Die Brisanz der Cyberlösegelder
Von Antje Kullrich, Köln
Der Fall hat alle Wendungen eines spannenden Wirtschaftskrimis: Als Anfang Mai mit der Colonial Pipeline eine der wichtigsten Energie-Infrastrukturtrassen der USA per Hackerangriff lahmgelegt wurde, spürten Hunderttausende US-Bürger die Auswirkungen. Es bildeten sich lange Schlangen an Tankstellen, stellenweise kam es zu Tumulten. Die Betreibergesellschaft zahlte schließlich ein Lösegeld von 4,4 Mill. Dollar, Konzernchef Joseph Blount sprach selbst von einer „hochkontroversen Entscheidung“. Vor wenigen Tagen gelang den US-Ermittlern dann ein spektakulärer Coup: Das FBI beschlagnahmte mehr als die Hälfte des gezahlten Lösegelds und stellte 2,3 Mill. Dollar in Bitcoin sicher. Es sei gelungen, eine digitale Geldbörse (Wallet) samt Verschlüsselungscodes zu identifizieren, die die Erpresser benutzt hatten.
Der aufsehenerregende Fall Colonial Pipeline, aber auch weitere jüngst bekannt gewordene Cybererpressungen, haben das Thema Lösegeldzahlungen in den Blickpunkt gerückt. In dieser Woche teilte der weltgrößte Fleischkonzern JBS Foods mit, dass JBS USA nach eine Ransomware-Attacke 11 Mill. Dollar Lösegeld gezahlt hat, ebenfalls in Bitcoin. Eine der wohl größten bislang gezahlten Summen an Hacker soll der US-Versicherer CNA Financial geleistet haben, der Ende März nach einem Bericht von Bloomberg 40 Mill. Dollar überwiesen haben soll. Das Unternehmen hat eine Stellungnahme zu der Lösegeldzahlung verweigert, aber betont, sich an Recht und Gesetz gehalten zu haben.
Im stark wachsenden Markt für Cyberversicherungen sind Lösegeldzahlungen ein heikles Thema. Denn keiner der bei kriminellen Hackerattacken involvierten Akteure – betroffene Unternehmen, Versicherer, Ermittler – will durch Lösegeldzahlungen den illegalen Markt der Erpresser befeuern. Dennoch decken Cyberversicherer auch Lösegeldzahlungen in ihren Policen ab. In Deutschland ist das seit 2017 von der BaFin auch ausdrücklich erlaubt. Allerdings darf nur die Cyberversicherung als solche und nicht der Baustein Lösegeldversicherung beworben werden.
Die Assekuranz äußert sich deshalb auch nur sehr zurückhaltend zu dem Thema. Zahlen zu Lösegeldschäden gibt es nicht. Die Münchener gehört mit einem Beitragsvolumen von 855 Mill. Dollar in der Cyberversicherung weltweit im vergangenen Jahr und einem Marktanteil von rund 10% nach eigenen Angaben zu den großen Playern in dem jungen Segment. Es bestehe ein klarer Bedarf, die direkten Folgen von Ransomware-Angriffen zu versichern, teilen die Münchener auf Anfrage mit. „Dabei spielt die Deckung der eigentlichen Lösegeldforderung eine untergeordnete Rolle. Die versicherten Schäden werden von den Kosten für Betriebsunterbrechung und die Wiederherstellung von Daten und Systemen dominiert.“
Gerade versicherte Unternehmen überwiesen jedoch nur selten Geld an die kriminellen Angreifer, vermutet Catharina Richter, Leiterin des Cyberkompetenzzentrums der Allianz. Denn ihnen stünde schnelle IT-forensische Hilfe im Falle eines Angriffs zur Seite. Für viele Kunden ist genau dieser Service der Cyberversicherer das Argument für einen Vertrag. „Das Ziel ist die zügige Rekonstruktion der Systeme, nicht das Verhandeln mit Erpressern.“ Die Zahl der Allianz-Kunden, die sich trotzdem entschieden hätten, Lösegelder zu zahlen, sei tatsächlich sehr gering.
Die Cyberversicherer beobachten die aktuellen Fälle in den USA intensiv. Wie umstritten Lösegeldzahlungen sind, zeigt der Blick in andere Länder: In manchen Ländern wie Italien oder Japan sind Lösegeldzahlungen gar nicht legal und können damit auch nicht versichert werden. In Frankreich hat Branchenprimus Axa gerade erklärt, prinzipiell keine Lösegeldzahlungen mehr zu decken.
Hacker fordern immer mehr
In den USA wird der FBI-Ermittlungserfolg gegen die Colonial-Pipeline-Hacker auch als Kampfansage des Staates gegen das Geschäftsmodell der Cybererpressung verstanden. Ansonsten droht nach Einschätzung von IT-Experten und Cyberversicherern ein rasantes Wachstum von Ransomware-Angriffen. Und dort steigt das Bedrohungspotenzial, da sich die Erpresser zunehmend nicht nur auf die Verschlüsselung der Daten konzentrieren, sondern auch Daten der Unternehmen abziehen und mit deren Veröffentlichung oder Verkauf drohen. Mit steigender Häufigkeit nähmen auch die Lösegeldforderungen exponentiell zu, schreibt die Munich Re in einem Bericht und verweist auf IBM Security X-Force, die in einigen Fällen bereits Erpressungssummen von mehr als 40 Mill. Dollar registriert hat.
Die Cyberversicherer fordern im Kampf gegen die Ransomware-Schwemme mehr staatliche Unterstützung. „Der Rechtsrahmen muss nachgeschärft werden“, sagt Allianz-Managerin Richter. Die Kryptowährungen und Kryptowährungsbörsen seien viel zu wenig reguliert und überwacht, sodass Nachverfolgungen und Beschlagnahmen von Lösegeld bislang viel zu wenig stattfänden. Auch die Ressourcen von Ermittlungsbehörden zu Cyberkriminalität seien zu knapp.
Der wirtschaftliche Schaden durch Hackerattacken insgesamt ist bereits jetzt schon gigantisch – und wird nach Ansicht von Cybersecurity Ventures weiter steigen. Für 2021 geht das Analysehaus von 6 Bill. Dollar aus. Die Experten schätzen, dass die Summe in den nächsten fünf Jahren um rund 15% pro Jahr steigen wird.
Die Cyberversicherer stellen sich auf eine hohe Nachfrage nach ihren Policen ein. Doch der Trend könnte – wie das Beispiel Axa zeigt – zu einer restriktiveren Deckung von Lösegeldzahlungen führen.