Cyber-Versicherungen: Axa will kein Ransomware-Lösegeld mehr zahlen
Einer der größten Versicherungskonzerne tritt den geordneten Rückzug an. Im französischen Heimatmarkt verkauft Axa keine Versicherung gegen Ransomware mehr.
(Bild: Katya Rekina/Shutterstock.com)
Der französische Axa-Konzern verkauft ab sofort in Frankreich keine Cyber-Versicherungen mehr, die Zahlungen an Cyber-Kriminelle abdecken. Für Deutschland gilt das allerdings noch nicht: "Für den deutschen Markt ist aktuell keine Änderung unseres Zeichnungsverhaltens beschlossen" erklärte die deutsche Axa-Konzernfiliale auf Anfrage von heise Security. Sie beobachte jedoch auch hier die Entwicklungen in diesem Bereich.
Nach den USA haben auch in Deutschland immer mehr Unternehmen damit begonnen, ihre IT-Risiken über Versicherungen abzudecken. Die bezahlen dann unter Umständen sogar die Lösegeldforderungen, wenn Erpresser Daten in großem Umfang verschlüsselt und gestohlen haben. Doch der anhaltende Ransomware-Boom bereitet den Versicherungskonzernen Sorgen, da die Schadenssummen teilweise enorm sind und das Risiko schwer zu kalkulieren ist. Obendrein ist Axa nun selbst Opfer eines Erpressungstrojaners geworden.
Das Dilemma
In der Diskussion über Erpressungen mit Ransomware geht es hauptsächlich darum, dass Cybercrime nicht durch Lösegeldzahlungen noch zusätzlich befeuert werden dürfte; manche meinen gar, die kriminellen Netzwerke müssten "finanziell ausgetrocknet" werden. Sowohl das Bundeskriminalamt (BKA) als auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) argumentieren auf dieser Linie: "BSI, Strafverfolgungsbehörden, Sicherheitsexperten und auch G4C raten dringend davon ab, Lösegelder zu zahlen", erklärt etwa das German Competence Center against Cybercrime in seiner Informationsbroschüre zum Thema Ransomware und begründet das so: "Dadurch sollen kriminelle Geschäftsmodelle nicht weiter gefördert werden."
Cyber-Kriminelle erklärten zu verschiedenen Gelegenheiten selbst, sie bevorzugten es, wenn ihre Opfer eine Cyber-Versicherung haben. Solche Unternehmen zahlten in der Regel bereitwilliger und der ganze Vorgang gehe sehr professionell über die Bühne. So sehen manche Security-Experten Versicherungen sogar als Brandbeschleuniger in einer eskalierenden Gefahrensituation. Andere weisen darauf hin, dass Versicherungen ja keineswegs dafür gedacht seien, IT-Security-Maßnahmen zu ersetzen, sondern ihre Aufgabe nur im Rahmen eines IT-Sicherheitskonzepts erfüllen können.
Cyber-Versicherungen im Umbruch
Axas Rückzug kommt jedenfalls nicht überraschend. Die ganze Branche kämpft mit dem Problem Ransomware, das einerseits das Interesse an ihren Angeboten beflügelt, anderseits durch die steigenden Schadenssummen immer kostspieliger und vor allem riskanter wird. In den USA haben die Versicherer ihre Gebühren deshalb deutlich erhöht. Außerdem versuchen sie sich an der Risikominimierung durch striktere IT-Security-Vorgaben an Versicherungsnehmer. Beide Trends schwappen auch bereits nach Deutschland.
Ob eine Cyber-Versicherung tatsächlich sinnvoll und was dabei zu beachten ist, ist auch ein wichtiges Thema bei heise Security: Der Security-Experte Linus Neumann hat den Gesamtverband der Deutschen Versicherer (GDV) bei der Konzeption von Cyber-Versicherungen beraten und weiß um die Probleme und verborgenen Fallstricke. Er ist einer der wenigen Experten auf dem Gebiet, der seinen Lebensunterhalt nicht mit dem Verkaufen von Versicherungen verdient. In seinem Vortrag auf der heise Security Tour "Cyber! Versicherung! Will ich das wirklich haben?" erklärt er, worauf es ankommt.
(ju)
