Cyber-Versicherungen tragen nicht zum Anstieg der Ransomware-Epidemie bei. Entgegen der landläufigen Meinung gibt es keine zwingenden Beweise dafür, dass Opfer von Ransomware, die eine Cyber-Versicherung abgeschlossen haben, eher Lösegeld zahlen als solche ohne Versicherung.

Zu diesem Ergebnis kommt eine neue Analyse mit dem Titel Cyber Insurance and the Ransomware Challenge, die vom Royal United Services Institute (RUSI) durchgeführt und am 31. Juli veröffentlicht wurde.

Der Bericht, der von Jamie MacColl, Research Fellow im Bereich Cyber-Bedrohungen und Cyber-Sicherheit, verfasst wurde, untersucht, inwieweit Cyber-Versicherungen dazu beitragen könnten, die Bedrohung durch Ransomware auf gesellschaftlicher Ebene zu mindern.

Ransomware ist eine der zerstörerischsten Cyberbedrohungen, denen Unternehmen ausgesetzt sind. Diese Software hat das Potenzial, den Systemen, Daten und dem Ruf eines Unternehmens irreparablen Schaden zuzufügen, was zu schwerwiegenden finanziellen Folgen führen kann. Laut der Umfrage zu Cybersicherheitsverletzungen 2023 „haben etwas mehr als die Hälfte der Unternehmen (57 %) und vier von zehn Wohltätigkeitsorganisationen (43 %) eine Regel oder Richtlinie, um keine Ransomware-Zahlungen zu leisten – dies entspricht der Situation im letzten Jahr, als diese Frage eingeführt wurde.“

Zu den wichtigsten Ergebnissen gehören:

• Es wurden keine zwingenden Beweise dafür gefunden, dass der Cyberversicherungsmarkt die Ransomware-Epidemie anheizt, aber die Versicherer tun auch nicht genug, um sicherzustellen, dass Lösegeldzahlungen wirklich nur als letzter Ausweg gezahlt werden.
• Die Autoren plädieren nicht für ein völliges Verbot von Lösegeldzahlungen oder dafür, dass Versicherer keine Deckung für diese Zahlungen anbieten. Stattdessen plädieren sie für Maßnahmen, die dazu führen könnten, dass weniger Opfer Lösegeld zahlen oder niedrigere Forderungen gestellt werden, ohne dass die Opfer bestraft werden. Letztlich geht es darum, mehr Wege für die Opfer zu schaffen, die nicht zu Lösegeldzahlungen führen.
• Die Rolle der Versicherer als Organisatoren von Ransomware-Reaktionsdiensten (z. B. Reaktion auf Vorfälle, Rechtsberatung, Krisenkommunikation, Ransomware-Verhandlungen usw.) verleiht ihnen beträchtliche Macht, Unternehmen zu belohnen, die bewährte Praktiken anwenden und Opfer nur als letzten Ausweg zu Zahlungen bewegen. Das Fehlen klar definierter Verhandlungsprotokolle und die Schwierigkeiten, aus Vorfällen zu lernen, erschweren jedoch die Entwicklung eines Gefühls kollektiver Verantwortung und bewährter Verfahren.
• Neben den Lösegeldzahlungen spielt dem Bericht zufolge die Cyberversicherung eine immer wichtigere Rolle bei der Stärkung der Widerstandsfähigkeit von Unternehmen gegen Ransomware und andere Cyberbedrohungen. Die Autoren argumentieren, dass Cyberversicherungen derzeit einer der wenigen marktbasierten Hebel sind, um Anreize für Unternehmen zu schaffen, ihre Cybersicherheit und -resilienz zu verbessern.
• Die geringe Marktdurchdringung von Cyberversicherungen und die anhaltenden Probleme mit der Evidenzbasis, die für die Zeichnung von Cyberrisiken verwendet wird, bedeuten jedoch, dass sie nicht als Ersatz für die Art von Gesetzgebung und Regulierung behandelt werden sollten, die für die Verbesserung der Mindeststandards für Cybersicherheit und Widerstandsfähigkeit erforderlich sind.

In der Schlussfolgerung des Berichts erklärt Jamie MacColl: „Wir sollten die Rolle der Cyberversicherungsbranche im Kampf gegen Ransomware nicht überbewerten. Genauso wie Kritiker der Branche die Beziehung zwischen Versicherung und Lösegeldzahlungen übertrieben und missverstanden haben, dürfen wir die Tatsache nicht aus den Augen verlieren, dass der Hauptzweck von Versicherungen darin besteht, Restrisiken zu übertragen und Verluste und Kosten zu decken, und nicht darin, Cyberkriminalität zu lösen.“

Dieses Papier ist Teil eines 12-monatigen Forschungsprojekts von RUSI, der University of Kent, der De Montfort University und der Oxford Brookes University mit dem Titel „Ransomware and Cyber Insurance“. Es wird von der NCSC in Zusammenarbeit mit dem Forschungsinstitut für soziotechnische Cybersicherheit finanziert. Ziel des Projekts ist es, die Beziehung zwischen Ransomware und Cyber-Versicherung zu untersuchen.

SURVEY 2023: https://www.gov.uk/government/statistics/cyber-security-breaches-survey-2023/cyber-security-breaches-survey-2023