Ransomware : Kein Geld für Kriminelle : Wird Großbritannien zum Vorbild in der Frage um Ransomware-Lösegeldzahlungen?
Großbritannien diskutiert aktuell, ob die Bezahlung von Lösegeld im öffentlichen Sektor nach Ransomware-Angriffen verboten werden sollte. Unser Autor erörtert, ob das ein Beispiel sein könnte, dem der Rest Europas folgen sollte.
Die Diskussion um Lösegeldzahlungen nach Ransomware-Angriffen ist nicht neu und Cyber-Kriminelle wählen mit Bedacht solche Ziele für ihre Aktivitäten aus, von denen sie annehmen, dass diese ihren Forderungen nachkommen werden. So fallen etwa Betriebsunterbrechungen im Bereich der Gesundheitsversorgung und von Anbietern der kritischen Infrastrukturversorgung (KRITIS) besonders ins Gewicht – ihre tragende Rolle in der Gesellschaft macht sie besonders anfällig für derartige Störungen und deshalb auch zu bevorzugten Zielen.
Das Vereinigte Königreich Großbritannien und Nordirland diskutiert derzeit eine neue Strategie zur Eindämmung von Ransomware: Organisationen des öffentlichen Sektors und kritischen nationalen Infrastrukturen sollen Lösegeldzahlungen zukünftig untersagt werden. Für viele Unternehmen und Behörden ist die Möglichkeit eines größeren Ausfallszenarios mittlerweile keine Frage des „ob“ mehr, sondern eher eine Frage des „wann“: In einer kürzlich von Zscaler in Auftrag gegebenen Umfrage [1] erwarteten 60% der Unternehmen weltweit in den nächsten zwölf Monaten einen größeren Cyberausfall. Vor diesem Hintergrund sollten auch andere europäische Regierungen die Vorteile eines vergleichbaren regulativen Vorgehens in Betracht ziehen.
Eine ThreatLabz-Studie von Zscaler [2] aus dem Jahr 2024 ergab, dass die Hälfte aller weltweiten Angriffe auf Organisationen auf die USA abzielten – weit abgeschlagen gefolgt von Großbritannien mit 6% an zweiter Stelle. Als weitere europäische Länder folgten dahinter Deutschland (4%) auf Rang drei, Frankreich und Italien (jeweils 3%), Spanien (2%), die Schweiz, die Niederlande und Schweden (jeweils 1%).
Die Gefahren durch Ransomware sind dabei äußerst dynamisch, da sich die Angriffsziele aufgrund einer Reihe von Faktoren ändern. Auch die Zahlung eines Opfers ist häufig der Auslöser für Angriffe auf andere Unternehmen desselben Sektors – und die generelle Bedrohung wächst weiter durch KI-basierte Angriffe, sodass Handlungsbedarf besteht. Hier will die britische Regierung in die Bresche springen.
Proaktiver Ansatz
Der Vorschlag des Vereinigten Königreichs zur Eindämmung von Ransomware umfasst drei Teile:
- ein Verbot von Zahlungen für Organisationen des öffentlichen Sektors,
- eine Verpflichtung für Unternehmen des privaten Sektors, die Behörden über eine beabsichtigte Lösegeldzahlung zu informieren, und
- eine umfassendere Meldepflicht von Ransomware-Angriffen.
Nach einer bis Anfang April 2025 laufenden öffentlichen Konsultation [3] soll ein Gesetzentwurf für die Abstimmung im Parlament ausgearbeitet werden.
Das gezielte Verbot von Ransomware-Zahlungen würde alle Einrichtungen des öffentlichen Sektors einschließlich der Kommunalverwaltungen sowie bestimmte Eigentümer und Betreiber kritischer nationaler Infrastrukturen daran hindern, Lösegeldforderungen an Cyberkriminelle nachzukommen. Damit soll eine klare Botschaft gesendet werden, dass der öffentliche Sektor des Landes Cyberkriminalität nicht finanzieren wird.
Die Blockchain-Datenplattform Chanalysis berichtete [4], dass Ransomware-Zahlungen 2024 wahrscheinlich die im vorausgegangenen Jahr weltweit gezahlte Summe von einer Milliarde US-Dollar übersteigen würden. Ziel des Vorstoßes im Vereinigten Königreich ist es daher, diese Verluste für Behörden, Verwaltung und Infrastrukturbetreiber einzudämmen und damit öffentliche Einrichtungen zu schützen. Die anderen Aspekte des Vorschlags ermöglichen Behörden die Prüfung, ob geplante Zahlungen an Kriminelle gegen bestehende Sanktions- oder Terrorismusfinanzierungsgesetze verstoßen (siehe auch S. 66) und sollen den Opfern technische Unterstützung und Beratung zu Möglichkeiten der Nichtzahlung bieten. Zusätzlich will man Informationen sammeln, um ein genaueres Bild der Gesamtauswirkungen von Ransomware zu erhalten.
Der Bellwether-Effekt
Anstatt sich ausschließlich auf einen besseren Schutz zu konzentrieren, versucht Großbritannien also, die Bedrohung zu verringern. Die Logik ist einfach: Wenn Kriminelle wissen, dass bestimmte Opfer nicht zahlen dürfen, werden sie ihre Zeit nicht mit Angriff en auf solche Organisationen verschwenden. Angenommen, die Zahl der Angriffe ginge daraufhin deutlich zurück, könnte dieses Vorgehen als Vorbild für andere Regierungen dienen, um eine geschlossene Front gegen Ransomware zu bilden.
Aber ein solches Vorgehen birgt auch Risiken: Sollte das Gesetz verabschiedet werden, könnten Kriminelle weiterhin den öffentlichen Sektor Großbritanniens angreifen, um andere Länder davon abzuschrecken, ähnliche Gesetze zu erlassen. Gesundheitsdienstleister und Energieunternehmen wären die wahrscheinlichsten Ziele, um die Entschlossenheit der Regierung zu testen, da sie das Leben der Menschen durch Datenlecks und lahmgelegte Abläufe direkt beeinflussen. Eine kontinuierliche öffentliche Unterstützung für das Verbot der Zahlung von Lösegeldern wäre von entscheidender Bedeutung.
Ein weiterer Test für die Entschlossenheit der Durchsetzung solcher Verbote wird folgen, wenn eine Organisation aufgrund des Verbots von Lösegeldzahlungen vor dem Aus steht. Dann steht die Frage im Raum, ob Regierungen mit finanzieller Hilfe eingreifen würden, um das Überleben der betroffenen Organisation zu sichern.
Die Entscheidungsträger müssten folglich Handlungsanweisungen für verschiedene Szenarien entwickeln; Aufklärungskampagnen wären erforderlich, um zusätzlich das Bewusstsein für die Ziele der Regularien zu schärfen und die langfristigen Vorteile einer konsequenten Ablehnung von Lösegeldforderungen hervorzuheben. In den meisten Fällen ist dann davon auszugehen, dass kriminelle Banden schnell zu anderen Zielen wechseln werden, bei denen der finanzielle Erfolg ihrer Mühen in Aussicht steht.
Technischer Schutz
Ein Verbot von Zahlungen kann allerdings immer nur ein Teil der Problemlösung darstellen – der andere Teil sollte nach wie vor das Verhindern von Angriffen und die Stärkung der Cyber-Resilienz sein, um die Folgen eines erfolgreichen Angriffs abzumildern.
Eine passende Strategie, die vom US-amerikanischen National Institute for Standards and Technology (NIST) befürwortet und für US-Bundesbehörden bereits vorgeschrieben wurde, ist eine Zero-Trust-Architektur: Diese ersetzt Firewalls und Virtual Private Networks (VPNs), sodass weniger Geräte gewartet werden müssen und eine reduzierte Angriffsfläche weniger Möglichkeiten für Angreifer bedeutet, die Sicherheit zu durchbrechen. Jeder User, jedes Gerät und jede Anwendung, die eine Verbindung herzustellen versuchen, werden unabhängig vom Standort geprüft und validiert, bevor Zugriff ermöglicht wird. So lassen sich potenzielle Schäden einer erfolgreichen Kompromittierung drastisch begrenzen und die von Ransomware-Angreifern benötigten lateralen Bewegungen innerhalb eines Netzwerks einschränken.
Darüber hinaus sind gut gepflegte Reaktionspläne für Zwischenfälle, regelmäßige Übungen für IT-Fachleute und Aufklärungsarbeit für die Geschäftsführungs- und Vorstandsebene nötig. Die Bereitschaft der Führungsebene, durch kontinuierliche Investitionen und Resilienz-Maßnahmen die Widerstandsfähigkeiten zu stärken, trägt ebenfalls dazu bei, den Schaden von Angriffen einzudämmen.
Fazit
Lösegeldzahlungen bestärken das Geschäftsmodell der Cyberkriminalität, finanzieren direkt weitere Angriff e und halten die Bedrohung durch Ransomware aufrecht.
Der britische Vorstoß ist darauf ausgelegt, diesen Kreislauf zu durchbrechen: Indem man die Rentabilität von Ransomware-Angriffen untergräbt, soll sich das Risiko verringern, dass öffentliche Organisationen und kritische Infrastruktureinrichtungen Opfer von Angriffen werden.
Wie durch die Zerschlagung des LockBit-Ransomware-Netzwerks [5,6] verdeutlicht wurde, erfordert die Bekämpfung der weltweiten Cyberkriminalität koordinierte Anstrengungen und eine einheitliche Politik. Wenn europäische Regierungen zusammenarbeiten und einen ähnlichen Ansatz wie den britischen Vorschlag verfolgen würden, könnte der daraus resultierende Multiplikatoreffekt Angreifer abschrecken und den Kontinent sicherer machen.
Rob Sloan ist Vice-President Cybersecurity Advocacy bei Zscaler.
Literatur
[1] Zscaler, Unlock the Resilience Factor, Why ‚Resilient by Design‘ is the next cyber imperative, Industry Report, Februar 2025, www.zscaler.com/resources/industry-reports/the-resilience-report.pdf (Registrierung erforderlich)
[2] Zscaler, Zscaler Th reatLabz 2024 Ransomware Report, Industry Report, Juli 2024, www.zscaler.com/campaign/threatlabz-ransomware-report (Registrierung erforderlich)
[3] UK Home Offi ce Homeland Security Group, Ransomware legislative proposals: reducing payments to cyber criminals and increasing incident reporting, GovernmentConsultation, Januar 2025, https://assets.publishing.service.gov.uk/media/67864097c6428e013188175a/Consultation-Document-Proposals-v2.pdf
[4] Chainalysis, 2024 Crypto Crime Mid- year Update Part 1: Cybercrime Climbs as Exchange Th ieves and Ransomware Attackers Grow Bolder, August 2024, www.chainalysis.com/blog/2024-crypto-crime-midyear-update-part-1/
[5] U.S. Department of Justice (DOJ), U.S. and U.K. Disrupt LockBit Ransomware Variant, Pressemitteilung, Februar 2024, www.justice.gov/archives/opa/pr/us-and-uk-disrupt-lockbit-ransomware-variant
[6] Richard Werner, Betriebsunterbrechung für Cyberkriminelle, Was die LockBit-Disruption für Unternehmen bedeutet und womit in Zukunft zu rechnen ist, 2024# 2, S. 20, www.kes-informationssicherheit.de/print/titelthema-duennes-eis-fuer-white-hats/betriebsunterbrechung-fuer-cyberkriminelle/ (<kes>+)