Batterie-Energiespeichersysteme können Unternehmen nachhaltiger machen – und anfälliger für Hacker: Risiko & Versicherung

Nach einem Ransomware-Angriff war ein Team von Unternehmensleitern zuversichtlich, dass sie den Zahlungsforderungen der Angreifer nicht nachgeben mussten.

Obwohl ihre Dateien von der Ransomware-Bande verschlüsselt wurden, verfügten sie über starke Backups. Sie hatten ihren Cyber-Versicherer kontaktiert, der sie mit einem Rechtsbeistand und einem forensischen Spezialisten in Kontakt brachte. Diese Experten halfen ihnen, Kontakt zum FBI aufzunehmen, das über einen Entschlüsselungsschlüssel für diese spezielle Ransomware-Bande verfügte. Alles schien reibungslos zu laufen, bis sie den Schlüssel eingaben und feststellten, dass eine Reihe von Dateien in ihren virtuellen Maschinen immer noch gesperrt waren.

„Es stellte sich heraus, dass eine andere Ransomware-Bande ebenfalls ihr System verschlüsselt hatte“, sagte Danielle Roth, Leiterin der Cyber- und Tech-Schadensabteilung bei AXA XL.

Das Unternehmen musste also umschwenken. Es musste seine Maschinen wieder zum Laufen bringen. Der Lösegeldvermittler wandte sich an die zweite Gruppe von Bedrohungsakteuren, die das Team dazu veranlasste, die Verhandlungen mit der ersten Gruppe fortzusetzen. Der Versicherte erhielt schließlich seine Dateien zurück, nachdem er die erste Gruppe von Angreifern bezahlt hatte, die dann die zweite Gruppe dazu veranlasste, den Entschlüsselungsschlüssel herauszugeben.

Dieser Fall war einzigartig – es kommt nicht oft vor, dass Unternehmen gleichzeitig von zwei Ransomware-Banden angegriffen werden. Aber es ist ein Beispiel dafür, wie Angreifer bei ihren Bemühungen, Dateien zu verschlüsseln und Zahlungen von Unternehmen zu erpressen, immer kreativer werden.

Taktiken wie doppelte Erpressung, Lecks sensibler Daten und personalisierte Angriffe gefährden Unternehmen, auch wenn viele von ihnen kritische Sicherheitsmaßnahmen ergreifen.

Danielle Roth, Leiterin Cyber- und Tech-Schäden, AXA XL

Nach massiven Anstiegen im Jahr 2021 seien die Zahl der Ransomware-Angriffe und die Höhe der Lösegelder im Jahr 2022 leicht zurückgegangen, so Roth. Diese Rückgänge sind darauf zurückzuführen, dass Unternehmen Sicherheitsmaßnahmen wie Multifaktor-Authentifizierung, zuverlässige Backups und verstärkte Aktivitäten der Strafverfolgungsbehörden ergreifen.

„Die Strafverfolgung ist viel aktiver“, sagte Roth. „Bedrohungsakteure sind sich sehr bewusst, dass sie sich wirklich einem Risiko aussetzen, wenn sie zu hohe Ziele verfolgen.“

Ein Rückgang zwischen 2021 und 2022 bedeutet jedoch nicht, dass Cyberangriffe verschwinden. Roth stellte fest, dass die Zahl der Angriffe im ersten Quartal 2023 erneut zunahm, da Hacker neue Strategien ausprobierten, um an Unternehmensdaten zu gelangen und Zahlungen zu erzwingen.

„Es ist nicht unbedingt so, dass die Anforderungen höher sind, aber die Bedrohungsakteure sind jetzt viel fokussierter“, sagte Roth.

Hier kommen Taktiken wie die doppelte Erpressung ins Spiel. Bei der doppelten Erpressung kann ein Cyberkrimineller ein Lösegeld verlangen, bevor er einen Entschlüsselungsschlüssel bereitstellt, und gleichzeitig damit drohen, sensible Daten preiszugeben, wenn er nicht bezahlt wird. Diese Taktik zielt auf Unternehmen mit starken Backups ab, die ihre verschlüsselten Dateien möglicherweise nicht wiederherstellen müssen, und übt zusätzlichen Druck auf die Geschäftsleitung aus, indem sie den Ruf eines Unternehmens gefährdet.

„Wenn es sich um eine Gesundheitseinrichtung handelt, könnten sie nach Videos, privaten Krankenakten oder Bildern suchen, was für jemanden, der freigelassen wird, sehr beunruhigend sein könnte“, sagte Roth.

„Eigentlich ist es ziemlich beunruhigend, dass die Bedrohungsakteure auf diese Weise gegen Mitarbeiter und Gesundheitsinformationen der Menschen vorgehen.“

Doppelte Erpressungsangriffe haben zum Teil deshalb so stark zugenommen, weil einige Unternehmensleiter möglicherweise einer falschen Vorstellung davon unterliegen, wie viele Daten Angreifer bei einem Ransomware-Vorfall möglicherweise verlieren könnten. „Vor Jahren gab es, glaube ich, die falsche Vorstellung, dass Ransomware-Angriffe keine Sicherheitsverletzungen seien, bevor mit der Exfiltrierung von Informationen begonnen wurde“, sagte Roth.

„Die Leute haben keinen Rechtsbeistand eingeschaltet, sie haben einen Forensik-Anbieter engagiert, und als sie ihr System wieder nutzen konnten, war es das. Sie dachten, sie hätten es geschafft.“

Neben der Anwendung doppelter Erpressungstaktiken und der Drohung, sensible Daten preiszugeben, starten Bedrohungsakteure auch gezieltere Angriffe auf Unternehmen.

„Sie konzentrieren sich sehr auf das, worauf sie zugreifen, und nutzen es, um Druck auf die Organisation auszuüben“, sagte Roth.

Cyberkriminelle verbringen möglicherweise Stunden damit, Unternehmen zu recherchieren und herauszufinden, wie sie sich bei Phishing-Angriffen als leitende Angestellte ausgeben können, um andere Mitarbeiter dazu zu bringen, die für den Zugriff auf das System erforderlichen Anmeldeinformationen anzugeben. Bei ausgefeilteren Angriffen kontaktieren sie Mitarbeiter über den Domänennamen des Unternehmens, sodass „es aussieht, als käme es aus dem Inneren des Gebäudes“, erklärte Roth.

Auch Datenlecks zielen darauf ab, die Schwachstellen eines Unternehmens auszunutzen. Kriminelle könnten damit drohen, vertrauliche Informationen des Mitarbeiters preiszugeben, auf den sie bei einem Angriff abzielen. Sie könnten auch Kunden (oder Patienten im Falle eines Gesundheitssystems) kontaktieren und mit der Herausgabe ihrer Daten drohen, damit die Kunden das Unternehmen zur Zahlung des Lösegelds drängen.

„Die Leute könnten Druck auf das Unternehmen ausüben, sei es ihr Arbeitgeber oder wenn sie ein Patient sind, das Lösegeld zu zahlen, sodass ihre Informationen auf diese Weise nicht an die Öffentlichkeit gelangen“, sagte Roth.

Wenn Cyberkriminelle in den letzten Jahren eines bewiesen haben, dann ist es, dass sie ihre Taktiken weiterentwickeln, um in die Systeme von Unternehmen einzudringen, deren Daten zu exfiltrieren und Zahlungen zu fordern. Versicherte müssen mit Spediteuren zusammenarbeiten, deren Schadenteams bereit sind, sie bei der Bewältigung dieser sich ständig weiterentwickelnden Risiken zu unterstützen.

„Jeder kann sich immer verbessern, und jeder sollte den Ball im Auge behalten und sich darauf konzentrieren“, sagte Roth.

Versicherte sollten sicherstellen, dass sie regelmäßig Cybersicherheitsschulungen durchführen – einschließlich Phishing-Übungen mit ihren Mitarbeitern sowie mindestens einmal pro Jahr Tabletop-Übungen –, um sicherzustellen, dass sie wissen, was im Falle eines Cyberangriffs zu tun ist. AXA XL arbeitet mit einer Reihe von Anbietern zusammen, die Cybersicherheitsberatung zu vom Versicherten ausgewählten Themen anbieten, um ihn bei der Verbesserung seiner Abwehrmaßnahmen zu unterstützen.

„Das könnte eine Mitarbeiterschulung sein, ein paar Phishing-Übungen – all das. Es werden eigentlich nur Tipps und Tricks gegeben, damit die Versicherten wissen, worauf sie achten müssen, denn ich halte Aufklärung für sehr wichtig“, sagte Roth.

Kommt es zu einem Angriff, steht den Versicherten die 24/7-Verletzungs-Hotline von AXA XL zur Seite. Die Telefonleitung wird jeden Tag rund um die Uhr vom Cyber-Incident-Response-Team des Versicherers überwacht. Das Team kann Versicherte beraten, welche Maßnahmen sie sofort ergreifen müssen, sie mit Beratern für Sicherheitsverletzungen, forensischen Teams und anderen Support-Anbietern verbinden und im Allgemeinen jede erforderliche Unterstützung leisten, um das Ausmaß des Angriffs zu begrenzen.

„Unsere Versicherten sind in der Lage, sehr schnell vor jemanden zu treten und darüber zu sprechen, was vor sich geht“, sagte Roth.

„Für Unternehmen kann es sehr schwierig sein, zu verstehen, was sie in dieser Hochdrucksituation tun müssen. Sie können uns an einem zentralen Ort anrufen und Empfehlungen für Anwaltskanzleien, forensische Anbieter, PR-Unternehmen und all das einholen. Das haben wir.“ Wir haben sie bereits überprüft und die Tarife im Voraus ausgehandelt. Es erspart ihnen stundenlange Arbeit, die sie sonst auf sich nehmen müssten.“

Die schnelle Reaktion der Hotline von AXA XL kann für Versicherte, die einen Verstoß erlitten haben, einen großen Unterschied machen. Roth erinnert sich an eine aktuelle Situation, in der ein Versicherter die Bundespolizei anrief und bestätigte, dass das Unternehmen an einem Freitagabend einem aktiven Cyberangriff ausgesetzt war.

Unmittelbar nach Erhalt des Anrufs verließ die Schadensachbearbeiterin ihren Trainingskurs und kontaktierte einen Rechtsbeistand und ein forensisches Team. Das Team konnte sich innerhalb einer halben Stunde nach Entdeckung des Verstoßes zusammenfinden und Maßnahmen ergreifen, um zu verhindern, dass der Eingriff zu einem Ransomware-Angriff eskaliert, und so das Unternehmen vor vielen der großen Verluste im Zusammenhang mit Ransomware-Ansprüchen bewahren.

„Sie haben keine Ausfallzeiten. Sie haben kein Reputationsrisiko. Sie sind nicht in gleicher Weise den Ansprüchen Dritter ausgesetzt. Sie zahlen kein Lösegeld und gehen dieses Risiko nicht ein“, sagte Roth. „Das war eine echte Erfolgsgeschichte.“

Um mehr zu erfahren, besuchen Sie: https://axaxl.com/insurance/product-families/cyber.

Dieser Artikel wurde vom R&I Brand Studio, einer Einheit der Werbeabteilung von Risk & Insurance, in Zusammenarbeit mit AXA XL produziert. Die Redaktion von Risk & Insurance war an der Erstellung nicht beteiligt.