Offener Brief fordert Maßnahmen gegen Ransomware
Ransomware wird zu einem immer größeren Problem
Offener Brief von über 40 Fachleuten aus Bereich IT-Sicherheit fordert Maßnahmen von der Politik
Experten: Forderungen des Schreibens grundsätzlich sinnvoll, allgemeine IT-Sicherheit stärken aber vielleicht noch wichtiger
Ransomware-Angriffe stellen seit einigen Jahren ein immer größeres Problem für Wirtschaft und IT-Sicherheit dar. Jetzt haben über 40 Fachleute aus dem Bereich der IT-Sicherheit einen offenen Brief zu dem Thema geschrieben, der am 27.06.2022 veröffentlicht wurde (siehe Primärquelle). Darin stellen sie das grundlegende Problem von Ransomware und insbesondere den Lösegeldzahlungen dar und fordern die Politik auf, Gegenmaßnahmen zu treffen.
Professor für IT-Sicherheitsrecht, Hochschule Bremen
„Der Brief an sich ist wichtig und richtig und spricht sehr viele aktuell relevante Punkte an. Zweifelsohne hat sich Ransomware in den letzten Jahren zu einem für Cyberkriminelle höchst lukrativen Geschäftsmodell entwickelt und die Professionalisierung der Banden aus Osteuropa und Fernost (Volksrepublik China, Hongkong) ist schon seit Längerem zu beobachten. Die Täter agieren ganz nach dem Motto: Wo es einen Markt gibt, da greifen wir auch zu. Und die Unternehmen schaffen sich diesen Markt und die steigende Cyberbedrohungslage selbst, wenn sie als Betroffene Lösegeldzahlungen horrender Summen leisten.“
„Bei seinen Forderungen jedoch bleibt der Brief eher vage, indem vor allem durch den Staat ‚Anreize‘ gesetzt werden sollen, um Lösegeldzahlungen zu unterbinden. Wir sprechen hier über das ‚Henne-Ei-Problem‘: Viele IT-Verantwortliche in Unternehmen haben immer noch nicht realisiert, dass IT nicht nur betriebswirtschaftliche Vorteile bietet, sondern auch mit erheblichen Risiken verbunden ist. Hier zuvorderst an den Staat zu appellieren, halte ich für schwierig, denn eine Behörde kann nicht einfach in die Datenverarbeitung aller Unternehmen in Deutschland hineinschauen und Abhilfe leisten. Die Motivation muss da zuvorderst schon von den Unternehmen selbst kommen. Zurzeit scheint ja noch der Gedanke vorzuherrschen, dass der Aufbau eines professionellen IT-Sicherheitsmanagements teurer ist, als das Lösegeld zu zahlen. Dies ändert sich vielleicht auf absehbare Zeit, denn auch die von den Cyberkriminellen geforderten Summen haben sich in den letzten Jahren vervielfacht.“
„Kriminelle suchen sich immer den leichtesten Weg mit dem geringsten Risiko, um sich rechtswidrig zu bereichern. Da sind Cyberstraftäter keine Ausnahme. Seit dem ersten gehäuften Auftreten von Ransomware ab dem Jahr 2015 hat die Zahl der Angriffe nicht nur zugenommen, sondern sie werden auch mit immer ausgefeilteren Methoden durchgeführt. Und dabei geht es sich nicht nur darum, einen schadhaften Mailanhang auf dem Rechner zu entpacken, sondern dass Unternehmen monatelang im Vorfeld ausgespäht werden, um solche Angriffe gezielt und erfolgreich vorbereiten zu können. Auch hat Corona dazu beigetragen, indem durch die Verbannung der Mitarbeiter in das Homeoffice bestehende interne Meldekanäle zur Cybersicherheit nachhaltig korrumpiert wurden. Wenn ein Unternehmen dann das Lösegeld zahlt, suggeriert das den im Ausland sitzenden Tätern: Wir haben nicht nur unzureichende Cybersecurity, sondern auch das Geld, um euch auszuzahlen – egal, ob das jetzt aus einer Versicherung oder der Firmenkasse kommt. Wenn das Unternehmen dann im Nachgang nichts dazugelernt hat, kommen die Täter früher oder später wieder und klopfen an, und diesmal vielleicht mit einem höheren Lösegeld und größeren Schäden. Mit der Zahlung des Lösegelds tut man sich keinen Gefallen, denn man bekämpft nicht das eigentliche Problem, sondern kaschiert nur die Schwachstellen: Wenn mein Haus mit Mauerschwamm befallen ist, hilft ein neuer Anstrich auch nur kurzfristig.“
Auf die Frage, zu welchen Sicherheitsmaßnahmen, zum Beispiel gegen Ransomware, Unternehmen und Institutionen verpflichtet sind:
„Das kommt auf das konkrete Unternehmen an. Über kritische Infrastrukturen, die zwar auch durch Ransomware betroffen sein können und vereinzelt auch waren, brauchen wir nicht zu reden, da diese schon umfassend gesetzlich reguliert und behördlich beaufsichtigt werden. Vielmehr geht es um den industriellen deutschen Mittelstand – oft auch als das ‚Rückgrat der deutschen Wirtschaft‘ bezeichnet. Diese Unternehmen werden bevorzugt ausgewählt, teils wegen verknöcherter Managementstrukturen, teils aber auch, weil man das Thema Cybersecurity nicht auf dem Schirm hat, Personal oder finanzielle Mittel fehlen. Durch das IT-Sicherheitsgesetz 2.0 werden diese Unternehmen deutlich strenger als bislang reguliert. Aber unabhängig davon ist die rechtliche Pflicht der Unternehmensleitung, für Cybersecurity und Privacy zu sorgen, nichts Neues. Entsprechende Rahmengesetze, die technische Gegenmaßnahmen als Ausfluss der allgemeinen betrieblichen Sorgfaltspflicht deuten, gibt es schon seit Jahren. Außerdem ist man als Unternehmen ja nicht nur gegenüber sich selbst verpflichtet, sondern auch gegenüber Kunden, Lieferanten und Gläubigern, zum Beispiel durch Verträge. Auch diese enthalten regelmäßig Klauseln zu Sorgfaltspflichten und zur Geheimhaltung. Und wenn ich mich dann nicht daran halte und diese Sorgfaltspflichten verletze, dann kann es gut sein, dass ich schadensersatzpflichtig werde – Cyberversicherung hin oder her. Last but not least kann auch nicht jedes Unternehmen einfach hingehen und eine entsprechende Versicherungspolice abschließen, denn die Versicherungsbedingungen sind da oftmals knallhart, denn auch die Versicherer wollen natürlich mit Ransomware unter dem Strich kein Verlustgeschäft machen.“
Auf die Frage, wer handeln muss, um das Problem der Ransomware in den Griff zu bekommen und wie der politische und regulatorische Rahmen gesetzt werden muss:
„Wir sprechen einerseits von Regulierung, andererseits aber auch von zunehmender Überregulierung im Digitalsektor. Cybersecurity ist bislang schon nicht besonders attraktiv, weil sie Geld kostet, ohne dass man etwas sieht. Durch noch mehr gesetzliche Pflichten macht man das nicht eben attraktiver. Und der Vorschlag einer Strafbarkeit der Förderung krimineller Vereinigungen bei Leisten einer Ransomware-Zahlung geht völlig fehl. Im Zweifelsfall zahlen die Unternehmen dann und melden gar nichts mehr an die Behörden, die völlig im Dunkeln sitzen. Fakt ist: Jeder Betrieb hat Betriebsrisiken, und die kann man nicht allesamt gesetzlich wegregulieren, auch wenn das politisch mehr denn je en vogue zu sein scheint. Der Handlungsrahmen der Politik ist somit verhältnismäßig eingeschränkt, genauso wie die Strafverfolgung, da die Täter vor allem im weit entfernten Ausland sitzen. Hier bedarf es deshalb regelmäßig internationaler Amtshilfeersuchen, die unterschiedlich gut funktionieren und viel Zeit kosten, und dann sind die Täter und mit ihnen das Geld schon weg. In erster Linie sind deshalb die Unternehmen selbst gefordert zu handeln. Und gerade hier zeigt sich immer wieder, dass unachtsame und schlecht informierte Mitarbeiter eines der Hauptprobleme beim Thema Ransomware sind. Noch viel stärker als bisher müssen die Unternehmen eine aktive Cybersecurity-Kultur fördern – und das ist auch jenseits aller Debatten um Ressourcen möglich, denn wir sprechen hier über absolute Basics in technischen, personellen und organisatorischen Maßnahmen, die jeder beachten sollte, der IT zur Produktivitätssteigerung einsetzt.“
Professurvertretung der Professur Datenschutz & Datensicherheit, Technische Universität Dresden, und Research Group Leader Datenschutzgerechte und sichere Datenverarbeitung, Barkhausen Institut, Dresden
„Zahlen oder nicht? Das scheint die entscheidende Frage bei einem Befall mit Ransomware zu sein. Für einen Betroffenen mag dies auch so sein ‒ aus gesellschaftlicher Perspektive ist es aber bestenfalls ein ‚Rumdoktern an den Symptomen‘, während es stattdessen auf die Bekämpfung der Krankheit ankommt. Richtig ist, dass Ransomware (wie auch andere Schadsoftware) in den letzten Jahren eine zunehmende Bedrohung geworden sind. Richtig ist auch, dass Kriminelle mit dieser Erpressungsmethode leicht an viel Geld gelangen ‒ und dies bei vergleichsweise geringem Risiko bezüglich Strafverfolgung. Und natürlich locken diese Erfolgsaussichten weitere Kriminelle an. Nur liegt die Ursache des leichten Geldverdienens nicht nur im Geld selbst – sondern vor allem in den katastrophal unsicheren IT-Systemen, die flächendeckend in der Praxis im Einsatz sind. Darin liegt meiner Meinung nach die tatsächliche ‚Wurzel allen Übels‘. Hier gilt es anzusetzen.“
„Forschung und Entwicklung, Hersteller und Politik müssen endlich sinnvolle Lösungen erstellen und die richtigen Anreize schaffen, um die praktische IT-Sicherheit auf ein Niveau zu bringen, die erfolgreiche Ransomware-Angriffe nur noch mit erheblichem Aufwand durchführbar und diese insofern zu – im Vergleich zur aktuellen Situation – deutlich selteneren Ereignissen macht. Erst dann ist es aus meiner Sicht sinnvoll darüber zu diskutieren, ob in diesen Fällen eine Lösegeldzahlung legitim ist oder nicht. Denn das Unterlassen von Lösegeldzahlungen macht leider kein einziges der aktuell im Einsatz befindlichen IT-Systeme sicherer. Und selbst wenn das Einstellen von Lösegeldzahlungen dazu führen sollte – was ich stark bezweifele –, dass Kriminelle die Lust verlieren, ihre Ransomware-Angriffe fortzuführen, so entsteht im Ergebnis doch bestenfalls eine Imagination von sicheren IT-Systemen, welche im Falle von terroristischen oder kriegerischen Cyberangriffen in sich zusammenfällt ‒ verbunden mit Auswirkungen, die die Schäden krimineller Angriffe weit übersteigen.“
„Ich persönlich finde es auch ein wenig zynisch, wenn man von IT-Unsicherheiten Betroffenen verbieten will, den aus ihrer Sicht effizientesten Weg zur Schadensminimierung (sprich: Lösegeldzahlung) zu wählen. Sie sind dann von den IT-Unsicherheiten quasi gleich doppelt betroffen. Natürlich haben auch die Nutzer von IT-Systemen eine Mitwirkungspflicht im Gesamtkontext ‚IT-Sicherheit‘. Diese gibt es nämlich nicht zum Nulltarif. Hat sich ein Anwender wissentlich für eine (scheinbare) billigere aber eben unsichere Lösung entschieden, so ist es gerechtfertigt, wenn er die damit verbundenen Risiken trägt. Allerdings sehe ich ‒ wie zuvor bereits erwähnt ‒ momentan eher die Hersteller sowie Wissenschaft und Politik in der Pflicht, Anwendern sinnvolle, benutzbare IT-Sicherheitslösungen beziehungsweise von Grund auf sichere IT-Produkte zur Verfügung zu stellen. Wir sollten unsere Kraft auf die Erreichung dieses Ziel aufwenden und sie nicht mit Symptombeseitigungsdiskussionen verschwenden.“
Stellvertretender Forschungsgruppenleiter Sicherheitspolitik, Stiftung Wissenschaft und Politik – Deutsches Institut für Internationale Politik und Sicherheit (SWP), Berlin
„Lösegeldzahlungen sind die primäre Einnahmequelle für eine umfassende, professionell-arbeitsteilig organisierte Ransomware-Untergrundökonomie geworden. Ein Ansatz, des ‚follow the money‘ ist daher sinnvoll, da er den Kern des Problems adressiert. Allerdings wird sich im Brief nur auf nationale Maßnahmen konzentriert: Es braucht auch internationale Kooperation, um gegen Ransomware-Kriminalität vorzugehen. Dazu gehört der Austausch von Informationen darüber, welche Zahlungen an welche Bitcoin-Adressen geleitet werden und allgemeine Statistiken darüber, welche Unternehmen mit welchen Gruppen interagieren. Eine Meldepflicht über Ransomware-Vorfälle und Zahlungen nicht nur national, sondern auch international-geteilt, wäre wünschenswert.“
Auf die Frage, warum Ransomware-Angriffe aktuell so häufig stattfinden und was das Problem mit den Lösegeldzahlungen ist:
„Mit keinem anderen kriminellen Geschäftsfeld dürfte sich so lukrativ Geld verdienen lassen. Die zu erwartenden Gewinne sind extrem hoch: Automatisierung und arbeitsteilige Prozesse der Cyber-Crime Untergrundökonomie haben die Angriffskosten sinken lassen. Angriffskampagnen lassen sich einfach skalieren. Das Entdeckungs- und Strafverfolgungsrisiko ist gering, insbesondere wenn Kriminelle zum Beispiel in Russland oder anderen Staaten mit schwacher Staatlichkeit sitzen. Für Individuen in abgehängten Regionen ist Ransomware-Kriminalität zudem oft eine Chance für sozialen und wirtschaftlichen Aufstieg. Das Problem dürfte bei steigender Digitalisierungsrate der Bevölkerung und wachsender sozialer Ungleichheit eher zu- als abnehmen.“
„Lösegeldzahlungen sind die primäre Einnahmequelle. Die extrem hohen erbeuteten Summen werden von Ransomware-Gruppen in die Entwicklung neuer, professionellerer Angriffstools gesteckt. Die investierten Summen in Offensivtools übersteigen zudem nicht selten das Budget, was kleine und mittlere Unternehmen für ihre Cyber-Defensive ausgeben: Sie sind daher ‚outgunned‘ und haben wenig Chance, sich zu verteidigen. Diese Angriffstools können dann zum Teil frei auf Schwarzmärkten von jedem erworben werden, auch von Staaten. Damit können auch wenig kompetente Angreifer sehr mächtige Werkzeuge nutzen, die teilweise auf staatlichem Angriffsniveau liegen können.“
„Auch Staaten können mittels Ransomware-Angriffen Industrien und strategische Wertschöpfungsketten ihrer Konkurrenten schwächen – etwa Windenergie als Kompensation von Gasabhängigkeiten. Das nennt man dann ‚denial of business‘-Angriff, da Unternehmen damit für Wochen bis Monate ihre Einnahmen verlieren und zum Teil in ihrer Existenz bedroht sein können.“
„Dazu werden auch kriminelle Akteure als sogenannte Proxies genutzt. Da Ransomware-Angriffe eher als Cyber-Kriminalität verortet werden, ist ein staatlicher Bezug oft nicht sichtbar.“
„Maßnahmen gegen Ransomware-Angriffe sind im Wesentlichen die IT-Sicherheitsbasics, die vom BSI und anderen Cyber-Behörden immer wieder kommuniziert werden [1].“
„Diese umfassen präventive Maßnahmen, die eine Infektion verhindern sollen: Patch Management, Off-Site Backups, segmentierte Netzwerke, Zugangskontrollmanagement und weiteres. Oft werden diese ‚IT-Sicherheitshausaufgaben‘ aber nicht implementiert, weil IT-Einheiten aufgrund des Fachkräftemangels oft unterbesetzt sind. Häufig steht der operative Betrieb im Fokus und es fehlt Zeit und Geld für Vorsorge. Zudem mangelt es oft an Notfallstrategien, die definieren, was bei einem Cyber-Angriff von wem, in welcher Reihenfolge zu tun ist, um eine unkontrollierte Ausbreitung von Schadsoftware zu verhindern. Dazu gehört auch eine Wiederherstellungs- und Kommunikationsstrategie.“
„Für kleine Unternehmen ist ein Schutz nur sehr schwer möglich, da die Defensive aufgrund mangelnden Personals und Ressourcen der immer professioneller agierenden Offensive in Form von Kriminellen strukturell unterlegen ist.“
Auf die Frage, wer handeln muss, um das Problem der Ransomware in den Griff zu bekommen und wie der politische und regulatorische Rahmen gesetzt werden muss:
„Organisationen müssen aktiv werden und die Hausaufgaben machen. Dazu gehören Vorsorge und Notfallpläne und die regelmäßige Einübung dieser – so wie Feuerübungen regelmäßig gemacht werden sollten.“
„Der Staat muss endlich den Fachkräftemangel adressieren: Dazu gehört langfristig IT-Unterricht an Schulen. Sonst verlieren wir noch mehr den Anschluss. Zudem brauchen wir kostengünstige Umschulungsmöglichkeiten für die IT-Sicherheitskarrieren und die einfachere Anerkennung irregulärer Bildungswege.“
„Kurzfristig sind die im offenen Brief geforderten Maßnahmen, wie etwa ein Hilfsfonds für kleine Unternehmen, die sich einen umfassenden Schutz nicht leisten können, sehr sinnvoll. Auch die dysfunktionalen Anreize bei Cyber-Versicherungen und Steuern sollten abgeschafft werden: Aus betriebswirtschaftlicher Sicht ist es oft sinnvoller eine Versicherung für den Schadensfall abzuschließen, anstatt laufend in IT-Sicherheit zu investieren. Damit wird aber individuelle Nachlässigkeit kollektiviert.“
„Der Staat muss zudem die internationale Strafverfolgung und den Informationsaustausch stärken. Dazu gehört auch eine besser, international koordinierte Nachverfolgung von Kryptozahlunggströmen, etwa mittels ‚on chain analysis‘.“
Inhaber der Professur für Rechtsinformatik, Universität des Saarlandes
„Viele der Unterzeichner sind mir als renommierte Sicherheitsforscherinnen und -forscher bekannt. Das ist allein schon ein Grund, den offenen Brief ernst zu nehmen. Inhaltlich sind ebenfalls alle Forderungen nachvollziehbar. Die Kernpunkte der Ransomware-Problematik sind richtig beschrieben, auch die Drohung mit der Veröffentlichung von Daten wird angesprochen.“
Auf die Frage, warum Ransomware-Angriffe aktuell so häufig stattfinden und was das Problem mit den Lösegeldzahlungen ist:
„Wie die Autoren des offenen Briefs zutreffend schreiben, handelt es sich um ein Geschäftsmodell der organisierten Kriminalität. Solange sich genug Opfer finden, die Lösegeld zahlen, wird dieses Geschäftsmodell weiter betrieben – insbesondere, weil das auch aus dem Ausland funktioniert und die Strafverfolgung nicht in allen Staaten ein Interesse oder die Ausstattung für die Bekämpfung hat.“
„Früher konnte man noch klar sagen, dass regelmäßige Backups Ransomware einen Großteil ihres Schreckens nehmen. Wenn aber mit der Veröffentlichung von Daten gedroht wird, hilft es natürlich nicht, wenn man selbst noch eine Sicherungskopie hat. Deshalb sind die relevanten Maßnahmen aus dem Stand der Technik, der beispielsweise durch das BSI recht umfangreich dokumentiert ist, sehr vielfältig. Sie reichen beispielsweise von Personalschulungen bis zu Intrusion-Detection-Systemen.“
„Rechtliche Verpflichtungen, Maßnahmen nach dem Stand der Technik zu ergreifen oder diesen zumindest zu berücksichtigen, kann es aus ganz unterschiedlichen Richtungen geben: als Teil eines Risikomanagements, zu dem Aktiengesellschaften verpflichtet sind, oder bei der Verarbeitung personenbezogener Daten nach dem Datenschutzrecht. Auch für kritische Infrastrukturen gibt es spezifische gesetzliche Regelungen. Da Sicherheitsmaßnahmen vom Risiko – und natürlich auch von der einzelnen rechtlichen Regelung – abhängen, kann ich keine einzelne Maßnahme nennen, die immer ausreichen würde.“
„Betonen möchte ich aber, dass Ransomware-Hersteller in der Regel kein spezifisches Interesse haben, ein bestimmtes Unternehmen anzugreifen. Es geht bei diesem Thema also primär um ungezielte Angriffe, was die Ausgangssituation für die Abwehr von Ransomware im Vergleich zu anderen Angriffen auf Unternehmens-IT verbessert. Wer aus anderen Gründen ein vernünftiges IT-Sicherheitsmanagement betreibt, dürfte das Thema Ransomware sozusagen nebenbei mit adressieren können.“
Auf die Frage, wer handeln muss, um das Problem der Ransomware in den Griff zu bekommen und wie der politische und regulatorische Rahmen gesetzt werden muss:
„Die Firmen offensichtlich; gerade kleinere Unternehmen können gegebenenfalls in existenzielle Nöte geraten, wenn sie Opfer eines Ransomware-Angriffs werden. Es ist also schon im eigenen Interesse der Unternehmen, sich abzusichern.“
„Die im offenen Brief angesprochenen regulatorischen Rahmenbedingungen scheinen mir ein plausibler Ansatz zu sein, um das Problem bei der Wurzel zu packen – ich denke aber, dass da noch ein intensiver Diskussionsprozess notwendig sein wird, um eine solche Regulierung im Detail umzusetzen und in den Detailregelungen auch jeweils das rechte Maß zu finden.“
„Die Strafverfolgung muss sich natürlich auch mit Ransomware befassen, aber alleine wird sie das Problem sicher nicht lösen können.“
„Es existieren keine Interessenkonflikte. Ich bin kein Unterzeichner des offenen Briefes.“
„Interessenkonflikte sehe ich nicht.“
„Ich habe den Brief nicht unterschrieben und daher keinen Interessenkonflikt.“
„Ich habe keine Interessenkonflikte. Mit einem der Unterzeichner (Andreas Zeller) gibt es eine lose institutionelle Verbindung, da ich assoziiertes Mitglied des CISPA Helmholtz-Zentrums für Informationssicherheit bin und wir beide an der Universität des Saarlandes lehren. Ich glaube aber nicht, dass das einen Interessenkonflikt begründet.“
Primärquelle
Bodden E et al. (2022): Lösegeldzahlungen bei Ransomware-Angriffen: ein geostrategisches Risiko.
Weiterführende Recherchequellen
Bundesamt für Sicherheit in der Informationstechnik et al. (2020): Umgang mit Lösegeldforderungen bei Angriffen mit Verschlüsselungstrojanern auf Kommunalverwaltungen.
Im Brief referenzierte Empfehlung, bei Ransomware-Vorfällen kein Lösegeld zu zahlen.
Bitkom (2021): Angriffsziel deutsche Wirtschaft: mehr als 220 Milliarden Euro Schaden pro Jahr.
Im Brief referenzierte Untersuchung zu den Auswirkungen von Cyberangriffen in Deutschland.
Sophos (2022): The State of Ransomware 2022.
Im Brief referenzierte Untersuchung zum weltweiten Stand von Ransomware-Angriffen und den Reaktionen der betroffenen Unternehmen und Versicherungen.
Science Media Center (2021): Cyberangriffe und Stand der IT-Sicherheit in Deutschland. Science Response. Stand: 22.01.2021.
Science Media Center (2021): IT-Sicherheit und das Offenhalten von Sicherheitslücken. Science Response. Stand: 21.10.2021.
Literaturstellen, die von den Expert:innen zitiert wurden
[1] Bundesamt für Sicherheit in der Informationstechnik (2021): Ransomware – Bedrohungslage, Prävention & Reaktion 2021.
Prof. Dr. Dennis-Kenji Kipker
Professor für IT-Sicherheitsrecht, Hochschule Bremen
Dr. Stefan Köpsell
Professurvertretung der Professur Datenschutz & Datensicherheit, Technische Universität Dresden, und Research Group Leader Datenschutzgerechte und sichere Datenverarbeitung, Barkhausen Institut, Dresden
Dr. Matthias Schulze
Stellvertretender Forschungsgruppenleiter Sicherheitspolitik, Stiftung Wissenschaft und Politik – Deutsches Institut für Internationale Politik und Sicherheit (SWP), Berlin
Prof. Dr. Christoph Sorge
Inhaber der Professur für Rechtsinformatik, Universität des Saarlandes