Mehr IT-Attacken auf Banken & Versicherungen: Die Hintergründe

Ein Artikel von Marc Wilczek, COO Link11 | 28.06.2022 - 10:09

Die weltweite Bedrohung durch Cyber-Attacken auf Unternehmen, Organisationen und staatliche Institutionen nimmt stark zu – sowohl in Bezug auf Qualität, Quantität und verursachten Schaden. Die wirtschaftlichen Schäden betrugen dabei 2018/19 beispielsweise 103 Milliarden Euro und haben sich laut BITKOM in 2020/21 auf 223 Milliarden Euro mehr als verdoppelt. Zudem „verbesserten“ die Kontakt- und Mobilitätseinschränkungen im Zuge der Corona-Pandemie die Rahmenbedingungen für Cyberkriminelle.

Neben dem BSI warnen angesichts des Krieges in der Ukraine das Bundesamt für Verfassungsschutz und die BaFin vor einer erhöhten Gefahr von Cyberangriffen auf deutsche Unternehmen und Finanzdienstleister. Dieser enormen Gefahr stehen sie zunehmend schutz- und hilflos gegenüber. Denn Versicherer schließen nicht nur immer mehr Risikofaktoren wie beispielsweise “Cyberwarfare” aus und begrenzen ihre Deckungssummen. Auch Ansprüche an die betriebliche IT-Sicherheit werden erhöht oder sich komplett aus dem Cyber-Geschäft zurückgezogen. Fakt ist: Die Schäden, die jährlich durch Cyberattacken entstehen, wachsen immer mehr – und damit auch die Anforderungen an die Versicherer. 

Boom der Kryptowährungen rief Kriminelle auf den Plan

Ransomware-Attacke-Petya-Cyberversicherung.jpg

© This content is subject to copyright.

Ein trauriger Spitzenwert der letzten Tage: Die US-amerikanische Kryptoplattform Beanstalk verlor 182 Millionen US-Dollar durch eine einzige Hacker-Attacke, die lediglich 13 Sekunden lang dauerte. Im ersten Quartal 2022 wurden laut Atlas VPN alleine von Blockchain-Hackern weltweit der Gegenwert von rund 1,3 Milliarden US-Dollar erbeutet. Die Dunkelziffer mag allerdings wesentlich höher liegen, da die von der Plattform Slowmist veröffentlichten Zahlen auf Informationen über bereits dokumentierte Angriffe beruhen.

Gleichzeitig sind in den letzten Jahren DDoS-Angriffe in die Höhe geschnellt. Die im Link11 DDoS-Report dokumentierten DDoS-Attacken sind von 2019 bis 2021 um 149 Prozent gestiegen. Insbesondere DDoS-Erpressungswellen sind laut dem „Bundeslagebild Cybercrime 2021“ des Bundeskriminalamts auf dem Vormarsch. Dabei werden Unternehmen und Organisationen entweder unter Androhung von DDoS-Angriffen direkt mit konkreten Lösegeldforderungen konfrontiert oder aber diese tauchen als sogenannte „Double Extortion“ oder “Triple Extortion“ auf.

Damit flankieren sie oftmals Ransomware-Angriffe, um den Lösegeldforderungen weiteren Nachdruck zu verleihen. Gleichzeitig wuchs dabei die Schadensquote überproportional an. Diese umfasst nicht nur finanzielle Verluste durch Betriebsunterbrechungen, Produktivitätseinbußen, Ertragsausfall oder Lösegeldforderungen. Erheblichen Schaden verursachen branchenübergreifend auch Wiederherstellungskosten, Reputationsschäden sowie die Kosten der Rechtsverfolgung und -verteidigung bei Datenschutzverletzungen.

Nicht nur die kritische Infrastruktur ist im Visier der Hacker

Bereits vor dem Angriff der russischen Truppen auf die Ukraine nahmen die Attacken im Cyberraum auf die Betreiber von kritischen Infrastrukturen in unterschiedlichen Ländern zu. Im Fadenkreuz standen und stehen unter anderen Finanz- und Energie-Unternehmen, Behörden, Systeme zur Steuerung von Versorgungsnetzen oder Industriebetriebe, die rüstungsrelevante Produkte herstellen. Nichtsdestotrotz wächst auch die Gefahr jenseits von Branchen- und Ländergrenzen an.

Die Assekuranz-Konzerne reagieren auf die wachsenden Schadenshöhen und -fälle entweder mit Prämienerhöhungen (Experten rechnen 2022 mit einem Zuwachs von durchschnittlich 30 bis 40 Prozent für Unternehmen, die über ein angemessenes IT-Sicherheitsniveau verfügen), klammern Risiken wie Betriebsunterbrechungsschäden nach Cyber-Erpressungen kategorisch aus. Das gilt ebenso für die Cyberkriegsführung, die üblicherweise zum Haftungsausschluss der Versicherer führt. Darüber hinaus überlassen sie den wenig lukrativ Markt lieber gleich ihren Mitbewerbern. Die verfügbaren Deckungssummen werden sich wohl nur noch im Bereich von fünf bis 15 Millionen Euro bewegen. Wer kein akzeptables Sicherheitslevel erreicht, steht im schlimmsten Fall komplett ohne Versicherungsschutz dar.

Im IT-Stresstest: Ausmaße der Cyberattacken stellen Effektivität der Cyber-Policen in Frage

Marc Wilczek_Link11.jpg

Autor: Marc Wilczek ist als Geschäftsführer bei Link11 für die strategische Geschäftsentwicklung, Wachstumsinitiativen sowie für Marketing und Vertrieb verantwortlich. Neben Managementfunktionen innerhalb des Deutsche Telekom Konzerns war er zuvor als Senior Vice President Asien-Pazifik/Lateinamerika/Naher Osten und Afrika beim eHealth-Konzern CompuGroup Medical tätig und leitete u.a. das Asiengeschäft beim IT-Sicherheitsexperten Utimaco Safeware (heute Sophos). © Sunita Benzing Photography

Für einige Beteiligte geht es um sehr viel Geld. Daher ist die Wahrscheinlichkeit relativ hoch, dass solche Fragen letztlich juristisch entschieden werden. Vieles bleibt vage und Auslegungssache. Im besten Fall kommt das Geld zumindest teilweise zurück - das Vertrauen jedoch nicht. Es ist ein schwieriger und langwieriger Prozess, das verlorengegangene Vertrauen wieder zurückzugewinnen. Das Internet etwa vergisst nichts und wird zunächst gezahlt, können womöglich die Angreifer noch einmal zurückkommen.

Logischerweise kann eine Versicherung all dies nicht verhindern. Im Gegenteil: Schlimmstenfalls sorgt eine Cyber-Versicherung sogar dafür, dass sich das Unternehmen fälschlicherweise in Sicherheit wiegt, und dadurch fahrlässig mit der eigenen IT-Security umgeht.

Das Anforderungsprofil an den gesamten Versicherungsmarkt ist um vieles anspruchsvoller geworden, denn inzwischen agieren Cyberkriminelle deutlich ausgeklügelter. Eine Herausforderung für alle und zweifelsohne kann wirkliche Sicherheit nur eine gute Cybersecurity leisten. Eine IT-Sicherheit, die immer auf dem neuesten Stand gehalten wird und auch kleinste Anzeichen für Cyberangriffe erkennt. Das Ziel muss es sein, es den Hackern so schwer wie möglich zu machen.

Unternehmen müssen ihre IT noch umfassender schützen

Cyber-Security-Verantwortliche in Unternehmen und Organisationen stehen nun vor der großen Herausforderung, die IT-Sicherheit einerseits auf ein Level zu heben, das von den sensibilisierten Versicherern noch als absolutes Minimum akzeptiert wird. Andererseits sollte das Schutzniveau aber auch Schäden verhindern, die über die Deckungssummen der Versicherungspolicen hinausgehen. Ansonsten drohen existenzkritische Schäden, die die Zukunft des Unternehmens bedrohen. Um eine entsprechend robuste IT-Infrastruktur aufstellen zu können, müssen im ersten Schritt geschäftskritische Assets wie Netze, Server, Middleware, APIs und Applikationen identifiziert werden.

IT-Landschaften werden aufgrund hybrider Infrastrukturen und Multi-Cloud-Anwendungen zunehmend komplexer und fragmentierter. Die dadurch entstandenen Risiken in der digitalen Wertschöpfungskette brauchen einen ganzheitlichen Schutz. Dies gilt für jedes Asset - unabhängig davon auf welcher OSI-Schicht es betroffen ist oder betrieben wird. Insellösungen und ein Flickenteppich-Schutz pro Provider sind weder mit vorhandenen Ressourcen noch mit Bordmitteln innerhalb der verschiedenen Cloud-Diensten zu administrieren. Die SLAs sind denkbar schmallippig und decken häufig die Business-Anforderungen nicht. In regulierten Branchen kommen erweiterte Logging- und Reporting-Anforderungen hinzu, bei denen bereits einfache Tools und Bordmittel an ihre Grenzen stoßen.

Gerade in Zeiten intensiver Cloud-Nutzung und mobilem Arbeiten wird die Datenleitung zum Nadelöhr: ist diese nicht verfügbar, geht sprichwörtlich gar nichts mehr. Auch APIs rücken bei DDoS-Angriffen stärker in den Fokus. Anders als bei Angriffen auf die Netze und Server reicht bei APIs ein Windhauch, um diese in die Knie zu zwingen. Selbst Angriffe mit kleinen Bandbreiten erfüllen bereits eine enorme Wirkung. Umso wichtiger ist es, die gesamte OSI-Architektur ganzheitlich zu betrachten und intelligente Lösungen einzusetzen, die vollständig automatisiert arbeiten. So kann menschliches Versagen als Fehlerquelle ausgeschlossen und die Mitarbeitenden können entlastet werden.