Die Ransomware-Bedrohung
Zwei Studien geben Auskunft über den Umgang mit Ransomware-Angriffen auf Unternehmen. Die große Mehrheit kommt den Lösegeldforderungen der IT-Erpresser nach. Doch tatsächlich führt das oft nicht zur Rettung von Daten. Cyberversicherungen können dabei offensichtlich nur ein Teil der Lösung sein.
Soll ich oder soll ich nicht? Für Opfer sogenannter Ransomware-Angriffe stellt sich die Frage, ob sie den Lösegeldforderungen nachkommen sollen. Das gilt erst recht, wenn die Cyber-Erpresser mit einer kurzen Zahlungsfrist Druck erzeugen. Bei einer Ransomware-Attacke (auch Erpressungstrojaner genannt) wird der Zugang zu wichtigen Firmendaten mittels eingeschleustem Schadprogramm verschlüsselt und erst gegen Zahlung eines Lösegelds, üblicherweise in Form von Kryptowährungen, wieder freigegeben – so zumindest das Versprechen der IT-Angreifer.
24 Milliarden Euro Gesamtschaden in Deutschland
Die ökonomischen Folgen solcher IT-Vorfälle sind enorm: Laut Bundeskriminalamt (BKA) hat sich der gesamtwirtschaftliche Schaden durch Ransomware im Jahr 2021 mit 24,3 Milliarden Euro innerhalb von zwei Jahren verfünffacht. Dabei kann die moderne Form der Wirtschaftskriminalität sämtliche Branchen und Unternehmen treffen, vom örtlichen Buchhändler, über den mittelständischen Produktionsbetrieb bis hin zum globalen Player. Auch öffentliche bzw. staatliche Institutionen geraten regelmäßig ins Visier solcher Angriffe. Die Forderungen richten sich meist nach Unternehmensgröße und Zahlungspotenzial der Opfer. So verlangte ein IT-Erpresser im vergangenen Jahr von Deutschlands größter Elektronikmarktkette Media-Saturn zunächst 240, dann 50 Millionen Euro. Ob das Unternehmen die Forderung erfüllt hat, ist allerdings unbekannt.
„Opferquote“: 33 Prozent, „Zahlungsquote“: 80 Prozent
Aus der Studie „Cybersecurity in Deutschland 2022“ des Marktforschungs- und Beratungsunternehmen IDC Central Europe geht allerdings hervor, dass 80 Prozent der befragten Organisationen, die Opfer eines Ransomware-Angriffs wurden, auf die Lösegeldforderung eingegangen sind. 49 Prozent zahlten, weil es „einfach schneller geht“, 18 Prozent aus Angst, dass der Vorfall öffentlich wird, die restlichen zwölf Prozent, weil ihnen aufgrund mangelnder Schutzmaßnahmen nichts anderes übrig blieb. Die Dimension des Problems ist groß, schließlich gab jeder dritte befragte Firmenvertreter (32 Prozent) an, bereits Opfer einer Ransomware-Attacke geworden zu sein. Hinzu kommt: In den meisten Fällen wurden die Backups gleich mit verschlüsselt, was eine umfangreiche Datenrettung verhindert.
Cyberversicherung ist keine Prophylaxe-Maßnahme
So schafft die wachsende Angst vor IT-Attacken auch dem Cyberversicherungs-Markt Auftrieb. Die im September 2022 durchgeführte IDC-Befragung unter Security-Verantwortlichen von branchenübergreifend 206 Unternehmen mit mehr als 100 Mitarbeitern, ergab, dass vier von fünf Unternehmen einen solchen Versicherungsschutz besitzen oder planen, in den nächsten zwölf Monaten einen solchen abzuschließen. Besonders hoch ist Bereitschaft bei Unternehmen, die bereits Opfer von Ransomware-Attacken geworden sind. „Das lässt vermuten, dass viele in Cyberversicherungen einen Ersatz für Security-Maßnahmen sehen“, schlussfolgert das IDC und warnt: „Cyberversicherungen können Schäden nicht verhindern, sondern nur die wirtschaftlichen Einbußen mindern oder ausgleichen. Verlorenes Vertrauen und Reputation können die Versicherungen nicht ersetzen.“
Auch der Spezialversicherer Hiscox weist in seinem jährlichen „Cyber Readiness Report 2022“ darauf hin, dass eine Cyberversicherung keinen alleinigen Schutz gegen IT-Angriffe biete. „Stattdessen sollten Unternehmen vorab die Cyber-Resilienz durch zeitnahe Sicherheits-Updates, Awareness-Maßnahmen für Mitarbeiter sowie durch Ransomware-sichere Backups stärken, um gar nicht erst erpressbar zu werden“, wie es in der Studie heißt. Für das Restrisiko sei eine Cyberversicherung allerdings sinnvoll, da sie Unternehmen im Schadenfall Fachleute aus dem Bereich IT-Security, Datenschutz sowie Krisen-PR vermittle.
Hohes Restrisiko nach Lösegeldzahlung
Also im Ernstfall doch zahlen? Vermutlich nicht: Denn aus dem Hiscox-Report geht hervor, dass man Cyber-Erpressern nicht trauen kann. Demnach konnten nur 59 Prozent der Unternehmen weltweit, die Lösegeld gezahlt haben, ihre durch Cyberangriffe verschlüsselte Daten vollständig wiederherstellen. 43 Prozent mussten ihre Systeme trotz wiederhergestellter Daten neu aufbauen. Bei 34 Prozent ließen sich die Daten nur teilweise rekonstruieren und bei 15 Prozent hat dies gar nicht funktioniert. Die Ergebnisse basieren auf einer Befragung des Marktforschungsunternehmens Forrester Consulting unter 5181 internationalen Unternehmensentscheidern zum Umgang mit und der Absicherung vor Cyberattacken.