Aufruf an alle Unternehmen, Ransomware-Angriffe zu melden

Regierung und Industrie rüsten sich gegen Ransomware inmitten einer anhaltenden Welle von Angriffen mit nationalen und internationalen Auswirkungen. Neben einer Vielzahl von Initiativen zur Bekämpfung von Ransomware richtet sich die unmittelbare Aufmerksamkeit darauf, Unternehmen dazu zu bringen, Ransomware-Angriffe an die Behörden zu melden, anstatt zu versuchen, selbst Abhilfe zu schaffen oder einen Ausweg auszuhandeln.

Die Forderung nach mehr Transparenz wird weltweit von verschiedenen Seiten erhoben. Dazu gehören ein Aktionsplan der Ransomware Task Force des Privatsektors, Richtlinien der US-Regierung, Vorschläge von führenden Politikern in Australien und Appelle von Europol.

Mangelnde Berichterstattung vereitelt Anti-Ransomware-Bemühungen

Unternehmen zögern oft aus verschiedenen Gründen, Ransomware-Angriffe zu melden, sei es, um den Ruf ihrer Marke zu schützen, die Haftung zu begrenzen, ihren Aktienkurs zu wahren, die Aufmerksamkeit von Regulierungsbehörden zu vermeiden oder störende Ermittlungen der Strafverfolgungsbehörden abzuwehren. Einige Unternehmen sind verpflichtet, Regulierungsbehörden (und seltener Strafverfolgungsbehörden) im Rahmen von Datenschutzgesetzen wie der europäischen Datenschutz-Grundverordnung (GDPR), dem Health Insurance Portability and Accountability Act (HIPAA) und dem California Consumer Privacy Act (CCPA) zu informieren, die alle eine rechtzeitige Meldung von Datenschutzverletzungen vorschreiben, bei denen persönliche Daten offengelegt werden.

Dennoch sehen Experten Grauzonen und Lücken in den Meldepflichten - zum Beispiel, wenn es Cyberkriminelle nicht auf personenbezogene Daten, sondern auf Infrastrukturbetriebe oder Geschäftsgeheimnisse von Unternehmen abgesehen haben. Ein weiteres Problem ist der derzeitige Flickenteppich aus staatlichen, nationalen und internationalen Richtlinien, Regeln und Systemen zur Meldung von Cyberkriminalität, die von unzähligen Regulierungs- und Durchsetzungsbehörden stammen. [1] Ein drittes Problem: Laut Europol bezweifeln Unternehmen manchmal den Wert einer Meldung, weil die Strafverfolgungsbehörden nur über begrenzte Ressourcen verfügen.[2]

Eine niederländische Studie hat kürzlich gezeigt, dass nur eines von sieben Opfern (Unternehmen und Verbraucher) Cyberkriminalität jeglicher Art meldet, sei es Ransomware, Datendiebstahl oder eine andere Art von Angriff.[3] Was speziell Ransomware betrifft, so ergab ein anderer Bericht, dass etwa die Hälfte der befragten Unternehmen in den USA und Europa die Strafverfolgungsbehörden über einen Angriff informieren würde, und 45 % gaben an, dass sie ihn an die Datenschutzbehörden melden würden.[4] Andere Experten weisen jedoch darauf hin, dass selbst Unternehmen mit den besten Absichten sich letztendlich gegen eine Meldung entscheiden.

"Unternehmen, die Opfer von Ransomware sind, zahlen diskret die Lösegelder und kehren die Vorfälle (rechtmäßig) unter den Teppich", so ein ehemaliger Beamter der U.S. Securities and Exchange Commission (SEC).[5]

Das Fehlen von Meldungen wiederum behindert die Möglichkeit, einen genauen Überblick zu gewinnen und wirksame Gegenmaßnahmen zu ergreifen, so Europol: "Es ist notwendig, eine Kultur der Akzeptanz und Transparenz zu fördern, wenn Organisationen oder Einzelpersonen Opfer von Cyberkriminalität werden."

Im Folgenden finden Sie einen kurzen Überblick über die neuen Empfehlungen und Anforderungen für die Berichterstattung über Anti-Ransomware und die Bemühungen um den Informationsaustausch.

Bundesauftragnehmer müssen Angriffe melden

Eine neue Anordnung der Regierung verpflichtet Auftragnehmer der US-Regierung, Ransomware und andere Cyber-Vorfälle zu melden, und zwar sowohl an die Behörde, mit der sie einen Vertrag abgeschlossen haben, als auch an andere Regulierungs- und Durchsetzungsbehörden.[6] In der Regel setzen sich solche staatlichen Beschaffungsaufträge im gesamten Privatsektor durch, da sie zu Best Practices werden.

In der Zwischenzeit hat das Department of Homeland Security eine neue Vorschrift erlassen, die Eigentümer und Betreiber von Pipelines verpflichtet, bestätigte und potenzielle Vorfälle im Bereich der Cybersicherheit zu melden.[7] Und der Gesetzgeber bereitet eine Gesetzgebung zur Meldepflicht vor.

"Wir haben kein wirkliches System, um [Unternehmen] zu verpflichten, Informationen in Echtzeit an die Regierung zu melden, so dass wir eine umfassende Antwort erhalten könnten", sagte der Vorsitzende des Geheimdienstausschusses des Senats, Mark Warner, in einer Fernsehsendung. Warner schlug einen begrenzten Haftungsschutz und Vertraulichkeit für Unternehmen vor, die Berichte vorlegen.[8]

Die Auswirkungen auf große und kleine Unternehmen werden sich erst im Detail zeigen. "Die gemeinsame Nutzung kann wohl dazu beitragen, die Prävention, Erkennung und Reaktion auf Datenschutzverletzungen zu verbessern, aber kleinere Anbieter mit weniger Ressourcen für die Einhaltung der Vorschriften könnten die größten Auswirkungen spüren", The Wall Street Journal berichtete.[9]

Und wie ein Cybersicherheitsexperte anmerkte: "Die kommenden Richtlinien in den nächsten Monaten und Jahren können schrittweise oder auch plötzlich kommen, je nachdem, wie sich die Ereignisse und Vorfälle entwickeln ... also fangen Sie jetzt an, sich darauf vorzubereiten." [10]

Ransomware-Taskforce empfiehlt Meldepflicht

Eine neue Ransomware Task Force, der 60 US-amerikanische und internationale Unternehmen und Interessengruppen angehören, hat eine Anti-Ransomware-Strategie herausgegeben, in der 48 Maßnahmen aufgelistet sind, die von koordinierten internationalen diplomatischen und Strafverfolgungsbemühungen bis zu einer stärkeren Regulierung von Kryptowährungen reichen.[11]

Die Meldung von Lösegeldzahlungen - vor der Zahlung von Lösegeld - sollte vorgeschrieben werden, sagt die Gruppe. Ein Verbot solcher Zahlungen, wie es einige vorschlagen, wird jedoch nicht befürwortet. Es sollte ein Standardformat für die Meldung von Ransomware entwickelt werden, und es sollten Schutzmaßnahmen gegen die Aufdeckung der Identität des Opfers, wie etwa anonyme Benachrichtigungen, in den Meldeprozess eingebaut werden.

Anti-Ransomware-Aufrufe hallen von Europa bis zum asiatisch-pazifischen Raum wider

Das australische Verteidigungsministerium hat kürzlich eine Erklärung veröffentlicht, in der es Unternehmen ermutigt, Ransomware-Angriffe zu melden.[12] Die australische Labor-Partei fordert jedoch ein strengeres, verpflichtendes Ransomware-Meldesystem als Teil einer nationalen Strategie.[13] Während es in Australien eine Meldepflicht für Datenschutzverletzungen gibt, die personenbezogene Daten gefährden, ist nach Ansicht der Labor-Führer eine parallele Regelung für Ransomware erforderlich.

Zu den Initiativen in Europa gehört auch eine, die sich an den Energiesektor und andere Infrastrukturanbieter richtet. Anbieter wesentlicher digitaler Dienste und Stromversorger sind beispielsweise verpflichtet, die nationalen Behörden über schwerwiegende Vorfälle zu informieren.[14] Es wird erwartet, dass bald Rechtsvorschriften in Kraft treten, um diesen Informationsaustausch in der gesamten Europäischen Union zu verstärken und zu rationalisieren.[15]

In den Niederlanden hat das Problem des internationalen und behördenübergreifenden Austauschs von Berichten über Cybersicherheitsvorfälle zu Forderungen geführt, Barrieren abzubauen, die verhindern, dass wichtige Informationen die betroffenen Unternehmen erreichen.[16]

Die Quintessenz

Es besteht ein zunehmender Konsens darüber, dass Unternehmen bei Ransomware-Angriffen transparenter sein müssen, damit die Behörden und die Industrie diese anhaltende Verbrechenswelle besser in den Griff bekommen können. Initiativen fordern eine Meldepflicht und einen optimierten Informationsaustausch.

[1] "USA: Cybersecurity Laws and Regulations 2021," ICLG

[2] "Bewertung der Bedrohung durch die organisierte Kriminalität im Internet 2020," Europol

[3] "Opfer von Internetkriminalität in den Niederlanden melden keine Straftaten," ComputerWeekly

[4] "Globale Ransomware-Studie 2018," SentinelOne

[5] "Ransomware's Dirty Little Secret: Most Corporate Victims Pay," Law 360

[6] "Executive Order on Improving the Nation's Cybersecurity," Weißes Haus

[7] "DHS kündigt neue Cybersicherheitsanforderungen für Eigentümer und Betreiber kritischer Pipelines an," Department of Homeland Security

[8] "Senate Intel Chairman Calls for Mandatory Reporting of Hacks After Colonial Pipeline Attack," CNBC

[9] "Nach Colonial Pipeline Hack, U.S. to Require Operators to Report Cyberattacks," Wall Street Journal

[10] "Are DHS Pipeline Breach Reporting Mandates Just the Beginning?", GovTech

[11] "Bekämpfung von Ransomware," Ransomware Task Force

[12] "Australia is Fighting Back Against Ransomware," Australisches Verteidigungsministerium

[13] "Labor fordert Meldesystem für Ransomware," InnovationAus

[14] "Cybersicherheit für kritische Energieinfrastrukturen," Europäisches Parlament

[15] "Europäische Energiebranche bereitet sich auf neue Cybersicherheitsregeln vor," Wall Street Journal

[16] "CSR Recommendation Letter on the Accelerated Sharing of Incident Information," Cyber Security Council