Sind Cyberangriffe bald nicht mehr versicherbar?
von Tina Siering
Die Anzahl der Cyberangriffe und die dadurch verursachten Schäden bewegen sich weltweit auf Rekordniveau. Und auch in den nächsten Jahren ist mit einer Entspannung der Lage nicht zu rechnen, im Gegenteil: Sie wird sich weiter zuspitzen. Versicherungen bereitet dieses erhöhte Cyberrisiko immer mehr Sorgen. In einem Interview mit der Financial Times prognostiziert Mario Greco, Vorstandsvorsitzender der Schweizer Versicherungsgesellschaft Zurich, dass Cybercrime vor allem für Betreiber kritischer Infrastrukturen (KRITIS) bald nicht mehr versicherbar sein könnte.
Greco gibt zu bedenken, dass es bei Cyberangriffen nicht bloß um Daten geht, sondern um das Leben der gesamten Bevölkerung. Vor allem Attacken auf kritische Infrastrukturen könnten weitreichende Folgen für die Zivilisation haben. Hierzu zählten in jüngster Vergangenheit beispielsweise Angriffe auf Krankenhäuser, durch die die Patientenversorgung zeitweise eingeschränkt war. Aber auch Vorfälle wie die Ransomware-Attacke auf die Colonial Pipeline im Südosten der USA, die vorübergehend zu Engpässen in der Benzinversorgung geführt hatte, sind besorgniserregend. Denn solche Angriffe betreffen nicht nur das ursprüngliche Ziel, sondern auch die davon wirtschaftlich abhängigen Unternehmen. Gerade in Europa gewinnt das Thema seit Beginn des russischen Angriffskriegs gegen die Ukraine zusätzlich an Bedeutung.
Erste Reaktionen der Versicherer: Policen sind bereits jetzt deutlich teurer
Auf die steigenden Schäden durch Cyberangriffe haben viele Versicherer bereits reagiert. Zum einen haben sie ihre Prämien in den letzten Jahren so massiv erhöht, dass eine Versicherung für viele kleine und mittelständische Unternehmen zunehmend zur finanziellen Belastung wird. Beitragsanpassungen mit einem Plus von 50 bis 100 % sind keine Seltenheit. Zum anderen ändern Versicherungen die Policen so ab, dass die Versicherten einen höheren Anteil der Verluste selbst übernehmen müssen oder nicht mehr alle Schäden abgedeckt werden. Nachdem der Lebensmittelhersteller Mondelez Opfer des NotPetya-Cyberangriffs geworden war, lehnte es die Zurich 2019 beispielsweise ab, eine Entschädigung in Höhe von 100 Millionen Dollar zu zahlen, weil die Police kriegsähnliche Aktionen ausschließe. Später konnten sich die Parteien dann aber doch noch einigen.
Laut Greco sei es nicht möglich, dass Versicherer aus dem Privatsektor alle Kosten übernehmen, die sich aus einer Cyberattacke ergeben. Der Zurich-CEO plädiert deshalb für staatliche bzw. privat-öffentliche Versicherungssysteme in den USA, die sich um systemische, nicht quantifizierbare Cyberrisiken kümmern. Vergleichbar wäre das mit Versicherungssystemen, die in manchen Ländern der Welt Erdbeben oder Terroranschläge abdecken. Auch innerhalb der US-Regierung steht das Thema bereits zur Diskussion.
Darüber hinaus spricht sich Greco für die Maßnahmenplanung der US-Regierung aus, Lösegeldzahlungen bei Ransomware-Attacken zu verhindern. Er ist der Ansicht, dass es weniger Cyberangriffe geben werde, wenn die Zahlung von Lösegeldern eingeschränkt wird.
So kommt es gar nicht erst zum Schadensfall
Der verschärften Bedrohungslage ist sich selbstverständlich auch die deutsche Regierung bewusst. Sie verpflichtet KRITIS-Betreiber und Unternehmen von besonderem öffentlichen Interesse mit dem IT-Sicherheitsgesetz (IT-SiG) 2.0 deshalb dazu, spätestens bis zum 1. Mai 2023 geeignete Systeme zur Angriffserkennung (SzA) zu implementieren.
Vom Gesetz betroffen sind unter anderem Unternehmen
- aus der Gas-, Elektrizitäts- und Energieversorgung,
- aus dem Sektor Siedlungsabfallentsorgung,
- aus der Rüstungsindustrie,
- aus der Verschlusssachen-IT und
- mit einer besonderen volkswirtschaftlichen Bedeutung.
Im Gegensatz zu herkömmlichen passiven Sicherheitstechniken wie Firewalls oder Netzwerksegmentierungen suchen Systeme zur Angriffserkennung aktiv nach verdächtigen Aktivitäten im Unternehmensnetzwerk. Dadurch können Kompromittierungen bereits nach kürzester Zeit aufgedeckt werden, sodass sich Angreifer gar nicht erst weiter im Netzwerk bewegen und einen größeren Schaden anrichten können.
Wichtig ist das gerade auch in Anbetracht der stetig steigenden Komplexität von Produktionsnetzwerken. Immer mehr Komponenten – etwa Sensoren, Aktoren und intelligente Steuerungssysteme – kommunizieren miteinander und erzeugen dabei Daten und Datenströme, die überwacht werden müssen. Möglich ist das nur durch ein 24/7-Monitoring, das auffälliges Verhalten und Anomalien im Netzwerk umgehend erkennt und meldet. Das IT-SiG 2.0 leistet somit einen wichtigen Beitrag zur präventiven Abwehr von Datenmanipulation und -diebstahl und zum Schutz kritischer Infrastrukturen.
Wie KMUs und KRITIS ihre Pflichten erfüllen können
Zu Lösungen, die den Vorsorgepflichten des IT-SiG 2.0 gerecht werden, zählen Managed Detection and Response-Services wie Active Cyber Defense (ACD) von Allgeier secion.
Wie vom Gesetz gefordert, untersuchen die Security Consultants Ihren Netzverkehr proaktiv und kontinuierlich auf Angriffsaktivitäten und Anomalien und erkennen Angreifer-Kommunikation zuCommand & Control (C2)-Servern. Besteht Handlungsbedarf, werden Sie vom ACD-Team umgehend informiert, sodass geeignete Gegenmaßnahmen rechtzeitig eingeleitet werden können, bevor ein Schaden entsteht. Parallel kann der Vorfall unverzüglich an das Bundesamt für Sicherheit und Informationstechnik (BSI) gemeldet werden, so dass Sie Ihrer Meldepflicht wie vorgeschrieben nachkommen können.
Da es sich bei ACD um einen Full Managed Service mit ausgelagertem SOC handelt, können auch kleine und mittlere Unternehmen mit geringen Ressourcen einen effektiven Schutz ihrer Systeme sicherstellen. Je nach Unternehmensstandort und Anzahl der Internetzugänge dauert die Implementierung gewöhnlich nur drei bis sieben Tage, sodass Sie die gesetzlichen Vorgaben innerhalb kürzester Zeit umsetzen können.
Fazit
Angesichts steigender Schäden durch Cyberkriminalität treffen Versicherungen bereits seit einigen Jahren Maßnahmen zur Schadensbegrenzung. Zum einen sind die Versicherungsbeiträge stark gestiegen, zum anderen müssen Versicherte für immer mehr Schäden selbst aufkommen. Im schlimmsten Fall werden Cyberangriffe bald gar nicht mehr versicherbar sein. In den USA kommen deshalb bereits Forderungen nach privat-öffentlichen Versicherungssystemen auf, die systemische Cyberrisiken übernehmen sollen.
Die Bundesregierung hat auf die verschärfte Sicherheitslage mit einem Update des IT-Sicherheitsgesetzes reagiert. Mit der Version 2.0 sind die Anforderungen an die Cybersicherheit gestiegen: Indem KRITIS-Betreiber wie Ver- und Entsorger und Unternehmen von besonderem öffentlichen Interesse jetzt dazu verpflichtet sind, Systeme zur Angriffserkennung (SzA) einzusetzen, soll die Netzwerksicherheit in kritischen Infrastrukturen erhöht werden. Gefordert sind Lösungen, die im Netzwerk aktiv nach auffälligen Aktionen suchen und unverzüglich melden. Mit dem Active Cyber Defense (ACD)-Service von Allgeier secion sind selbst KMUs mit begrenzten finanziellen und personellen Ressourcen dazu in der Lage, diese Verpflichtung mittels Anomalie-Erkennung zu erfüllen.