Ransomware: Zahlungen sind ein geostrategisches Risiko

Sicherheit (Pexels, allgemeine Nutzung)Fast täglich kann man hier im Blog über Ransomware-Angriffe lesen. Häufig wird von den Opfern unter der Hand gezahlt, um die verschlüsselten Daten zurück zu bekommen oder eine Veröffentlichung zu vermeiden. Die Schäden belaufen sich in Milliardenhöhe, allein in Deutschland. Die Zahlungen an Ransomware-Gangs sind die Wurzel allen Übels meinen die Verfasser eines offenen Briefs, mit dem das organisierte Verbrechen finanziert wird. Sie fordern den Stopp aller Zahlungen, um diesen Sumpf auszutrocknen.


Anzeige

Erpressungstrojaner in Form sogenannter Ransomware sind in den letzten Jahren zu einer ernsthaften und dauerhaften Bedrohung für die deutsche und europäische Wirtschaft herangewachsen, meinen die Autoren des offenen Briefs. Ich gehe soweit, dass ich das auf die weltweite Wirtschaft ausdehnen würde.

223 Milliarden Euro Schaden in Deutschland

Eine aktuelle Bitkom-Studie beziffert den Schaden durch Daten-Diebstahl, Spionage und Sabotage für die deutsche Wirtschaft allein auf jährlich 223 Milliarden Euro – dies entspricht über 6% des gesamten deutschen Bruttoinlandsprodukts für 2021 (3,57 Billionen EUR). Neun von zehn deutschen Unternehmen sind mittlerweile betroffen, und auch Behörden und kritische Infrastrukturen sind nicht vor Angriffen gefeit. Für einen Großteil der Schäden sei laut Studie Ransomware verantwortlich.

Erpressung mit Datenveröffentlichung

Auch Datensicherungen helfen den Opfern mittlerweile nur noch bedingt, denn seit einiger Zeit kopieren Verbrecherbanden Daten, bevor sie sie verschlüsseln, und drohen den Opfern dann mit der öffentlichen Preisgabe vertraulicher Daten, sollte die geforderte Lösegeldzahlung ausbleiben.

Die Tage habe ich irgendwo gelesen (leider finde ich ad hoc die Quelle nicht mehr), dass erste Ransomware-Gangs bereits auf eine Verschlüsselung verzichten. Es reicht, Daten abzuziehen und dann mit deren Veröffentlichung zu drohen, um die Opfer zu Zahlungen zu veranlassen. Die schlechte Nachverfolgbarkeit von Kryptogeld-Zahlungen wiegt die Ransomware-Gangs in Sicherheit.

Das ist übrigens ein Punkt, der bei Vielen noch nicht auf dem Radar ist. Bisher schauen Sicherheitslösungen (Virenscanner, Ransomware-Protection, EDR-Systeme) auf Anzeichen von Verschlüsselung. Wenn die Ransomware-Gruppen aber auf die Verschlüsselung verzichten, haben sie u.U. Wochen Zeit, sich in den Systemen zu bewegen und gezielt Daten zur Erpressung abzuziehen.

Aufgrund dieser Problematik ist die Bereitschaft von Unternehmen, Lösegeldzahlungen zu tätigen, zuletzt stark gestiegen. Laut einer aktuellen Studie des Sicherheitsdienstleisters Sophos zahlen rund 42% aller deutschen Unternehmen das geforderte Lösegeld, im Schnitt über EUR 250.000 – und dies trotz gegenteiliger Empfehlungen von BSI und BKA, schreiben die Autoren des offenen Briefs. Vor dem Hintergrund der enormen Kosten für die Wiederaufnahme des Betriebs ohne Lösegeldzahlung (laut Studie im Schnitt ca. 1,6 Millionen EUR) verwundert diese Entscheidung wenig.


Anzeige

Cyber-Versicherungen sollen übernehmen

Die Zahlung von Lösegeld ist für das einzelne Unternehmen nicht nur finanziell günstiger, sie lässt sich über sogenannte Cyber-Versicherungen mittlerweile auch recht bequem im Jahresbudget einplanen. Rund 80% der von Sophos befragten Unternehmen sind gegen Ransomware-Angriffe versichert. Ein Großteil der Versicherer zahlt hierbei neben Wiederherstellungsmaßnahmen unter Umständen auch das geforderte Lösegeld, sofern sich hierdurch der Schaden für das Unternehmen minimieren lässt.

Lösegeldzahlungen die Wurzel allen Übels

Lösegeldzahlungen sind jedoch bei Ransomware die Wurzel allen Übels: Ransomware ist seit Jahren ein stark organisiertes Verbrechen, das allein in Deutschland Schäden in Milliardenhöhe verursacht. Wenn Opfer von Ransomware das geforderte Lösegeld nicht zahlen würden, dann würde dieses Geschäftsmodell im Keim erstickt. Umgekehrt hat jedoch die Zahlungsbereitschaft der Opfer dieses kriminelle Geschäftsmodell erst ermöglicht. Reinvestitionen der aktiven Verbrecherbanden haben dazu geführt, dass diese heute hoch professionell vorgehen können und technisch und methodisch oft um Größenordnungen besser aufgestellt sind als die angegriffenen Unternehmen. Gewinne kommen hierbei in erster Linie Staaten zugute, die Deutschland eigentlich sanktioniert.

Eine aktuelle BBC-Studie zeigt auf, dass 74% aller Ransomware-Lösegelder in 2021 an Verbrecherbanden in Russland gezahlt wurden. Diverse Medien haben wiederholt von starken Verbindungen des Kremls zu den betreffenden Verbrecherbanden berichtet. Lösegeldzahlungen schwächen somit das aktuelle EU-Embargo gegen Russland signifikant. Auch Nordkorea ist direkt in Ransomwareangriffe verstrickt, stiehlt darüber hinaus aber auch regelmäßig entsprechende Kryptowährungen zur Finanzierung seines Atomraketenprogramms.

Vor diesem Hintergrund lässt sich feststellen, dass sich die Bereitschaft zu Lösegeldzahlungen mittlerweile für Deutschland zu einem massiven geostrategischen Risiko entwickelt hat, das nicht länger ignoriert werden darf. Lösegeldzahlungen stärken Deutschlands geopolitische Konkurrenten und schwächen die deutsche Wirtschaft und den deutschen Staat, sie gefährden unsere kritische Infrastrukturen. Aber auch hier vor Ort setzen Lösegeldzahlungen falsche Anreize, denn sie ermöglichen Unternehmen und Behörden einen vermeintlich einfachen Ausweg, der zwar kurzzeitig das Leid lindert, aber mittelfristig mehr Probleme verursacht als er löst: Anstatt in die Verbesserung ihrer IT-Sicherheit und ihrer Leistungsfähigkeit zu investieren, zahlen die Opfer Lösegeld und erhöhen somit die Wahrscheinlichkeit weiterer erfolgreicher Angriffe gegen sich selbst und andere.

Das Nachsehen dabei hätten insbesondere kleinere Unternehmen, die sich Lösegelder und Cyber-Versicherungen nicht leisten können und bei einem Angriff potenziell vor dem Ruin stehen, so die Autoren des offenen Briefs. Statt diese Milliarden an Euro jährlich dem organisierten Verbrechen und den Staaten, die diese Verbrecherbanden beheimaten, zukommen zu lassen, sollten deutsche Unternehmen diese Gelder vielmehr in ihre eigene IT-Sicherheit investieren, um somit einerseits die Hürden für weitere Angriffe zu erhöhen und andererseits die Finanzströme der Verbrecherbanden versiegen zu lassen.

Forderungen an die Bundespolitik

Die Unterzeichner und Unterzeichnerinnen des offenen Briefs fordern daher die Bundespolitik auf, folgende Maßnahmen zu ergreifen:

  • Erlassen Sie Maßnahmen und setzen Sie Anreize, welche Lösegeldzahlungen bei Ransomware-Angriffen effektiv unterbinden.
  • Schaffen Sie die steuerliche Absetzbarkeit von Ransomware-Lösegeldzahlungen (§ 33 EStG) ab.
  • Führen Sie für Unternehmen ab einer bestimmten Größe eine Meldepflicht für Ransomware-Angriffe und Lösegeldzahlungen ein.
  • Unterbinden Sie Versicherungen, die diese Lösegeldzahlungen absichern.
  • Befördern Sie stattdessen Versicherungen, die die verursachten Umsatzeinbußen und Wiederherstellungsmaßnahmen absichern. Da die Versicherer zunehmend starke Sicherheitsmaßnahmen bei den Versicherungsnehmern einfordern, besteht hier die Möglichkeit, die IT-Sicherheit in der Breite signifikant zu erhöhen, ohne weitere regulatorische Maßnahmen treffen zu müssen.
  • Unterstützen Sie Unternehmen, die durch Ransomware-Angriffe in eine finanzielle Notlage geraten, in angemessener Weise, beispielsweise über einen Hilfsfonds, sodass diese nicht gezwungen werden, Lösegelder zu zahlen. Die Unterstützung sollte jedoch an Bedingungen geknüpft sein, welche sicherstellen, dass die Opfer ihre Pflicht zur eigenständigen Absicherung nicht vernachlässigen.
  • Forcieren Sie Maßnahmen, die deutschen Unternehmen in Zukunft Methoden und Technologien bereitstellen, um an sie gestellte IT-Sicherheitsanforderungen effektiv und dennoch möglichst kostengünstig erfüllen zu können.

Wie seht ihr diese Sachlage, die die Unterzeichner hier sehr drastisch schildern? (via)


Anzeige

Dieser Beitrag wurde unter Sicherheit abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

18 Antworten zu Ransomware: Zahlungen sind ein geostrategisches Risiko

  1. 1ST1 sagt:

    Der neue Trend, dass Ransomware keine lokale Verschlüsselung durchführt, sondern nur noch hochlädt, ist auch ein Problem für den Ransomwareschutz z.B. in Endpoint-Protection-Produkten wie Antivirus, EDR und XDR-Systemen. Denn wenn nicht verschlüsselt wird, erkennen die keinen Ransomware-Angriff mehr, weil das Angriffsmuster "User bzw. Prozess ändert ganz viele Dateien innerhalb kurzer Zeit" fehlt. Dem Angreifer fehlt auch der Zeitdruck, dass er möglichst viel brisantes Material innerhalb kürzester Zeit irgendwo hoch laden muss, bevor er alles schnellstens verschlüsselt, statt dessen kann er es langsam und gemächlich machen, so dass es nicht auffällt. Hier hilft eigentlich nur noch das komplette Blockieren von Uploads an nicht erlaubte Adressen mittels eines Proxies, der per Deep Packet Inspection genau weiß, was durch ihn durchgeleitet wird. Dazu muss man sich aber mit dem Betriebsrat einig sein.

    • Paul sagt:

      Meines Wissens nach liegen durchaus Monate(!) zwischen Infektion und Erpressung.
      Es schlafen vermutlich auch viele bereits infizierte Systeme unauffällig vor sich hin.
      Da gibt es genügend Zeit zum upload in kleinen in die Cloud in kleine Dosen.
      Microsoft tut viel dafür, das ein Admin nicht mehr wissen kann, was, wann, wo wie passiert.
      Die abfließenden Daten werden verschlüsselt. Insofern ist Deep Paket Inspektion / Leakage Detektion/Protection etc. Schlangenöl und nur gegen dumme Mitarbeiter wirksam, die ausversehen Geheimnisses weitergeben.

      • Paul sagt:

        Dazu kommt noch das Problem, das auch ein Betriebsrat keiner Überwachung ohne konkreten Hinweis zustimmen kann. Das wäre aber eine DPI.
        Quasi hunderte an Kameras, weil ein Mitarbeiter mal einen Kuli in der Brusttasche raus schleppen könnte.

        Ein BR "sorgt" dafür das Gesetze eingehalten werden und kann sie nicht für diesen Betrieb für unwirksam erklären.

  2. Andreas sagt:

    Nummer 81. auf der Liste der Unterzeichner des offenen Briefs ist wohl der wichtigste: Prof. Dr. Dr. Dr. h.c. Vladimir:In Putin:Inska, Universität Kreml:Inska. Wenn der schon dieser Meinung ist … X-))

    • Günter Born sagt:

      Den Kommentar solltest Du imho nochmals überdenken (nehme ich gerne raus, wenn Du mir da einen Hinweis schickst) – ist nicht wirklich witzig, angesichts der aktuellen Sachlage. Und wenn dein Unternehmen durch so etwas den Bach runter geht, ist es auch bei dir Schluss mit lustig – imho.

      • Andreas sagt:

        In Anbetracht der Tatsache, dass anscheinend irgendjemand die Liste der Unterzeichner tatsächlich wartet und überprüft (der von mir genannte Eintrag ist nach einer Stunde bereits nicht mehr vorhanden), kannst Du den Kommentar gerne löschen.

        Davon abgesehen hat es noch nie geschadet, trotz ernster Lage ein Stück weit seinen Humor nicht zu verlieren, auch wenn dieser Humor eher von der schwarzen Sorte ist…

  3. Paul sagt:

    Also eigentlich fehlt die Androhung einer Haftstrafe für Unternehmer die zahlen.
    Das hat sich schon in viel Staaten der Welt im Kampf gegen die Prostitution gewährt, die Freier und nicht die Prostituierten einzulochen. Das war ja auch ungeheuer Wirksam…

    Wie wäre es, alle Geheimdienste zu verpflichten keine Zero-Days mehr anzukaufen, und bekannt gewordene sofort zum Patchen zu geben und Rechner, die nicht gepatscht werden vom Netz zu nehmen?
    Mit einem Auto ohne TÜV und Führerschein darf man ja auch nicht auf öffentliche Straßen.

    My2p

    • 1ST1 sagt:

      Bezüglich Ransomware sind Geheimdienste, auf die deine Forderungen zielen, können ja nur Westliche sein, eher weniger das Problem. Ja, Zerodays einkaufen und sie an die jeweiligen Hersteller weiter geben, wäre eine Möglichkeit, aber dafür sollten die Hersteller zahlen, was sie ja aber im Rahmen diverser Bugbounty-Programme teils ja schon tun.

      • Paul sagt:

        Die Geheimdienste haben ein großes Interesse an Zerodays wg.
        sog. "Lawfull inspection". Und über diese Lücken kommen auch Kriminelle rein.
        Der Geheimdienst will ja nur eine Kiste "aufmachen", aber der ZD ist auch auf tausenden anderen.

        Warum das "nur" "westliche" sein können schließt sich mir eben so wenig wie "nur".. Wenn mein US-Wettbewerber meine Konstruktionzeichnungen, die die NSA bei mir geklaut hat oder die Beifang waren, in den USA zum Patent anmeldet ist für mich der US-Markt genauso dicht, wie wenn der Russe meine Pläne für ein Überschallpersonen-Flugzug kopiert und so dort viele Jahren Entwicklungsarbeit eingespart werden können.

  4. Luzifer sagt:

    Eines ist jedenfalls klar wenn keiner zahlen würde, würde sich das auch nicht für die Hacker lohnen.
    Das Problem ist hausgemacht! (Erst bei der Sicherheit schlampen /sparen und dann Verbrecher bezahlen … jetzt haben wir den Schlamassel!)

    Hacken auf eine Stufe mit Terrorismus stellen und die Geheimdienste mal was nützliches machen lassen (MOSSAD weis wie man Kriegsverbrecher aus gesichertem feindlichen Gebiet extrahiert)… Guantanamo braucht neue Insassen!

  5. Robert sagt:

    Die Wurzel allen Übels ist schlecht programmierte, anfällige Software. Dann kommen die Symptome mit vermeintlichen Schutzschichten mit mehr anfälliger Software, Interessen von deren Vertrieben, White- Blackheads und Versicherungen.
    Lösegeldzahlungen zu verbieten heißt das Pferd von hinten aufzuzäumen. Justiz und Anwälte werden erst nach entstandenem Schaden aktiv, interessieren sich aber auch nicht für bessere Code-Qualität.

  6. Bernd B. sagt:

    Eine mMn interessante/lesenswerte 'andere' Sicht auf die Sache hat Fefe gestern publiziert:
    https://blog.fefe.de/?ts=9c471cc3

    • Ralf S. sagt:

      Er schreibt u. a.:
      "Ich sehe nicht, wie wir jemals mehr Sicherheit kriegen werden. Die Branche hat versagt, die Regierung hat versagt, die Firmen haben versagt."

      Sehe ich ebenso! Und trotzdem wird "lustig" weitergemacht, als wie wenn nix gewesen wäre und ist! Im Gegenteil: Digitalisierung wird gehypt auf Teufel komm raus und wer auch nur ansatzweise Bedenken hegt und evtl. sogar widerspricht, wird sofort "zum Abschuss" freigegeben, als "rückwärtsgewandt, Zukunftsverweigerer" und "ewig Gestriger" beschimpft … Diverse Politiker:innen (und auch außen) sehen Datenschutz als "generellen Hemmschuh" und eine gescheiterte, ehemalige Verteidigungsministerin (die auch ansonsten noch jede Menge anderen, noch dazu noch immer unaufgeklärten, Dreck am Stecken mit sich rumschleppt) sitzt jetzt an der Spitze der EU und "sieht die weltweite Digitalisierung" – und dort vor allem die KI – als die "Lösung so gut wie aller zukünftiger Probleme" … Damit dürfte einfach ALLES gesagt sein!

      Wenn man sich das mal wirklich überlegt – und ich hoffe, dass diese Zahl stimmt: Schadenssumme (nur in Deutschland!!): "223.000.000.000 € = 6% des gesamten deutschen Bruttoinlandsprodukts für 2021" Da müssten doch wirklich eigentlich ALLE Alarmglocken – und zwar bei ALLEN maßgeblich Beteiligten – längst Sturm läuten! Man verliert so langsam wirklich seinen Glauben – sofern man ihn nicht schon längst verloren hat … Der Kompass der Prioritätensetzung scheint längstens verloren gegangen zu sein.

      • 1ST1 sagt:

        "Ich sehe nicht, wie wir jemals mehr Sicherheit kriegen werden. Die Branche hat versagt, die Regierung hat versagt, die Firmen haben versagt."

        Wieso nur die? Die ganze Opensource-Community doch auch. Siehe aktuell NPM, PyPi, … Works by design, schicke Supplychain Attacke ganz ohne Programmierfehler…

  7. Martin Feuerstein sagt:

    "Die Tage habe ich irgendwo gelesen (leider finde ich ad hoc die Quelle nicht mehr), dass erste Ransomware-Gangs bereits auf eine Verschlüsselung verzichten. Es reicht, Daten abzuziehen und dann mit deren Veröffentlichung zu drohen, um die Opfer zu Zahlungen zu veranlassen."

    Das war gestern bei Golem: https://www.golem.de/news/it-angriffe-ransomware-gruppen-verzichten-wohl-auf-verschluesselung-2206-166441.html

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.