US-Behörden fahren schärferen Kurs gegen Ransomware

Das FBI und das US-Justizministerium (DOJ) wollen Cyberattacken mit fast derselben Priorität behandeln wie Terroranschläge. Christopher Wray, der Direktor des FBI, verglich in einem Interview mit dem Wall Street Journal den Kampf der Regierung gegen Ransomware mit der Situation, in der sich das Land nach dem 11. September befand. Er fügte hinzu, dass das FBI fast 100 verschiedene Arten von Ransomware identifiziert hat, von denen jede bereits in Angriffe verwickelt war.

Er nahm auch die russische Regierung direkt ins Visier und beschuldigte sie, viele der Hintermänner der verschiedenen Arten von Ransomware zu beherbergen. Er verriet aber auch, dass das FBI bei der Beschaffung von Verschlüsselungsschlüsseln ohne Zahlung von Lösegeld in begrenztem Umfang mit einigen Cybersicherheitsbeauftragten des privaten Sektors zusammenarbeiten konnte.

Die Kommentare sind eine Reaktion der US-Regierung auf die jüngste Welle von Ransomware-Angriffen auf Unternehmen in kritischen Branchen wie den Energieversorger Colonial Pipeline und den Fleischverarbeiter JBS.

Anne Neuberger, stellvertretende Assistentin des US-Präsidenten und stellvertretende Nationale Sicherheitsberaterin für Cyber- und aufkommende Technologien,  forderte Führungskräfte des privaten Sektors auf, sich auf potenzielle Angriffe vorzubereiten und eine Reihe von Sicherheitsmaßnahmen zu implementieren.

Hochrangige Beamte des US-Justizministeriums erklärten daraufhin gegenüber der Nachrichtenagentur Reuters, dass Memos an alle US-Staatsanwaltschaften verschickt wurden, in denen erklärt wird, dass Ransomware-Angriffe in ähnlicher Weise wie terroristische Vorfälle untersucht werden würden.

Es gibt künftig eine Verpflichtung für Unternehmen, die Behörden über Fälle von Cyberkriminalität zu benachrichtigen, die Kryptowährungsbörsen, Botnets, digitale Geldwäsche, illegale Online-Foren, zweifelhafte Hosting-Dienste und Anti-Viren-Dienste betreffen.

Cybersecurity-Experten betonten allerdings, dass der Leitfaden des Weißen Hauses zwar hilfreich sei, aber wenig dazu beitrage, die grundlegenden Probleme anzugehen, mit denen Tausende von Organisationen konfrontiert sind, wenn sie versuchen, sich zu schützen.

Robert Haynes, Open-Source-Evangelist bei Checkmarx, sagte, dass es für Unternehmen entscheidend sei, die Auswirkungen des Verlusts verschiedener Systeme auf ihre Betriebsfähigkeit zu erkennen. Für die meisten Unternehmen, so Haynes, sollten die Bedrohung durch einen Ransomware-Angriff, die Kosten für das Lösegeld selbst und die enormen Auswirkungen auf den Betrieb Motivation genug sein, diese Bedrohungen extrem ernst zu nehmen.

„Der primäre Fokus muss auf der Prävention liegen, und dann auf der Schadensbegrenzung unter der Annahme eines Totalverlusts der Systeme. Führungskräfte sollten sich darüber im Klaren sein, dass die Wiederherstellungszeit den Wiederaufbau von Systemen und die Wiederherstellung von Daten beinhaltet, selbst bei einer erfolgreichen Wiederherstellung von verschlüsselten Dateien“, so Haynes. „Die Risiken sind real und die Folgen von Betriebsunterbrechungen, können kostspielig sein, egal wie gut Ihre Sicherheitslösungen sind,.“

Dirk Schrader, Global Vice President bei New Net Technologies, schlug vor, dass die Regierung einen Weg finden sollte, um Unternehmen dazu zu verpflichten, jeden Fall von Ransomware den Behörden zu melden und von Lösegeldzahlungen dringend abzuraten.  Er merkte jedoch an, dass Unternehmen möglicherweise nicht bereit sind, einen Ransomware-Vorfall zu melden, wenn dadurch die Rückkehr zum normalen Betrieb verzögert wird.

Kevin Breen, Director of Cyber Threat Research bei Immersive Labs, erklärte, dass wertvolle Ratschläge aus dem Weißen Haus, wie z. B. die Einrichtung von Offline-Backups, zwar nett gemeint sind, aber innerhalb von Unternehmen zu Reibereien führen können, da sie in der Regel schwer zu implementieren und kostspielig sind. Das Gleiche gilt für andere Ratschläge, die Neuberger gab, wie etwa die Netzwerksegmentierung.

„Wenn Sie es nicht bereits tun, kann die Implementierung komplex sein“, sagte er und fügte hinzu, dass Incident-Response-Tests der Schlüssel zur Vorbereitung jeder Organisation auf einen Angriff sein werden. „Diese müssen mit einer höheren Kadenz als traditionell durchgeführt werden, und zwar über die gesamte Belegschaft hinweg, um die Auswirkungen auf technische, juristische, kommunikative und andere funktionsübergreifende Teams zu berücksichtigen.“

Die Bemühungen des US-Justizministeriums, eine zentral koordinierte Reaktion zu schaffen, wird den Behörden einen tieferen Fundus an Beweisen und Daten liefern und gleichzeitig bei der Identifizierung und Ausrichtung der gesamten Kette helfen, fügte Breen hinzu und merkte an, dass dies auch dazu beitragen kann, den Bemühungen zur Schadensbegrenzung mehr gesetzgeberischen Biss zu verleihen.

Breen fuhr fort, dass die anderen Maßnahmen, die vom FBI und dem Justizministerium ergriffen werden, geschehen, weil die Ransomware-Banden den schlafenden Riesen einmal zu oft angegriffen haben.