Persönliche Daten von allen 3,9 Millionen Kunden, dazu umfangreiche Informationen aus den Krankenakten - ein Cyberangriff auf den australischen Krankenversicherer Medibank wird das Unternehmen noch teuer zu stehen kommen. Der größte private Krankenversicherer des Landes rechnet mit mindestens 25 Millionen australischen Dollar (16 Millionen Euro) Kosten, etwa für Hilfsangebote für seine Kunden. Kosten für Schadenersatzansprüche und Rechtsstreitigkeiten sind darin noch nicht einmal enthalten. Seinen Ausblick für das laufende Geschäftsjahr musste der Versicherer zurücknehmen.
Glück im Unglück: Es handelte sich bei dem Angriff nicht um eine Ransomware-Attacke, bei der Cyberkriminelle Daten oder Systeme verschlüsseln, erklärte das Unternehmen. Die normale Geschäftstätigkeit kann daher weiterlaufen. Die Kosten muss der Versicherer trotzdem selbst tragen, nach eigenen Angaben hat er keine Cyberversicherung abgeschlossen.
Kriminelle fordern Lösegeld für verschlüsselte Daten
Immer häufiger greifen Cyberkriminelle Unternehmen mit Erpressersoftware an. Mithilfe der sogenannten Ransomware verschlüsseln sie Daten auf den fremden Computern und fordern Lösegelder, um die Daten wieder freizugeben. Im vergangenen Jahr gab es 623 Millionen solcher Ransomware-Angriffe - doppelt so viele wie 2020, zeigt ein aktueller Bericht der Allianz-Tochter Allianz Global Corporate & Specialty (AGCS).
Den Unternehmen schaden die Attacken auf ihre Systeme mehr als zuvor. "Die Kosten für Ransomware-Angriffe sind gestiegen, da die Kriminellen größere Unternehmen, kritische Infrastrukturen und Lieferketten ins Visier genommen haben", sagt Scott Sayce, Global Head of Cyber bei AGCS und Group Head des Cyber Centre of Competence der Allianz. Nach Angaben von AGCS machten Schäden durch Ransomware-Angriffe in den vergangenen zwei Jahren mehr als die Hälfte aller Schäden in der Cyberversicherung aus, die AGCS gemeinsam mit anderen Gesellschaften versichert hatte.
Im vergangenen Jahr meldeten Unternehmen, die bei AGCS eine Cyberpolice abgeschlossen hatten, mehr als tausend Schadenfälle in der Cyberversicherung. 2020 waren es 1114 Fälle, 2019 noch 849. Dieses Jahr hat sich die Schadenaktivität dem Bericht zufolge stabilisiert. Wobei die Schwankungen innerhalb eines Jahres bei Cyberschäden auffällig sind: 2021 registrierte AGCS beinahe 60 Prozent der Schadenfälle im vierten Quartal.
Die Kriminellen verschlüsseln längst nicht mehr nur die Daten. Sie wenden inzwischen Taktiken an, mit denen sie die betroffenen Unternehmen doppelt oder gar dreifach erpressen. Sie stehlen während ihrer Attacken sensible Daten, für die sie noch mehr Lösegeld fordern. Ergaunern die Angreifer Daten, die Geschäftspartner oder Kunden betreffen, stellen sie auch Forderungen gegen diese, heißt es im Cyber-Bericht.
Die Erpresser forschen die Finanzen der Unternehmen vorab aus
Die Zahl der doppelten Erpresser-Angriffe hat sich im Jahr 2021 versechsfacht. Im ersten Halbjahr sind die Schäden auf 590 Millionen Dollar (594 Millionen Euro) gestiegen. Marek Stanislawski, Global Cyber Underwriting Lead bei AGCS sagt: "Lösegeldforderungen sind inzwischen maßgeschneidert. Die Gruppen investieren Ressourcen, um den 'richtigen' Betrag festzulegen." Sie forschen also erst einmal die Finanzen eines Unternehmens aus, bevor sie Ansprüche stellen.
Außerdem geraten dem Bericht zufolge zunehmend kleine und mittelgroße Unternehmen ins Visier der Erpresser. Während große Firmen ihre Cybersicherheit verstärken, mangelt es den kleineren an finanziellen Mitteln.
Viele Unternehmen sehen Cybervorfälle als eines der bedeutendsten Geschäftsrisiken an. Auch die Versicherer sorgen sich um die Sparte, in der die Gesellschaften tiefrote Zeiten schreiben. Die Schaden- und Kostenquote lag laut dem Versichererverband GDV im vergangenen Jahr bei knapp 124 Prozent. Das heißt, dass die Versicherer für jeden eingenommenen Prämien-Euro 1,24 Euro für Schäden und Kosten ausgeben mussten.
Längst nicht jedes Unternehmen, dass eine Versicherung kaufen will, bekommt sie
Die Versicherer haben deshalb die Preise drastisch erhöht. Auch bei AGCS sind sie um rund 40 Prozent gestiegen. Aktuell sieht der Anbieter keine Entspannung im Markt. Zudem nehmen die Versicherer die Cybersicherheit der Firmen vor Vertragsabschluss genau unter die Lupe. Längst nicht jedes Unternehmen, das eine Police kaufen will, bekommt sie auch. Viele Firmen gelten inzwischen als nicht mehr versicherbar. Die Allianz-Tochter lehnt in Deutschland ungefähr drei Viertel aller Anfragen ab.
In dem Bericht hat der Versicherer noch weitere Trends ausgemacht. Beim sogenannten Business-E-Mail-Compromise (BEC) verwenden Betrüger Phishing-Mails oder Social Engineering, um Daten zu stehlen oder nicht autorisierte Überweisungen zu tätigen. Die Täter greifen zunehmend mithilfe künstlicher Intelligenz an. Sie nutzen gefälschte Video- und Audioaufnahmen, die leitende Angestellte imitieren, und bringen so Mitarbeiter dazu, Geld auf ihre Konten zu überweisen.
Auch der Bereich Cybersicherheit ist vom Fachkräftemangel geplagt. Dem Bericht zufolge weltweit knapp 3,5 Millionen Stellen in der IT-Sicherheit von Unternehmen unbesetzt. Nicht immer muss ein Cyberangriff so kostspielig enden wie bei dem australischen Versicherer Medibank. Der Schweizer Versicherer Baloise ist bei einem Hackerangriff im April dieses Jahres glimpflich davongekommen. Einige betroffene IT-Systeme mussten isoliert werden, das führte allerdings nur kurz zu Ausfällen im Vertrieb.
Trotzdem hat der Cybervorfall bis heute Auswirkungen: Im Darknet werden noch immer Daten des Unternehmens angeboten. "Es handelt sich dabei um etwa ein Dutzend Kopien von Reisepässen von Mitarbeitenden, die an einer Geschäftsreise teilgenommen haben", teilte ein Sprecher mit. Die betroffenen Mitarbeitenden sowie die Datenschutzbehörde seien umgehend informiert worden.
