Nach einer Analyse der Allianz haben sich die Zahl der Cyber-Angriffe in den vergangenen fünf Jahren stark gehäuft. Rund 80 Prozent aller Schäden der Cyber Versicherung wurden von Hackern verursacht. Dabei stechen zwei Vorgehensweisen besonders hervor: Denial of Service-Attacken (DDoS), bei denen die Angreifer die Netzwerke lahmlegen, indem sie diese mit Anfragen überschwemmen. Und digitale Erpressung, bei der die Opfer durch Verschlüsselungssoftware zur Lösegeldzahlung gedrängt werden. Doch kommt eine Cyber Versicherung für diese Art von Schäden auf?
Erpressung durch Hacker nimmt zu
Mit der Digitalisierung werden zunehmend mehr Unternehmen Zielfläche von Internetkriminellen. Und diese finden trotz vermeintlich gutem Schutz häufig ein Schlupfloch, um sich Zugang zu den internen Servern zu verschaffen. Dort können sie erheblichen Schaden anrichten: Server, IT und Netzwerke sind nicht erreichbar, sodass der gesamte Betrieb stillstehen muss. Oder Daten werden verschlüsselt und sind nicht nutzbar. Für die betroffenen Unternehmer ist diese Situation nicht nur aufgrund des Betriebsausfalls kostspielig. Immer häufiger fordern die Hacker ein Lösegeld, bevor sie die Server wieder freigeben oder verschlüsselte Daten entschlüsseln. Den Unternehmern bleibt vermeintlich keine andere Wahl, als den Forderungen der Angreifer nachzukommen.
Die Allianz-Tochter AGCS untersuchte zuletzt die wirtschaftlichen Folgen von Internetkriminalität. Dabei wurden rund 1.736 Schadensmeldungen aus den Jahren 2015 bis 2020 ausgewertet. Die Gesamtschadenshöhe betrug 660 Millionen Euro und wird tendenziell in den nächsten Jahren steigen. Die häufigsten Schadensursachen sind Angriffe von außen durch Ransomware und DDoS-Attacken. Beide Angriffsarten können zu langen Betriebsunterbrechungen und teuren Ausfällen führen. So musste 2020 die Börse in Neuseeland vier Tage lang ihren Handel aussetzen, da sie von DDoS-Attacken bedroht war. Die Hacker forderten ein Lösegeld.
Angesichts der Schadensszenarien und der lang anhaltenden Betriebsunterbrechung ist der Anreiz für die Unternehmen meist groß, sich der Lösegeldforderung zu beugen. Daher stellen sie sich die Frage, ob die Cyber Versicherung bei digitaler Erpressung schützt.
Zahlt die Cyber Versicherung bei digitaler Erpressung?
Ransomware wie auch digitale Erpressung fallen unter den Versicherungsschutz der Cyber Versicherung. Dafür bieten viele Gesellschaften einen optionalen Zusatzbaustein für den Einschluss von Cyber-Erpressung an. Der Versicherer kommt dann für die Zahlung von Lösegeldforderungen auf. Allerdings ist darauf zu achten, dass auch die daraus resultierenden Eigenschänden mitversichert sind. Diese können obligatorisch im Vertrag enthalten sein oder müssen als zusätzlicher Baustein über die „Cyber-Betriebsunterbrechungsversicherung“ eingeschlossen werden. Es ist außerdem sinnvoll, die Beratung und Unterstützung von IT- und PR-Experten abzusichern. Diese stehen im Ernstfall zur Schadensabwehr und -minderung zur Seite.
Leistungsbausteine der Cyber Versicherung bei digitaler Erpressung
- Lösegeldzahlung: Versicherungsschutz besteht für die rechtswidrige Drohung Dritter Server, Netzwerke und Daten zu beschädigen oder zu zerstören, zu blockieren oder sich unbefugten Zutritt zu Geschäfts- und Betriebsgeheimnissen wie Kundendaten zu verschaffen. Der Versicherer übernimmt je nach Tarif die Lösegeldzahlung zur Abwendung des Schadens. Die maximale Leistungshöhe lässt sich bei Vertragsabschluss festlegen.
- Betriebsunterbrechung: Versichert wird der entgangene Betriebsgewinn und die fortlaufenden Kosten, die bei einer Unterbrechung aufgrund von digitaler Erpressung, Blockierung und erheblicher Einschränkung der Nutzung entstehen. Maximal bis zur vereinbarten Versicherungssumme.
- Unterstützung durch Experten: Der Versicherer erstattet die Kosten für IT-Experten, die bei der Abwehr oder Minderung des Schadens unterstützen. Außerdem können die Kosten für PR-Berater infolge eines Cyber-Angriffs versichert sein.
Versicherungssummen und Selbstbehalte
Bei Vertragsabschluss lassen sich die Versicherungssummen individuell festlegen. Je nach Anbieter sind diese begrenzt, unter Umständen auf den Jahresnettoumsatz. Um die Kosten für die Versicherung zu senken, lässt sich ein Selbstbehalt vereinbaren. Dabei handelt es sich um einen fixen Betrag, der je Versicherungsfall vom Kunden selbst zu bezahlen ist.
Ist die Zahlung von Lösegeld überhaupt sinnvoll?
Lösegeldzahlungen bei Cyber-Angriffen sind eine Gratwanderung. Denn einerseits möchten die Unternehmen ihren Betrieb schützen. Um zu verhindern, dass die Arbeit länger stillsteht, Betriebsgeheimnisse veröffentlicht oder Server stark beschädigt werden, kommen sie der Lösegeldforderung nach. Die Cyber-Versicherung unterstützt dabei, indem sie die Zahlung erstattet.
Doch ruft dieses Vorgehen auch eine Problematik hervor: die Hacker sind mit ihren Cyber-Attacken erfolgreich. Und dies führt dazu, dass sie mit ihren illegalen Aktivitäten fortfahren. Außerdem gibt es keine Garantie dafür, dass die Angreifer bei Zahlung der Forderung die Daten tatsächlich entschlüsseln oder Server freigeben. Es ist somit ein schmaler Grat im Hinblick auf den Nutzen der Erbringung von Lösegeldforderungen.
- Hinweis: In einigen Ländern wie den USA, Japan und Italien ist es seitens des Gesetzgebers verboten, Lösegeldforderungen nachzukommen. In diesen Ländern machen sich die Opfer der digitalen Erpressung somit selbst strafbar, wenn sie die Zahlung erbringen.
Versicherungsschutz bei digitaler Erpressung: Lassen Sie sich beraten
Internetkriminalität ist ein Risiko des 21. Jahrhunderts. Doch entgegen vieler Annahmen sind nicht nur große Konzerne davon betroffen. Immer mehr Hacker sehen es auf kleine- und mittelständische Betriebe ab, deren Daten sie verschlüsseln und Netzwerke lahmlegen. So müssen Arztpraxen Patienten abweisen, wenn sie nicht auf ihre Patientenakten zugreifen können. Und produzierende Unternehmen ihre Maschinen stillstehen lassen.
Um sich gegen das Risiko und die finanziellen Folgen digitaler Erpressung zu schützen, gibt es die Cyber Versicherung. Das Team von albfinanz ist Ihnen dabei behilflich, Ihr Unternehmen gegen die Risiken aus dem Netz abzusichern und den passenden Tarif für Ihren individuellen Bedarf zu finden.