Ransomware bleibt Top-Schadensfall aus Sicht von Cyberversicherungen

2304_MartinKraemer_KnowBe4

Dr. Martin J. Krämer, Security Awareness Advocate bei KnowBe4

Einige Cyberversicherer behaupten, dass Ransomware-Angriffe im Jahr 2023 wieder zugenommen haben, nachdem sie im Jahr 2022 eine kleine Pause eingelegt hatten. Laut dem Schadensbericht 2023 des Cyber-Versicherers Coalition stieg die Schadenhäufigkeit in der ersten Hälfte dieses Jahres um 27 Prozent im Vergleich zur zweiten Hälfte des Jahres 2022. Auch der Halbjahresbericht des Cyber-Versicherers Resilience Cyber Insurance Solutions zeigte einen ähnlichen Trend: 16,2 Prozent der Gesamtschäden standen im Zusammenhang mit Ransomware-Angriffen. Infolgedessen verzeichnete der Cyber-Versicherer einen Anstieg der Ransomware-Vorfälle um 1.100 Prozent im zweiten Quartal 2023 im Vergleich zum gleichen Zeitraum im Jahr 2022.

Obwohl zusätzliche Cybersicherheitsmaßnahmen ergriffen wurden, ist der Cyberversicherer Resilience der Ansicht, dass das bösen Akteuren ermöglichte, ihr Verhalten zu ändern. Unternehmen mit hohem Bekanntheitsgrad und Drittanbieter gehören zu den neuen Zielen, da nur ein einziger Mitarbeiter benötigt wird, um Opfer eines Cyberangriffs zu werden.

Ein ähnliches Bild zeigt sich in Deutschland. Die deutsche Versicherungsgesellschaft GDV teilt in einer Veröffentlichung mit, dass Cyberversicherer im Jahr 2021 erstmals Verluste machten. Die Schadens-Kostenquote betrug 124 anstatt 65 Prozent im Jahr zuvor. 2022 wurden insgesamt 3.700 Vorfälle gezählt. Zwar waren die Zahlen für 2022 besser, weil die Schadens-Kostenquote auf 78 Prozent und nur noch 2.900 Fälle sank, der Schadendurchschnitt stieg jedoch von 37.000 Euro auf 42.000 Euro an. Die Gesellschaft schloss deshalb mit dem Ausblick, dass Wachstum und Schadenentwicklung sich auch im Jahr 2023 fortsetzten.

Angesichts der zunehmenden Auswirkungen und der Schwere der Angriffe wird dies den Cyber-Versicherern nur einen Vorwand bieten, ihre Tarife weiter zu erhöhen. Ein Weg, Unternehmen grundsätzlich zu schützen, ist ein New School Security Awareness-Training. Mitarbeiter müssen wissen, wie sie Phishing E-Mails an roten Flaggen erkennen, um eine Ransomware-Infektion zu verhindern. Eine Mischung aus simuliertem Phishing und regelmäßigen Trainings mit abwechslungsreichen Inhalten stärkt die Entscheidungsfindung und das Selbstvertrauen der Belegschaft.

In einigen Branchen gelten darüber hinaus weitere Rahmenbedingungen. Versicherer gehen beispielsweise dazu über, Security Awareness-Training in ihre Kriterienkataloge aufzunehmen. Der Gesamtverband der deutschen Versicherungswirtschaft (GDV) führt regelmäßige Schulungen in seinem Standard-Katalog für Cyber-Versicherungen auf. Generell taucht das Thema Schulungen als Unterthema in immer mehr Kriterienkatalogen auf, wie man z.B. hier sehen kann. Security Awareness gewinnt also auch in der Versicherungsbranche an Bedeutung und eine umso prominentere Positionierung in den Kriterienkatalogen der Versicherer ist zu erwarten. Auf dem amerikanischen Versicherungsmarkt ist das Thema Schulung und Awareness teilweise bereits in den Top 5 Kriterien angekommen. Ein Trend zu weiteren Anforderungen an die Unternehmens- und Sicherheitskultur ist absehbar.