Wie können Regierungen die zunehmenden Ransomware-Angriffe eindämmen?
Das Problem bei Ransomware ist, dass die Opfer Lösegeld zahlen, was für Cyberkriminelle ein sehr lukratives Geschäft darstellt. Die Mehrheit der Opfer erhält jedoch Wochen und Monate später nach langwierigen und zeitaufwändigen Wiederherstellungsprozessen nie alle ihre Daten zurück. Laut Gartner werden im Durchschnitt nur 65 % der Daten wiederhergestellt, und nur 8 % der Unternehmen schaffen es, alle Daten wiederherzustellen.
Angriffe erfolgen in der Regel, wenn CEOs und ihre Vorstände die Unternehmensrisiken nicht vollständig bewerten und nicht angemessen in Mitarbeiter, Prozesse und Technologien für die Cybersicherheit investieren. Stattdessen besteht die einzige Risikominderung in einer Cyberversicherung, die einen Teil der direkten Kosten eines Ransomware-Angriffs abdeckt. Die Cyberversicherung deckt jedoch nicht die vollen Kosten für die Bearbeitung von Vorfällen, die Rückgabe und Wiederherstellung von Daten, Bußgelder und Strafschadensersatz, die Kreditüberwachung der Opfer und massive Sammelklagen. Sie kann auch niemals den Rufverlust nach einem Vorfall abdecken. Der Name dieses Unternehmens ist für immer beschädigt.
Ein gutes Beispiel dafür ist die Verletzung von Scripps Health im Jahr 2021. Scripps war über einen Monat lang ausgefallen und konnte keine Patienten behandeln. Aufgrund der geografischen Konzentration im Raum San Diego, Kalifornien, und der Tatsache, dass alle Patientenakten verschlüsselt waren, mussten die dringend pflegebedürftigen Patienten in vielen Fällen nach Los Angeles reisen, um behandelt zu werden, und dann fehlten ihre Krankenakten für Ärzte behandle sie richtig. Die Auswirkungen auf die Morbidität und Mortalität der Patienten müssen noch von den Gerichten bewertet werden, aber die Familien von Krebspatienten im Spätstadium haben wahrscheinlich einen guten Rechtsweg für Schadensersatz.
Scripps verlor allein 112.7 Millionen Dollar an Einnahmen. Und das vor allen Bußgeldern, Schadensersatzzahlungen und Klagen. Obwohl Scripps Berichten zufolge eine Bruchversicherung abgeschlossen hat, wird dies wahrscheinlich nicht einmal einen Einfluss auf die Gesamtverluste haben. Betrachten Sie nun das Mitverschulden und die Tatsache, dass der Leiter Finanzen und Buchhaltung Berichten zufolge einen Plan zur Kostensenkung im Jahr 2019 ausgearbeitet, indem das teuerste und erfahrenste IT- und Sicherheitspersonal, einschließlich des CIO und CISO, entlassen und durch weniger erfahrene Juniors ersetzt wurde. Ich bin sicher, dass sowohl die Versicherungsgesellschaft von Scripps als auch die Anwälte für Sammelklagen diese Informationen und die Entscheidungen des CEO, die zu dem Verstoß geführt haben, sehr genau prüfen.
Auch eine Cyber-Versicherung ist immer schwieriger und teurer zu bekommen und hat jetzt mehrere Ausschlüsse für Kriegshandlungen. Wenn also beispielsweise die russische Regierung oder ihr Stellvertreter hinter einem Cyberangriff auf ein Unternehmen steckt, zahlt sich die Versicherungspolice nicht aus aus. Auch wenn einem Unternehmen vernünftigerweise erwartete Cybersicherheitskontrollen fehlen, wird es als mitverantwortlich fahrlässig angesehen. In diesem Fall zahlt die 30-Millionen-Dollar-Police möglicherweise nur 5 Millionen Dollar oder weniger aus, wenn man bedenkt, wie schlecht die Cybersicherheitsfähigkeiten des Unternehmens zum Zeitpunkt des Vorfalls waren.
Das erste, was passieren muss, ist, dass die Regierungen alle Lösegeld- und Erpressungszahlungen illegal machen müssen, wobei CEOs und Vorstandsmitglieder ins Gefängnis müssen, wenn festgestellt wird, dass sie gegen die Regeln verstoßen. (Viele verstecken sich derzeit hinter einer Direktorenversicherung, sodass Geldbußen nicht funktionieren). In diesem Zusammenhang ist ein besseres Interbanken-Tracking von Bitcoin- oder anderen Kryptowährungskäufen erforderlich, um nachvollziehen zu können, wer im Zusammenhang mit den oben genannten Gesetzesänderungen aus welchem Grund Krypto kauft. Verfechter des Datenschutzes werden es wahrscheinlich schwer haben, aber wenn wir das Problem der Cyberkriminalität und Ransomware angehen wollen, müssen wir diese Kosten tragen.
Der zweite Bereich, in dem die Regierung das Wachstum von Ransomware vereiteln kann, ist die bessere Verfolgung von Kryptowährungstransaktionen und die Verfolgung von Kryo-Geldbörsen, die für Kriminalität verwendet werden. Das FBI in den USA hat in letzter Zeit gute Ergebnisse in diesem Bereich und bei der Beitreibung einiger Lösegeldzahlungen erzielt, aber es ist bei weitem noch nicht vollständig oder perfekt.
Der dritte Bereich ist die Verfolgung der Täter dieser Verbrechen. Die überwiegende Mehrheit der Ransomware-Angriffe stammt jedoch aus den ehemaligen Sowjetstaaten. Nur wenige Länder haben Auslieferungsabkommen mit der Gemeinschaft Unabhängiger Staaten, so dass diese Täter ungestraft agieren können, solange sie diese Region nicht verlassen.
Was die Welt wirklich braucht, ist ein internationales Übereinkommen über Cyberkriminalität, bei dem alle Länder der Welt das Abkommen im Austausch für den Zugang zum internationalen Finanzsystem als Anreiz ratifizieren, da es sonst unwahrscheinlich ist, dass diejenigen Länder, die am meisten von Cyberkriminalität profitieren, einer Teilnahme zustimmen werden – Insbesondere China, Russland, Nordkorea und Iran. Während das Budapester Übereinkommen ein Schritt in die richtige Richtung war, fehlt es ihm an universeller Durchsetzung. Sogar dem Tallin-Handbuch fehlt der nötige „Griff im Sand“, um zu verhindern, dass Nationalstaaten Cyberangriffe gegeneinander starten.
Da sich die meisten Länder einig sind, dass Ransomware jetzt völlig außer Kontrolle geraten ist und Verluste in der Größenordnung des Bruttoinlandsprodukts kleiner Länder erreicht, ist es vielleicht an der Zeit, dass die Regierungen direkter eingreifen, indem sie Ländern, die Cyber verstecken und schützen, lähmende Kosten auferlegen Kriminelle oder durch direkte Maßnahmen zur Festnahme oder Festnahme von Tätern direkt, unabhängig davon, wo sie sich verstecken.
Als globale Gesellschaft müssen verantwortungsbewusste Regierungen gemeinsam einen Schlussstrich ziehen, wenn ein Cyberangriff zu weit geht, und Konsequenzen festlegen. Ohne dies werden Kriminelle und Paria-Nationalstaaten weiterhin die Grenzen des Akzeptablen verschieben.
Über den Autor
Richard Staynings ist Chief Security Strategist beim IoT-Cybersicherheitsunternehmen Cylera und außerordentlicher Professor für Cybersicherheit an der University of Denver. Er ist Mitglied einer Reihe von Regierungs- und Nichtregierungskomitees und hat in den letzten 25 Jahren dazu beigetragen, Unternehmen, andere Organisationen und Länder vor Cyberangriffen zu schützen.
