Versicherungsverbot von Lösegeldzahlen-Zahlungen bei Ransomware-Angriffen?

Kürzlich haben IT-Sicherheitsexperten aus Bildung und Wirtschaft in einem offenen Brief Maßnahmen gefordert, welche die Zahlung von Lösegeld bei Ransomware-Angriffen einschränken bzw. verbieten sollen. Wir haben dies zum Anlass genommen, dieses Thema anhand der durch die Verfasser/Unterzeichner vorgebrachten Punkte kritisch zu betrachten.

Unstrittig ist, dass Ransomware-Angriffe aktuell ein massives Problem darstellen, was sich alleine anhand der zahlreichen täglichen Meldungen über erfolgreiche Cyber-Angriffe auf Unternehmen und öffentliche Einrichtungen nachvollziehen lässt. Die Schäden durch Daten-Diebstahl, Spionage und Sabotage beziffert die aktuelle Bitkom-Studie mit ca. 6% des deutschen Bruttoinlandsprodukts – umgelegt auf österreichische Zahlen würde dies einen Schaden an der österreichischen Wirtschaft von EUR 26 Mrd. bedeuten – eine Hausnummer. Die Autoren führen ins Feld, dass die Zahlung von Lösegeld, insbesondere da es sich über Cyber-Versicherungen budgetär planen lässt, sehr häufig für die Unternehmen die günstigere Variante ist, um den Betrieb schneller wieder aufnehmen zu können. Auch die Versicherer würden diese Praxis unterstützen, wenn sich im konkreten Schadensfall der Schaden minimieren lässt.

Geopolitisch wird argumentiert, dass der Wirtschaft mehr geholfen wäre, wenn die Unternehmen die gezahlten Lösegelder zur Verbesserung der eigenen IT-Sicherheit und Ihrer Leistungsfähigkeit investieren würden. Das Geld würde nicht den Verbrecherbanden bzw. anderen Staaten zukommen, was die eigene Marktposition schwächt.

Es werden mehrere Maßnahmen gefordert, die Lösegeldzahlungen unterbinden sollen bzw. unattraktiv für die Unternehmen machen – während einige Maßnahmen nicht konkret spezifiziert sind, gibt es auch sehr spezifische Forderungen, auf die wir näher eingehen möchten:

Abschaffung der steuerlichen Absetzbarkeit von Ransomware-Zahlungen

Unserer Einschätzung nach ein sehr heikler Punkt, da das betroffene Unternehmen über die eigentliche Lösegeldforderung hinaus somit nochmals im Rahmen der Ertragssteuern bestraft wird.

Meldepflicht von Ransomware-Angriffen und Lösegeldzahlungen

An einer Meldepflicht stehen auch wir grundsätzlich positiv gegenüber, da durch diese auch ein Rückschluss und ggfls. schnelle Reaktion auf die aktuelle Bedrohungslage gewährleistet werden kann, wenn eine Auswertung der Meldungen auch kurzfristig erfolgt. Da Cyber-Angriffe keine Ländergrenzen kennen, wäre hier ein koordinierter europäischer Ansatz hilfreich.

Verbot der Versicherung von Lösegeldern

Ein Verbot der Versicherung von Lösegeldzahlungen klingt im ersten Moment nach einem wirkungsvollen Mittel, das Ransomware-Problem im Keim zu ersticken, weil es impliziert, dass dadurch deutlich weniger Lösungsgelder gezahlt werden – dafür fehlen allerdings die Belege. Aus unserer Schadenserfahrung heraus waren von Lösegeldzahlungen hauptsächlich Unternehmen betroffen, welche zum Zeitpunkt der Forderung des Lösegeldes noch keinen Versicherungsschutz hatten und aufgrund der Umstände keine andere Wahl hatten, das entsprechende Lösegeld zu bezahlen, um die Existenz des Unternehmens zu gewährleisten. Auch die Versicherer sind i.d.R. nicht daran interessiert leichtfertig auf eine entsprechende Forderung durch die Erpresser einzugehen. Der Abschluss einer Cyberversicherung gibt darüber hinaus auch den finanziellen Spielraum, eine ggfls. auch etwas aufwändigere Wiederherstellung der Daten zu stemmen, ohne auf die Lösegeldforderung einzugehen, welche meist immer bedingungsgemäß an das Einverständnis des Versicherers gebunden ist.

Ein Verbot der Versicherung von Lösegeldern würde unseres Erachtens nur eingeschränkt auf die tatsächlich gezahlten Lösegelder Wirkung haben, da die Unternehmen diese auch bisher ohne Versicherungsschutz gezahlt haben, aber nun durch Abschluss einer Cyberversicherung auch eine finanziell für den Versicherten indifferente Option geschaffen wurde – auch ist durchaus bereits in das Bewusstsein gedrungen, dass die Zahlung eines Lösegeldes bei Verschlüsselung von Daten die Wiederherstellung der Daten nicht garantiert bzw. bei angedrohter Veröffentlichung der Daten die Zahlung meist nur weitere Begehrlichkeiten der Täter weckt.

Die Verfasser selbst schreiben in ihrem offenen Brief, dass die Versicherer zunehmend starke Sicherheitsmaßnahmen einfordern, um Versicherungsschutz zu erlangen. Die Erfahrung der letzten Jahre zeigt uns, dass dieser Prozess für die Unternehmen mit Abschluss der Cyberversicherung  nicht abgeschlossen ist, sondern eher den Anfang eines Weges darstellt – durch die jährlichen Renewals, in welchen durch die Versicherungswirtschaft auch die durch den Versicherten ergriffenen Maßnahmen zu den aktuellen Bedrohungslagen einfließen, sind die Versicherten dazu angehalten, IT-Sicherheit als einen kontinuierlichen Prozess im Unternehmen zu etablieren. Falls dies nicht umgesetzt wird, hat dies über kurz oder lang wohl auch den Verlust des Versicherungsschutzes zur Folge.

Förderung der Cyber-Betriebsunterbrechungsversicherung und Versicherung der Wiederherstellungsmaßnahmen

Im Rahmen der üblichen Versicherungslösungen am Markt sind diese beiden Punkte die Kernbestandteile auf die natürlich nicht verzichtet werden kann. Inwiefern diese Deckungen gefördert werden sollen, lassen die Verfasser offen. Hier bringen die Verfasser auch ins Feld, dass Cyber-Versicherungsschutz auf breiter Front auch die IT-Sicherheit erhöht – gefördert durch die Voraussetzungen der Versicherungswirtschaft an die Versicherten um Cyber-Versicherungsschutz zu erlangen bzw. zu behalten.

Unterstützung von betroffenen Unternehmen bspw. über einen Hilfsfonds

Die Einrichtung und entsprechende Dotierung – insbesonders in den notwendigen Größenordnungen, wenn man sich die o.g. geschätzten Schadenssummen ansieht – von Hilfsfonds, in Bereichen wo Versicherungen sich zurück gezogen haben bzw. nur mehr eingeschränkt Leistung erbringen können, ist nicht kurzfristig zu stemmen. Die Ausstattung dieser Fonds hängt dann auch immer vom politischen Willen der aktuellen Akteure ab, was für die Unternehmen ein unabschätzbares Risiko ist.

Auch hier soll wiederum das Ziel verfolgt werden, dass die Unternehmen in die Lage versetzt werden, auf die Zahlung des Lösegelds zu verzichten. Hier besteht die Gefahr das bei nicht ausreichender Dotierung der Fonds die trügerische Sicherheit vermittelt wird, dass eine Absicherung der Risiken nicht notwendig ist. Sollte hier auf eine Absicherung durch eine Versicherungslösung verzichtet werden und im Schadensfall die zu erwartende Leistung aus dem Hilfsfonds zu gering ausfällt, hat diese Lösung seine berabsichtigte Wirkung verfehlt.

Fazit

Auch wir sind der Meinung, dass die Zahlung von Lösegeldern immer der letzte Ausweg sein kann, welcher nur dann beschritten werden sollte, wenn die Existenz des betroffenen Unternehmens auf dem Spiel stehen würde. Zuvor sollten alle anderen verfügbaren Mittel ausgeschöpft werden. Wir können jedoch einem Versicherungsverbot von Lösegeldzahlungen in der aktuellen Situation nichts abgewinnen, da ein generelles Verbot im Einzelfall die Existenz eines Unternehmens gefährden kann. Lösegelder wurden auch in Zeiten, wo Cyberversicherungen noch nicht so verbreitet waren, bezahlt – ein Versicherungsverbot dieser Zahlungen würde daran unseres Erachtens nichts ändern – durch einen passenden Versicherungsschutz würde sich allerdings die finanziellen Einbußen bei einem Unternehmen in Grenzen halten bzw. auch die Option offen lassen, den (manchmal vielleicht umständlicheren) Weg der Datenwiederherstellung zu beschreiten.