einfach schnell zu sagen: “Ja, wir installieren Patches normalerweise innerhalb von dreißig Tagen.”

Interessenkonflikte?

Eine der größten ungeklärten Kontroversen im Zusammenhang mit Ransomware ist die Frage, wie viel Druck die Regierung und die Gesellschaft auf einzelne Unternehmen ausüben sollten, damit sie das Lösegeld nicht bezahlen, nach der Logik, dass jeder erfolgreiche Angriff den nächsten finanziert und nährt. Viele einzelne Unternehmen konzentrieren sich mehr darauf, den besten Weg zu finden, ihr Geschäft und ihre Daten zu retten und den Betrieb zeitnah wiederherzustellen, als sich über die breiteren gesellschaftlichen Auswirkungen Gedanken zu machen.

Der schlechte Ruf in der Öffentlichkeit und das Schreckgespenst rechtlicher oder behördlicher Konsequenzen für die Zahlung von Lösegeld an Gruppen, die den US-Sanktionen unterliegen, hat einige Unternehmen dazu veranlasst, sich bei der Diskussion über die Zahlung zurückzuhalten. So beschweren sich beispielsweise Mitglieder des Kongresses darüber, dass die Weigerung von Colonial Pipeline-Beamten, öffentlich über die gemeldete 5-Millionen-Dollar-Zahlung an die DarkSide-Gruppe zu sprechen, die vom Finanzministerium nicht ausdrücklich als sanktionierte Organisation aufgeführt wird, es dem Kongress erschwert, das Problem zu verstehen und effektive gesetzliche Lösungen zu entwickeln.

Wright sagte, dass selbst wenn Unternehmen sich zurückhalten wollen, die Versicherer sie möglicherweise zur Zahlung drängen. Da sie dazu neigen, sowohl Ransomware-Zahlungen als auch Betriebsunterbrechungen aufgrund von Ransomware-Angriffen abzudecken, wenn die Kosten der erwarteten Ausfallzeiten und Betriebsunterbrechungen die Kosten der Zahlung übersteigen, können Versicherer von ihren Kunden abweichen und tun dies auch, wenn es um die Kosten und negativen Anreize rund um die Lösegeldzahlung geht.

“Das versicherte Unternehmen möchte vielleicht kein Lösegeld zahlen, es mag die Publicity der Lösegeldzahlung nicht, es mag die Politik oder die Moral der Lösegeldzahlung nicht, aber die Versicherungsgesellschaft hat vielleicht eine etwas andere Priorität und das kann für das gesamte Unternehmen überraschend kommen”, so Wright.

In der Tat, selbst wenn Versicherungsunternehmen auf Best Practices für die Sicherheit ihrer Kunden drängen, sagte Brandon Hoffman, Chief Information Security Officer bei Netenrich, im Februar gegenüber SC Media: “Es ist schwer zu sagen, ob diese tatsächlich mit Best Practices übereinstimmen oder ob sie irgendwie bequem in ihre Versicherungswissenschaft passen.”

Einige Teile dieses Artikels stammen aus:
www.scmagazine.com