Ransomware-Krise braucht einen globalen Lösungsansatz

Ransomware-Krise braucht einen globalen Lösungsansatz

Beitrag teilen

Ransomware hat sich mittlerweile zu einem globalen Problem entwickelt. Cyberkriminelle Gruppen operieren von Ländern aus, die ihnen einen sicheren Unterschlupf bieten und es ihnen ermöglichen, sogar raffinierteste Angriffe zu starten. Um eine Eskalation zu verhindern, braucht es eine gemeinsame, weltweite Strategie. Eine Einschätzung von Michael Veit, Sicherheitsexperte bei Sophos.

Wir befinden uns mitten in einer Ransomware-Krise. In den letzten Monaten wurde eine Fülle von Ransomware-Angriffen beobachtet, die immer extremer waren, wie zum Beispiel die vorübergehende Abschaltung einer großen US-amerikanischen Treibstoffpipeline. Die zunehmenden Ransomware-Angriffe sind kein neues Phänomen, aber in diesem Jahr hat sich diese Art der Cyberkriminalität von einer bösartigen Bedrohung zu einer ausgewachsenen globalen Krise entwickelt und es auf die politische Agenda geschafft.

Anzeige

Auch Behörden werden immer mehr erpresst

Bundesbehörden sind es gewohnt, ständig Cyberangriffen ausgesetzt zu sein. Neu ist jedoch, dass sie jetzt auch Ziel kommerzieller Ransomware-Angriffe sind. Diese Eskalation ist zum großen Teil darauf zurückzuführen, dass die Angreifer ihre Fähigkeiten verfeinert haben, indem sie einerseits in staatlich geförderten „Hacking-Armeen“ arbeiten und andererseits als Freiberufler für private Ransomware-Anbieter tätig sind.

Die jüngste Anklage des US-Justizministeriums gegen die chinesische Regierung, die Cyberkriminelle bei ihren Angriffen auf einen weit verbreiteten E-Mail-Server unterstützt haben soll, verdeutlicht die Überschneidungen zwischen Nationalstaaten und Ransomware-Gruppen: Die von Staatsgeheimdiensten entdeckten Sicherheitslücken werden von privaten Akteuren als Waffe eingesetzt. Staaten, die Ransomware-Angreifer und andere Cyberkriminelle ausbilden, haben sowohl die Bedrohung durch Ransomware verschärft als auch ihr Profil in den Augen von Regierungen auf der ganzen Welt gestärkt. Das veranlasste neben dem Weißen Haus auch die NATO und den G-7-Gipfel kürzlich dazu, Erklärungen zu Ransomware abzugeben.

Eine globale Krise braucht eine globale Reaktion

Eine globale Ransomware-Krise braucht eine globale Reaktion und konkrete Maßnahmen, die Regierungen und ihre Partner ergreifen können, um sie gegen Ransomware auf der ganzen Welt einzusetzen.

1. Schluss mit Lösegeldzahlungen

Um Ransomware effektiv bekämpfen zu können, müssen die Opfer aufhören, Lösegeld zu zahlen. Solange Ransomware profitabel ist, fehlt den Angreifern der Anreiz aufzuhören. Die Haltung der Regierung „Wir verhandeln nicht mit Terroristen“ sollte auch für Ransomware gelten. Jedes Unternehmen, das Teil der Lieferkette einer Bundes-, Landes- oder Kommunalverwaltung ist, sollte sich vertraglich verpflichten, im Falle eines Ransomware-Angriffs kein Lösegeld zu zahlen. Die Aufnahme dieser Standardklausel in die Beschaffungspolitik der Regierung und die Bekanntgabe, dass jede staatliche Lieferkette verpflichtet ist, kein Lösegeld zu zahlen, könnte zur Abschreckung vor Ransomware zumindest gegen Regierungsbehörden beitragen.

Wiederherstellung kostet im Schnitt 1,85 Millionen Dollar

Doch kein Lösegeld zu zahlen ist oftmals leichter gesagt als getan. Aber eine Möglichkeit, diese Idee attraktiver zu machen – vor allem wenn man sie als Empfehlung und nicht als strikte Vorschrift ausgibt – ist die Betonung auf die enormen Kosten der Wiederherstellung. Eine kürzlich von Sophos in Auftrag gegebene unabhängige Studie ergab, dass Ransomware-Opfer im Durchschnitt 1,85 Millionen US-Dollar ausgeben. Denn die Kosten einer Attacke sind weitaus mehr als „nur“ das Lösegeld: Kosten für Ausfallzeiten, Mitarbeiter, Geräte, Netzwerk plus entgangene Chancen und längst überfällige Upgrades der IT-Infrastruktur kommen noch hinzu.

2. Regulierung der Krypto-Währungsbörsen, über die die Lösegelder fließen

Was Ransomware zu einer globalen Krise gemacht hat, ist das Ausmaß, in dem immer wieder Nationalstaaten die Cyberkriminellen ausbilden und/oder ihnen einen sicheren Aufenthaltsstandort bieten. Leider fehlt hier bislang jegliche Handhabe. Es existiert kein Regressanspruch auf Regierungen, die Ransomware-Gruppen Unterschlupf gewähren. Eine Möglichkeit könnte die Verhängung von Handelssanktionen gegen Länder sein, die mit Ransomware in Verbindung stehen. Effizienter und produktiver ist es aber wahrscheinlich, Ransomware-Gruppen dort zu treffen, wo es sie am stärksten schmerzt: bei ihrem Geld. Cyberkriminelle wandeln die Lösegelder auf Krypto-Währungsbörsen in harte Währungen um. Die Einführung strengerer Vorschriften für diese Krypto-Börsen würde es Ransomware-Gruppen erschweren, von ihrer Arbeit zu profitieren. Im Inland könnten Krypto-Währungsvorschriften und Anti-Geldwäsche-Richtlinien verhindern, dass Krypto-Unternehmen als Währungsumtausch für Ransomware-Angreifer genutzt werden.

Internationale Zusammenarbeit muss im Fokus stehen

Auch hier hilft eine internationale Zusammenarbeit mit festgelegten Richtlinien. Nationalstaaten wie Russland und China haben einen Anreiz, diese Art von Krypto-Währungsvorschriften für ihre eigenen Krypto-Händler einzuführen, vor allem deshalb, weil sie dadurch gezwungen sind, die Kryptowährung in ihre Währung umzuwandeln. Dies stärkt ihre eigene Finanzkraft und eröffnet eine neue Quelle für Steuereinnahmen. Wenn Ransomware-Gruppen feststellen, dass es nur wenige Länder gibt, in denen sie ihre Lösegeldzahlungen sicher auszahlen können, wird das Geschäftsmodell schlichtweg unattraktiv.

3. IT-Hygiene und Offenlegung von Sicherheitsverletzungen vorschreiben

Es gibt einige grundlegende IT-Hygienemaßnahmen, die viele Unternehmen immer noch nicht ergreifen: Aufklärung der Mitarbeiter über Spear-Phishing, Einführung von Zwei- und Mehrfaktor-Authentifizierung, ein grundlegender Endpoint-Schutz und die Sicherung von Daten auf netzwerk- und standortfernen Speichern. Regierungen könnten hier unterstützen, indem sie die Einhaltung von Zertifizierungen empfehlen, statt diese Anforderungen in Gesetze fließen zu lassen. Ein weiterer Vorteil: Zertifizierungen lassen sich im Gegensatz zu Gesetzen relativ leicht aktualisieren, so dass auch die Einhaltung der Vorschriften durch die Anbieter auf dem neuesten Stand bleiben würde.

Meldung von Sicherheitsvorfälle muss Standard werden

Es muss Standard werden, Sicherheitsvorfälle zu melden. Dabei sollte die Berichtspflicht aber keine Strafmaßnahme sein. (außer vielleicht in Fällen, in denen die Vorschriften nicht eingehalten werden). Vielmehr sind sie als Sensibilisierungsmaßnahme zu behandeln. Je mehr Unternehmen oder Behörden verpflichtet sind, Datenschutzverletzungen sofort nach ihrem Auftreten zu melden, desto eher können ihre Partner und Anbieter sensibilisiert werden und sofortige Maßnahmen zum eigenen Schutz ergreifen. Eine bundesweite Meldepflicht für Datenschutzverletzungen ermöglicht zudem ein umfassenderes Verständnis dafür, wie häufig diese Angriffe vorkommen. Ransomware vollständig in den Griff zu bekommen gelingt erst dann, wenn ein Gefühl für das wahre Ausmaß, die Menge und die Häufigkeit dieser Angriffe besteht. Die Pflicht zur Offenlegung von Datenschutzverletzungen und Cyberangriffen trägt dazu bei, dies zu erreichen.

Mehr bei Sophos.com

 


Über Sophos

Mehr als 100 Millionen Anwender in 150 Ländern vertrauen auf Sophos. Wir bieten den besten Schutz vor komplexen IT-Bedrohungen und Datenverlusten. Unsere umfassenden Sicherheitslösungen sind einfach bereitzustellen, zu bedienen und zu verwalten. Dabei bieten sie die branchenweit niedrigste Total Cost of Ownership. Das Angebot von Sophos umfasst preisgekrönte Verschlüsselungslösungen, Sicherheitslösungen für Endpoints, Netzwerke, mobile Geräte, E-Mails und Web. Dazu kommt Unterstützung aus den SophosLabs, unserem weltweiten Netzwerk eigener Analysezentren. Die Sophos Hauptsitze sind in Boston, USA, und Oxford, UK.


 

Passende Artikel zum Thema

Zunahme von Fog- und Akira-Ransomware

Im September gab SonicWall bekannt, dass CVE-2024-40766 aktiv ausgenutzt wird. Zwar hat Arctic Wolf keine eindeutigen Beweise dafür, dass diese ➡ Weiterlesen

Gratis Entschlüsselungs-Tool für Shrinklocker-Ransomware

Für Opfer von Attacken mit der Shrinklocker-Ransomware hat Bitdefender einen kostenlosen Dekryptor entwickelt um verschlüsselte Dateien wiederherstellen können. Das ursprünglich ➡ Weiterlesen

Angriffe auf die Lieferkette nehmen zu

Angriffe auf die Lieferkette (Supply Chain) sind besonders gefährlich, weil sie darauf ausgelegt sind, Sicherheitsmechanismen auf Seiten der Verteidiger zu ➡ Weiterlesen

Chefs meinen IT-Security sei ganz „easy“

Jeder vierte Verantwortliche für IT-Security in Unternehmen muss sich den Vorwurf von Vorgesetzten anhören, Cybersicherheit sei doch ganz einfach. Externe ➡ Weiterlesen

Cyberangriffe: Russland hat es auf deutsche KRITIS abgesehen

Russland setzt gezielt destruktive Schadsoftware ein und bedroht mit seiner digitalen Kriegsführung kritische Infrastrukturen in Deutschland. Durch die zunehmende Aggressivität, ➡ Weiterlesen

DORA: Stärkere Cybersecurity für Finanzunternehmen

Der Digital Operational Resilience Act (DORA) soll die IT-Sicherheit und das Risikomanagement in der Finanzbranche stärken, indem er strenge Anforderungen ➡ Weiterlesen

Disaster-Recovery-Ereignisse bei Microsoft 365

Ein globales Softwareunternehmen, das IT-Dienstleister bei der Bereitstellung von Fernüberwachung und -verwaltung, Datenschutz als Service und Sicherheitslösungen unterstützt, hat den ➡ Weiterlesen

Identitätssicherheit: Viele Unternehmen sind noch am Anfang

Ein Anbieter von Identity Security für Unternehmen, hat seine aktuelle Studie „Horizons of Identity Security“ vorgestellt. Unternehmen mit fortschrittlicher Identitätssicherheit stehen ➡ Weiterlesen