Kongress erhöht Druck mit neuen Gesetzesentwürfen zur Bekämpfung der Internetkriminalität

Druckfreundlich, PDF & E-Mail

Der US-Kongress verabschiedet derzeit eine Reihe verschiedener Gesetze, die sich mit Cyberangriffen auf Bundesbehörden und -ministerien, privat betriebene kritische Infrastrukturen und andere Unternehmen in den USA befassen. Diese Gesetze enthalten sowohl Informationen und Bestimmungen zu Meldepflichten als auch zur Einrichtung eines Fonds zur Unterstützung der Opfer. Die Gesetzesentwürfe sollen Cyberkriminelle abschrecken und die staatlichen Behörden durch bessere Reaktionsmöglichkeiten auf Ransomware und andere Cyberangriffe stärken.

Die Verabschiedung dieser Gesetze dürfte niemanden überraschen. Cyberangriffe auf Unternehmen haben in den letzten Jahren deutlich zugenommen. Als Ransomware-Banden damit anfingen, auch wichtige Infrastrukturen und andere große Unternehmen anzugreifen, wurde ein härteres Eingreifen seitens der US-Regierung unvermeidlich.

Neue Meldepflichten und stärkere Abwehrmaßnahmen

In den USA gibt es 16 wichtige Infrastruktursektoren, die wie folgt definiert sind:

… Sektoren, deren Anlagen, Systeme und physische oder virtuelle Netzwerke für die USA von solch entscheidender Bedeutung sind, dass ihre Beeinträchtigung oder Zerstörung einen lähmenden Effekt auf die Sicherheit, die nationale wirtschaftliche Sicherheit, das nationale öffentliche Gesundheitswesen oder die nationale öffentliche Sicherheit oder eine Kombination dieser Aspekte hätte.

Bei einem dieser Gesetzentwürfe handelt es sich um den „Cyber Incident Reporting for Critical Infrastructure Act of 2021“. Dieser Entwurf sieht vor, dass Vorfälle im Cybersecurity-Bereich innerhalb von 72 Stunden nach ihrer Entdeckung offengelegt werden müssen. Für die Entgegennahme und Verwaltung der Meldungen soll eine neue Behörde für die Überprüfung von Cyber-Vorfällen eingerichtet werden. Dieser neuen Behörde sollen mehrere verschiedene Aufgaben in Zusammenhang mit der Analyse und Berichterstattung zufallen und sie soll im Rahmen der Cybersecurity and Infrastructure Security Agency (CISA) arbeiten. Sehen Sie sich hier die Anhörung im Ausschuss zu diesem Gesetzentwurf an.

Zwei der anderen Gesetzesentwürfe befassen sich mit der Sicherheit des industriellen Kontrollsystems (Industrial Control System, ICS). Diese Gesetze fordern die CISA auf, die ICS-Abwehrfunktionen aufrechtzuerhalten mittels:

  • verstärkter Bemühungen zur Identifizierung und Minderung von Cybersecurity-Bedrohungen für industrielle Kontrollsysteme
  • Aufrechterhaltung von Funktionen zur Suche nach Bedrohungen und zur Incident Response, um auf Cybersecurity-Bedrohungen und Vorfälle reagieren zu können
  • Bereitstellung von technischer Unterstützung im Bereich der Cybersecurity für alle Stakeholder
  • Sammlung, Koordinierung und Bereitstellung von Informationen über Schwachstellen für den Bereich der industriellen Kontrollsysteme

Dieser Gesetzentwurf wurde bereits im Repräsentantenhaus verabschiedet und es wird derzeit die Entscheidung des Senats erwartet.

Der Sanction and Stop Ransomware Act of 2021 umfasst sogar noch drastischere Maßnahmen. Hier wird vorgeschlagen, dass das US-amerikanische State Department sogenannte „State Sponsors of Ransomware“ benennt (Länder und Staaten, deren Regierungen Ransomware unterstützt oder ermöglicht haben). Der US-Präsident hat dann die Aufgabe, Sanktionen und Geldstrafen gegen diese Staaten einzuleiten. Die Sanktionen und Geldstrafen stimmen mit denen überein, die auch bei der Förderung von Terrorismus durch Staaten anfallen.

Auswirkungen auf zukünftige Angriffe

Die genauen Auswirkungen dieser Gesetze zur Cybersecurity können in keiner Art und Weise vorhergesagt werden. Es ist jedoch möglich, einige Vermutungen dazu anzustellen:

  • Das höhere Risiko könnte kleinere Ransomware-Partner abschrecken, wodurch nur noch die größeren und raffinierteren Bedrohungsakteure verbleiben würden. Dies könnte letztendlich zu einem Rückgang des „Ransomware as a Service“-Geschäftsmodells führen.
  • Bedrohungsakteure werden gewissermaßen in den „Ruhestand“ gehen, wenn sie ausreichend Geld gemacht haben. Dies war der Fall bei den Betreibern von GandCab im Jahr 2019 , auch wenn es eine Reihe von Beweisen dafür gibt, dass einige der Mitglieder (und deren Codes) zu anderen Hacking-Gruppen übergelaufen sind.
  • Raffinierte Ransomware-Banden könnten damit beginnen, sogenannte „Pop Up“-Modelle zu nutzen, wobei der Zeitraum der Operationen oder auch das genaue Angriffsmuster im Vorhinein festgelegt wird. Das FBI stellt derzeit Untersuchen zu mehr als 100 Ransomware-Gruppen an und hat in der Vergangenheit bereits mehr als 1.000 Gruppen identifizieren können. Diese Zahlen werden aufgrund einer strengeren Strafverfolgung mit Sicherheit noch weiter steigen.

Kriminelle verlassen sich zwar gern auf Ransomware, könnten aber von erhöhten Strafen, koordinierten Untersuchungen und stärkeren Abwehrsystem abgeschreckt werden und so auch weniger Angriffe ausführen. Unabhängig von den jeweiligen Richtlinien auf Bundes- oder Landesebene sollten Unternehmen und Individuen alles in ihrer Macht stehende tun, um ihre Daten und anderen Ressourcen zu schützen.  Selbst die beste Gesetzgebung kann nicht dafür sorgen, dass Sie Ihre Daten zurückerhalten oder dass Ihre unternehmenskritischen Systeme auch während eines Angriffs weiterhin online bleiben.

Nach oben scrollen
Twittern
Teilen
Teilen