Ransomware
Lösegeld bezahlen – die Wurzel des Übels?
Lösegeld bei Ransomware-Angriffen zahlen oder nicht, das hat eine breite öffentliche Diskussion angefacht. Doch die Wurzel des Übels liegt anderswo, nämlich im Aufkommen der Kryptowährung. Hilfe bieten eher gute Selbstschutzmaßnahmen vor allem in kritischen Bereichen.
Save to Folio
In einem offenen Brief haben sich mehrere Sicherheitsforscher an die deutsche Politik gewendet mit der Forderung, das Zahlen von Lösegeld als Reaktion auf Ransomware-Angriffe unter Strafe zu stellen. Dem widerspricht Jörg Asmussen, Hauptgeschäftsführer der GDV (Gesamtverband der deutschen Versicherer). Er sagt, das Einstellen der Zahlungen löse das Problem nicht. Natürlich haben beide Recht, aber auch wieder nicht. Denn wie immer in der IT ist das Problem wesentlich komplizierter als es von außen betrachtet zu sein scheint. Und zusätzlich sollten wir nicht vergessen, dass wir es mit organisierter Kriminalität zu tun haben, deren Umsatz 2021 dem Brutto Sozialprodukt kleinerer Staaten entspricht.
Erpressung als Tat ist uralt, und nur weil jemand offen erklärt, kein Geld zu zahlen, schreckt dies Täter nicht davon ab, es dennoch weiter zu versuchen. Unternehmen wurden auch schon früher und außerhalb der IT erpresst. Man erinnere sich an den Kaufhauserpresser „Dagobert“, als nur eines von vielen Beispielen.
Kriminalität gab es in der IT auch schon vor Ransomware, und auch wenn diese Methode aktuell alles andere in den Schatten stellt, gibt es auch weiterhin noch andere Taten, die nichts mit Erpressung zu tun haben. Dazu zählen z.B. der Verkauf gestohlener Daten, Kryptomining, Identitätsdiebstahl und anderes.
Es lohnt sich dennoch zu hinterfragen, warum ein solch uraltes Verbrechen plötzlich innerhalb kürzester Zeit (seit 2015/16) so massiv zugenommen hat. Die Wurzel dieses Übels ist der Wegfall einer kritischen Komponente bei dieser Straftat, nämlich der Geldverkehr. Wo früher Geldübergaben das größte Risiko für einen Erpresser darstellten und damit Taten riskanter waren und echte Erfolge minimierte, ist durch den nicht zu überwachenden Kryptowährungsverkehr eine Situation geschaffen worden, die es Verbrechern erlaubt, große Summen ohne Gefahr für das eigene Leben zu transferieren. Aber nicht nur das, auch das Entstehen hoch spezialisierter und teurer Cyberkriminalitätsangebote wie „Ransomware as a Service“ oder „Access as a Service“ ist nur möglich, weil ein anonymisierter Zahlungsverkehr zwischen Verbrechern stattfinden kann.
Das ist die Wurzel des Übels – nur ist es utopisch zu glauben, dass irgendein Politiker in der Lage ist, diese herauszureißen. Die weltweite Ächtung von Ransomware-Zahlungen ändert daran wenig, im günstigsten Fall sinken die Preise, oder es werden andere Methoden entwickelt. Punkt für die Versicherer.
Die Ersatzlösung
Auch wenn es nicht das Problem löst, so wird die Bestrafung von Lösegeldzahlungen nicht ohne Grund weltweit diskutiert. Neben der Verpflichtung zu Cybersicherheit, die sich in Gesetzen wie dem IT-Sicherheitsgesetz oder der Datenschutzgrundverordnung niederschlägt, ist sie die einzige Option für die Politik wirklich etwas zu unternehmen. Es ist eine verzweifelte Maßnahme in einer schwierigen Situation. IT-Sicherheitstechnologie ist heute in der Lage, mit Ransomware-Angriffen umzugehen, diese rechtzeitig zu entdecken und zu managen. Allerdings wird auf beiden Seiten regelmäßig aktualisiert und angepasst, so dass IT-Security nicht einfach wie früher angeschaltet und vergessen werden kann, sondern ständig überwacht und gemanagt werden muss. Das ist natürlich mit Kosten verbunden. Aber gerade weil IT-Security immer noch gut funktioniert, ist es für Unternehmen eine risikobasierte Entscheidung, ob es zusätzlich in eine weitere Verminderung der Eintrittswahrscheinlichkeit eines Vorfalles investiert - sprich mehr in IT-Sicherheit - oder lieber über die Abmilderung der Auswirkungen, also die Zahlung der Lösegeldsumme bzw. eine Cyberversicherung nachdenkt. Klar, dass IT-Sicherheitsfachleute und der Verband der Versicherer zu dieser Frage konträre Meinungen haben.
Das Beispiel Conti
Für die Politik ist diese Frage deutlich kniffliger. Dies soll am Beispiel Conti dargestellt werden. Conti ist (war) eine der erfolgreichsten Ransomware Gruppen der Geschichte. Trend Micro hat im Jahr 2021 etwa zwei Millionen Angriffe dieser Akteure auf Unternehmen vorwiegend in den USA und Europa geblockt. Nach der russischen Kriegserklärung an die Ukraine verkündete die Gruppe Ihre vollständige Unterstützung Russlands. Dies hatte unter anderem zu Folge, dass eine Ransomware-Zahlung an Conti als finanzielle Unterstützung der russischen Kriegsbemühungen interpretiert werden konnte. Hier greifen existierende Embargo- und Handelsgesetze (OFAC Regulation). Gerade US Versicherer weigerten sich deshalb geforderte Ransomware-Summen zu zahlen. Conti gab im Mai seine Auflösung bekannt und stellte seine Aktivitäten ein. Punkt für die IT-Sicherheit: das Einstellen von Zahlungen wirkt.
Das Nachbeben
Conti ist leider nicht einfach so verschwunden. Am 18.04. 2022 startete sie einen letzten großen Angriff auf die Regierung von Costa Rica, dessen Präsident Chaves Robles am 08.05. den nationalen Notstand ausrufen musste. Für die Größe und Dauer der durchgeführten Attacke war die geforderte Lösegeldsumme von 10 Mio $ im Verhältnis klein. Es ging wohl eher darum einen Präzedenzfall zu schaffen. Nachdem die Regierung Costa Ricas standhaft blieb und nicht zahlte, löste sich die Gruppe zwar auf, aber es entstanden sofort Spekulationen, dass ihre Mitglieder sich unter anderem Namen oder in Splittergruppen wieder zusammenfinden würden. Dies ist die Regel, nicht die Ausnahme.
Die Gruppe Emotet wurde beispielsweise im Januar 2021 von polizeilichen Einsatzkräften ausgeschaltet: die Infrastruktur wurde ausgehoben, Finanzmittel sichergestellt und einige Gruppenmitglieder verhaftet. Seit November 2021 ist die Gruppe wieder aktiv. Die Hintermänner der Angriffe auf die Colonial Pipeline, den Fleischproduzenten JBS und den Softwareanbieter Kaseya – eine Gruppe die sich selbst REvil nennt - machte im Januar 2022 Schlagzeilen, weil zum ersten Mal überhaupt Russland zwei im Westen gesuchte IT-Straftäter verhaftete. Auch diese Gruppe ist seit Mai wieder aktiv. Es handelt sich hier nicht um Einzeltäter, sondern um international organisierte Gruppen über deren Größe nur spekuliert werden kann. Das zeigt, dass diese Organisationen sehr wahrscheinlich darauf angelegt sind, selbst bei Verhaftung der Hauptleute weiter zu machen. Man lässt etwas Zeit vergehen, sieht, was die Strafverfolgung tut, und legt dann wieder los.
Die knifflige Aufgabe der Politik
Das Auflösen organisierter Kriminalität ist historisch betrachtet eine enorme Aufgabe: Das goldene Zeitalter der Piraterie setzte erst ein, als die Engländer den Freibeutern den Krieg erklärten. Das führte zu einer Vereinigung der an sich rivalisierenden Kapitäne, die sich anschließend fast schon staatlich organisierten. Die besondere Herausforderung im Fall der Internetkriminalität ist, dass sie global operiert und Strafverfolgung sich deshalb schwierig gestaltet. Auf der anderen Seite hat dies den Vorteil, dass es dadurch wenige mafiöse/familiäre Bindungen gibt und Verhaftungen von Verbrechern oder der Misserfolg bestimmter Gruppen keine Reaktion in anderen Kreisen erzeugt.
Eine gemeinsame Bedrohung wie die Einstellungen von Zahlungen könnte dies ändern und zu Kooperationen der einzelnen Gruppen führen – wie bei den Piraten oder auch dem so genannten „National Crime Syndicate“, einer Kooperation verschiedener US basierter Mafia Ableger. Der Alleingang eines einzelnen Landes könnte darüber hinaus Abschreckungsmaßnahmen provozieren und sowohl die Industrie aber speziell kritische Infrastrukturen gefährden.
Solange ein Großteil der Unternehmen nicht in der Lage ist, sich gegen gezielte Angriffe erfolgreich zu wehren, geht die Politik ein enormes Risiko ein, wenn sie eine solche Gesetzgebung durchsetzt. Deshalb ist es das vorrangige Ziel, erst einmal die Selbstschutzmaßnahmen vor allem kritischer Industriebereiche zu stärken (z.B. IT-Sicherheitsgesetz) sowie an einer internationalen Zusammenarbeit zur Lösung des Problems zu arbeiten. Beides findet statt.
Fazit
Seit Beginn der Ransomware Angriffe wird Mantra-artig auf die Wichtigkeit hingewiesen, nicht zu zahlen. Dies ist richtig und ist durch die Auflösung von Conti bewiesen. Würden sich alle Betroffenen dazu entschließen, dies zu tun, führte das zu einer Aufgabe des Geschäftsmodell Ransomware. Eine politische Lösung - alle zur Einstellung von Zahlungen zu zwingen - hat nur Erfolg, wenn sich die Industrienationen auf ein gemeinsames Vorgehen einigen können, und selbst dann steht erst einmal eine Verschärfung der Situation im Bereich des Möglichen. Es ist Unternehmen deshalb unbedingt anzuraten, die Eintrittswahrscheinlichkeit eines Cyberangriffs zu analysieren und konstant zu überwachen. Hierzu zählt die eigene Angriffsoberfläche auf Schwachpunkte oder Indikatoren eines Angriffes hin zu untersuchen, deren Kritikalität einzuschätzen und Gegenmaßnahmen durchzuführen. Ransomware Gruppen den Geldhahn zuzudrehen, ist tatsächlich die effektivste Methode das Problem zu beenden. Das beste Mittel dazu ist, gar nicht erst in die Lage versetzt zu sein, sich zwischen der Fortführung der eigenen Geschäftstätigkeit oder der Zahlung einer Lösegeldsumme entscheiden zu müssen.
Dies ist eine Aufgabe, bei der Sie Trend Micro mit Technologie und Dienstleistung unterstützen kann.