Versicherer zu Cyberangriffen: Schäden "im Cyberspace nicht mehr versicherbar"

Begonnen von duda, 29.12.2022, 12:35

Vorheriges Thema - Nächstes Thema
Antworten Drucken
Nach unten Seiten1
Benutzer-Aktionen

duda

29.12.2022, 12:35
Früher oder später muss die Katze aus dem Sack.


Zitat von: c'tVersicherungsgesellschaften müssen immer mehr Geld zur Regulierung von Schäden durch Cyberattacken ausgeben. Solche Verträge seien bald nicht mehr finanzierbar.

Der Schaden durch Naturkatastrophen wird 2022 im zweiten Jahr in Folge die Grenze von 100 Milliarden Dollar überschreiten. Doch das scheint die Versicherer nicht zu beunruhigen. Der Vorstandsvorsitzende der Schweizer Versicherungsgesellschaft Zurich, Mario Greco, sorgt sich weit mehr um die Schäden durch Cyberangriffe.

"Was nicht mehr versicherbar sein wird, ist der Cyberspace", sagte er im Gespräch mit der Financial Times [1]. "Was ist, wenn jemand die Kontrolle über wichtige Teile unserer Infrastruktur übernimmt, was sind die Folgen?" Er sorgt sich nicht nur um die Daten, sondern um unsere Zivilisation: "Diese Leute können unser Leben empfindlich stören."

[...]
Wirklich beunruhigend ist, was der Artikel im letzten Absatz wiedergibt.
Zitat von: c'tEr spricht sich auch dafür aus, gesetzliche Vorgaben zur Verhinderung von Lösegeldzahlungen bei Ransomware-Erpressungen zu schaffen: "Wenn man die Zahlung von Lösegeldern einschränkt, wird es weniger Anschläge geben."
Insbesondere im letzten Satz ("Wenn man die Zahlung von Lösegeldern einschränkt, wird es weniger Anschläge geben.") sehe ich eine fatale Fehleinschätzung der prekären Lage. Diese Taktik wird definitiv nicht funktionieren. Im schlimmsten Fall wird sich die Situation dadurch sogar noch deutlich verschärfen.

URL (Kurzlink) des c't-Artikels
Druckansicht des c't-Artikels

Bit

#1
29.12.2022, 15:26
Zitat von: duda am 29.12.2022, 12:35
Wirklich beunruhigend ist, was der Artikel im letzten Absatz wiedergibt.
Zitat von: c'tEr spricht sich auch dafür aus, gesetzliche Vorgaben zur Verhinderung von Lösegeldzahlungen bei Ransomware-Erpressungen zu schaffen: "Wenn man die Zahlung von Lösegeldern einschränkt, wird es weniger Anschläge geben."
Insbesondere im letzten Satz ("Wenn man die Zahlung von Lösegeldern einschränkt, wird es weniger Anschläge geben.") sehe ich eine fatale Fehleinschätzung der prekären Lage. Diese Taktik wird definitiv nicht funktionieren. Im schlimmsten Fall wird sich die Situation dadurch sogar noch deutlich verschärfen.

(Fett von mir.)

Ich sehe das langfristig nicht so. Wenn von dritter Seite (hier eben gesetzlich) dem Erpressten die Zahlung unmöglich gemacht wird und sich herumspricht, daß das generell so ist, wäre dieses Feld abgeerntet und würde sich als kriminelles Geschäftsmodell nicht mehr lohnen.

Allein:
• wie lange soll es dauern, bis das etabliert ist?
• wie wirksam wird es sein, wenn man die Bezahlung der Forderung als Anstiftung oder Beteiligung an der Erpressungsstraftat bestraft?

Beispiel: sein Auto nicht abzuschließen und die Fenster vollständig zu schließen, gilt bereits strafrechtlich schon seit Langem als Anstiftung zum Diebstahl. Wird das geahndet? Stehen die Autos im Sommer geschlossener?
Was genützt hat ist stattdessen, die immer größere Verbreitung von Klimaanlagen in den Fahrzeugen.

Zitat von: duda am 29.12.2022, 12:35
URL (Kurzlink) des c't-Artikels
Druckansicht des c't-Artikels

Vielen Dank für den Service!

duda

#2
29.12.2022, 16:05
Zitat von: Bit am 29.12.2022, 15:26Vielen Dank für den Service!
Aber gerne doch!

Wir werden sehen. Die dunkle Seite der Macht ist immer zwei Schritte voraus. Werden seitens der Gesetzgebung die Zügel angezogen, so wird die dunkle Seite ihrerseits den Druck erhöhen.
Darauf würde ich wetten wollen. Bleibt zu hoffen, dass die angerichteten Schäden (auf beiden Seiten wohlgemerkt) nicht ins unermessliche steigen werden.

PeterZH

#3
29.12.2022, 18:20 Letzte Bearbeitung: 29.12.2022, 18:48 von PeterZH
Bei den Cyber Versicherungen gibt es diverse Probleme. Die Lösegeldzahlungen sind aber nur ein kleiner Nebenschauplatz. Bei den Aussagen von Greco diesbezüglich geht es um Lobbying der Versicherer.

In den letzten Monaten gab es dazu auch diverse Äusserungen von CRO und CFO. Die haben die grossen Probleme thematisiert und haben es dadurch natürlich nicht in die Populärliteratur geschafft ...

Manche Versicherer haben von Anfang an darauf geachtet, genau zu definieren, was die Versicherten Risiken sind, welche Mitwirkungspflichten der Versicherungsnehmer hat, usw.  Andere sahen nur das neue Geschäftsfeld und Wachstumsaussichten in den Prämien. Ohne gründlich und seriös die Risiken zu betrachten und einzupreisen.

Dass die Zürich sich in Deutschland schon mehrfach nicht mit Ruhm bekleckert hat im Risiko Management findet man über Google...

https://www.landbote.ch/schaeden-in-deutschland-belasten-zurich-620293055713

https://www.tagblatt.ch/nachrichten/wirtschaft/Zurich-muss-Reserven-aufstockenart149,3164859




Mein Arbeitgeber war aber auch nicht gut bei den Cyberversicherungen unterwegs und musste gegensteuern...

Ich bin nicht CRO, würde aber dennoch behaupten, dass Cyber Versicherungen auch in Zukunft existieren werden. Da Teile ich den düsteren Ausblick von Greco nicht...

Disclaimer: Wie man vielleicht erahnt, arbeite ich bei der Konkurrenz und habe auch mit Cyber Vers. beruflich zu tun.



duda

#5
14.01.2023, 18:00
Zitat von: PeterZH am 29.12.2022, 18:20findet man über Google...
Oder aber (besser) über die alternative(n) Suchmaschine(n) seines Vertrauens.
Zitat von: PeterZH am 14.01.2023, 17:00Ein kleiner Update:
Sollte das nicht eher und besser "Ein kleines Update" heißen?

Andreas

#6
16.01.2023, 08:43
Zitat von: Bit am 29.12.2022, 15:26
Ich sehe das langfristig nicht so. Wenn von dritter Seite (hier eben gesetzlich) dem Erpressten die Zahlung unmöglich gemacht wird und sich herumspricht, daß das generell so ist, wäre dieses Feld abgeerntet und würde sich als kriminelles Geschäftsmodell nicht mehr lohnen.

Ich glaube nicht, dass das so funktioniert.
Das sieht man ja z.B. bei Lösegeldzahlungen an Entführer (sowohl In- als auch Ausland).
Natürlich sollte das nicht gemacht werden, aber da es um Menschenleben geht, wird es hintenrum doch gemacht. Teilweise, wenn nicht sogar meistens unter Leitung der Behörden ...

Und wie will man bitte, z.B. im Falle eines Krankenhauses, vermitteln, dass dort aus Prinzip kein Lösegeld gezahlt wird und die Patienten halt Pech haben ... (konstruierte Beispiele)

"Sehr geehrte Frau Meier,
Die dringend benötigte Operation ihrer 3 jährigen Tochter wegen ... steht eigentlich nächste Woche an. Wir konnten nun nach 4 Wochen zwar unsre IT-Systeme wiederherstellen, aber leider ist die Patientenakte inklusive aller Voruntersuchungen ihrer Tochter verlorengegangen. Diese müssen wir nun leider wiederholen. Dies wird zusammen mit der Rekonstuktion der genauen Diagnose vermutlich so lange dauern, dass wir uns die Operation dann auch sparen können ..."

"Sehr geehrter Herr Schulz,
Vor 5 Wochen konnten wir Ihnen die freudige Nachricht überbringen, dass wir einen Knochenmarkspender für ihren 4 jährigen Sohn gefunden hatten. Nachdem wir nun unsere IT-Systeme wieder hergestellt haben, müssen wir ihnen leider mitteilen, dass die Daten zu Knochenmarkspende verlorengegangen sind und wir ihrem Sohn leider doch nicht helfen können ... "

Also ich wöllte das niemandem vermitteln müssen!
Und selbst auch nicht hören!

Und da hilft es dann auch nicht, mit dem Finger auf irgend eine arme Sau von Admin zu zeigen ...
Es wird immer eine Fallentscheidung bleiben.

Was wir brauchen ist eine bessere/gesündere IT Landschaft, die nicht nur von Gier getrieben wird!
Ein stumpfes "weiter so, aber ohne Lösegeldzahlungen" hilft uns nicht.

Bit

#7
16.01.2023, 14:52
Zitat von: Andreas am 16.01.2023, 08:43Also ich wöllte das niemandem vermitteln müssen!
Und selbst auch nicht hören!

Das stimmt allerdings.
Es wird auch niemand verantworten können, wenn dadurch nachweisbar Menschen zu Schaden kämen.

PeterZH

#8
16.01.2023, 19:36
Das mit dem Lösegeld ist ein vorgeschobenes Argument der Versicherer Lobby. Heute war unsere Presseschau wieder voll mit Artikeln zu Cyberversicherungen, wo langsam die wahre Intention hervorkommt.


Es geht darum, dass Cyberrisiken ja doch versicherbar wären, wenn alle einzahlen müssen (Pflichtversicherung) und der Staat mit einspringt für die teuren Fälle. Das alte Thema, Gewinne privatisieren, Verluste sozialisieren....
Antworten Drucken
Nach oben Seiten1
Benutzer-Aktionen

Schnellantwort

Achtung: In diesem Thema wurde seit 120 Tagen nichts mehr geschrieben.
Wenn du nicht absolut sicher bist, dass du hier antworten willst, starte ein neues Thema.

Achtung: Dieser Beitrag wird erst angezeigt, wenn er von einem Moderator genehmigt wurde.

Name:
Verifizierung:
Bitte lasse dieses Feld leer:
Welche Farbe hat ein Schimmel (Pferd)?:
Shortcuts: mit Alt+S Beitrag schreiben oder Alt+P für Vorschau