Neuberger: Verbot von Lösegeldzahlungen ist eine “schwierige politische Position

  • Anne Neuberger, gesehen bei einem öffentlichen Auftritt während ihrer Zeit bei der National Security Agency. (NSA)

    Anne Neuberger, stellvertretende nationale Sicherheitsberaterin für Cyber und aufkommende Technologie, sagte in einem ausführlichen Interview mit dem Silverado Policy Institute, dass in einer Welt mit vielen Ransomware-Regulierungsoptionen ein Verbot von Ransomware eine “schwierige politische Position” wäre.

    Das Verbot von Lösegeldzahlungen “ist eine der schwierigsten unter allen [policy considerations] und muss wirklich mit viel Bedacht angegangen werden, indem man an Effekte zweiter und dritter Ordnung denkt”, sagte sie.

    Das Verbot von Ransomware-Zahlungen ist einer der häufigsten und umstrittensten Mechanismen, die vorgeschlagen werden, um das jüngste Wachstum der kriminellen Vorfälle und die nationalen Sicherheitsprobleme, die sie verursachen, einzudämmen. Neuberger, ein wichtiger Berater von Biden, bot einige Einblicke in das Gespräch, das hinter verschlossenen Türen stattfindet.

    “Es ist ziemlich offensichtlich, dass Kriminelle es oft wegen des finanziellen Gewinns tun. Daher steigt die Zahl der Ransomware-Angriffe, die Größe der Lösegeldforderungen und die zunehmende Ausrichtung auf immer größere Organisationen, die über größere Ressourcen verfügen, um immer größere Lösegelder zu zahlen”, sagte Neuberger.

    “Es gibt einen Prozess, der ein Unternehmen an diesen schwierigen Ort bringt”, um die Zahlung von Lösegeld zu erwägen, räumte sie ein. “Was sind die Anreize auf dem Weg, die wir tun können, um diesen Prozess wirklich umzugestalten?”

    Während Lösegeldzahlungen einen wachsenden Markt für Ransomware fördern können, ist ein Verbot nicht ohne erhebliche potenzielle Risiken und einige philosophische Gefahren. Der Moderator der Veranstaltung, Dmitri Alperovitch, Gründer des Silverado Institute und davor Gründer von CrowdStrike, merkte an, dass ein Verbot der Lösegeldzahlung für ein Unternehmen, das nur versucht, wieder online zu gehen, “sie weiter zum Opfer machen würde”. Andere haben angemerkt, dass die Opfer aufgrund des Drucks, der auf ihnen lastet, immer noch eher zahlen, als zuzusehen, wie ihre Unternehmen bankrott gehen, was sie für weitere Erpressungen durch Kriminelle öffnet und ihr Potenzial zur Zusammenarbeit mit der Regierung einschränkt.

    Neuberger betonte, dass die Biden-Administration ein umfassendes Paket mit vielen politischen Ideen in Betracht zieht, die nicht unbedingt ein Verbot von Lösegeldzahlungen erfordern. Das könnte beinhalten, sagte sie, Anreize für die Widerstandsfähigkeit, Unternehmen zu zwingen, transparenter über die Zahlung von Lösegeld zu sein, die Nutzung der Strafverfolgung, um die Infrastruktur zu nehmen, die Ransomware unterstützt, und die Zusammenarbeit mit internationalen Partnern für die globale Regulierung von Kryptowährungen ähnlich wie die Anti-Geldwäsche-Regeln, die andere Finanzinstitute folgen müssen.

    Sie merkte an, dass es wichtig ist, innerhalb des aktuellen Rahmens der Vereinigten Staaten für kritische Infrastrukturen zu arbeiten, von denen die überwiegende Mehrheit vom privaten Sektor kontrolliert wird; die oft zitierte Herausforderung dort ist die Unfähigkeit der Regierung, Netzwerke des privaten Sektors direkt zu schützen oder zu überwachen.

    Der ehemalige Direktor des National Cyber Security Center des Vereinigten Königreichs, Ciaran Martin, ein Befürworter des Verbots von Ransomware-Zahlungen, meldete sich während der Frage- und Antwortphase zu Wort: “Ich verstehe den Punkt, dass das US-System bedeutet, dass man private Unternehmen nicht zwingen kann, Dinge zu tun, aber die Biden-Administration bezeichnet Ransomware jetzt als nationale Sicherheitsbedrohung, eindeutig in einem Bereich wie dem Gesundheitswesen. Ist es also damit vereinbar, wichtige Reaktionsentscheidungen wie die, ob man zahlt oder nicht, in den Händen von Führungskräften des privaten Sektors zu belassen?”

    “Ciaran stellt immer die schwierigsten Fragen”, sagte Neuberger.

    An anderer Stelle des Interviews bekräftigte Neuberger das Ziel der Biden-Administration, für jeden der 16 kritischen Infrastruktursektoren eine Durchführungsverordnung zur Cybersicherheit zu erlassen. Bislang hat die Regierung eine Anordnung zu elektrischen Netzen erlassen. Neuberger sagte, dass die Lektionen, die aus dieser Anordnung gelernt wurden, zusammen mit einer branchenspezifischen Anpassung in die anderen Anordnungen einfließen würden.

    Neuberger erörterte auch die Bedeutung der ebenfalls von der Biden-Administration herausgegebenen Verordnung für Bundesauftragnehmer, die den Ton für alle Organisationen angibt.

    “Wir haben gesagt, dass wir in der Bundesregierung zeigen werden, wie wichtig dies ist, indem wir es tatsächlich tun”, sagte sie.

    Einige Teile dieses Artikels stammen aus:
    www.scmagazine.com