Axa zahlt kein Lösegeld mehr an Cyber-Kriminelle: Ein Modell für die Branche?

Können Hacker finanziell ausgetrocknet werden – die Axa versucht es. Bild von Markus Spiske auf Pixabay.

Es kann der erste Schritt in eine neue Cyber-Versicherungs-Welt sein. Der Großkonzern Axa will in Frankreich künftig keine Cyberversicherungen mehr verkaufen, die Zahlungen an Ransom-Kriminelle vorsehen. Auch in Deutschland gibt es bereits länger eine Diskussion darüber, ob solche Zahlungen legal und sinnvoll sind. Viele Experten fordern die finanzielle Austrocknung der kriminellen Netzwerke. Folgt die Axa Deutschland dem Weg der französischen Mutter?

Bei einem Ransomware-Angriff dringen Hacker in das System des Geschädigten ein und verschlüsseln die Daten. Das System wird dadurch unbrauchbar, die Produktion liegt brach. Oft verbinden die Angreifer die Verschlüsselung mit dem Diebstahl von Daten oder der Drohung, sensible Informationen preiszugeben. Ein prominentes Opfer dieses Vorgehens war der Fußballverein Manchester United. Haben die Hacker das System einmal verschlüsselt, geben sie den Code zur Entschlüsselung nur gegen die Zahlung einer Summe heraus. In der Regel werden bei der Lösegeldzahlung Digitalwährungen verwendet, die schwierig nachzuverfolgen sind.

Gegen solche Zahlungen wendet sich nun die Axa. Als erstes Unternehmen will sie in Frankreich künftig keine Cyberversicherungen mehr ausgeben, die die Erstattung von Erpressungs-Zahlungen vorsehen.

Vorreiter Axa?

Der künftige Ausschluss der Zahlungsoption ist eine Reaktion auf eine Cybergefahren-Diskussion des französischen Senats im letzten Monat. In dieser wurde die Flut solcher Attacken und mögliche Lösungen diskutiert, berichtet insurancejournal. Die Politiker sorgen sich, dass die Zahlung von Lösegeld andere Täter zur Nachahmung motiviert. “Wir zahlen nicht und wir werden nicht zahlen, das ist die heutige Botschaft”, wurde “Cybercrime Prosecutor” Johanna Brousse nach dem Meeting zitiert. Andere Experten stimmen zu. “Den einzigen Weg den Kreis zu brechen ist die Unterbrechung des Cash-Flows, dafür muss die Zahlung von Erpressungssummen eingestellt werden, erklärt Brett Callow, Analyst beim IT-Security-Unternehmen Emsisoft.

Die gezeigte Entschlossenheit der Staatsanwältin Brousse überrascht nicht, nach den USA war Frankreich das Land mit dem höchsten Ransomware-Schaden. Die Experten schätzen eine Summe von mehr als 5,5 Mrd. Euro. Die hohen Schäden haben Folgen, in den USA kam es zu einem kräftigen Anstieg der Prämien.

In Deutschland kam es im Vergleich zum Vorjahr ebenfalls zu einem Anstieg der Schadenhäufigkeit und -höhe, erklärt Hanno Pingsmann, Geschäftsführer von CyberDirekt. In der Spitze betrug der Anstieg “um bis zu 300 Prozent”. Die Attacken würden eine “dramatische Marktverhärtung” nach sich ziehen, die sich in Prämiensteigerungen manifestiert. Ein “großer Versicherer” sei bereits gezwungen, seinen Bestandskunden Prämienerhöhungen von “50 bis 100 Prozent” aufzuerlegen.

Zu den genannten Herausforderungen gesellen sich rechtliche Probleme, die Begleichung des Lösegeldes ist auch juristisch umstritten. Eine Zahlung könnte “durchaus als Unterstützung einer kriminellen Vereinigung gemäß §129 StGB gewertet werden”, erklärte der Anwalt Stefan Segger im Oktober 2019. Andere Experten sehen das ähnlich.

Realität und Praxis

Die Hacker sollen nicht zu weiteren Taten ermutigt werden, darin sind sich Branche und Staat einig. Der Cyberversicherer Hiscox erklärte bei einer früheren Gelegenheit, dass die Zahlung eines Lösegeldes “immer der letzte Schritt” sein sollte, es gäbe meist “andere Möglichkeiten”. Bei den Privatunternehmen ist sich naturgemäß jeder selbst der Nächste. Erfolgt der Angriff in einer ungünstigen Situation, wird lieber bezahlt, als einen weit größeren Schaden zu riskieren. Jürgen Hahn, ehemaliger CFO bei Marc O’Polo, sah sich einem solchen Angriff ausgesetzt, gerade als das Modehaus seine aktuelle Kollektion an Partner versenden wollte.

Schnell war klar, es musste bezahlt werden, um einen potenziell gewaltigeren Schaden abzuwenden. Doch bis ein Verhandlungsführer bestimmt und die nötigen Digitalwährungen beschafft waren, gingen wichtige Arbeitstage ins Land. Es dauerte auch nach der Zahlung noch “vier Wochen” bis alle Folgeschäden repariert waren und das Unternehmen wieder Herr über die eigene IT war.

Eine Zahlung an Hacker ist  generell nicht ungefährlich. Niemand kann sagen, ob die Erpresser das System nach der Zahlung tatsächlich freigeben oder nicht noch einmal einen Angriff starten. Weiterhin steigen die von den Erpressern geforderten Summen stetig, oft richten sich die Angriffe danach, ob eine Cyberversicherung vorhanden ist. “Hacker schauen sich in den Netzen auch danach um, ob die Unternehmen versichert sind und es ist zu vermuten, dass sie das künftig noch stärker tun werden”, sagt Silvana Rößler, Head of Security Incident Response beim Forensiker Networker Solutions.

Es ist nicht ausgeschlossen, dass abgesicherte Privatunternehmen gezielt gewählt werden, weil die Versicherer im Fall der Fälle das Lösegeld bezahlen. Die Gefahr durch Cyberattacken ist omnipräsent, derzeit haben Hacker die größte Pipeline der USA lahmgelegt. Der Notstand musste ausgerufen werden.

USA und Deutschland

Die Axa stellt ihren Ländergesellschaften das Vorgehen offenbar frei. Das “französische Modell” werde nicht in die USA übertragen, bestätigte die Unternehmenssprecherin Christine Weirsky. Die Policen blieben unverändert. Deutschland folgt dem amerikanischen Bruder, Änderungen sind jedoch nicht ausgeschlossen. “Für den deutschen Markt ist aktuell keine Änderung unseres Zeichnungsverhaltens beschlossen. Unabhängig davon beobachten wir laufend die Entwicklungen in diesem Bereich”, erklärt Sabine Träumer, Leiterin Cyber-Industriekundengeschäft.

Träumer sieht einen Hauptgrund für den Anstieg der Cyberattacken auch in der mangelnden IT-Sicherheitsbestückung der Unternehmen. “Grundsätzlich gibt es aus unserer Sicht hier Verbesserungsbedarf. Verbesserungen gehen aber natürlich auch mit Investitionen einher.” Noch deutlicher wird Michael Kreutzer vom Fraunhofer Institut für Sichere Informationstechnologie. “Rund 80 Prozent” der Sicherheitsprobleme seien bekannt. “Wir sehen uns einer riesigen Welle von Lücken gegenüber, die man hätte fixen können, es aber nicht getan hat”, erklärte er auf einer Konferenz.

Viele Chancen, lukrative Einnahmemöglichkeiten; bei dieser Aussicht ist ein Rückgang der Ransomware-Angriffe unwahrscheinlich. Eine Möglichkeit zur Bekämpfung der Hacker ist die finanzielle Austrocknung. Dafür dürften von Staat oder Privatunternehmen keine Zahlungen mehr geleistet werden, der Betroffene müsste bis zur selbst erreichten Aufhebung der Systemsperrung mit den unangenehmen Folgen leben. Dieser Taktik folgen wohl Frankreich und die Axa France. Nicht unwahrscheinlich, dass bald andere Versicherer weltweit nachziehen.

Wenn Hacker tatsächlich so gut über ihre potenziellen Opfer Bescheid wissen, wie die IT-Expertin Rößler erklärt, werden Hacker künftig einen Bogen um Axa-versicherten Unternehmen in Frankreich schlagen. Denn warum ein Unternehmen lahmlegen, wenn nichts dabei herausspringt?

Autor: Maximilian Volz