Das bloße Verbot der Lösegeldzahlung in der Cyberversicherung wird nicht helfen

Digital technology computer background data screenDenys Rudyi – stock.adobe.com

In der aktuellen Debatte um ein generelles Verbot von Lösegeldzahlungen bei Ransomware-Angriffen, gibt es zielführendere Alternativen: Entgegen der Meinung der IT-Experten steht in der Praxis vor der Lösegeldzahlung stets das - meist erfolgreiche - ausloten anderer Rettungswege.

Ein Kommentar von Ole Sieverding, Geschäftsführer von CyberDirekt.

Unsere Schadenerfahrung als auf Cyberversicherungen spezialisiertes Versicherungsmaklerhaus deckt sich nicht mit den Antworten der befragten IT-Experten aus 31 Ländern der Sophos Studie. Allein unterscheiden wir uns in der Auffassung über welchen Weg diese Ziele erreicht werden können und möchten auf die verkürzte Darstellung zum Cyberversicherungsschutz hinweisen.

Das Gegenteil erleben wir oft bei Organisationen, die zum Zeitpunkt des Ransomware-Angriffs noch keine Cyberversicherung abgeschlossen haben. Durch den hohen Entscheidungsdruck kombiniert mit einer schnellen Überforderung die Lage zu kontrollieren, sind unversicherte Organisationen deutlich schneller geneigt auf die Lösegeldforderung als vermeintlich einfachste und schnelle Lösung einzugehen.”

Cyberversicherungen decken Umsatzeinbußen und Wiederherstellungsmaßnahmen

Genau hier spielt sich der immanente Wert der Cyber-Krisenhotlines der Versicherer aus, die über Incidence Response durch erfahrene IT- und Krisenberatende schnell und pragmatisch die Kontrolle über die Krisensituation zurückerlangen und alle technischen und manuellen Möglichkeiten der Datenwiederherstellung prüfen, um die betroffenen Systeme möglichst schnell wieder in den Regelbetrieb zu kommen. Parallel wird mit einem Geschäftsfortführungsplan ein Notbetrieb eingerichtet, um weiterhin erreichbar zu sein und Schaden möglichst abzuwenden. Hier sitzen Versicherer und versichertes Unternehmen in einem Boot und haben kongruent maximales Interesse an möglichst effizienter
Schadenminderung.

Alle gängigen Cyberversicherungen decken auch heute schon explizit die im Brief geforderten „verursachten Umsatzeinbußen und Wiederherstellungsmaßnahmen“ ab. Die Zahlung von Lösegeld hingegen ist oft optional und durch die Auflagen der Bafin bereits mit weiteren Verpflichtungen verknüpft. In der Praxis sehen wir allerdings auch, dass Entscheiderinnen und Entscheider oft die Deckung inklusive Lösegeldzahlung nehmen, beziehungsweise dies oft sogar ein Hauptkaufgrund ist. Diesen Organisationen wird mit der heutigen Cyberversicherung in der Cyberkrise massiv geholfen, was in der Regel genau dazu führt, dass am Ende nicht auf die Lösegeldzahlung der Angreifenden eingegangen werden muss, sondern ein alternativer Weg gefunden wird.

Cyber-Versicherungen sind gerade für kleine Unternehmen ab 300 Euro Jahresbeitrag aus unserer Erfahrung anders als im Brief dargestellt sehr erschwinglich. Die Herausforderung, mit der wir in der Praxis kämpfen, ist viel weniger ein zu hoher Preis, als die Aufklärung über die Funktionsweise und Vorteile so einer Absicherung. Die Unternehmen denen wir das Konzept erklären konnten sichern sich danach auch in der überwiegenden Mehrzahl über uns gegen Cyberangriffe ab.