ZEIT für X
Eine Fliege auf dem Weg in die Falle

Vorsicht, Falle

06. Januar 2023
ZEIT Redaktion

Viele Firmen unterschätzen das Risiko und die Kosten eines Hacker­angriffs. Doch eine Cyber­versicherung kann sogar falsche Anreize setzen.

von Eva Wolfangel

Redaktioneller Beitrag aus: „ZEIT für Unternehmer Ausgabe 4/2022.“

Eigentlich hatte der amerikanische Pharmakonzern Merck & Co. sein Risiko, von Hackern angegriffen zu werden, gut kalkuliert und sich früh zu schützen versucht. Seine Cyber­versicherung deckte entsprechende Schäden bis zu 1,75 Milliarden Dollar ab. Aber nun streitet das Unternehmen seit mehr als fünf Jahren mit seinem Versicherer um die Übernahme eines Schadens in Höhe von 1,4 Milliarden Euro – entstanden durch Produktions­ausfälle, die nötige Wieder­herstellung der IT-Systeme und den Ersatz beschädigter Computer. Kurz: Es geht um die Folgen eines Digital-Infernos.

Entfacht hatte es ein Virus, das Sicherheits­forscher auf den Namen NotPetya getauft hatten, um es von einem scheinbar ähnlichen Virus namens Petya abzugrenzen. Im Jahr 2017 hatte NotPetya die Systeme von Merck infiziert. Später wurde es von IT-Sicherheits­experten dem russischen Geheim­dienst zugeordnet; es sollte wohl Firmen in der Ukraine treffen.

Und genau das ist der Grund für den jahrelangen Streit. Denn Ace American, der Versicherer von Merck, beruft sich darauf, dass seine Police zwar „alle Risiken“ abdecke, aber eben genau eines ausschließe: „Verlust oder Schaden, verursacht durch feindselige oder kriegerische Aktionen“. Und NotPetya sei nun mal eine Waffe Russlands im Konflikt mit der Ukraine gewesen, weshalb die Police nicht greife. Merck sieht das anders und klagt seither. Im Januar dieses Jahres hat das Unternehmen zwar vor einem hohen Gericht in New Jersey recht bekommen, aber Ace American wollte das nicht akzeptieren, und so beschäftigt sich nun die nächste Instanz mit dem Konflikt.

Solche Streitigkeiten könnten künftig viele Unternehmen jahrelang beschäftigen. Denn entsprechende Ausschlüsse befinden sich in vielen Versicherungs­policen, und mit dem Angriffs­krieg Russlands auf die Ukraine sind auch entsprechende digitale Kollateral­schäden des Konflikts noch wahrscheinlicher geworden. Schon kurz nach dem Überfall Russlands hat der Bundes­verfassungs­schutz die Wirtschaft in einem „Sicherheits­hinweis“ eindringlich gewarnt: Deutsche Unternehmen könnten nicht nur direkt, sondern auch indirekt zu Zielen werden. Angesichts der »großen Zahl von Akteuren, die sich aufseiten beider Konflikt­parteien engagieren«, sei mit „Kollateral­schäden“ zu rechnen.

Auch das Bundesamt für Sicherheit in der Informations­technik warnt in seinem neuen Lagebericht vor „Kollateralschäden bei Cyber-Sabotage-Angriffen“ und verweist beispielhaft auf die Attacke auf den Satelliten­dienst KA-SAT kurz nach Kriegs­beginn – in dessen Folge nicht nur die Kommunikation der ukrainischen Armee gestört wurde, sondern auch 5800 Wind­energie­anlagen in Europa nicht mehr per Fernwartung erreichbar waren.

Dazu kommt ein weiteres Problem: „Die Grenze zwischen staatlichen und nicht­staatlichen Akteuren verschwimmt“, sagt Simran Mann, Referentin für Sicherheits­politik beim Digital­verband Bitkom. „Es ist nicht immer einfach zu sagen, ob ein Angriff im Rahmen einer kriegerischen Auseinander­setzung stattfindet oder ob er schlicht kriminelle Hintergründe hat.“

Doch nicht nur Klauseln zu Kriegsausschlüssen stifteten Verwirrung, sagt der Sicherheitsforscher Éireann Leverett, der unter anderem am Center for Risk Studies der University of Cambridge zu Risiken durch Hacker­angriffe geforscht hat und inzwischen Cyber­versicherer berät. Auch die anderen Vertrags­bedingungen sollten Unternehmen genau prüfen, warnt er: „Viele lesen das Klein­gedruckte nicht.“

Unterschiedliche Versicherungs­bedingungen

Verlangt eine Versicherung darin beispielsweise, dass der Kunde eine Zwei-Faktor-Authentifizierung einsetzt, um unerwünschte Eindringlinge abzuhalten, müsse der das im Schadens­fall auch nachweisen können. Kommt nach einer Attacke heraus, dass eine solche Sicherheits­maßnahme nicht oder nur lücken­haft umgesetzt wurde, können Unternehmen auf ihrem Schaden sitzen bleiben.

Das Gleiche gilt, wenn Versicherer Anti-Phishing-Trainings bei ihren Kunden zur Bedingung machen. Angestellte sollen so lernen, sogenannte Phishing-Mails zu erkennen, die vertrauener­weckend aussehen, aber kleine Programme enthalten, die ihre Daten ausspionieren. Wie viel diese Trainings wirklich bringen, ist unter Experten zwar strittig. Sie wegzulassen kann aber bedeuten, dass der Versicherer im Schadens­fall nicht zahlt.

„Man sollte solche Ausschlüsse überprüfen und überlegen, ob sie für die eigene Situation sinnvoll sind“, rät Leverett. Außerdem sollten Unternehmen die Formulare detailliert ausfüllen, in denen Versicherer die Schutz­maßnahmen abfragen.

Doch nicht nur die Versicherungsbedingungen sind verschieden, der gesamte Markt ist auch noch unübersichtlich. Vergleichs­portale wie für Haft­pflicht­versicherungen gibt es bisher nicht.

Leverett warnt außerdem vor Missverständnissen: „Es ist falsch, davon auszugehen, dass ein Versicherer den ganzen Schaden bezahlt.“ Dafür gebe es gute Gründe. Würde die Versicherung den ganzen Schaden abdecken, könnten sich Unternehmen in falscher Sicherheit wiegen. Ohnehin reiche die vereinbarte Höchstsumme in vielen Fällen nicht für den gesamten Schaden aus, weil Unternehmen die Kosten einer Cyberattacke meist unter­schätzten. Leverett rät: „Anstatt davon auszugehen, dass die Versicherung alle Kosten trägt, sollte man ein eigenes aktives Sicherheitsteam haben.“

Kürzlich hat der Sicherheitsforscher eine Anwaltskanzlei nach einem Cyber­angriff begleitet und erlebt, wie kostspielig es sein kann, die Folgen einer Hacker­attacke zu unterschätzen. Die Kanzlei wurde mit Ransomware angegriffen, zu Deutsch: Erpressungs­software. Diese Programme schleichen sich in die Systeme ihres Opfers und verschlüsseln alle Daten, die sie finden können. Um sie entschlüsseln zu können, muss der Eigentümer ein Lösegeld zahlen.

Die Kanzlei hatte nach dem Angriff keinen Zugriff mehr auf die eigenen Daten und Systeme. Allerdings waren einige Back-ups vorhanden. Und so gingen die Inhaber der Kanzlei davon aus, die Daten ließen sich schnell wieder­herstellen – ohne das Lösegeld zu bezahlen. „Es hat aber fast zwei Monate gedauert, bis die Kanzlei wieder richtig arbeiten konnte“, sagt Leverett. Er rät Unternehmen deswegen, testweise durch­zu­spielen, wie sich Server mit Back-ups wieder­herstellen lassen. Wenn dabei Probleme auftauchen, sollte man die vor dem Ernstfall beheben.

Viele Unternehmer unter­schätzen die Gefahr

Laut Everett büßte die Kanzlei in diesem Jahr die Hälfte ihrer Einnahmen ein. So manche Firma müsse infolge eines Cyber­angriffs sogar Insolvenz anmelden, sagt der Experte. „Doch viele Unternehmen sehen Cyber­angriffe noch immer nicht als existenzielle Bedrohung an.“

230.000 Euro

betrug im zweiten Quartal 2022 laut dem IT-Unternehmen Coveware im Schnitt das Lösegeld bei Ransomware-Angriffen

117 Mio.

neue Schadprogramm- Varianten zählte das BSI von Mitte 2021 bis Mitte 2022

Leverett beziffert das Risiko, Opfer eines Ransomware-Angriffs zu werden, auf sechs Prozent pro Jahr – mit der Zeit ist also fast jeder einmal dran. Aber die Gefahr werde systematisch unterschätzt. Viele Unternehmer dächten, es gebe ja keinen Grund, sie anzugreifen, sie machten ja nichts Besonderes. Dabei erfolge die Mehrheit der Angriffe nicht gezielt.

Umstritten ist, ob Versicherungen auch Lösegelder übernehmen sollten, wenn es Angreifern gelingt, Daten zu verschlüsseln. „Manche tun das, weil sie glauben, dass es billiger ist“, sagt Leverett. Es erscheint also einfacher, als Back-ups zu nutzen. Er selbst rät davon aber ab. Zum einen gelinge die Entschlüsselung nicht immer einwand­frei. Zum anderen sei das problematisch: Lösegeld zu zahlen „stärkt das Geschäfts­modell der Kriminellen“.

Und das lockt Nachahmer an. Schon jetzt beziffert der Bitkom den Schaden durch Cyberattacken, Sabotage und Spionage für Unternehmen in Deutschland auf mehr als 200 Milliarden Euro pro Jahr. Laut der Bitkom-Expertin Simran Mann sind das Ausmaße, „die Versicherungen nicht alleine tragen können“.

Viele Versicherer erhöhen deswegen die Auflagen für Kunden. Ob das die Sicherheits­lage immer verbessert, ist umstritten. Der Sicherheits­forscher Leverett erklärt das gern an einem Beispiel: Angenommen, eine Police kostet 1000 Euro pro Jahr und bietet 200 Euro Rabatt, wenn der Kunde sein Netzwerk segmentiert, also verschiedene Bereiche der IT voneinander trennt. Dann könnten sich Viren zwar nicht mehr ungehindert ausbreiten, allerdings kostet eine solche Segmentierung mehr, als der Rabatt einspart. Ein solches Angebot könne also den falschen Anreiz setzen, lieber etwas mehr für die Versicherung zu bezahlen, als die eigenen Netze sicherer zu machen.

Viele Versicherer wollen außerdem nur noch Policen verkaufen, die Schäden ausschließen, die von staatlichen Hackern verursacht werden. Und gerade die sind häufig sehr gut darin, starke Sicherheits­maßnahmen zu umgehen. Außerdem sind damit Streitigkeiten vorprogrammiert.

Das Gericht in New Jersey, vor dem sich der Pharmakonzern Merck mit seinem Versicherer Ace American streitet, hat die Frage offengelassen, ob ein Angriff wie NotPetya ein kriegerischer Akt ist. Aber es hat darauf hingewiesen, dass Versicherungen ihre Ausschlüsse zeit­gemäßer definieren müssen. Merck habe gute Gründe gehabt, anzunehmen, dass der Ausschluss nur für die traditionelle Form der Kriegs­führung gelte. Am Ende könnte das Merck retten. Andere Unternehmen dürften damit aber nicht mehr durchkommen – dafür ist der Cyberkrieg schon zu lange traurige Wirklichkeit.