Vorsicht, Falle
ZEIT RedaktionViele Firmen unterschätzen das Risiko und die Kosten eines Hackerangriffs. Doch eine Cyberversicherung kann sogar falsche Anreize setzen.
Redaktioneller Beitrag aus: „ZEIT für Unternehmer Ausgabe 4/2022.“ Geschäftspartner der ZEIT Verlagsgruppe haben auf die journalistischen Inhalte der ZEIT Redaktion keinerlei Einfluss.
Eigentlich hatte der amerikanische Pharmakonzern Merck & Co. sein Risiko, von Hackern angegriffen zu werden, gut kalkuliert und sich früh zu schützen versucht. Seine Cyberversicherung deckte entsprechende Schäden bis zu 1,75 Milliarden Dollar ab. Aber nun streitet das Unternehmen seit mehr als fünf Jahren mit seinem Versicherer um die Übernahme eines Schadens in Höhe von 1,4 Milliarden Euro – entstanden durch Produktionsausfälle, die nötige Wiederherstellung der IT-Systeme und den Ersatz beschädigter Computer. Kurz: Es geht um die Folgen eines Digital-Infernos.
Entfacht hatte es ein Virus, das Sicherheitsforscher auf den Namen NotPetya getauft hatten, um es von einem scheinbar ähnlichen Virus namens Petya abzugrenzen. Im Jahr 2017 hatte NotPetya die Systeme von Merck infiziert. Später wurde es von IT-Sicherheitsexperten dem russischen Geheimdienst zugeordnet; es sollte wohl Firmen in der Ukraine treffen.
Und genau das ist der Grund für den jahrelangen Streit. Denn Ace American, der Versicherer von Merck, beruft sich darauf, dass seine Police zwar „alle Risiken“ abdecke, aber eben genau eines ausschließe: „Verlust oder Schaden, verursacht durch feindselige oder kriegerische Aktionen“. Und NotPetya sei nun mal eine Waffe Russlands im Konflikt mit der Ukraine gewesen, weshalb die Police nicht greife. Merck sieht das anders und klagt seither. Im Januar dieses Jahres hat das Unternehmen zwar vor einem hohen Gericht in New Jersey recht bekommen, aber Ace American wollte das nicht akzeptieren, und so beschäftigt sich nun die nächste Instanz mit dem Konflikt.
Solche Streitigkeiten könnten künftig viele Unternehmen jahrelang beschäftigen. Denn entsprechende Ausschlüsse befinden sich in vielen Versicherungspolicen, und mit dem Angriffskrieg Russlands auf die Ukraine sind auch entsprechende digitale Kollateralschäden des Konflikts noch wahrscheinlicher geworden. Schon kurz nach dem Überfall Russlands hat der Bundesverfassungsschutz die Wirtschaft in einem „Sicherheitshinweis“ eindringlich gewarnt: Deutsche Unternehmen könnten nicht nur direkt, sondern auch indirekt zu Zielen werden. Angesichts der »großen Zahl von Akteuren, die sich aufseiten beider Konfliktparteien engagieren«, sei mit „Kollateralschäden“ zu rechnen.
Auch das Bundesamt für Sicherheit in der Informationstechnik warnt in seinem neuen Lagebericht vor „Kollateralschäden bei Cyber-Sabotage-Angriffen“ und verweist beispielhaft auf die Attacke auf den Satellitendienst KA-SAT kurz nach Kriegsbeginn – in dessen Folge nicht nur die Kommunikation der ukrainischen Armee gestört wurde, sondern auch 5800 Windenergieanlagen in Europa nicht mehr per Fernwartung erreichbar waren.
Dazu kommt ein weiteres Problem: „Die Grenze zwischen staatlichen und nichtstaatlichen Akteuren verschwimmt“, sagt Simran Mann, Referentin für Sicherheitspolitik beim Digitalverband Bitkom. „Es ist nicht immer einfach zu sagen, ob ein Angriff im Rahmen einer kriegerischen Auseinandersetzung stattfindet oder ob er schlicht kriminelle Hintergründe hat.“
Doch nicht nur Klauseln zu Kriegsausschlüssen stifteten Verwirrung, sagt der Sicherheitsforscher Éireann Leverett, der unter anderem am Center for Risk Studies der University of Cambridge zu Risiken durch Hackerangriffe geforscht hat und inzwischen Cyberversicherer berät. Auch die anderen Vertragsbedingungen sollten Unternehmen genau prüfen, warnt er: „Viele lesen das Kleingedruckte nicht.“
Unterschiedliche Versicherungsbedingungen
Verlangt eine Versicherung darin beispielsweise, dass der Kunde eine Zwei-Faktor-Authentifizierung einsetzt, um unerwünschte Eindringlinge abzuhalten, müsse der das im Schadensfall auch nachweisen können. Kommt nach einer Attacke heraus, dass eine solche Sicherheitsmaßnahme nicht oder nur lückenhaft umgesetzt wurde, können Unternehmen auf ihrem Schaden sitzen bleiben.
Das Gleiche gilt, wenn Versicherer Anti-Phishing-Trainings bei ihren Kunden zur Bedingung machen. Angestellte sollen so lernen, sogenannte Phishing-Mails zu erkennen, die vertrauenerweckend aussehen, aber kleine Programme enthalten, die ihre Daten ausspionieren. Wie viel diese Trainings wirklich bringen, ist unter Experten zwar strittig. Sie wegzulassen kann aber bedeuten, dass der Versicherer im Schadensfall nicht zahlt.
„Man sollte solche Ausschlüsse überprüfen und überlegen, ob sie für die eigene Situation sinnvoll sind“, rät Leverett. Außerdem sollten Unternehmen die Formulare detailliert ausfüllen, in denen Versicherer die Schutzmaßnahmen abfragen.
Doch nicht nur die Versicherungsbedingungen sind verschieden, der gesamte Markt ist auch noch unübersichtlich. Vergleichsportale wie für Haftpflichtversicherungen gibt es bisher nicht.
Leverett warnt außerdem vor Missverständnissen: „Es ist falsch, davon auszugehen, dass ein Versicherer den ganzen Schaden bezahlt.“ Dafür gebe es gute Gründe. Würde die Versicherung den ganzen Schaden abdecken, könnten sich Unternehmen in falscher Sicherheit wiegen. Ohnehin reiche die vereinbarte Höchstsumme in vielen Fällen nicht für den gesamten Schaden aus, weil Unternehmen die Kosten einer Cyberattacke meist unterschätzten. Leverett rät: „Anstatt davon auszugehen, dass die Versicherung alle Kosten trägt, sollte man ein eigenes aktives Sicherheitsteam haben.“
Kürzlich hat der Sicherheitsforscher eine Anwaltskanzlei nach einem Cyberangriff begleitet und erlebt, wie kostspielig es sein kann, die Folgen einer Hackerattacke zu unterschätzen. Die Kanzlei wurde mit Ransomware angegriffen, zu Deutsch: Erpressungssoftware. Diese Programme schleichen sich in die Systeme ihres Opfers und verschlüsseln alle Daten, die sie finden können. Um sie entschlüsseln zu können, muss der Eigentümer ein Lösegeld zahlen.
Die Kanzlei hatte nach dem Angriff keinen Zugriff mehr auf die eigenen Daten und Systeme. Allerdings waren einige Back-ups vorhanden. Und so gingen die Inhaber der Kanzlei davon aus, die Daten ließen sich schnell wiederherstellen – ohne das Lösegeld zu bezahlen. „Es hat aber fast zwei Monate gedauert, bis die Kanzlei wieder richtig arbeiten konnte“, sagt Leverett. Er rät Unternehmen deswegen, testweise durchzuspielen, wie sich Server mit Back-ups wiederherstellen lassen. Wenn dabei Probleme auftauchen, sollte man die vor dem Ernstfall beheben.
Viele Unternehmer unterschätzen die Gefahr
Laut Everett büßte die Kanzlei in diesem Jahr die Hälfte ihrer Einnahmen ein. So manche Firma müsse infolge eines Cyberangriffs sogar Insolvenz anmelden, sagt der Experte. „Doch viele Unternehmen sehen Cyberangriffe noch immer nicht als existenzielle Bedrohung an.“
230.000 Euro
betrug im zweiten Quartal 2022 laut dem IT-Unternehmen Coveware im Schnitt das Lösegeld bei Ransomware-Angriffen
117 Mio.
neue Schadprogramm- Varianten zählte das BSI von Mitte 2021 bis Mitte 2022
Leverett beziffert das Risiko, Opfer eines Ransomware-Angriffs zu werden, auf sechs Prozent pro Jahr – mit der Zeit ist also fast jeder einmal dran. Aber die Gefahr werde systematisch unterschätzt. Viele Unternehmer dächten, es gebe ja keinen Grund, sie anzugreifen, sie machten ja nichts Besonderes. Dabei erfolge die Mehrheit der Angriffe nicht gezielt.
Umstritten ist, ob Versicherungen auch Lösegelder übernehmen sollten, wenn es Angreifern gelingt, Daten zu verschlüsseln. „Manche tun das, weil sie glauben, dass es billiger ist“, sagt Leverett. Es erscheint also einfacher, als Back-ups zu nutzen. Er selbst rät davon aber ab. Zum einen gelinge die Entschlüsselung nicht immer einwandfrei. Zum anderen sei das problematisch: Lösegeld zu zahlen „stärkt das Geschäftsmodell der Kriminellen“.
Und das lockt Nachahmer an. Schon jetzt beziffert der Bitkom den Schaden durch Cyberattacken, Sabotage und Spionage für Unternehmen in Deutschland auf mehr als 200 Milliarden Euro pro Jahr. Laut der Bitkom-Expertin Simran Mann sind das Ausmaße, „die Versicherungen nicht alleine tragen können“.
Viele Versicherer erhöhen deswegen die Auflagen für Kunden. Ob das die Sicherheitslage immer verbessert, ist umstritten. Der Sicherheitsforscher Leverett erklärt das gern an einem Beispiel: Angenommen, eine Police kostet 1000 Euro pro Jahr und bietet 200 Euro Rabatt, wenn der Kunde sein Netzwerk segmentiert, also verschiedene Bereiche der IT voneinander trennt. Dann könnten sich Viren zwar nicht mehr ungehindert ausbreiten, allerdings kostet eine solche Segmentierung mehr, als der Rabatt einspart. Ein solches Angebot könne also den falschen Anreiz setzen, lieber etwas mehr für die Versicherung zu bezahlen, als die eigenen Netze sicherer zu machen.
Viele Versicherer wollen außerdem nur noch Policen verkaufen, die Schäden ausschließen, die von staatlichen Hackern verursacht werden. Und gerade die sind häufig sehr gut darin, starke Sicherheitsmaßnahmen zu umgehen. Außerdem sind damit Streitigkeiten vorprogrammiert.
Das Gericht in New Jersey, vor dem sich der Pharmakonzern Merck mit seinem Versicherer Ace American streitet, hat die Frage offengelassen, ob ein Angriff wie NotPetya ein kriegerischer Akt ist. Aber es hat darauf hingewiesen, dass Versicherungen ihre Ausschlüsse zeitgemäßer definieren müssen. Merck habe gute Gründe gehabt, anzunehmen, dass der Ausschluss nur für die traditionelle Form der Kriegsführung gelte. Am Ende könnte das Merck retten. Andere Unternehmen dürften damit aber nicht mehr durchkommen – dafür ist der Cyberkrieg schon zu lange traurige Wirklichkeit.