Sophos-Kommentar: Ransomware als globale Herausforderung
Die Ransomware-Krise braucht einen weltweiten Lösungsansatz
Fortsetzung des Artikels von Teil 1
Konkrete Maßnahmen
Eine globale Ransomware-Krise braucht eine ebenso globale Reaktion und konkrete Maßnahmen, die Regierungen und ihre Partner ergreifen können, um sie gegen Ransomware auf der ganzen Welt einzusetzen.
1. Schluss mit Lösegeldzahlungen
Um Ransomware effektiv bekämpfen zu können, müssen die Opfer aufhören, Lösegeld zu zahlen. Solange Ransomware profitabel ist, fehlt den Angreifern der Anreiz aufzuhören. Die Haltung der Regierung „Wir verhandeln nicht mit Terroristen“ sollte auch für Ransomware gelten. Jedes Unternehmen, das Teil der Lieferkette einer Bundes-, Landes- oder Kommunalverwaltung ist, sollte sich vertraglich verpflichten, im Falle eines Ransomware-Angriffs kein Lösegeld zu zahlen. Die Aufnahme dieser Standardklausel in die Beschaffungspolitik der Regierung und die Bekanntgabe, dass jede staatliche Lieferkette verpflichtet ist, kein Lösegeld zu zahlen, könnte zur Abschreckung vor Ransomware zumindest gegen Regierungsbehörden beitragen.
Doch kein Lösegeld zu zahlen, ist oft leichter gesagt als getan. Aber eine Möglichkeit, diese Idee attraktiver zu machen – vor allem wenn man sie als Empfehlung und nicht als strikte Vorschrift ausgibt – ist die Betonung auf die enormen Kosten der Wiederherstellung. Eine kürzlich von Sophos in Auftrag gegebene unabhängige Studie ergab, dass Ransomware-Opfer im Durchschnitt 1,85 Millionen Dollar ausgeben. Denn die Kosten einer Attacke sind weitaus mehr als „nur“ das Lösegeld: Kosten für Ausfallzeiten, Mitarbeiter, Geräte, Netzwerk plus entgangene Chancen und längst überfällige Upgrades der IT-Infrastruktur kommen noch hinzu.
2. Regulierung der Kryptowährungsbörsen, über die die Lösegelder fließen
Was Ransomware zu einer globalen Krise gemacht hat, ist das Ausmaß, in dem immer wieder Nationalstaaten die Cyberkriminellen ausbilden und/oder ihnen einen sicheren Aufenthaltsstandort bieten. Leider fehlt hier bislang jegliche Handhabe. Es existiert kein Regressanspruch auf Regierungen, die Ransomware-Gruppen Unterschlupf gewähren. Eine Möglichkeit könnte die Verhängung von Handelssanktionen gegen Länder sein, die mit Ransomware in Verbindung stehen. Effizienter und produktiver ist es aber wahrscheinlich, Ransomware-Gruppen dort zu treffen, wo es sie am stärksten schmerzt: bei ihrem Geld. Cyberkriminelle wandeln die Lösegelder auf Kryptobörsen in harte Währungen um. Die Einführung strengerer Vorschriften für diese Kryptobörsen würde es Ransomware-Gruppen erschweren, von ihrer Arbeit zu profitieren. Im Inland könnten Kryptowährungsvorschriften und Anti-Geldwäsche-Richtlinien verhindern, dass Kryptounternehmen als Währungsumtausch für Ransomware-Angreifer in Gebrauch sind.
Auch hier hilft eine internationale Zusammenarbeit mit festgelegten Richtlinien. Nationalstaaten wie Russland und China haben einen Anreiz, diese Art von Vorschriften für ihre eigenen Kryptohändler einzuführen, vor allem deshalb, weil sie dadurch gezwungen sind, die Kryptowährung in ihre Währung umzuwandeln. Dies stärkt ihre eigene Finanzkraft und eröffnet eine neue Quelle für Steuereinnahmen. Wenn Ransomware-Gruppen feststellen, dass es nur wenige Länder gibt, in denen sie ihre Lösegeldzahlungen sicher auszahlen können, wird das Geschäftsmodell schlichtweg unattraktiv.
3. IT-Hygiene und Offenlegung von Sicherheitsverletzungen vorschreiben
Es gibt einige grundlegende IT-Hygienemaßnahmen, die viele Unternehmen immer noch nicht ergreifen: Aufklärung der Beschäftigten über Spear-Phishing, Einführung von Zwei- und Mehrfaktor-Authentifizierung, ein grundlegender Endpoint-Schutz und die Sicherung von Daten auf netzwerk- und standortfernen Speichern. Regierungen könnten hier unterstützen, indem sie die Einhaltung von Zertifizierungen empfehlen, statt diese Anforderungen in Gesetze fließen zu lassen. Ein weiterer Vorteil: Zertifizierungen lassen sich im Gegensatz zu Gesetzen relativ leicht aktualisieren, so dass auch die Einhaltung der Vorschriften durch die Anbieter auf dem neuesten Stand bleiben würde.
Es muss sich zum Standard etablieren, Sicherheitsvorfälle zu melden. Dabei sollte die Berichtspflicht aber keine Strafmaßnahme sein (außer vielleicht in Fällen, in denen die Vorschriften nicht eingehalten sind). Vielmehr sind sie als Sensibilisierungsmaßnahme zu behandeln. Je mehr Unternehmen oder Behörden verpflichtet sind, Datenschutzverletzungen sofort nach ihrem Auftreten zu melden, desto eher können ihre Partner und Anbieter sensibilisiert werden und sofortige Maßnahmen zum eigenen Schutz ergreifen. Eine bundesweite Meldepflicht für Datenschutzverletzungen ermöglicht zudem ein umfassenderes Verständnis dafür, wie häufig diese Angriffe vorkommen. Ransomware vollständig in den Griff zu bekommen gelingt erst dann, wenn ein Gefühl für das wahre Ausmaß, die Menge und die Häufigkeit dieser Angriffe besteht. Die Pflicht zur Offenlegung von Datenschutzverletzungen und Cyberangriffen trägt dazu bei, dies zu erreichen.
- Die Ransomware-Krise braucht einen weltweiten Lösungsansatz
- Konkrete Maßnahmen
Lesen Sie mehr zum Thema
