Experte fordert obligatorische IT-Sicherheitstests
Starke Zunahme der Cyberkriminalität
Die COVID-19-Pandemie wurde von einer digitalen Epidemie begleitet, die durch Ransomware ausgelöst wurde. Die schiere Zahl der Angriffe deutet darauf hin, dass die Maßnahmen der Unternehmen zur Cybersicherheit nicht oder nur begrenzt wirksam waren.
Eine Studie der Universität Leeds aus dem Jahr 2021 zeigte die massive Zunahme schwerer Cyberangriffe auf Unternehmen während der Pandemie. Die Täter verlagerten sich auf Taktiken, die Opfer in erhöhte Angst versetzen, wie “das namentliche Benennen der Opfer, der Diebstahl kommerziell sensibler Daten und Angriffe auf Organisationen, die Dienstleistungen für andere Organisationen erbringen.”
Ein neuer Schwarzmarkt floriert, auf dem Cyberkriminelle anderen Cyberkriminellen Produkte und Dienstleistungen anbieten. Sowohl Teenager als auch erfahrene Amateure oder professionelle Kriminelle können Malware, Verschlüsselungstools und sogar Bitcoin-Geldbörsen mieten. Gleichzeitig hat die Zahl der Spezialversicherungen für Cyberkriminalität stark zugenommen. Prognosen zufolge wird der globale Versicherungsmarkt für Cyberkriminalität von 7 Mrd. US-Dollar Bruttoprämien (GWP) im Jahr 2020 auf 20,6 Mrd. US-Dollar im Jahr 2025 anwachsen.
Ein Bericht des globalen Cybersicherheitsunternehmens Sophos ergab, dass sich die Zahl der Organisationen, die von Ransomware betroffen waren, von 37 % im Jahr 2020 auf 66 % im Jahr 2021 hochschnellte. Das durchschnittlich gezahlte Lösegeld stieg im selben Zeitraum um fast das Fünffache auf 812.360 US-Dollar.
Versicherungen gegen Cyberangriffe ermutigen die Cyber-Kriminellen
Um die Folgen der Angriffe zu mildern, wenden sich die Unternehmen an Versicherungsunternehmen. Doch das Wachstum des Cyberversicherungsmarktes ermutigt Kriminelle nur dazu, Unternehmen ins Visier zu nehmen, die eine Versicherung gegen Cyber-Erpressungen abgeschlossen haben. Versicherungsunternehmen entscheiden sich häufig dafür, die von Cyberkriminellen geforderten Lösegelder zu zahlen. 82 % der britischen Unternehmen zahlen.
Die Strafverfolgungsbehörden raten den Opfern von Ransomware hingegen, kein Lösegeld zu zahlen, da dies zu weiteren Angriffen ermutigt und einen Teufelskreis in Gang setzt.
Dr. Subhajit Basu, Außerordentlicher Professor für Cyberlaw an der Universität Leeds und Chefredakteur der International Review of Law Computers and Technology, plädiert daher für höhere Cybersicherheitsstandards. Er fordert von Versicherern, Unternehmen von inkompetenten Sicherheitspraktiken abzuschrecken. “Während Autofahrer theoretische und praktische Fahrprüfungen ablegen müssen, prüfen Cyberversicherer jedoch nur selten die IT-Sicherheit eines Unternehmens, bevor die Police abgeschlossen wird.”
Dem Markt fehle es an Verständnis für groß angelegte, ausgeklügelte Cyberangriffe. Der Cyberversicherungsmarkt tue sich schwer damit, die Wahrscheinlichkeit von Cyberangriffen vorherzusagen, weil Veränderungen in der digitalen Technologie unvorhersehbar sein können.
Die meisten Versicherer verfügen derzeit über keine langfristigen Daten zu Cybervorfällen oder Ransomware. Dies hat zu unterfinanzierten Cyberversicherungsprogrammen geführt, die sich stark auf optimistische Finanzmodelle stützen. Infolgedessen wird es immer schwieriger, eine Cyberversicherung abzuschließen. Die Versicherungsprämien stiegen 2020 um 22 %; im Jahr 2021 stiegen sie in 38 Ländern um weitere 32 %.
Die Zeit ist reif für obligatorische Sicherheitstests
“Ransomware-Angriffe sind deshalb so effektiv, weil sie menschliche Schwächen und die fehlenden technischen Schutzmechanismen von Unternehmen ausnutzen.” erläutert Dr. Subhajit Basu und betont den Stellenwert der Prävention. Unternehmen müssen mehr für die Entwicklung von Sicherheitsmaßnahmen tun, z. B. ein System zur mehrstufigen Authentifizierung implementieren. Außerdem müssen die IT-Verantwortlichen Penetrationstests durchführen. Das sind Tests, bei denen ein Cybersicherheitsexperte nach Schwachstellen in einem Computersystem sucht.
“Die Zeit ist reif für obligatorische Ransomware- und Phishing-Sicherheitstests. Die Versicherungsbranche muss im Rahmen der Risikobewertung Mindestsicherheitsanforderungen festlegen.” so Basu.
Unter den Forschern wächst der Konsens, dass eine solide Cybersicherheit nicht allein mit Technologie erreicht werden kann, da menschliche Fehler für eine große Anzahl von Vorfällen verantwortlich sind. Gesetze zur Cybersicherheit bilden daher keinen ausreichender Schutz, solange die Öffentlichkeit nicht über Phishing-Bedrohungen aufgeklärt wird.
Eine Versicherung gegen Cyberkriminalität kann dazu beitragen, Betriebsunterbrechungen zu minimieren, finanziellen Schutz zu bieten und sogar bei rechtlichen und regulatorischen Maßnahmen nach einem Cybervorfall zu helfen. Aber sie wird nicht die Probleme lösen, die die Anfälligkeit für einen Angriff überhaupt erst geschaffen haben.