Sollten wir Lösegeldzahlungen verbieten?

Während Cyberkriminelle weitermachen Um die finanziellen Früchte ihrer Angriffe zu ernten, wird immer lauter von einem Bundesverbot für Lösegeldzahlungen.

US-Beamte raten seit langem dazu, keine Lösegeldforderungen zu zahlen. Doch während mehrere US-Bundesstaaten – darunter North Carolina und Florida – es für lokale Regierungsstellen illegal gemacht haben, Lösegeldforderungen zu zahlen, hat sich die Biden-Regierung erst im vergangenen Herbst gegen ein völliges landesweites Verbot von Lösegeldzahlungen entschieden.

Es ist leicht zu verstehen, warum. Ein Verbot von Lösegeldzahlungen wäre nicht nur schwer durchzusetzen und erforderte komplexe Mechanismen, die noch nicht vorhanden sind, sondern Kritiker argumentieren auch, dass die Kriminalisierung von Zahlungen an Hacker letztendlich die Opfer von Cyberkriminalität bestraft, denen letztendlich rechtliche Konsequenzen drohen könnten, wenn sie das tun, was sie zum Schutz für notwendig erachten – oder in manchen Fällen retten – ihr Geschäft.

Auch wenn die Herausforderungen weiterhin bestehen, scheint es, dass sich die Denkweise der US-Regierung zu ändern beginnt.

Im Oktober 2023 gelobte eine von den USA geführte Allianz aus mehr als 40 Ländern als Regierungen, keine Lösegelder an Cyberkriminelle zu zahlen, um den Hackern ihre Einnahmequelle zu entziehen.

Seitdem ist die Rede von einem möglichen Verbot der Lösegeldzahlung immer lauter geworden, und auch die Ransomware-Aktivitäten haben zugenommen.

Allein im Jahr 2024 haben wir finanziell motivierte Hacker gesehen, die dreist und massenhaft Schwachstellen in verschiedenen Fernzugriffstools ausnutzten, um Ransomware einzusetzen; berüchtigte Ransomware-Gruppen erholen sich von staatlichen Angriffen; und Störungen bei Gesundheitsdienstleistern in den gesamten USA nach einem Ransomware-Angriff auf den Rezeptverarbeitungsriesen Change Healthcare.

Ist ein Verbot von Lösegeldzahlungen die Lösung? Es ist nicht so einfach.

Verboten oder nicht verbieten?

Auf den ersten Blick ist ein Verbot der Lösegeldzahlung logisch. Wenn Opferorganisationen die Zahlung untersagt wird, haben Angreifer weniger finanziellen Anreiz, ihre Daten zu stehlen. Theoretisch bedeutet dies, dass diejenigen, die schnell reich werden wollen, gezwungen sind, woanders hinzugehen – und dass Ransomware-Angriffe der Vergangenheit angehören könnten.

Die andere Seite ist, dass viele glauben, dass die Illegalität von Lösegeldzahlungen eine zu einfache Lösung für ein komplexes Problem sei.

Ransomware ist ein globales Problem. Damit ein Verbot von Lösegeldzahlungen erfolgreich sein kann, müssten internationale und universelle Regelungen umgesetzt werden, die angesichts unterschiedlicher internationaler Standards für Lösegeldzahlungen kaum durchsetzbar wären. Es würde auch erfordern, dass Regierungen, die Cyberkriminellen einen sicheren Hafen gewähren – Russland erhält eine offensichtliche Namensüberprüfung –, innerhalb ihrer eigenen Grenzen hart durchgreifen, wozu sie keinen Anreiz haben.

Ein pauschales Verbot von Lösegeldzahlungen würde wahrscheinlich auch Ausnahmen in schwerwiegenden Fällen erforderlich machen, etwa bei Ransomware-Angriffen, die den Verlust von Menschenleben in medizinischen Einrichtungen oder bei Bedrohungen der nationalen kritischen Infrastruktur bergen.

Diese Ausnahmen sind zwar logisch, würden aber auch für die Hacker gelten, die hinter diesen Angriffen stehen, was zu einem Angriff auf die kritische Infrastruktur des Landes führen könnte. Und solange Cyberkriminelle weiterhin Geld verdienen, werden Ransomware- und Erpressungsbedrohungen nicht verschwinden.

Einige argumentieren auch, dass, wenn ein Lösegeldzahlungsverbot in den USA oder einem anderen stark schikanierten Land verhängt würde, Unternehmen wahrscheinlich aufhören würden, diese Vorfälle den Behörden zu melden, was praktisch die gesamte bisherige Zusammenarbeit zwischen Opfern und Strafverfolgungsbehörden rückgängig machen würde.

Allan Liska, ein Ransomware-Experte und Threat-Intelligence-Analyst bei Recorded Future, sagte gegenüber Tech, dass wir konzertierte Anstrengungen unternehmen müssen, um die Anzahl der Zahlungen an Ransomware-Gruppen besser zu katalogisieren, bevor ein generelles Verbot von Zahlungen an Ransomware-Gruppen – oder ein Verbot mit einigen Ausnahmen – durchgesetzt wird Ransomware-Angriffe, „damit wir eine fundierte Entscheidung über die besten Schritte treffen können.“

„In den Vereinigten Staaten haben wir tatsächlich zwei Testfälle, die diesen Punkt belegen“, sagte Liska. „Sowohl North Carolina als auch Florida haben öffentliche Einrichtungen verboten, Lösegeld an Ransomware-Gruppen zu zahlen. In beiden Fällen ist bei Betrachtung der Daten aus einem Jahr vor Inkrafttreten der Gesetze und aus dem Jahr danach keine erkennbare Veränderung in der Zahl der öffentlich gemeldeten Ransomware-Angriffe gegen öffentliche Organisationen in diesen Staaten zu erkennen.“

Würde ein Verbot überhaupt funktionieren?

Es stellt sich auch die Frage, wie wirksam ein Lösegeldzahlungsverbot wäre.

Wie die Geschichte zeigt, haben Hacker wenig Rücksicht auf Regeln. Selbst wenn eine Organisation der Lösegeldforderung eines Angreifers nachgibt, werden die Daten des Opfers nicht immer gelöscht – wie die jüngste rechtmäßige Beseitigung der LockBit-Ransomware-Bande zeigt.

Angesichts der Dreistigkeit dieser Angreifer ist es unwahrscheinlich, dass sie sich von einem Verbot von Lösegeldzahlungen abschrecken lassen. Vielmehr würde die Kriminalisierung von Zahlungen diese wahrscheinlich noch weiter in den Untergrund drängen und Angreifer wahrscheinlich dazu ermutigen, ihre Taktik zu ändern und bei ihren Operationen und Transaktionen verdeckter zu werden.

„Sind Lösegeldzahlungen schlecht? Ja, die Bezahlung von Ransomware-Gruppen bringt der Gesellschaft keinen Nettonutzen, vielmehr entsteht durch die Bezahlung dieser Bedrohungsakteure ein direkter Nettoschaden für die Gesellschaft“, sagte Liska.

„Wird ein Verbot von Lösegeldzahlungen Ransomware-Gruppen davon abhalten, Angriffe durchzuführen? Die Antwort darauf ist eindeutig nein.“

Lesen Sie mehr auf Tech:

tch-1-tech