Kaum Belege dafür, dass der Boom bei Cyber-Versicherungen zu besserer Sicherheit führt

  • Der Aufstieg der Cyber-Versicherungen hat es weitgehend versäumt, bessere Cyber-Sicherheitspraktiken in den von ihnen abgedeckten Branchen zu fördern, so ein neuer Bericht, der am Montag vom britischen Sicherheits-Thinktank RUSI veröffentlicht wurde. (Foto: Spencer Platt/Getty Images)

    Die Sicherheits-Community hat in den letzten Jahren auf das große Potenzial von Cyber-Versicherungen hingewiesen, um Fortschritte bei den Best Practices im Cyber-Bereich voranzutreiben: Sie zwingen Unternehmen dazu, ihre Leistungen zu verbessern, indem sie bestimmte Standards zu einer Voraussetzung für die Deckung machen.

    Jüngste Untersuchungen zeigen jedoch, dass dies nicht der Fall ist.

    Der Aufstieg der Cyber-Versicherungen hat es weitgehend versäumt, bessere Cybersecurity-Praktiken in den Branchen zu fördern, die sie abdecken, so ein neuer Bericht, der am Montag von der britischen Sicherheitsdenkfabrik Royal United Services Institute (RUSI) veröffentlicht wurde. Dies gilt insbesondere für die Geißel der Ransomware, wo steigende Zahlungen und geschäftliche Anreize zur Zahlung eine existenzielle Bedrohung für Versicherungsanbieter in Großbritannien darstellen können – und darüber hinaus.

    Obwohl Ransomware “ein gesellschaftliches Problem” ist, stellen die Autoren fest, dass Cyber-Versicherer wegen der Rolle, die sie bei der finanziellen Unterstützung der cyberkriminellen Industrie spielen, in die Kritik geraten sind.

    “Diese gießen Öl ins Feuer, indem sie Anreize für das Engagement von Cyberkriminellen bei Ransomware-Operationen schaffen und es bestehenden Betreibern ermöglichen, in ihre Fähigkeiten zu investieren und diese zu erweitern”, schreiben die Autoren Jamie MacColl, Jason R.C. Nurse und James Sullivan. “Wachsende Verluste durch Ransomware-Angriffe haben … unterstrichen, dass die aktuelle Realität auch für Versicherer nicht tragbar ist.

    Wenn ein Unternehmen von Ransomware betroffen ist, steht es oft vor drei Möglichkeiten: zahlen, sich auf Backups stützen oder das gesamte IT-Netzwerk neu aufbauen. Da sich die Versicherer in der Regel für die billigste Option entscheiden, kostet die Zahlung eines Lösegelds im Voraus fast immer weniger als ein Neuanfang oder eine wochenlange Ausfallzeit, während die Systeme aus Backups wiederhergestellt werden.

    Während dieses Modell und diese Herangehensweise für die Versicherer scheinbar geschäftlich sinnvoll sind, fließt dadurch eine absurde Menge an Geld in die Taschen krimineller Gruppen. Diese Gruppen verfügen dann über mehr Ressourcen, um ihre Malware und Infrastruktur weiterzuentwickeln, bieten bessere Vergütungen, um talentierte Hacker in ihr Netzwerk zu locken, und kaufen Zero-Day-Exploits oder den ersten Zugang zu den Unternehmen der Opfer.

    Im Februar schätzte ein Bericht von Chainalysis, der Kryptowährungszahlungen in Strafverfolgungsuntersuchungen verfolgt, dass diese Gruppen im Jahr 2020 mindestens 350 Millionen US-Dollar an Lösegeldzahlungen einnahmen, und Experten sagen, dass viele Vorfälle nicht öffentlich gemeldet werden, weil die Opfer beschlossen haben, still zu zahlen, bevor ihre Informationen online bekannt gemacht werden, und sich nicht mit den Strafverfolgungsbehörden zu befassen.

    Mehrere hochkarätige Vorfälle in den letzten Monaten und unterstrichen die Herausforderungen in diesem Bereich. Die US-Regierung war zunächst nicht in der Lage, von den Führungskräften von Colonial Pipeline Informationen über die Lösegeldzahlung zu erhalten, und einige waren empört, als CEO Joseph Blount in einem Medieninterview die Zahlung des Lösegelds in Höhe von 4,3 Millionen Dollar (für die das Unternehmen laut Blount später einen Versicherungsanspruch geltend machte) als “das Richtige” und eine patriotische Pflicht darstellte, um die lebenswichtige amerikanische Infrastruktur am Laufen zu halten. Ein Ransomware-Angriff auf den Versicherungsriesen CNA im März führte ebenfalls zu einer Zahlung von 40 Millionen Dollar, die laut Bloomberg als die bisher größte Lösegeldzahlung in der Geschichte gilt.

    Der RUSI-Bericht, der Teil eines einjährigen Projekts mit der University of Kent ist, das Möglichkeiten untersucht, Anreize für eine bessere Cybersicherheit durch Versicherungen zu schaffen, findet wenig harte Beweise, die darauf hindeuten, dass dieses Modell Unternehmen dazu zwingt, ihre eigenen Cybersicherheitspraktiken und -investitionen neu zu bewerten. Außerdem wird davor gewarnt, dass das derzeitige Modell, regelmäßig hohe Lösegeldzahlungen zu leisten, den Versicherern auf lange Sicht keinen finanziellen Vorteil bringt.

    Während einige der für den Bericht befragten Versicherer ihre Dienstleistungen vor und nach einem Vorfall – wie forensische Analysen, Reaktion auf einen Vorfall, Rechtsberatung und Öffentlichkeitsarbeit – als wertvolle Dienste anpriesen, die dazu beitragen, ein betroffenes Unternehmen auf eine höhere, sicherere Ebene der Cybersicherheit zu heben, um zukünftige Angriffe zu verhindern, gibt es nur wenige, verstreute Beweise dafür, dass dies an einigen Orten tatsächlich geschieht.

    Tatsächlich sehen viele Unternehmen, die eine Cyber-Versicherung abschließen, diese eher als ein Werkzeug zur Abwehr von Cyber-Angriffen denn als ein Instrument zur Risikominderung. Eine Studie des Bedrohungsforschungsunternehmens Cybereason vom Juni behauptete, dass 80 % der Unternehmen, die das Lösegeld bezahlt haben, in den folgenden Monaten erneut mit Ransomware infiziert wurden, oft von derselben Gruppe.

    Ein von den Autoren angeführtes Beispiel für eine positive Auswirkung: Der US-Versicherungsanbieter Corvus behauptet, dass sein Scannen nach Ports und Schwachstellen, die häufig von Ransomware-Gruppen ausgenutzt werden, zu einem 65-prozentigen Rückgang von Ransomware-bezogenen Schäden von April bis September 2020 führte.

    Diese Versicherer können mehr tun, um die Art der gesammelten Daten zu schärfen, die Industrie dazu zu bringen, Sicherheitsstandards zu übernehmen, die von Regierungsorganisationen wie dem U.S. National Institute for Standards and Technology festgelegt wurden, und verschiedene Cybersicherheitsprodukte nach ihrem Wert und ihren Auswirkungen auf die Prämienkosten zu bewerten.

    “Es gibt eine solide Reihe von theoretischen Argumenten, dass Cyber-Versicherungen eine sinnvolle Rolle bei der Verbesserung der Cyber-Sicherheit in Unternehmen spielen könnten, wie in einem früheren RUSI Emerging Insights Paper erwähnt”, heißt es in dem Bericht. “In der Praxis muss sich jedoch erst noch zeigen, ob Cyberversicherungen dieses Versprechen erfüllen können.”

    Obwohl das Papier auf den britischen Versicherungsmarkt ausgerichtet ist, weisen die skizzierten Herausforderungen und potenziellen Lösungen viele Parallelen zum US-Markt auf, wo eine Ransomware-Epidemie die politischen Entscheidungsträger dazu gezwungen hat, das Thema in den Vordergrund zu rücken und eine Reihe von zuvor extremen Lösungen in Erwägung zu ziehen, wie das Verbot von Lösegeldzahlungen, die starke Regulierung der zur Zahlung verwendeten Kryptowährungen und die Anweisung an Strafverfolgungsbehörden und Geheimdienste, verstärkt die IT-Infrastruktur ins Visier zu nehmen, auf die sich diese Gruppen bei der Durchführung ihrer Machenschaften verlassen.

    Die Ergebnisse spiegeln ähnliche Behauptungen wider, die in einem Bericht des U.S. Government Accountability Office über Cyber-Versicherungen im Mai aufgestellt wurden. Darin wurde festgestellt, dass der Branche insgesamt die Art von historischen Daten über Datenverletzungen und ihre wirksamen Abhilfemaßnahmen fehlten, um ihre Deckung richtig zu bepreisen, obwohl einige Anbieter von Cyber-Versicherungen, die von SC Media interviewt wurden, die Schlussfolgerungen zu dieser Zeit bestritten.

    “Wenn Sie jemals in ein Restaurant gegangen sind und Lust auf ein schönes Hummeressen hatten, haben Sie wahrscheinlich gesehen, dass auf der Speisekarte ‘Marktpreis’ steht, denn wer weiß schon, wie viele Hummer sie an diesem Tag oder zu dieser Zeit im Monat oder im Jahr gefangen haben? Die Preisgestaltung ist wirklich variabel bei dem, was Hummer auf einer täglichen Basis kosten, es kann wild schwanken”, sagte John Pescatore, Direktor für aufkommende Sicherheitstrends beim SANS Institute, im Mai. “Das ist in etwa das, was der Fall ist [today] für Cyber-Versicherungen, es ist im Wesentlichen der Marktpreis.”

    Einige Teile dieses Artikels stammen aus:
    www.scmagazine.com