Eigentlich wollten die Mitarbeiter der amerikanischen IT-Firma Kaseya lediglich das Wochenende genießen, an dem in diesem Jahr zusätzlich der Unabhängigkeitstag in den USA gefeiert wurde. Doch dann war es mit der Feiertagsstimmung am US-Firmensitz in Florida ziemlich schnell dahin. Eine Cyberattacke auf den nach eigenen Angaben führenden Anbieter für Informationstechnologie und IT-Sicherheit für kleine und mittlere Unternehmen traf nicht nur das Unternehmen hart. Die Software von Kaseya war durch eine Erpressungs-Software auch so manipuliert worden, dass mehr als tausend Unternehmen, vor allem kleine und mittlere Firmen, betroffen waren. Zu den Leidtragenden gehörte unter anderem die schwedische Supermarktkette Coop, die wegen nicht funktionierender Kassen vorübergehend 800 Filialen schließen musste.

Attacken werden zunehmen

Das Beispiel zeigt: Selbst wer nicht direkt Opfer eines Cyberangriffs geworden ist, kann trotzdem über die Lieferkette die Auswirkungen im eigenen Unternehmen spüren. Angriffe auf die Lieferkette sind der nächste große Trend im Cyberspace: Dabei beobachten die Experten der Allianz Global Corporate & Specialty (AGCS) zwei Haupttypen: Zum einen verzeichnen wir verstärkt Angriffe, die auf Software-/IT-Dienstleister wie Kaseya abzielen und sie zur Verbreitung der Malware nutzen. Derartige Dienstleistungsanbieter oder Software-Provider werden künftig wahrscheinlich zu Hauptzielen für Cyberkriminelle, da sie oft Hunderte oder Tausende von Unternehmen mit Softwarelösungen beliefern und Kriminellen daher die Chance auf höhere Erlöse bieten. Zum anderen sehen wir zunehmend Angriffe, die auf physische Lieferketten oder kritische Infrastrukturen abzielen, wie der Angriff auf die Colonial Pipeline, die größte Öl-Pipeline in den USA. Durch die Pipeline läuft fast die Hälfte aller an der US-Ostküste verbrauchten Kraftstoffe. Daher kam es in Teilen des Landes zu Benzinengpässen und auch Airlines spürten die Auswirkungen.

Nicht immer zielgerichtet

Das Angriffsmuster ist in beiden Fällen ähnlich. Die Angreifer aus dem Cyberspace sperren oder verschlüsseln die Computersysteme ihrer Opfer, um von den Nutzern Lösegeld (auf Englisch „ransom“) für die Freigabe zu erpressen. Dabei sind nicht alle Angriffe zielgerichtet. Die Kriminellen gehen häufig auch mit der Schrotflinte vor, um jene Unternehmen zu treffen, die sich nicht um ihre Schwachstellen und Sicherheitslücken kümmern oder sie nicht kennen. Laut des Beratungsunternehmens Accenture ist die Zahl der Cyberangriffe in der ersten Jahreshälfte 2021 im Vergleich zum Vorjahr weltweit um 125 Prozent gestiegen, wobei Ransomware und Erpressungsversuche einige der Hauptgründe für diesen Anstieg darstellen. Nach Angaben des FBI gab es in den USA im gleichen Zeitraum einen Anstieg der Ransomware-Vorfälle um 62 Prozent, nachdem im gesamten Jahr 2020 bereits ein Anstieg von 20 Prozent verzeichnet worden war.

Häufig fehlendes Risikobewusstsein in KMU

Angesichts dieser erschreckenden Zahlen hat das Verständnis in Großunternehmen für die komplexen Cyberrisiken und auch für die Möglichkeiten des Risikotransfers mittlerweile deutlich zugenommen und trägt zu einem größeren Risikobewusstsein bei. In kleinen und mittleren Unternehmen besteht dagegen noch deutlicher Nachholbedarf, wie unsere regelmäßig in den Unternehmen durchgeführten Risikodialoge belegen. So mussten wir in vielen Fällen feststellen, dass eine Multi-Faktor-Authentifizierung für den Fernzugriff, für privilegierte IT-Konten oder für die Fernwartung in vielen Fällen fehlt oder Mitarbeiter nicht ausreichend gegen Angriffe von außen geschult worden sind. Regelmäßige Patches und Zwei-Faktor-Authentifizierung sowie Schulungen zur Informationssicherheit sind für die Vermeidung von Ransomware-Angriffen aber ebenso wichtig wie eine gute Cyberhygiene. Cybersicherheits-Tools und Anti-Ransomware-Toolkits und -Dienste können ebenfalls helfen, Angriffe zu verhindern. Zudem sind zuverlässige Reaktions- und Geschäftskontinuitätspläne der Schlüssel zur Abmilderung der Auswirkungen eines Angriffs, wobei eine gezielte Vorbereitung und schnelle Reaktion im Management einer Krise den Unterschied ausmachen. Reaktionspläne sollten regelmäßig anhand von Ransomware-Szenarien getestet werden; Rollen, Verantwortlichkeiten und Kommunikationswege sollten klar definiert sein. Letztlich mildern häufige Backups die Auswirkungen ab und beschleunigen die Wiederherstellung des Betriebsablaufs.

Erhebliche Schäden vermeiden

Warum vor allem ein zuverlässiger Reaktionsplan so entscheidend ist, zeigen diese Zahlen: Betriebsunterbrechungsschäden und Wiederherstellungskosten sind der größte Treiber für Ransomware-Schäden. Die durchschnittliche Ausfallzeit nach einem Ransomware-Angriff beträgt mittlerweile 23 Tage, wobei sich auch die Gesamtkosten für die Wiederherstellung und Ausfallzeit im vergangenen Jahr mehr als verdoppelt haben. Sie sind von rund 700.000 Euro im Jahr 2020 auf 1,6 Millionen Euro im Jahr 2021 gestiegen. Wenn es um Cyber-Betriebsunterbrechungen geht, ist Timing also alles. Wenn ein Unternehmen eine Lösegeldforderung nach zwei Wochen bezahlt, um den Entschlüsselungscode zu erhalten, hat sich der Verlust durch die Betriebsunterbrechung bereits manifestiert und es die bereits stattliche Kosten für die Wiederherstellungsversuche von Systemen und Daten angefallen. Die Kosten für die Beauftragung von Forensikern und Rechtsberatern können beispielsweise bis zu 2.500 Euro pro Tag und Kopf betragen und leicht einen siebenstelligen Betrag erreichen.

Auf Lösegeldzahlung verzichten

Unabhängig von der endgültigen Deckungsbestätigung profitieren Cyber-Versicherungsnehmer bei der AGCS von einem 24/7-Zugang zu Notfalldiensten. Diese Dienste umfassen in der Regel die Leistungen eines professionellen Krisenmanagers, forensische IT-Unterstützung und Rechtsberatung. Ein weiteres Angebot ist die kostenfreie Erstellung eines Cyber-Krisenmanagementplans. Unsere Schätzungen gehen davon aus, dass die Verluste in rund 80 Prozent der Ransomware-Vorfälle hätten vermieden werden können, wenn die Unternehmen die grundlegenden Sicherheitsmaßnahmen befolgt hätten. Wir versuchen unsere Versicherungsnehmer zu ermutigen, die Lösegeldzahlung zu vermeiden – zumal dadurch nur weitere Anreize für das kriminelle Geschäftsmodell der Hacker geschaffen werden. Die Entscheidung, ob Lösegeld gezahlt wird oder nicht, trifft immer das jeweilige Unternehmen. Je besser das Unternehmen vorbereitet ist, umso leichter wird es fallen, darauf zu verzichten. In jedem Fall sollte man von Anfang an die Polizeibehörden stark einbinden. Hier ist das Bundeskriminalamt federführend, mit welchem die AGCS kooperiert. Die Zentralstelle der Polizei analysiert fortwährend aktuelle Cybercrime-Trends und leitet Schlussfolgerungen für die Cybercrime-Bekämpfung ab. Dies ist wichtig, da Cybercrime nur im Schulterschluss von Wirtschaft und Sicherheitsbehörden erfolgreich verhindert und bekämpft werden kann. Allein geht es nicht.

www.allianz.com