Kongress erhöht Druck mit neuen Gesetzesentwürfen zur Bekämpfung der Internetkriminalität

Der US-Kongress verabschiedet derzeit eine Reihe verschiedener Gesetze, die sich mit Cyberangriffen auf Bundesbehörden und -ministerien, privat betriebene kritische Infrastrukturen und andere Unternehmen in den USA befassen. Die Rechtsvorschriften reichen von über die Meldepflicht bis hin zur Einrichtung eines Fonds zur Unterstützung der Opfer. Die Gesetzesvorlagen sollen Cyberkriminelle abschrecken und die Reaktion des Bundes auf Ransomware und andere Cyberangriffe stärken.

Die Verabschiedung dieser Gesetze dürfte niemanden überraschen. Cyberangriffe auf Unternehmen häufen sich seit Jahren . Als die Ransomware-Banden begannen, kritische Infrastrukturen und andere "Großwild" anzugreifen, war es unausweichlich, dass die US-Regierung aggressiv reagieren würde.

Neue Meldepflichten und stärkere Abwehrmaßnahmen

In den USA gibt es 16 kritische Infrastruktursektoren, die wie folgt definiert sind:

... Sektoren, deren Vermögenswerte, Systeme und Netzwerke, ob physisch oder virtuell, die USA von solch entscheidender Bedeutung sind, dass ihre Beeinträchtigung oder Zerstörung einen lähmenden Effekt auf die Sicherheit, die nationale wirtschaftliche Sicherheit, das nationale öffentliche Gesundheitswesen oder die nationale öffentliche Sicherheit oder eine Kombination dieser Aspekte hätte.

Einer der Gesetzesentwürfe, die derzeit geprüft werden, ist der Cyber Incident Reporting for Critical Infrastructure Act of 2021. Dieser Entwurf sieht vor, dass Vorfälle im Cybersecurity-Bereich innerhalb von 72 Stunden nach ihrer Entdeckung offengelegt werden müssen. Für die Entgegennahme und Verwaltung der Meldungen soll eine neue Behörde für die Überprüfung von Cyber-Vorfällen eingerichtet werden. Dieses neue Büro hätte mehrere Aufgaben im Zusammenhang mit der Analyse und Berichterstattung und würde innerhalb der Cybersecurity and Infrastructure Security Agency (CISA) arbeiten. Sie können die Anhörung des Ausschusses zu diesem Gesetzentwurf hier einsehen.

Zwei der anderen Gesetzesentwürfe befassen sich mit der Sicherheit des industriellen Kontrollsystems (Industrial Control System, ICS). Diese Gesetzesentwürfe würden das CISA dazu verpflichten, die ICS-Abwehrkapazitäten bis aufrechtzuerhalten:

• verstärkter Bemühungen zur Identifizierung und Minderung von Cybersecurity-Bedrohungen für industrielle Kontrollsysteme


• Aufrechterhaltung von Funktionen zur Suche nach Bedrohungen und zur Incident Response, um auf Cybersecurity-Bedrohungen und Vorfälle reagieren zu können


• Bereitstellung von technischer Unterstützung im Bereich der Cybersecurity für alle Stakeholder


• Sammlung, Koordinierung und Bereitstellung von Informationen über Schwachstellen für den Bereich der industriellen Kontrollsysteme

Dieser Gesetzentwurf wurde im Repräsentantenhaus verabschiedet und wartet auf Maßnahmen im Senat.

Der Sanction and Stop Ransomware Act of 2021 würde sogar noch weiter gehen, indem er das Außenministerium anweist, staatliche Sponsoren von Ransomware zu benennen und den Präsidenten auffordert, Sanktionen und Strafen gegen diese Staaten zu verhängen. Die Sanktionen und Geldstrafen stimmen mit denen überein, die auch bei der Förderung von Terrorismus durch Staaten anfallen.

Auswirkungen auf zukünftige Angriffe

Es gibt keine Möglichkeit, die Auswirkungen dieser Cybersicherheit-Rechnungen vorherzusagen, wenn sie gesetzlich geregelt sind, aber wir können einige Vermutungen machen:

• Das höhere Risiko könnte kleinere Ransomware-Partner abschrecken, wodurch nur noch die größeren und raffinierteren Bedrohungsakteure verbleiben würden. Dies könnte letztendlich zu einem Rückgang des „Ransomware as a Service“-Geschäftsmodells führen.


• Bedrohungsakteure werden gewissermaßen in den „Ruhestand“ gehen, wenn sie ausreichend Geld gemacht haben. Die Betreiber von GandCrab taten dies im Jahr 2019, obwohl es Hinweise gibt, dass einige ihrer Mitglieder (und ihr Code) zu anderen Hackergruppen übergelaufen sind.


• Raffinierte Ransomware-Banden könnten damit beginnen, sogenannte „Pop Up“-Modelle zu nutzen, wobei der Zeitraum der Operationen oder auch das genaue Angriffsmuster im Vorhinein festgelegt wird. Das Federal Bureau of Investigation (FBI) untersucht derzeit mehr als 100 Ransomware-Gruppen, und in der Vergangenheit wurden über 1.000 Gruppen identifiziert. Diese Zahlen werden aufgrund einer strengeren Strafverfolgung mit Sicherheit noch weiter steigen.

Kriminelle lieben Ransomware, aber erhöhte Strafen, koordinierte Untersuchungen und stärkere Abwehrmaßnahmen werden einige dieser Angriffe stoppen. Unabhängig von den Bundes- oder Landesrichtlinien müssen Unternehmen und Einzelpersonen alles in ihrer Macht Stehende tun, um ihre Daten und andere Ressourcen zu schützen.  Selbst die beste Gesetzgebung kann nicht dafür sorgen, dass Sie Ihre Daten zurückerhalten oder dass Ihre unternehmenskritischen Systeme auch während eines Angriffs weiterhin online bleiben.