Ransomware-Garantien: Valide Option oder Mogelpackung?
Mancher ist mittlerweile der Meinung, es sei eigentlich nur eine Frage der Zeit, bis eine Organisation von einem Ransomware-Vorfall getroffen wird. Da wäre es doch schön, wenn man eine vertraglich zugesicherte Garantie für Leistungen im Schadensfall hätte, um diese Bedrohung abzufedern, oder? Tatsächlich gibt es einige solche Garantien am Markt – unser Autor ist jedoch, vorsichtig formuliert, sehr skeptisch, was deren Nutzen angeht.
Von Tim Robbins, Menlo Park (US/CA)
Laut Benjamin Franklin gibt es zwei Gewissheiten im Leben: den Tod und die Steuern. Heutzutage kommt noch eine weitere hinzu: ein Angriff durch Ransomware. Da erscheint eine Art Ransomware-Versicherung oder -Garantie für Unternehmen verlockend: Wer hätte nicht gerne eine garantierte Auszahlung, wenn der schlimmste Fall eintritt? Aber, aufgepasst: Wie bei den meisten Garantien gilt es auch hier, „das Kleingedruckte“ sehr aufmerksam zu lesen.
Viele Bedingungen, …
Die Bedingungen der wichtigsten Datenschutz- und Datensicherheitsgarantien führen dabei schnell zu großer Ernüchterung. Die schlechten Nachrichten zuerst: Diese Garantien schließen wesentliche Angriffsvektoren von vornherein aus.
- Sie erfassen keine Schadsoftware, die von Dritten durch eine Lücke in der Systemsicherheit in interne Systeme eingeschleust wurde: Wenn sich beispielsweise ein Angreifer aus dem Ausland erfolgreich einhackt und Malware einschleust, ist dies nicht abgedeckt.
- Versichert ist keinerlei Malware, die von Mitarbeiter:inne:n durch eine Verletzung der Systemsicherheit in die internen Systeme eingeschleust wird. Das betrifft zum Beispiel bestimmte Arten des Phishings – dummerweise beginnen laut der US Cybersecurity and Infrastructure Security Agency (CISA) aber 90 % aller Cyberangriffe mit Phishing.
Abgesehen von diesen Ausnahmen gibt es noch weitere abschreckende Bedingungen. Einige Beispiele für rund ein Dutzend zusätzlicher Voraussetzungen, die erfüllt sein müssen, um die Garantien in Anspruch nehmen zu können, sind:
- verpflichtende Anmeldung für einen monatlichen „Gesundheits-Check“ und das Befolgen aller Anweisungen, egal wie mühsam oder kostspielig sie sind – geschieht dies nicht, erfolgt keine Auszahlung
- immer alle neuen Versionen und Patches herunterladen und installieren – sonst keine Auszahlung Erwerber der Garantie sind verpflichtet, sowohl die Regeln in einem sich häufig ändernden „Security-Hardening“ Dokument als auch die „aktuellen Best Practices der Branche“ zum Schutz von Zugangsdaten zu befolgen – ein Bereich, auf den Phishing-Angreifer regelmäßig abzielen. Dabei ist zu bedenken, dass die Definition dieser
Best Practices offen für Interpretationen ist und ein Stück weit der Subjektivität des Anbieters überlassen wird. Auch hier gibt es jedoch keine Auszahlung, wenn Geschädigte sich nicht zu 100 % konform verhalten haben. - Verpflichtung zur Buchung eines nicht erstattungsfähigen Beratungsservices durch einen „Customer-Experience-Manager“ – sonst gibts im Schadensfall kein Geld
- Pflicht zur Zustimmung zu einer öffentlichen Fallstudie, in der beschrieben wird, wie das Unternehmen kompromittiert wurde – ohne Kooperation keine Auszahlung
- Bevor man Aufwand und Ausgaben für die Beseitigung eines Angriffs veranlasst, muss zunächst der Garantie-Anbieter um Erlaubnis gefragt werden – unterbleibt das, wird dieser die Kosten nicht übernehmen.
…, wenig Leistung
Geradezu irreführend ist, dass einige Anbieter den Eindruck erwecken, dass eine Auszahlung im Garantie-Fall 5 bis 10 Millionen Dollar umfassen würde. Aber auch hier verstecken sich die Details im Kleingedruckten: Der letztlich ausgezahlte Betrag erweist sich in der Regel als ein Bruchteil dessen, was die Anbieter für die Garantie ursprünglich erhalten haben. Denn selbst wenn Geschädigte nachweisen können, dass sie die zahlreichen Bedingungen und Anforderungen erfüllt haben, hätten sie nur einen Anspruch auf die Erstattung der tatsächlich angefallenen und im Voraus genehmigten Kosten für Data-Recovery, -Restoration und Re-Creation – jegliche Lösegeld-Zahlungen, die für Ransomware geleistet werden (müssen), sind hingegen nicht erstattungsfähig.
Mehr Schaden als Nutzen?
Nun könnte man meinen, der Abschluss eines Vertrags, der eine solche Garantie umfasst, könne doch zumindest nicht schaden – doch falsch gedacht: Denn mit der Unterzeichnung einer solchen Vereinbarung sind Geschädigten die Hände gebunden, da sie einzig und ausschließlich bei den genutzten Anbietern einen Rechtsanspruch geltend machen dürfen. Die Garantieverkäufer können jedoch durch eine Vielzahl von Ausweichklauseln die Schuld für das Problem dem Geschädigten zuschieben.
Letzten Endes erscheinen dem Autor die am Markt gängigen Ransomware-Garantien daher kaum mehr als
dünn verschleierte Haftungsbeschränkungen, von denen die Anbieter profitieren – nicht aber die Kunden. Zudem ist wohl die Sorge berechtigt, dass Organisationen ein falsches Gefühl von Sicherheit vermittelt bekommen, wenn sie solche Garantien erhalten. Die damit verbundenen Geschäftsbedingungen zeigen aber deutlich, dass diese Garantien nicht nach dem Prinzip „Fire and Forget“ funktionieren! Vielmehr wäre es für viele Kunden eine große Herausforderung, alle Bedingungen zu erfüllen, um im Falle eines Falles von einer Auszahlung zu profitieren. Es empfiehlt sich dringend, die hiermit verbundenen Geschäftsbedingungen anwaltlich durchleuchten zu lassen, bevor man entscheidet, ob mit der Garantieaussage irgendein nennenswerter Schutz (finanziell oder anderweitig) für das eigene Haus verbunden ist.
Fazit
Wenn Tod und Steuern schon unvermeidbar sind, so sollte es für Ransomware-Attacken doch weiterhin zumindest sehr gute Aussichten auf Rettung und vollständige Wiederherstellung der Daten geben können – vorausgesetzt man setzt zeitgemäße Maßnahmen gegen Cybersecurity-Bedrohungen ein, die man aber ja für zweifelhafte Garantien offenbar auch einsetzen müsste, wenn man genau hinschaut. Den besten Schutz (unter anderem) gegen einen Datenverlust durch Ransomware versprechen in den Augen des Autors moderne Lösungen für Daten-Isolierung und -Recovery – idealerweise lassen sich damit gleichzeitig Betriebsabläufe vereinfachen und Kosten deckeln.
Tim Robbins ist General Counsel bei Cohesity.