Ransomware und das Lösegeld-Dilemma
Zur Erinnerung: Unter Ransomware versteht man Schadprogramme, die den Zugriff auf Daten und IT-Systeme sperren. Erst nach Zahlung eines Lösegelds wird ein erneuter Zugriff auf die befallenen Systeme in Aussicht gestellt. Oft werden im Zuge eines Ransomware-Angriffs auch Daten des Opfers gestohlen. Die Cyberkriminellen drohen dann damit, diese Daten im Netz zu veröffentlichen, sollte die Lösegeldzahlung verweigert werden.
Wie der CEO von Colonial Pipeline zugegeben hat, zahlte sein Unternehmen den Erpressern satte 4,5 Millionen US-Dollar Lösegeld, um wieder Zugriff auf seine Systeme zu erhalten.
Nicht nur der Fall Colonial Pipeline zeigt, dass Angriffe mit Ransomware ein überaus einträgliches Geschäft sind. Wie die Analysten von Elliptic herausgefunden haben, hat DarkSide seit August 2020 Lösegelder im Wert von mindestens 90 Millionen US-Dollar von etwa 47 Opfern erpresst. Und das ist nur die Spitze des Eisbergs. Denn mindestens ein Dutzend profilierter Ransomware-Gangs profitieren immer wieder von Angriffen auf Unternehmen, Schulen, Behörden und Krankenhäuser.
Lösegeldzahlung: ja oder nein?
Immer wieder kontrovers diskutiert wird die Frage, ob Unternehmen, Behörden und Institutionen, die Opfer von erfolgreichen Ransomware-Angriffen geworden sind, ihre Daten wieder freikaufen sollen oder nicht.
Für Strafverfolgungsbehörden weltweit steht fest: Wer Lösegelder an Erpresser zahlt, unterstützt das Geschäftsmodell der Cyberkriminellen. Das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) rät etwa, angemessen vorzusorgen und nicht zu zahlen. „Jede erfolgreiche Erpressung zeigt den Erfolg des Angriffs und motiviert den Angreifer weiter zu machen“, heißt es in einer Veröffentlichung der Behörde zum Umgang mit Ransomware. „Sie finanziert die Weiterentwicklung der Schadsoftware und fördert deren Verbreitung. Mit jeder bezahlten Infektion steigt damit die Wahrscheinlichkeit für den Betroffenen noch einmal, vielleicht sogar über raffiniertere Verfahren, infiziert zu werden.“ Außerdem gebe es keine Garantie, dass die Verbrecher auch ihr „Wort halten“ und die Entschlüsselung ermöglichen oder ausgeleitete Daten auch wirklich löschen würden. Tatsächlich zahle knapp über die Hälfte aller betroffenen Unternehmen das Lösegeld, wie das IT-Sicherheitsunternehmen Kaspersky berichtet. 17 Prozent dieser Firmen bekämen dennoch trotz Zahlung keinen Zugriff auf ihre Daten.
Lösegeldzahlungen einfach verbieten?
Wenn ausbleibende Lösegeldzahlungen dazu führen sollen, dass die Zahl der Ransomware-Angriffe abnimmt, warum wird das Freikaufen der Daten nicht einfach verboten?
Die Ransomware Task Force (RTF), eine globale Koalition von Cybersicherheitsexperten, will Regierungen dazu bewegen, endlich gegen die Bedrohung durch Ransomware-Gangs vorzugehen. Ob man das Zahlen von Lösegeldern per Gesetz verbieten soll, darüber sind sich auch die Experten nicht einig.
Gegner des Verbots führen unter anderem ins Feld, dass ein Verbot von Lösegeldzahlungen dazu führen könnte, dass Cyberkriminelle ihre Angriffe einfach auf Organisationen konzentrieren, die am wenigsten damit zurechtkämen. Zum Beispiel Krankenhäuser, Wasserwerke, Energielieferanten und Schulen. Die katastrophalen gesellschaftlichen Folgen für diese Opfer wären für die Angreifer ein hervorragendes Druckmittel, um das Lösegeld zu kassieren.
Für andere Experten ist die Sache klar: Lösegeldzahlungen müssen verboten werden. Ransomware-Angriffe werden hauptsächlich wegen des Profits geführt. Fällt dieser Motivationsfaktor weg, werden solche Cyberattacken weniger attraktiv für Kriminelle. „Keine Organisation will Lösegeld zahlen“, sagt etwa Michael Daniel, Chef der Cyber Threat Alliance (CTA) gegenüber der britischen BBC. „Stattdessen denken sie, dass sie keine andere Wahl haben.“ Entweder weil die Insolvenz drohe, Rufschädigung durch Leistungsunterbrechungen oder große ökonomische Beeinträchtigungen. Daher sei eine Lösegeldzahlung die ökonomisch rationale Entscheidung. „Diesen Kreislauf müssen wir unterbrechen“, fordert Daniel. Allerdings sei ein Verbot erst sinnvoll, wenn Regierungen effektive Unterstützungsmechanismen für betroffene Organisationen etabliert hätten.
Fazit
Betroffene Unternehmen sehen sich also vor die Wahl gestellt: Entweder sie bezahlen das Lösegeld und haben wenigstens die Chance, ihre Daten wiederzubekommen, oder sie verweigern die Zahlung und schaden somit dem Geschäftsmodell der Kriminellen auf Kosten der eigenen Wirtschaftlichkeit, wenn nicht sogar der eigenen Existenz. Vor diesem Hintergrund ist es verständlich, dass Organisationen, die nach einem Ransomware-Angriff kaum noch handlungsfähig sind, ihre Daten lieber wieder freikaufen. Einig sind sich wohl alle darüber, dass Ransomware gar nicht erst auf die Systeme der Opfer gelangen sollte. Denn dann würde sich die Frage nach dem Lösegeld gar nicht erst stellen.
Das 8com Cyber Defense Center schützt die digitalen Infrastrukturen von 8coms Kunden effektiv vor Cyberangriffen. Es beinhaltet ein Security Information and Event Management (SIEM), Vulnerability Management sowie professionelle Penetrationstests. Zudem bietet es den Aufbau und die Integration eines Information Security Management Systems (ISMS) inklusive Zertifizierung nach gängigen Standards. Awareness-Maßnahmen, Security Trainings und ein Incident Response Management runden das Angebot ab.
8com gehört zu den führenden Anbietern von Awareness-Leistungen und Informationssicherheit in Europa. Seit 15 Jahren ist das Ziel von 8com, Kunden die bestmögliche Leistung zu bieten und gemeinsam ein ökonomisch sinnvolles, aber trotzdem möglichst hohes Informationssicherheitsniveau zu erzielen. Durch die einzigartige Kombination aus technischem Know-how und direkten Einblicken in die Arbeitsweisen von Cyberkriminellen können die Cyber-Security-Experten bei ihrer Arbeit auf fundierte Erfahrungswerte zurückgreifen.
8com GmbH & Co. KG
Europastraße 32
67433 Neustadt an der Weinstraße
Telefon: +49 (6321) 48446-0
Telefax: +49 (6321) 48446-29
http://www.8com.de
Pressereferentin
Telefon: +49 (30) 30308089-14
E-Mail: kraus@quadriga-communication.de
Leiterin Kommunikation & Medien
Telefon: +49 (6321) 48446-0
E-Mail: redaktion@8com.de