US – Kongress erwägt Verbot von großen Lösegeldzahlungen ohne offizielle Zustimmung der Opfer
13. November 2021US – Kongress erwägt Verbot von großen Lösegeldzahlungen ohne offizielle Zustimmung der Opfer
Washington, 11.11.2021
Ein US-Gesetzgeber hat in dieser Woche einen Gesetzesentwurf – den Ransomware and Financial Stability Act (H.R.5936) – eingebracht, der es Finanzunternehmen verbieten würde, Lösegeldzahlungen von mehr als 100.000 US-Dollar zu leisten, ohne zuvor die Genehmigung der Regierung einzuholen.
Das Gesetz wurde am Mittwoch vom führenden Republikaner im Ausschuss für Finanzdienstleistungen des Repräsentantenhauses, dem Kongressabgeordneten Patrick McHenry aus North Carolina, eingebracht.
Einem ausführlichen Bericht in „Threadpost“ kann man entnehmen, dass die Experten zum Teil stark voneinander abweichende Meinungen vertreten. Hintergrund: In 2020 wurden in den USA Ransomware-Zahlungen von insgesamt mehr als eine Milliarde Dollar erpresst. Vor allem im Mai dieses Jahres zwang ein russischer Ransomware-Angriff Colonial Pipeline dazu, die Öllieferungen in den Osten der USA einzustellen, bevor das Unternehmen die Hacker bezahlen konnte. So störend dieser Hack auch war, er verblasst im Vergleich zu dem, was passieren würde, wenn Amerikas kritische Finanzinfrastrukturen offline genommen würden“, gab McHenry zu bedenken.
Das sei der Grund, warum er den Ransomware and Financial Stability Act of 2021 einbringe. Ziel sei es, „Hacker abzuschrecken, abzuwehren und aufzuspüren“, wenn sie Finanzinstitute bedrohen.
McHenry, so „Threadpost“ , habe keine Quelle für die Zahl von 1 Milliarde Dollar genannt. Doch es gibt einen breiten Konsens zu der Tatsache, dass die Lösegeldzahlungen in die Höhe geschnellt sind. In einem kürzlich veröffentlichten Bericht des US-Finanzministeriums wird prognostiziert, dass die Ransomware-Zahlungen im Jahr 2021 die Zahlen des gesamten letzten Jahrzehnts übertreffen könnten.
Eines der Verkaufsargumente von McHenry für die Gesetzgebung ist, dass sie den Unternehmen bei der Reaktion auf Angriffe Rechtssicherheit verschafft. Der Gesetzentwurf stellt sicher, dass Berichte über Ransomware-Angriffe vertraulich bleiben. Alle Informationen, die ein betroffenes Unternehmen den Behörden zur Verfügung stellt, dürfen nicht veröffentlicht werden, obwohl die Regierung oder die Gerichte von dieser Bestimmung ausgenommen sind.
Im September veröffentlichte das Wall Street Journal einen Diskussionsartikel mit Beiträgen von Michael Daniel, dem Präsidenten und Geschäftsführer der Cyber Threat Alliance, der die Meinung vertrat, dass das Verbot von Lösegeldgewinnen eine Selbstverständlichkeit ist: „Vom moralischen und politischen Standpunkt aus ist die Antwort eindeutig ja“, schrieb er. „Wir sollten Lösegelder nicht als Kosten für die Geschäftstätigkeit im Cyberspace behandeln. Eine solche Situation zu akzeptieren, wäre vergleichbar mit der Behandlung von Piratentributen oder Bestechungsgeldern als Kosten des internationalen Handels. Wir sollten eine breit angelegte, vielschichtige Strategie zur Bekämpfung von Ransomware einführen, die in einem Verbot von Lösegeldzahlungen gipfelt.“
Würde ein Verbot von Lösegeldzahlungen die Zahlungen in den Untergrund treiben, wie einige behauptet haben?
Nein, sagte er und verwies auf die Ergebnisse einer Diskussion der Ransomware Task Force des Institute for Security and Technology zu diesem Thema, die zu dem Schluss kam, dass die meisten Unternehmen keine illegalen Zahlungen leisten würden, weil „die meisten die Regeln befolgen“.
doch die Debatte offenbarte weitere Meinungen von Experten. So vertrat Maurice Turner, Cybersecurity Fellow bei der Alliance for Securing Democracy, den Standpunkt, dass die Zahlung von Lösegeld billiger sein könne als der Versuch, die Systeme nach einem Ransomware-Angriff wiederherzustellen.
„Zeit ist Geld“, betonte er. „Manchmal ist es günstiger, ein Lösegeld zu zahlen, als ein Lösegeld zurückzuhalten – und dann gezwungen zu sein, ein IT-System mühsam wiederherzustellen und Daten aus Backups wiederherzustellen. Unternehmen stehen oft vor einer Entscheidung, die sich drastisch auf ihr Geschäft auswirken könnte: Unternehmen haben erlebt, dass Kriminelle gedroht haben, gestohlene Daten weiterzugeben oder zu verkaufen, wenn keine Erpressungszahlungen geleistet werden.“
Man hielt ihm jedoch entgegen, das mehrere Untersuchungen gezeigt hätten , dass die Zahlung von Lösegeld keine Garantie dafür sei , dass ein betroffenes Unternehmen seine Daten zurückerhält. Laut Sophos‘ State of Ransomware 2021 Report erhielten nur 8 Prozent der Lösegeldzahler ihre Daten zurück, während fast ein Drittel – 29 Prozent – berichteten, dass sie mehr als die Hälfte der verschlüsselten Daten nicht wiederherstellen konnten.
John Bambenek, leitender Bedrohungsjäger bei Netenrich, einem Unternehmen für digitale IT und Sicherheitsoperationen, verglich den Gesetzentwurf mit dem Ansatz der Vereinigten Staaten, bei Entführungen kein Lösegeld zu zahlen, was laut RAND nicht funktioniert.
„Als RAND die Lösegeldzahlungen bei Entführungen untersuchte, stellte es fest, dass es keine Korrelation zwischen dem Verzicht der USA auf Lösegeldzahlungen und einem Rückgang der Entführungen gibt“, erklärte Bambenek am Donnerstag gegenüber den Medien.
Er nannte es eine „sehr oberflächliche ökonomische Vorstellung“, dass der Versuch (oder sogar der Erfolg), Lösegeldzahlungen zu stoppen, eine Auswirkung auf Ransomware haben wird. „Angenommen, das Finanzministerium würde die Zahlung von Lösegeld verweigern, würde dieses Gesetz den Unternehmen sagen, dass sie die höheren Kosten für die Wiederbeschaffung im Vergleich zur Zahlung von Lösegeld tragen müssen, was nur einen weiteren inflationären Druck auf die ohnehin schon gebeutelte Wirtschaft ausübt.
Das Digital Shadows Photon Research Team hat das Ganze in die richtige Perspektive gerückt: Das potenzielle Verbot der Bezahlung von Ransomware ist „ein weiterer Teil des jüngsten gesetzgeberischen Vorstoßes, Ransomware stärker zu bekämpfen“, so das Team in einer E-Mail an Threatpost am Donnerstag.
„Die vorgeschlagenen Gesetzesänderungen könnten Finanzunternehmen in die äußerst schwierige Lage versetzen, entweder unter den Auswirkungen eines Ransomware-Angriffs zu leiden, ohne die Möglichkeit zu verhandeln, oder das Gesetz zu brechen“, so das Team. „Ein Verbot von Ransomware-Zahlungen von mehr als 100.000 Dollar würde Finanzunternehmen jedoch nicht unbedingt von Lösegeldzahlungen abhalten. Die Kosten eines Ransomware-Angriffs ergeben sich nicht allein aus dem Preis des Lösegelds; Ausfallzeiten, Wiederherstellung und Reputationsverlust könnten Finanzunternehmen leicht mehr als die vorgeschlagene Zahlungsobergrenze kosten.“
Das Versprechen der Vertraulichkeit könnte dem Vorschlag den Stachel nehmen und gleichzeitig eine verantwortungsvolle Offenlegung fördern, fügte das Team hinzu.
„Der jüngste Vorstoß des Kongresses für mehr gesetzliche Rahmenbedingungen im Zusammenhang mit Ransomware ist kein Versuch, sicherzustellen, dass kein Lösegeld gezahlt wird; vielmehr geht es wahrscheinlich darum, den Unternehmen eine Orientierungshilfe zu geben“, so das Team. „Die Tatsache, dass die Gesetzgebung derzeit nur für Finanzunternehmen gilt, zeigt, wo die Priorität für die politischen Entscheidungsträger und Interessengruppen liegt“.
Das Digital Shadows Photon Research Team schlug vor, dass eine Möglichkeit darin besteht, dass Ransomware -Angreifer einfach weniger als 100.000 Dollar verlangen oder Sektoren angreifen, die von der vorgeschlagenen Gesetzgebung nicht betroffen wären.
„Das Fazit ist, dass die Betreiber von Ransomware dadurch ermutigt werden, dass sie ihre Aktivitäten auf eine Weise durchführen, die ihnen Geld einbringt. Solange die Opfer zahlen, werden Ransomware-Angriffe mit ziemlicher Sicherheit weitergehen“, hieß es.
!Threadpost“ resümiert: Zum jetzigen Zeitpunkt hat der Gesetzentwurf offenbar weder Mitunterstützer noch eine Senatsversion. Das Büro von McHenry hatte zum Zeitpunkt der Veröffentlichung dieses Artikels noch nicht auf eine Anfrage von „Threatpost“ geantwortet.
