Die USA werden härter im Kampf gegen Cyberkriminalität

Es überrascht nicht, dass ein Großteil der aus Washington verlauteten Rhetorik in Sachen Ransomware nun in Gesetzesvorgaben mündet. Die Transportation Security Administration (TSA) des Department of Homeland Security (DHS) hat eine weitere Sicherheitsrichtlinie für Betreiber von Pipelines herausgegeben. Darin wird von ihnen verlangt, dringend benötigte Schutzmaßnahmen gegen Cyberangriffe wie Ransomware zu implementieren, einen Notfall- und Wiederherstellungsplan für die Cybersecurity zu entwickeln und umzusetzen sowie eine Überprüfung ihrer Cybersicherheitsarchitektur durchzuführen.

Das US-Repräsentantenhaus hat unterdessen am 20. Juli fünf Gesetzesvorlagen zur Cybersecurity verabschiedet. Das Paket mit fünf Gesetzentwürfen sieht vor, dass Privatunternehmen verstärkt in die Pflicht genommen werden, Vorfälle im Bereich der Cybersecurity zu melden, und dass Behörden auf bundesstaatlicher und kommunaler Ebene Finanzmittel zur Verbesserung der Cybersicherheitsmaßnahmen erhalten.

Im US-Senat hat Senator Mark Warner (Demokrat, Virginia) einen überparteilichen Gesetzentwurf eingebracht, der die Behörde für Cybersicherheit und Infrastruktursicherheit (Cybersecurity and Infrastructure Security Agency, CISA) dazu verpflichten würde, Bedrohungen für betriebstechnologische Systeme, die kritische Infrastrukturen verwalten, zu erkennen und zu entschärfen. Unterstützt von den Senatoren Marco Rubio (Republikaner, Florida), Gary Peters (Demokrat, Michigan) und Rob Portman (Republikaner, Ohio) ist der Gesetzentwurf das Pendant des Senats zu einem der im Repräsentantenhaus verabschiedeten Gesetzesentwürfe zur Cybersicherheit.

Der umstrittenste Schritt ist jedoch das Programm Rewards for Justice, das vom US-Justizministerium mit bis zu 10 Millionen US-Dollar für Informationen über diejenigen dotiert ist, die Ransomware-Angriffe auf die US-Infrastruktur verüben. Das vom Diplomatischen Sicherheitsdienst (DSS) des US-Außenministeriums verwaltete Programm verspricht eine Belohnung für alle, die Informationen zur Identifizierung oder zum Auffinden von Personen führen, die auf Anweisung oder unter der Kontrolle einer ausländischen Regierung handeln und an böswilligen Cyber-Aktivitäten gegen kritische US-Infrastrukturen beteiligt sind, die gegen den Computer Fraud and Abuse Act (CFAA) verstoßen.

Im Prinzip setzt das Außenministerium damit auf eine bewährte Methode zur Zerschlagung von organisierten Verbrecherringen, indem es ein Kopfgeld für Personen aussetzt, die Informationen über Cyberkriminelle liefern. Eine der unglücklichen Folgen solcher Programme war in der Vergangenheit, dass Kriminelle auf Einschüchterung und Gewalt zurückgreifen, um Informanten zum Schweigen zu bringen. Solche Maßnahmen stellen die Strafverfolgungsbehörden, die bisher von ihrem Hoheitsgebiet aus gestartete Cyberangriffe gegen ausländische Einrichtungen weitgehend ignoriert haben, weil sie sich nicht zuständig fühlten, vor ein Dilemma. Wenn jedoch für einige ihrer Bürger von eben diesen Cyberkriminellen eine Gefahr für Leib und Leben ausgeht, ändert sich das gesamte Bild der Rechtssprechung.

Was genau das Außenministerium mit den gesammelten Informationen machen wird, ist unklar. Die US-Regierung hat ihre Absicht bekundet, aggressivere Maßnahmen, die nicht weiter spezifiziert wurden, gegen Cyberkriminelle zu ergreifen. Dazu gehört bisher das Zurückholen von Ransomware-Zahlungen durch Hacken digitaler Geldbörsen. Es ist klar, dass die US-Regierung zumindest plant, es Cyberkriminellen zu erschweren, in den Genuss ihrer unrechtmäßigen Gewinne zu kommen.

Viele Cybersecurity-Experten argumentieren sicher, dass solche Bemühungen längst überfällig sind. Die Räder der Justiz drehen sich ja bekanntlich langsam. Die Wahrheit ist, dass viele der Cyberkriminellen niemals strafrechtlich verfolgt werden. Aber jede Anstrengung, solche Angriffe zu verhindern, ist die Zeit und die Mühe wert – und sei es nur, um die Profiteure dieser Verbrechen daran zu erinnern, dass sie den Rest ihrer Tage damit verbringen werden, über ihre Schulter zu schauen und sich zu fragen, wer auf die eine oder andere Weise hinter ihnen her sein könnte.