Untragbar für Versicherungen: Ransomeware-Attacken erreichen Schäden in Milliardenhöhe

Rund um den Globus wird eine lawinenartige Zunahme von Ransomeware-Angriffen auf die IT von Unternehmen vermeldet. Sind diese erfolgreich, werden Dienstleistungen und Produktion häufig zum Stillstand gebracht. Inzwischen geben sich die Hacker nicht mehr mit einem einfachen Lösegeld zufrieden, ihre Opfer werden mit Forderungen in Millionenhöhe erpresst.

Die Zahl der angegriffenen Nutzer zwischen 2019 und 2020 sank laut einer Pressemitteilung von Kaspersky weltweit um fast ein Drittel von 1’537’465 auf 1’091’454. Eigentlich klingt diese Entwicklung also erfreulich – eigentlich. Zeitgleich wurde jedoch ein unglaublicher Anstieg um fast das Achtfache bei zielgerichteten Ransomeware-Attacken verzeichnet. Neben Unternehmen werden unter anderem ganze Gesundheitssysteme, Behörden und Gemeinden angegriffen. Die Forderungen der Erpresser kennen dabei keine Grenzen mehr. In Europa waren nur gerade 13 Prozent der Opfer in der Lage, alle ihre verschlüsselten Daten wiederherzustellen – unabhängig davon, ob sie das Lösegeld bezahlten oder nicht. 20 Prozent verloren sogar fast alle Daten. 

Was so ein plötzlicher Datenausfall, wie in den USA geschehen, zum Beispiel für den aktuellen Betrieb eines Spitals bedeutet, schlägt sich nicht nur in den Finanzen nieder, sondern führt zu schwersten gesundheitlichen Folgen für die Patient*innen bis hin zu Todesfällen auflisten.   

Das vergangene, krisengefärbte Jahr wurde demnach auch von den Erpresser*innen ausgenutzt. 2020 musste insbesondere das Gesundheitswesen daran glauben, wurde gar am häufigsten Ziel von Ransomware. Dabei gingen die Ransomware-Betreiber*innen bei ihren Angriffen äusserst unverfroren vor und stellten enorme Forderungen. Sie waren sich bewusst, dass gerade Organisationen im Gesundheitsbereich ihren Betrieb aufrechterhalten mussten, um Covid-19-Patient*innen zu behandeln und Leben zu retten. Kliniken konnten es sich zu keinem Zeitpunkt leisten, auf ihre Systeme und sämtliche Patientendaten zu verzichten. Die Frage war: Was ist wichtiger, Leben oder Geld?

Zahlung von Lösegeld bietet keine Garantie

Der ausschlaggebende Grund, warum sich erpresste Unternehmen für Lösegeldzahlungen entschieden, war bisher, dass die Wiederherstellungskosten meist noch höher waren als die Lösegeldforderung selbst. Wer aber dachte, dass mit einer Überweisung – meist in Bitcoin – alles wieder in Ordnung sei, der irrte. Die Anzahl der Organisationen, welche auf die Erpressungen eingingen, stieg weltweit von 26 auf 32 Prozent. Aber nur gerade acht Prozent der Firmen, Institutionen und selbst NGOs, die Lösegeld zahlten, hatten Erfolg. Ein Drittel (29 Prozent) erhielt ausschliesslich die Hälfte der verschlüsselten Daten zurück. Und sowohl die Zahl der Blackmail-Attacken, wie deren Professionalität und Forderungen, kennt heute keine Grenzen mehr.  

Lösegeld-Angriffe in der Schweiz

Wie thebroker bereits im Februar berichtete wurde der Schweizer Uhrenkonzern Swatch im September des vergangenen Jahres Opfer von Hackern. Dass ein Mitarbeiter unvorsichtigerweise einen harmlos scheinenden USB-Stick an einen Unternehmenscomputer in den Vereinigten Staaten angeschlossen und damit ungewollt einen Virus eingeschleust hat, ist inzwischen umstritten. Dieser Cyberangriff, von dem auch die Swatch-Tochter Omega betroffen war, richtete beim Uhrenhersteller enormen Schaden an. Über dessen Höhe und wie der Angriff nach rund zwei Wochen konkret aus der Welt geschafft werden konnte, schweigt der Konzern.

Anfang Juli legte eine Trojaner-Attacke auf die Website des Vergleichsdienst Comparis den ganzen Betrieb lahm. Dabei wurden die Daten des Dienstes mit Ransomeware verschlüsselte. Wie Comparis nach einer ersten Entwarnung nun an alle seine Kunden schreibt, seien verschiedene IT-Systeme der Comparis-Gruppe blockiert worden. Die Täterschaft habe Zugang zu kundenrelevante Daten erhalten, wie zum Beispiel E-Mailadressen. Kund*innen, die einen Account bei Comparis hätten, würden nun in einer E-Mail dringend aufgefordert, ihr Passwort zu ändern. Falls Kundendaten betroffen seien, könne Comparis nicht ausschliessen, dass diese von Dritten für kommerzielle oder betrügerische Zwecke verwendet würden. Der Lösegeldforderung von 400’000 US-Dollar sei Comparis nicht nachgekommen – heisst es. Allfällige Zahlungen werden in aller Regel überall abgestritten. Die Betroffenen geben sich, wie in solchen Fällen üblich, äusserst bedeckt und verweisen gebetsmühlenartig auf ihre Anzeigen gegen Unbekannt.

… und in den USA?

Die Vereinigten Staaten stehen derzeit besonders im Rampenlicht. Erst vor Kurzem fand ein Ransomeware-Angriff auf das amerikanische IT-Unternehmen Kaseya statt, welches rund 1 000 Unternehmen auf der ganzen Welt betraf. Die schwedische Supermarkt-Kette Coop musste sämtliche ihrer 800 Läden schliessen. Es wird vermutet, dass die russische Gruppe REvil hinter dem Angriff steckt. In einer Nachricht im Darknet wurde die Forderung nach 70 Millionen US-Dollar für die Entschlüsselung der Daten gestellt. Die Hacker sollen in die Server des Unternehmens eingedrungen sein, indem sie eine Sicherheitslücke in deren Software ausnutzten. Coop-Erpresser «REvil» ist gemäss FBI bereits für die Attacke auf die US-Tochter des brasilianischen Fleischkonzerns JBS im Juni 2021 schuld. Dies führte dazu, dass fünf der grössten Produktionswerke des weltweit grössten Fleischkonzerns zeitweise stillgelegt werden mussten. Die geforderten 11 Millionen US-Dollar in Bitcoins wurden an die Erpresser*innen bezahlt.

Weit über 100 Millionen US-Dollar verlangten Cyber-Kriminelle diesen Mai nach der Lahmlegung der grössten Ölpipeline im Osten der USA. Der Angriff, von dem auch das US-Militär betroffen war, führte vorübergehend zu den höchsten Benzinpreisen Nordamerikas aller Zeiten, die Regierung rief den regionalen Ausnahmezustand aus. Ein hoher zweistelliger Millionenbetrag soll den russischen Hackern DarkSide, die sich offen zur Tat bekennen, trotzdem überwiesen worden sein.      

Zunahme von Ransomeware in Schweizer KMUs und Grosskonzernen

Einer der Gründe für die massive Zunahme von Cyber-Angriffen auch in der Schweiz, liegt laut Swisscom darin, dass die Mitarbeitenden nicht mehr vorwiegend innerhalb des Firmennetzes, sondern im Homeoffice arbeiten. Viele Unternehmen überführen und speichern ihre Daten in einer Cloud, was viele Vorteile mit sich bringt. Leider vereinfacht diese Lösung auch die Arbeit der Hacker. Da die Systeme und Applikationen nicht mehr nur über das gut abgesicherte Firmennetzwerk erreichbar sind, liegt gerade hier die grosse Herausforderung. Spezialist*innen sind nun mit dem Ausbau verschiedenster Arten von Firewalls und Schutzsystemen gefordert: im Firmennetz genauso wie in der Cloud – ein Rennen gegen die Zeit und gegen eine mittlerweile sehr finanzstarken Täterschaft.

Die Angriffsflächen und neue Schwachstellen vergrössern sich heute aufgrund der zunehmenden Vernetzung, der Nutzung von Cloud-Diensten und der Vielfalt von Endpoints. Folglich muss sich auch die Cybersicherheit transformieren, um den neuen Herausforderungen situationsgerecht und entschieden begegnen zu können. 

Zu grosse Risiken für Versicherungen: AXA Frankreich zieht die Reissleine

Eines der weltweit grössten Cyberrisk-Versicherer AXA Frankreich hat offiziell bekannt gegeben, dass es ab sofort auf Weisung der französischen Regierung keine Cyber-Versicherungspolicen mehr verkauft, welche Ransomeware-Opfern Lösegeld zahlen sollen. «Bei der AXA Schweiz ist die Lösegeld-Erstattung als Teil einer umfassenden Cyberdeckung als Zusatzdeckung auf ausdrücklichen Kundenwunsch weiterhin versicherbar», sagt Simona Altwegg, Kommunikation AXA Schweiz, auf Anfrage. Auch in Grossbritannien und den USA arbeiten Politiker*innen und Expert*innen an einem Verbot von Ransomeware-Versicherungen. Aus kleinen Erpressungsversuchen von Amateurhackern in der Vergangenheit ist in kürzester Zeit ein Milliardenverbrechen von schwerst kriminellen, hoch qualifizierten Fachleuten geworden.

Angesichts des sich schnell ändernden Umfelds ist AXA Schweiz bestrebt, zusammen mit allen beteiligten Stakeholdern wie Kunden, Broker, Aufsichtsbehörden, Strafverfolgungsbehörden und Cybersicherheitsexperten geeignete Schutzmassnahmen und Strategien zu finden, die das Risiko von Cyber-Attacken reduzieren. Der Versicherer bietet zudem einen Cyber-Präventionsservice für Unternehmen an, welcher aus einer digitalen Lernplattform sowie einer IT-Security-Plattform besteht. Die Lernplattform bietet regelmässige Schulungen für Mitarbeitende und dient der Sensibilisierung für die Gefahren von Cyberattacken.

Der Versicherungsriese Axa zählt zu den grössten Cyberversicherern weltweit. Und musste selbst im Mai einen Schadsoftware-Angriff in Thailand einräumen. IT-Operationen in Thailand, Malaysia, Hongkong und auf den Philippinen waren betroffen.

Schweizer Versicherungen beteiligen sich noch begrenzt an Lösegeldzahlungen

Laut IT-Markt sind bei den meisten Cyberversicherern, so bei Allianz Suisse, Baloise, Zurich und dem Broker RMS Risk Management Service, die Lösegeldzahlungen versichert. Dies gilt jedoch nur, wenn vorgängig alle möglichen Optionen evaluiert wurden. In der Regel sind Zahlungen bis zur Hälfte der gewählten Versicherungssumme gedeckt. Bei der Baloise können Kunde*innen die Sublimite auf bis zu 50 000 Franken festlegen. Zurich übernimmt Lösegelder gerade noch bis maximal 25 Prozent der Versicherungssumme. Alle drei Versicherer zahlen lediglich in Ausnahmefällen. Bei der Cyber Versicherung von RMS/Lloyd’s können maximal fünf Millionen Franken versichert werden. Für die Deckung «Cyber-Erpressung und Lösegeld» gilt eine 20-prozentige Sublimite. Die Mobiliar hingegen zahlt gar keine Lösegeldzahlungen.

Versicherungskonzerne beliebt bei Lösegelderpressern

Wie die Sonntagszeitung in ihrer aktuellen Ausgabe schreibt, wurden alleine in den vergangenen Wochen in den USA drei Versicherungsbroker Opfer von Cyberattacken. Darunter war die CNA in Chicago, einer der grössten Versicherer der USA. Der Versicherer zahlte 40 Millionen Dollar an die Erpresser. Interessant, hat der US-Konzern selbst Cyberversicherungen in seinem Portefeuille. Im Mai dieses Jahres wurde auch die AXA Opfer einer Malware-Attacke in Thailand. Betroffen waren IT-Operationen in Thailand, Malaysia, Honkong und den Philippinen.

Ransomware: Das grösste Wirtschaftsverbrechen aller Zeiten?

Wie anfällig IT-Systeme sind, zeigt das jüngste Beispiel des Ausfalls der Notrufnummern bei der Swisscom. Im grössten Teil der Schweiz waren die Nummern 112, 117, 118 und 144 betroffen. Als Grund nannte die Swisscom ein Fehlverhalten innerhalb eines Data-Center-Netzwerks der Business VoIP Plattform. Sollte es doch ein Cyber-Angriff gewesen sein, würde dies nie zugegeben werden, eventuelle Zahlungen solcher ohnehin nicht. 

Eines steht fest: Inzwischen ist Cyber-Kriminalität zur grössten Gefahr der globalen Wirtschaft geworden und steht weltweit mit Abstand an der Spitze aller Finanz-Verbrechen. 

Die Versicherungen können solche Schäden alleine unmöglich decken.  

Binci Heeb