In einem offenen Brief fordern IT-Wissenschaftler, die Bundesregierung solle unterbinden, dass Versicherer Lösegeldzahlungen bei Cyber-Angriffen übernehmen. So heißt es dazu: „Die Zahlung von Lösegeld ist für das einzelne Unternehmen nicht nur finanziell günstiger, sie lässt sich über sogenannte Cyber-Versicherungen mittlerweile auch recht bequem im Jahresbudget einplanen. Rund 80% der von Sophos befragten Unternehmen sind gegen Ransomware-Angriffe versichert. Ein Großteil der Versicherer zahlt hierbei neben Wiederherstellungsmaßnahmen unter Umständen auch das geforderte Lösegeld, sofern sich hierdurch der Schaden für das Unternehmen minimieren lässt.“

Anzeige

Doch das will Ole Sieverding, Geschäftsführer von CyberDirekt, so nicht stehenlassen: „Unsere Schadenerfahrung als auf Cyberversicherungen spezialisiertes Versicherungsmaklerhaus deckt sich nicht mit den Antworten der befragten IT-Experten aus 31 Ländern der Sophos Studie“, so der Cyber-Experte.

Laut Sieverding sind Lösegeld-Zahlungen eher bei solchen Unternehmen verbreitet, die keine Cyberversicherung abgeschlossen haben. Verantwortlich dafür ist eine Kombination aus Entscheidungsdruck, Überforderung und dem Willen, die Kontrolle über die Lage zurückzugewinnen. Unversicherte Organisationen seien deutlich schneller bereit, auf Lösegeldforderungen einzugehen, so die Erfahrung von Sieverding.

Anzeige

Im Schadenfall spiele sich der immanente Wert der Cyber-Krisenhotlines der Versicherer aus, so Sieverding. Über Incidence Response durch erfahrene IT- und Krisenberatende werde versucht, schnell und pragmatisch die Kontrolle über die Krisensituation zurückerlangen, schildert Sieverding. Zudem würden alle technischen und manuellen Möglichkeiten zur Datenwiederherstellung geprüft, um die betroffenen Systeme wieder in den Regelbetrieb zu kommen.

Herausforderung in der Praxis: Aufklärung statt Preis

„Parallel wird mit einem Geschäftsfortführungsplan ein Notbetrieb eingerichtet, um weiterhin erreichbar zu sein und Schaden möglichst abzuwenden. Hier sitzen Versicherer und versichertes Unternehmen in einem Boot und haben kongruent maximales Interesse an möglichst effizienter Schadenminderung“, so Sieverding.

Im offenen Brief heißt es auch, die Bundesregierung solle solche Versicherungen fördern, „die die verursachten Umsatzeinbußen und Wiederherstellungsmaßnahmen absichern.“

Anzeige

Ein Leistungsbaustein, den bereits heute alle gängigen Cyberversicherungen decken, weiß Sieverding. „Die Zahlung von Lösegeld hingegen ist oft optional und durch die Auflagen der BaFin bereits mit weiteren Verpflichtungen verknüpft. In der Praxis sehen wir allerdings auch, dass Entscheiderinnen und Entscheider oft die Deckung inklusive Lösegeldzahlung nehmen, bzw. dies oft sogar ein Hauptkaufgrund ist. Diesen Organisationen wird mit der heutigen Cyberversicherung in einer Cyber-Krise massiv geholfen, was in der Regel genau dazu führt, dass am Ende nicht auf die Lösegeldzahlung der Angreifenden eingegangen werden muss, sondern ein alternativer Weg gefunden wird“, berichtet Sieverding aus der Praxis.

Anders als im Brief an die Bundesregierung dargestellt, seien Cyber-Versicherungen ab 300 Euro Jahresbeitrag gerade für kleine Unternehmen erschwinglich, so Sieverding. „Die Herausforderung, mit der wir in der Praxis kämpfen, ist viel weniger ein zu hoher Preis, als die Aufklärung über die Funktionsweise und Vorteile so einer Absicherung. Die Unternehmen, denen wir das Konzept erklären konnten, sichern sich danach auch in der überwiegenden Mehrzahl über uns gegen Cyber-Angriffe ab.”

Seite 1/2/