Wenn es etwas Persönliches ist: Duellierende Haltungen gegenüber Ransomware-Forderungen entstehen

  • Kaspersky Lab im Jahr 2014. (Alexxsun, CC BY-SA 4.0 https://creativecommons.org/licenses/by-sa/4.0, via Wikimedia Commons)

    Etwa drei von vier Personen behaupten, dass Unternehmen den Forderungen von Ransomware-Banden nicht nachgeben sollten, falls sie infiziert sind, so ein Umfragebericht. Dennoch sagen etwa drei von vier Eltern, dass Schulbezirke zahlen sollten, wenn sie von einer Attacke betroffen sind. Was ist also richtig?

    Es könnte sehr wohl beides sein, da die Meinung der Befragten wahrscheinlich davon abhängt, was für sie persönlich auf dem Spiel steht, wie wichtig sie die Sicherheit ihrer Daten einschätzen, wie hypothetisch das Angriffsszenario ist und welche Art von Organisation betroffen ist.

    Diese Woche enthüllten Forscher von Kaspersky, dass 72 % von mehr als 1.000 Eltern schulpflichtiger Kinder in den USA in einer Umfrage angaben, dass sie die Entscheidung ihres Bezirks unterstützen würden, zu zahlen, wenn ihre Schule von einer Ransomware betroffen wäre.

    Von dieser Gruppe waren einige bereit, ihre Bezirke mit beträchtlichen Geldsummen teilhaben zu lassen, obwohl die lokalen Steuerzahler (zumindest indirekt über Cyber-Versicherungskosten) auch einen Schlag einstecken würden. In der Tat sagten 29%, dass sie mit Zahlungen von mehr als 100.000 Dollar einverstanden wären, 5% sagten, dass sie Zahlungen von mehr als einer Million akzeptieren würden und 11% sagten, dass sie jeden Betrag, der verlangt wird, akzeptieren würden. Die verbleibenden 28% sagten, dass Schulen niemals zahlen sollten.

    “Angesichts der Sensibilität, die mit dem Schutz junger Schüler verbunden ist, ist es leider wahrscheinlich, dass Eltern und Behörden im Falle eines weit verbreiteten Datenmissbrauchs finanziellen Forderungen nachgeben”, sagte Ali Hirji, Forschungs- und Projektleiter am AI Hub & Zentrum für Cybersicherheitsinnovation am Durham College, das mit Kaspersky bei der Forschung zusammenarbeitete. “Mit unserer virtuellen Unterrichtsform und den erhöhten Ängsten wird von Lehrern und Admins erwartet, dass sie sofortige Antworten liefern, und das stellt letztlich eine große Schwachstelle dar.”

    Aber die Befragten einer anderen Umfrage von Menlo Security waren ganz anderer Meinung: 79 % von 8.571 Befragten gaben an, dass sie der Meinung sind, dass Unternehmen, die von Ransomware betroffen sind, nicht zahlen sollten.

    Warum also die Diskrepanz? “Ransomware-Angriffe schaffen eine Diskrepanz zwischen privaten Interessen und dem langfristigen öffentlichen Interesse”, sagt Michael Daniel, Präsident und CEO der Cyber Threat Alliance (CTA) und Co-Vorsitzender der Ransomware Task Force (RTF). “Niemand will Lösegeld zahlen, aber in vielen Fällen kann die Zahlung eines Lösegelds aus Sicht einer Einzelperson oder eines privaten Unternehmens rational und wirtschaftlich sinnvoll sein. Wenn die Existenz des Unternehmens auf dem Spiel steht oder die Störung sehr direkt und persönlich ist, kann die Zahlung des Lösegelds die rationale kurzfristige Entscheidung sein, um die unmittelbare Bedrohung zu beseitigen.”

    “Vom Standpunkt des langfristigen öffentlichen Interesses aus betrachtet, schafft die Zahlung von Lösegeld jedoch enorme Probleme”, fuhr Daniel fort. “Es heizt die kriminelle Wirtschaft an, ermutigt zu weiteren Angriffen und finanziert andere bösartige Aktivitäten, auch außerhalb des Cyberspace. Diese Angriffe belasten die Wirtschaft, gefährden die öffentliche Gesundheit und Sicherheit und bedrohen die nationale Sicherheit. Aus Sicht der nationalen Sicherheit ist es daher sinnvoll, die Zahlung von Lösegeld zu verweigern. Die meisten Menschen können beide Standpunkte verstehen und können beide Standpunkte gleichzeitig vertreten. Das ist ein Grund, warum verschiedene Umfragen unterschiedliche Stimmungen erfassen können.”

    In der Tat könnte eine Person der Meinung sein, dass Organisationen an ihren Prinzipien festhalten und nicht zahlen sollten… bis ihre eigenen Daten oder die Daten ihrer Familie oder ihre Bequemlichkeit auf dem Spiel stehen. Ein typisches Beispiel: Laut Kaspersky gaben 43 % der befragten Eltern an, dass ihre größte Sorge die Kompromittierung der sensiblen Daten ihrer Kinder ist, während nur 11 % sich am meisten über die Kosten eines Ransomware-Angriffs für die Steuerzahler oder die damit verbundenen höheren Schulgebühren Sorgen machen.

    “Die Menschen denken über Schulen etwas anders als über Unternehmen, besonders wenn die Daten ihres eigenen Kindes potenziell betroffen sind”, sagt Kaspersky-Forscher Kurt Baumgartner. “Unsere Umfrage zeigt, dass die Mehrheit der Eltern Cyberangriffe auf die Schulen ihrer Kinder erlebt hat, so dass sie diese Bedrohung möglicherweise stärker wahrnehmen und die Zahlung aus einem Gefühl der Dringlichkeit heraus bevorzugen, um ihre Kinder zu schützen.”

    Mark Guntrip, Senior Director of Cybersecurity Strategy bei Menlo Security, stimmt dem zu: “Ich würde denken, dass die emotionale Verbindung zwischen einem Elternteil und einem Kind in Bezug darauf, was ihre Schule tun sollte, um potenziell sensible Informationen zu schützen oder abzurufen, eine andere Entscheidung ist als bei Unternehmen im Allgemeinen”, sagte er. “Ein Elternteil würde sicherstellen wollen, dass die Daten seines Kindes sicher sind, und was immer nötig ist, um das zu erreichen, sollte getan werden. Ich würde zustimmen, dass, wenn Sie den emotionalen Teil entfernen und ein Szenario vorschlagen, in dem ein Unternehmen, zu dem sie keine Verbindung haben [is impacted,] dass das Ergebnis anders sein würde und ein logischerer Denkprozess [would take hold].

    “Trotzdem sollten Schulen kein Lösegeld zahlen”, so Baumgartner. “Wir empfehlen ihnen, in Sicherheit und Backups zu investieren, um sich besser gegen die Bedrohung zu schützen.”

    Doug Levin, nationaler Direktor der Organisation für den Austausch von Bedrohungen in Schulbezirken (K12-SIX), warnte davor, die Ergebnisse der Kaspersky-Umfrage für bare Münze zu nehmen und daraus zu schließen, dass die Eltern von Schülern größtenteils dafür sind, Cyberkriminelle zu bezahlen – eine Haltung, die böswillige Akteure nur weiter ermutigen würde, sagte er.

    “Ich vermute vielmehr, dass die Eltern ihre Meinung über den Wert der Schule für ihre Kinder und die potenziellen Herausforderungen ausdrücken, die damit verbunden sind – sowohl für sie als auch für ihre Kinder – wenn die Schule unerwartet unterbrochen wird”, sagte er. “Ich lese die Ergebnisse auch so, dass die öffentliche Unterstützung für höhere Ausgaben zur Stärkung der K-12-Cybersicherheitspraktiken demonstriert. Schließlich ist eine Unze Cybersicherheitsprävention mehr wert als ein Pfund Heilung, vor allem wenn die ‘Heilung’ so abscheulich ist wie die Zahlung von Erpressung.”

    Aber inwieweit beeinflusst die Stimmung der Verbraucher oder der Anwohner tatsächlich, ob sich ein Unternehmen letztendlich entscheidet, zu zahlen oder nicht? Schließlich werden viele Geschädigte oder belästigte Personen nicht zögern, eine Tirade in den sozialen Medien zu starten, was die negative PR, die ein Angriff erzeugen kann, nur noch verschlimmern kann. Kann sich die Stimme des Volkes in solchen Fällen als zwingender erweisen als Ransomware-Experten und Strafverfolgungsbehörden, die den Opfern eindringlich raten, keine Zahlungen zu leisten?

    “Ich glaube nicht, dass die Stimmung der Verbraucher ein Unternehmen dazu bringt, ein Lösegeld zu zahlen oder nicht zu zahlen, da es nie eine Entscheidung geben wird, die alle glücklich macht”, so Guntrip. “Das Unternehmen muss seine eigene Entscheidung treffen, basierend auf seinen eigenen Kriterien und wie es das Problem am besten lösen kann.”

    “Natürlich ist das Wohlwollen – oder eben nicht – der Kunden sehr wichtig, unabhängig vom Szenario”, so Guntrip weiter. “Aber … das Wichtigste ist in Wirklichkeit, aus dem Ereignis zu lernen und sicherzustellen, dass es nicht wieder passiert. Ein Kunde, der bei dem Angriff seinen Service oder seine Daten verloren hat, sollte wirklich davon ausgehen, dass die Daten bereits gestohlen und möglicherweise verkauft wurden… Ein Unternehmen, das betroffen ist, sollte versuchen, seinen Kunden zu zeigen, wie es Verbesserungen vorgenommen hat, damit so etwas nicht noch einmal passiert. Dann kann die Meinung der Kunden wieder aufgebaut werden, da sie sich sicherer fühlen, dass ihr Service oder ihre Daten nicht gefährdet sind.”

    Baumgartner glaubt nicht, dass sich Schulbezirke leicht von der öffentlichen Meinung beeinflussen lassen – oder von den Strafverfolgungsbehörden, was das betrifft. “Die Verantwortlichen in den Bezirken sorgen sich darum, dass Lehrer und Mitarbeiter bezahlt werden, dass der Unterricht läuft und dass der Betrieb aufrechterhalten wird”, sagte er. “Das sind ihre Prioritäten – und nicht unbedingt eine prinzipielle Haltung zu Lösegeldern. Aber wenn sie die Zahlung vermeiden können, werden sie versuchen, Backups wiederherzustellen und mit kleinen Verzögerungen umzugehen. Es ist ein Balanceakt. “AS

    Einige Teile dieses Artikels stammen aus:
    www.scmagazine.com