So lässt sich das Ransomware-Problem lösen

Ransomware-Attacken nehmen zu: Die Schadenssummen sind enorm und vor kurzem gab es an der Uniklinik Düsseldorf sogar einen Todesfall. Die Polizei rät Lösegeldopfern immer davon ab, die kriminellen Banden zu bezahlen, die ihre Computersysteme verschlüsselt haben – und dafür gibt es viele gute Gründe. Selbst nach der Übergabe des Geldes durch die Unternehmen ist es nicht immer sicher, dass sie ihre Daten wiederhergestellt bekommen. Schließlich verhandeln sie mit Gaunern.

Aber selbst wenn sie ihre Daten zurückbekommen, ist es immer noch eine schlechte Idee zu bezahlen. Es gibt den Gaunern einen großen Zahltag, der zu weiteren Angriffen ermutigt – vielleicht sogar wieder auf dieselbe Organisation. Und diese große Auszahlung bedeutet, dass die Banden in die Einstellung von mehr Software-Entwicklern und Hackern investieren können, um noch größere Ziele zu verfolgen.

Das Lösegeld zu zahlen, erspart Ihnen vielleicht kurzfristig Schmerzen, bedeutet aber auf lange Sicht ein größeres Problem für alle anderen. Gegenwärtig ist es unwahrscheinlich, dass Unternehmen im Vereinigten Königreich wegen der Zahlung an eine Lösegeld-Bande strafrechtlich verfolgt werden – es sei denn, es besteht eine vernünftige Chance, dass die Zahlung zur Finanzierung des Terrorismus verwendet wird. Aber zumindest eine führende Persönlichkeit der Sicherheitsbranche ist der Meinung, dass es sehr viel schwieriger oder sogar illegal sein sollte, Lösegeld zu zahlen.

In einer Rede vor dem Sicherheits-Think-Tank Royal United Services Institute (RUSI) Anfang dieses Monats erklärte der ehemalige Leiter des National Cyber Security Centre (NCSC), des britischen Gegenparts zum BSI , Ciaran Martin, wie groß das Problem der Lösegeldforderung nach Ansicht der Behörde ist. „Bis zu meinen letzten Stunden im NCSC im vergangenen Monat war ich der Ansicht, dass die wahrscheinlichste Ursache für einen größeren Zwischenfall ein Lösegeldanschlag auf einen wichtigen Dienst war“, sagte er.

„Für den Angreifer wäre die Wahl des Dienstes zufällig. Sie waren nur auf Geld aus. Aber unter dem Gesichtspunkt des nationalen Schadens könnte diese zufällige Wahl des Opfers wichtig sein. Was mich nachts am meisten wachhielt, war die Aussicht auf körperlichen Schaden, der unbeabsichtigt durch Lösegeldforderungen entstanden war.“ Er fügte hinzu: „Kriminelle Lösegeldforderungen, die von unmoralischen Kriminellen rücksichtslos eingesetzt werden, sind eine der größten, aber am wenigsten diskutierten Geißeln des modernen Internets.“

Martin sagte, wenn er „im nächsten Jahr eine politische Karte ausspielen könne“, würde er „eine ernsthafte Prüfung der Frage“ fordern, „ob wir das Gesetz dahingehend ändern sollten, dass es für Organisationen im Vereinigten Königreich illegal wird, im Falle von Lösegeldforderungen Lösegeld zu zahlen“.

Wenn die Antwort zum Verbot der Lösegeldzahlung nein laute, sollten aktiv eine Alternative gesucht werden. Laut Martin sei es eine seltsame Anomalie, dass die britischen Erpressungsgesetze weitgehend auf den Erfahrungen mit Entführungen durch terroristische Gruppen basieren.  Das heißt, wenn man von einer verbotenen Terrorgruppe erpresst wird, ist es illegal, zu zahlen, aber wenn die Angreifer gewöhnliche Kriminelle oder sogar staatliche Angreifer sind, dann ist es in Ordnung.

Man geht davon aus, dass bis zur Hälfte der Organisationen zahlen, wenn sie von Malware und Ransomware getroffen werden, was die Datenverschlüsselung von Malware zu einer wichtigen Einnahmequelle für raffinierte kriminelle Banden gemacht hat. Einige Versionen von Lösegeldern haben Lösegeld in zweistelliger Millionenhöhe eingenommen, gewöhnlich in Form von schwer aufzuspürenden Krypto-Währungen wie Bitcoin.

Viele Opfer haben das Gefühl, dass sie kaum eine andere Wahl haben, als zu zahlen, wenn die Alternative darin besteht, alle ihre Computersysteme und Datenbanken effektiv von Grund auf neu aufzubauen – und dabei zu versuchen, nicht aus dem Geschäft zu gehen.

Kritiker haben jedoch davor gewarnt, dass die Möglichkeit, das Lösegeld zahlen zu können, bedeutet, dass Lösegeld-Angriffe von einigen als nur ein weiterer Kostenfaktor im Geschäftsleben angesehen werden, was bedeutet, dass sie weniger wahrscheinlich in die manchmal kostspieligen Sicherheitssysteme investieren werden, die solche Angriffe verhindern würden.

Wenn die Zahlung des Lösegeldes keine legale Option mehr wäre, müssten Unternehmen sicherstellen, dass ihre Systeme robust genug sind, um die Angreifer überhaupt erst zu stoppen. Es würde aber auch viel mehr Druck auf die Polizei ausüben, die Erpresserbanden aufzuspüren.