Verbot von Ransomware-Zahlungen

Warum Zahlungsverbote nicht die Ransomware-Epidemie lösen

Druckfreundlich, PDF & E-Mail

In den letzten Wochen wurden australische Unternehmen Opfer einer Flut von Ransomware-Angriffen. Wie vorauszusehen war, hat sich die Politik eingeschaltet. Und wie auch vorauszusehen war, bleiben die Lösungsvorschläge – auch wenn sie für eindrucksvolle Schlagzeilen sorgen – hinter den Anforderungen zurück. Die Regierung in Canberra erwägt nun ein Verbot, um die Unternehmen des Landes an der Zahlung von Lösegeld zu hindern. Es ist eine Idee, die verschiedene Regierungen weltweit in den letzten Jahren diskutiert haben. Doch wird dabei verkannt, wo die eigentliche Herausforderung bei Ransomware liegt.

Der Versuch, Zahlungen zu verbieten, ist eine zu einfache Lösung für ein komplexes Problem. Dadurch wird nicht die Hauptursache der aktuellen Ransomware-Epidemie beseitigt: Eine unzureichende Security bei den KMU.

Impulsive Reaktion

Im vergangenen Monat kam es in Australien zu zahlreichen Sicherheitsverletzungen. Zu den betroffenen Unternehmen gehörten:

  • Der Weinhändler Vinomofo gibt an, dass ein unbefugter Dritter rechtswidrig auf eine Datenbank zugegriffen habe, die Namen, Geburtsdaten, Adressen, E-Mail-Adressen, Telefonnummern und das Geschlecht von Kunden enthielt.
  • MyDeal, eine Tochtergesellschaft der Woolworths Group, gab bekannt, dass 2,2 Millionen Kunden von einer Verletzung seiner CRM-Systeme betroffen sein könnten.
  • Der Telekommunikationsriese Optus wurde im September Opfer eines Cyberangriffs, bei dem die staatlichen Identifikationsnummern von 1,2 Millionen seiner Kunden kompromittiert wurden. Das Unternehmen wurde anschließend von dem Cyberkriminellen erpresst.
  • Der ForceNet-Service des australischen Department of Defence rückte ebenfalls in das Visier von Ransomware-Erpressern.
  • Die Krankenkasse Medibank, bei der Hacker auf vertrauliche Daten von fast 10 Millionen Kunden zugegriffen haben, darunter Informationen über Entzugsbehandlungen und Abtreibungen. Die mutmaßlichen Cyberkriminellen, die zur berüchtigten REvil-Gruppe gehören, gaben die Daten willkürlich weiter, nachdem Medibank sich der Zahlung widersetzt hatte.

Die australische Ministerin für Cybersecurity, Clare O'Neil, sah die Glaubwürdigkeit der neuen Labour-Regierung bedroht und ging in die Offensive. Sie kündigte eine neue Cyber-Taskforce an, um die „Drecksäcke“ ausfindig zu machen, die die Daten so vieler Australier missbraucht haben. Berichten zufolge sagte sie auch, dass die Regierung ein Verbot in Betracht ziehe, das betroffenen Unternehmen an der Zahlung von Lösegeld hindern soll.

Warum ein Verbot nicht funktioniert

Im Grunde ist die Idee eines solchen Verbots einfach. Indem der Gesetzgeber den Ransomware-Gruppen die Möglichkeit nimmt, von Sicherheitsverletzungen zu profitieren, würde das Geschäftsmodell, das die derzeitige Epidemie antreibt, gestört werden. Es gibt jedoch mehrere Gründe, warum dies wahrscheinlich nicht gelingt:

  • Zahlungen würden eventuell heimlich im Untergrund abgewickelt werden, was sich auf die Bemühungen der Branche zur Bekämpfung von Ransomware auswirken würde, da den Ermittlungsbehörden das wahre Ausmaß der Bedrohung nicht bekannt wäre.
  • Eine solche Entscheidung würde vermutlich eine Ausnahme für Anbieter kritischer Infrastrukturen erfordern – wie den Ölpipeline-Betreiber Colonial Pipeline, der seinen Erpressern 5 Millionen USD zahlen musste, um wichtige Dienste schnell wieder in Betrieb nehmen zu können. Dies würde Bedrohungsakteuren einen Anreiz bieten, genau diese Unternehmen anzugreifen.

Eine Alternative wäre, dass die Versicherer keine Abdeckung für Lösegeldzahlungen leisten, wie das Beispiel AXA im vergangenen Jahr in Frankreich zeigt. Aber selbst dies könnte nicht die gewünschte Wirkung haben, da die Anreize zur Zahlung für einige Unternehmen so stark sein könnten, sich das Geld aus anderen Quellen zu beschaffen.

Das Richtige tun

Wenn Verbote wie diese nicht funktionieren, was können dann die Stakeholder der Branche tun, um die anhaltende Bedrohung durch Ransomware zu verringern? In Ermangelung einer erstaunlichen geopolitischen Wende, bei der feindliche Nationen Cyberkriminelle strafrechtlich verfolgen, anstatt ihnen Unterschlupf zu gewähren, müssen wir uns auf die Prävention konzentrieren. Das bedeutet, dass die grundlegende Sicherheit verbessert werden muss, insbesondere bei den KMU, die immer noch die Mehrheit der Unternehmensopfer ausmachen.

In der Praxis führt dies zu Cyber-Hygienemaßnahmen wie:

Jedoch verbreiten Security-Anbieter und Regierungsbehörden diese Botschaft schon seit Jahren. Vielleicht ist es die Versicherungsbranche, die den Schlüssel zu einer tatsächlichen Änderung des Unternehmensverhaltens in der Hand hält. Versicherer könnten einen Risikomanagementansatz vorschreiben, bei dem die Deckung je nach Stärke der Sicherheitslage ihrer Kunden abgelehnt oder erheblich reduziert wird (bzw. die Versicherungsbeiträge höher ausfallen). Dies würde KMU einen großen finanziellen Anreiz bieten, bewährte Verfahren und Tools im Bereich Sicherheit einzuführen.

Zeit für Veränderungen

Dies beginnt sich abzuzeichnen, da die Versicherer darum kämpfen, die durch Ransomware verursachten Kosten einzudämmen. Aber es muss auf strukturiertere und systematischere Weise geschehen, z. B. indem die Versicherungsbranche als Ganzes eine Reihe von Mindestsicherheitsanforderungen für kleine und mittlere Unternehmen einführt. Diese könnten sich sogar an bestehenden Rahmenwerken wie dem britischen Cyber Essentials orientieren.

Der in London ansässige Think Tank Royal United Services Institute hat im vergangenen Jahr in einem Grundsatzpapier ähnliche Empfehlungen ausgesprochen. Er forderte auch eine stärkere Rolle der Regierung bei der standardmäßigen Weitergabe von Daten über Sicherheitsverletzungen an die Versicherer, damit diese sich ein klareres Bild vom Risiko potenzieller Versicherungsnehmer machen können.

Die Regierung könnte sogar eine Cyber-Versicherung gesetzlich vorschreiben, so wie es in Großbritannien bei der Berufshaftpflichtversicherung der Fall ist – zumindest für Lieferanten der öffentlichen Hand. Diese Best Practice könnte sich dann schließlich in der Geschäftswelt durchsetzen. Aber es ist eine Sache der Zeit, und diesen Luxus haben Netzwerkverteidiger nicht. Statt schlagzeilenträchtige Maßnahmen wie das Verbot von Lösegeldzahlungen zu ergreifen, müssen die Regierungen geschickter vorgehen, um der größten Bedrohung für die Unternehmen von heute Herr zu werden. Ein guter Anfang wäre, die Cyber-Versicherungsbranche dazu zu bewegen, universell zu sein und Best-Practice-Security zu belohnen.

Kostenloses E-Book: Eine dreistufige Anleitung zum Schutz vor Ransomware

Nach oben scrollen
Twittern
Teilen
Teilen