Kopfgeld für Datendiebe: Hilft es oder schadet es?

Prämien und Belohnungen wurden für die Festnahme von Kriminellen oder für Informationen, die zu ihrer Gefangennahme führten, mindestens seit dem ersten Jahrhundert des Römischen Reiches angeboten, als ein Tavernenbesitzer in Pompeji eine Belohnung für die Rückgabe eines gestohlenen Kupfertopfs und für Informationen, die zur Gefangennahme des Diebes führten, aussprach.

In der Neuzeit bietet die US-Regierung seit 1950 Kopfgelder für Hilfe bei der Festnahme von Kriminellen von der Liste der zehn meistgesuchten Personen des FBI an. Und seit der Verabschiedung des Gesetzes zur Bekämpfung des internationalen Terrorismus im Jahr 1984 hat die US-Regierung im Rahmen ihres Programms „Rewards for Justice“ (RfJ) Belohnungen für Informationen über Terrorismus, ausländische Wahleinmischung und bösartige Cyberaktivitäten ausgesetzt.

Im vergangenen Juni wurde im Rahmen des RfJ-Programms eine Belohnung in Höhe von 10 Millionen Dollar für Informationen ausgesetzt, die zur Ergreifung von Maxim Alexandrovich Rudometov und anderen Personen führen, die mit der Erstellung und Verbreitung der RedLine-Malware in Verbindung stehen. 

Die Coinbase-Prämie

In einer neuartigen Entwicklung hat ein Opfer von Cyber-Erpressung – der Krypto-Börsenbetreiber Coinbase – kürzlich eine Belohnung in Höhe von 20 Millionen Dollar für Informationen ausgesetzt, die zur Identifizierung und Ergreifung der Kriminelle führen, die an sensible Kundendaten gelangt waren und denselben Betrag als Gegenleistung dafür verlangten, wenn Sie die Daten nicht öffentlich machen.

Folgendes war passiert: Jemand hatte Mitarbeiter des Kundensupports von Coinbase bestochen, um eine Menge Daten zu stehlen und herauszugeben – Kundennamen, Telefonnummern, Adressen, E-Mail-Adressen, Kontostände, Teile von Kontonummern und mehr (aber keine Passwörter oder privaten Schlüssel). Anschließend teilten die Kriminellen Coinbase per E-Mail mit, dass sie die Daten nicht veröffentlichen würden, wenn Coinbase dafür ein Lösegeld von 20 Millionen Dollar zahlt.

Diese Daten könnten leicht für Phishing-Betrug verwendet werden, bei dem Kunden dazu verleitet werden könnten, beispielsweise Einzahlungen von ihren echten Coinbase-Konten auf andere, betrügerische Konten zu verschieben. Es ist nicht klar, inwieweit Kunden betroffen sind oder Verluste erlitten haben, doch Coinbase hat zugesichert, für alle auftretenden Verluste geradezustehen.

Coinbase reagierte, indem es den Diebstahl bekannt machte und sich weigerte, das Lösegeld zu zahlen. Im Blogbeitrag des Unternehmens zur Angelegenheit steht unter anderem:

„Wir arbeiten eng mit den Strafverfolgungsbehörden zusammen, um das härtestmögliche Strafmaß zu sichern, und werden das geforderte Lösegeld in Höhe von 20 Millionen Dollar nicht zahlen. Stattdessen richten wir einen Belohnungsfonds in Höhe von 20 Millionen Dollar für Informationen ein, die zur Festnahme und Verurteilung der für diesen Anschlag Verantwortlichen führen. 

Coinbase schätzt die Gesamtkosten für die Wiederherstellung nach dem Angriff auf bis zu 400 Millionen US-Dollar ein. Und sie warnen die Kunden vor, damit sich diese auf Betrüger einstellen, die versuchen, sie um ihre Krypto-Bestände bringen möchten.

Gut oder schlecht?

Es ist gut, dass Coinbase sich weigert, das Lösegeld zu zahlen. Genau dazu raten Strafverfolgungsbehörden und Cybersecurity-Experten Ransomware-Opfern schon seit langem. Dasselbe gilt für Datenerpressung, bei der – wie in diesem Fall – keine Malware im Spiel ist. 

Allerdings stellt sich die Frage nach den langfristigen Auswirkungen der Schaffung eines Präzedenzfalls durch die Aussetzung eines Kopfgeldes. Wenn dies zu einer gängigen Reaktion auf Erpressungsversuche wird, wird es insgesamt positive oder negative Auswirkungen auf die Cyberbedrohungslandschaft haben? 

Positiv zu vermerken ist, dass dieses Kopfgeld es wahrscheinlich einfacher machen wird, bestimmte Cyberkriminelle zu fassen. Unter Dieben gibt es keine Ehre. Irgendwer kennt den Täter, und 20 Millionen Dollar sind kein Pappenstiel.

Doch die Geschichte lehrt uns, dass es durchaus Risiken gibt, wenn man systematisch Kopfgelder auslobt. Das Aufkommen der Kopfgeldjagd als Beruf war nie etwas uneingeschränkt Gutes. Man muss sich nicht näher mit der Geschichte befassen, um festzustellen, dass das Kopfgeldwesen in der Vergangenheit zu Gesetzlosigkeit und Gewalt geführt hat. Außerdem ist es den Gaunern egal, ob die 20 Millionen Dollar als Lösegeld oder als Belohnung gezahlt werden. Und ich garantiere Ihnen, dass es gerade jetzt Cyberkriminelle gibt, die mit allen Mitteln versuchen, an dieses Geld zu kommen.

Wenn es also zur Gewohnheit wird, Kopfgelder auf Hacker auszusetzen, ist es durchaus möglich, dass sie das Entstehen einer völlig neuen Kategorie von Cyberbetrug markieren und die allgemeine Bedrohungslage letztlich eher ver- als entschärft. 

Wir werden nie erfahren, ob der Tavernenbesitzer in Pompeji seinen Topf zurückerhalten hat oder den Dieb gefasst hat. Aber falls doch, dann besteht zumindest die Möglichkeit, dass seine Belohnung dazu führte, dass er immer wieder ausgeraubt wurde.