Kongress erwägt Verbot von großen Lösegeldzahlungen

  • Ein diese Woche eingebrachter Gesetzesentwurf würde die Reaktion des kritischen Finanzsektors des Landes auf Ransomware regulieren.

    Ein US-Gesetzgeber hat einen Gesetzentwurf – den Ransomware and Financial Stability Act (H.R.5936) (PDF) – eingebracht, der es Finanzunternehmen verbieten würde, Lösegelder von mehr als 100.000 Dollar zu zahlen, ohne zuvor die Genehmigung der Regierung einzuholen.

    Das Gesetz wurde am Mittwoch vom führenden Republikaner im Ausschuss für Finanzdienstleistungen des Repräsentantenhauses, dem Kongressabgeordneten Patrick McHenry aus North Carolina, eingebracht.

    “Ransomware-Zahlungen in den USA haben sich seit 2020 auf mehr als 1 Milliarde Dollar belaufen. Vor allem im Mai dieses Jahres zwang ein russischer Ransomware-Angriff Colonial Pipeline dazu, die Öllieferungen in den Osten der USA einzustellen, bevor das Unternehmen die Hacker bezahlen konnte. So störend dieser Hack auch war, er verblasst im Vergleich zu dem, was passieren würde, wenn Amerikas kritische Finanzinfrastrukturen offline genommen würden”, sagte er.

    Registrieren Sie sich jetzt für unsere LIVE-Veranstaltung!

    “Deshalb bringe ich den Ransomware and Financial Stability Act of 2021 ein. Dieses Gesetz wird dazu beitragen, Hacker abzuschrecken, abzuwehren und aufzuspüren, die die Finanzinstitute bedrohen, die das tägliche Wirtschaftsleben ermöglichen. Die Gesetzgebung wird auch längst überfällige Klarheit für Finanzinstitute schaffen, die sich angesichts der zunehmenden Ransomware-Hacks an den Kongress wenden, um Regeln für den Weg zu finden.”

    McHenry nannte keine Quelle für die Zahl von 1 Milliarde Dollar. Sein Büro hatte zum Zeitpunkt der Veröffentlichung dieses Artikels noch nicht auf den Anruf von Threatpost reagiert, aber wir werden den Artikel aktualisieren, wenn wir eine Antwort erhalten.

    Auf jeden Fall gibt es einen breiten Konsens über die Tatsache, dass die Lösegeldzahlungen in die Höhe geschnellt sind: Ein kürzlich veröffentlichter Bericht (PDF) des US-Finanzministeriums prognostiziert, dass die Ransomware-Zahlungen im Jahr 2021 die Summe des gesamten letzten Jahrzehnts übertreffen könnten.

    Ein Fahrplan für Finanzunternehmen, die angegriffen werden

    Der Gesetzentwurf beschränkt sich auf den Finanzsektor, einschließlich großer Wertpapierbörsen und bestimmter Technologieanbieter, auf deren Dienste Banken angewiesen sind.

    Er würde einige Dinge bewirken: Wenn der Gesetzentwurf verabschiedet wird, müssen Finanzinstitute das Financial Crimes Enforcement Network des Finanzministeriums benachrichtigen, bevor sie eine Ransomware-Zahlung leisten. Außerdem wäre es den geschädigten Finanzinstituten untersagt, Lösegeld in Höhe von mehr als 100.000 US-Dollar zu zahlen, es sei denn, sie erhalten grünes Licht – eine Ransomware-Zahlungsgenehmigung – entweder von den Strafverfolgungsbehörden oder vom Präsidenten, wenn er/sie feststellt, dass dies im nationalen Interesse des Landes liegt.

    Eines von McHenrys Verkaufsargumenten für das Gesetz ist, dass es den Unternehmen bei der Reaktion auf Angriffe Rechtssicherheit verschaffen würde.

    Der Gesetzentwurf stellt sicher, dass Berichte über Ransomware-Angriffe vertraulich bleiben. Alle Informationen, die ein betroffenes Unternehmen den Behörden zur Verfügung stellt, dürfen nicht veröffentlicht werden, obwohl die Regierung oder die Gerichte von dieser Bestimmung ausgenommen sind.

    Ja, große Ransomware-Zahlungen sollten verboten werden

    Im September veröffentlichte das Wall Street Journal einen Debattenartikel mit Beiträgen von Michael Daniel, Präsident und Geschäftsführer der Cyber Threat Alliance, der die Meinung vertrat, dass das Verbot von Lösegeldzahlungen ein absolutes Muss ist: “Vom moralischen und politischen Standpunkt aus ist die Antwort eindeutig ja”, schrieb er. “Wir sollten Lösegelder nicht als Kosten für die Geschäftstätigkeit im Cyberspace behandeln. Eine solche Situation zu akzeptieren, wäre vergleichbar mit der Behandlung von Piratentributen oder Bestechungsgeldern als Kosten des internationalen Handels. Wir sollten eine breit angelegte, vielschichtige Strategie zur Bekämpfung von Ransomware einführen, die in einem Verbot von Lösegeldzahlungen gipfelt.”

    Würden Lösegeldverbote die Zahlungen in den Untergrund treiben, wie einige behauptet haben?

    Nein, sagte er und verwies auf die Ergebnisse einer Diskussion der Ransomware Task Force des Institute for Security and Technology zu diesem Thema, die zu dem Schluss kam, dass die meisten Unternehmen keine illegalen Zahlungen leisten würden, weil “die meisten die Regeln befolgen”.

    “Wenn sie das nicht täten, warum kämpfen sie dann so hart gegen staatliche Vorschriften?” fragte Daniel.

    Archie Agarwal, Gründer und CEO des Anbieters von automatisierten Bedrohungsmodellen ThreatModeler, erklärte am Donnerstag gegenüber Threatpost, dass er die Gründe für den Gesetzentwurf nachvollziehen kann und er glaubt, dass die Finanzbranche keine Probleme haben wird, die Vorschriften einzuhalten, wenn das Gesetz verabschiedet wird.

    “Ransomware entwickelt sich zu einer nationalen Sicherheitsbedrohung, und da Ransomware-Banden durch Zahlungen reich werden, professionalisieren sie sich weiter und nutzen ihre unrechtmäßig erworbenen Gewinne, um eine schnellere Bewaffnung von Exploits zu finanzieren und Zero-Days von der Stange zu kaufen, um Zugang zu ihrer nächsten Ransomware-Runde zu erhalten”, sagte er per E-Mail.

    “Viele von uns erinnern sich noch an eine Welt im finanziellen Zusammenbruch, und die US-Regierung weiß, dass dies wieder passieren könnte, wenn einer der Finanzriesen durch Ransomware lahmgelegt wird. Wenn der Vorfall öffentlich bekannt würde, könnte die Angst auf den Finanzmärkten um sich greifen und seismische globale Probleme verursachen”, so Agarwal weiter. “Die US-Regierung sendet den Ransomware-Gruppen die Botschaft, dass Angriffe auf den Finanzsektor eine Reaktion der Regierung nach sich ziehen werden, und in jüngsten Kommentaren wurde eine wachsende Angst vor einer Vereinnahmung in ihren Reihen festgestellt. Da die Finanzinstitute bereits stark reguliert sind, werden sie von dieser Entwicklung nicht schockiert sein und sich an die Vorschriften halten.”

    Nein, die Entscheidung zu zahlen sollte bei den Opfern liegen

    Im WSJ meldete sich auch Maurice Turner, Cybersecurity Fellow bei der Alliance for Securing Democracy, zu Wort. Er argumentierte, dass die Zahlung von Lösegeld billiger sein kann als der Versuch, die Systeme nach einem Ransomware-Angriff wiederherzustellen.

    “Zeit ist Geld”, schrieb er. “Manchmal ist es günstiger, ein Lösegeld zu zahlen, als ein Lösegeld zurückzuhalten – und dann gezwungen zu sein, ein IT-System mühsam wiederherzustellen und Daten aus Backups wiederherzustellen. Und Unternehmen stehen oft vor einer Entscheidung, die sich drastisch auf ihr Geschäft auswirken könnte: Unternehmen haben erlebt, dass Kriminelle gedroht haben, gestohlene Daten weiterzugeben oder zu verkaufen, wenn keine Erpressung gezahlt wird.”

    Es ist erwähnenswert, dass Untersuchungen gezeigt haben, dass die Zahlung von Lösegeld keine Garantie dafür ist, dass ein betroffenes Unternehmen seine Daten zurückerhält. Laut Sophos’ State of Ransomware 2021 Report erhielten nur 8 Prozent der Lösegeldzahler alle ihre Daten zurück, während fast ein Drittel – 29 Prozent – angab, dass sie mehr als die Hälfte der verschlüsselten Daten nicht wiederherstellen konnten.

    Obwohl er bereits im September, also vor McHenrys Einführung von H.R.5936, für das WSJ schrieb, gab Turner einen Beitrag ab, der für den neuen Gesetzesentwurf relevant ist: Nämlich über die Obergrenze von 100.000 Dollar, ab der die Erlaubnis zur Lösegeldzahlung eingeholt werden muss.

    Alles, was darunter liegt, ist steuerlich absetzbar, bemerkte er: “Heute können Lösegeldzahlungen in beliebiger Höhe als abzugsfähige Ausgabe steuerlich geltend gemacht werden”, schrieb er. “Das Finanzministerium könnte diesen Betrag auf, sagen wir, 100.000 Dollar begrenzen, was dazu beitragen würde, die Lösegeldforderungen zu senken.

    Ein “oberflächlicher wirtschaftlicher Gedanke

    John Bambenek, Chef der Bedrohungsjäger bei Netenrich, einem Unternehmen für digitale IT und Sicherheitsoperationen, vertritt eine andere Auffassung. Er vergleicht den Gesetzentwurf mit dem Ansatz der Vereinigten Staaten, bei Entführungen kein Lösegeld zu zahlen, was laut RAND (PDF) nicht funktioniert.

    “Als RAND die Lösegeldzahlungen bei Entführungen untersuchte, stellte es fest, dass es keine Korrelation zwischen dem Verzicht auf Lösegeldzahlungen in den USA und einem Rückgang der Entführungen gibt”, erklärte Bambenek am Donnerstag gegenüber Threatpost.

    Er nannte es eine “sehr oberflächliche ökonomische Vorstellung”, dass der Versuch (oder sogar der Erfolg), Lösegeldzahlungen zu stoppen, eine Auswirkung auf Ransomware haben wird. “Was dieser Gesetzentwurf tut, wenn man davon ausgeht, dass das Finanzministerium [ever] die Zahlung von Lösegeld verweigert, ist, dass es den Unternehmen sagt, dass sie die höheren Kosten der Wiederherstellung im Vergleich zur Zahlung von Lösegeld absorbieren müssen, was nur bedeutet, dass es einen weiteren inflationären Druck auf eine bereits zitternde Wirtschaft gibt.”

    Teil eines gesetzgeberischen Trends

    Das Photon-Forschungsteam von Digital Shadows rückt das Ganze ins rechte Licht: Das potenzielle Verbot, für große Ransomware zu bezahlen, ist “ein weiterer Teil des jüngsten gesetzgeberischen Vorstoßes, Ransomware stärker zu bekämpfen”, so das Team in einer E-Mail an Threatpost am Donnerstag.

    “Die vorgeschlagenen Gesetzesänderungen könnten Finanzunternehmen in die äußerst schwierige Lage versetzen, entweder unter den Auswirkungen eines Ransomware-Angriffs zu leiden, ohne die Möglichkeit zu verhandeln, oder das Gesetz zu brechen”, so das Team. “Ein Verbot von Ransomware-Zahlungen von mehr als 100.000 Dollar würde Finanzunternehmen jedoch nicht unbedingt von Lösegeldzahlungen abhalten. Die Kosten eines Ransomware-Angriffs ergeben sich nicht allein aus dem Preis des Lösegelds; Ausfallzeit, Wiederherstellung und Reputationsverlust könnten Finanzunternehmen leicht mehr als die vorgeschlagene Zahlungsobergrenze kosten.”

    Das Versprechen der Vertraulichkeit könnte dem Vorschlag den Stachel nehmen und gleichzeitig zu einer verantwortungsvollen Offenlegung ermutigen, fügte das Team hinzu.

    “Der jüngste Vorstoß des Kongresses für mehr gesetzliche Rahmenbedingungen im Zusammenhang mit Ransomware ist kein Versuch, sicherzustellen, dass kein Lösegeld gezahlt wird; vielmehr geht es wahrscheinlich darum, den Unternehmen eine Orientierungshilfe zu geben”, so das Team. “Die Tatsache, dass die Gesetzgebung derzeit nur für Finanzunternehmen gilt, zeigt, wo die Priorität für politische Entscheidungsträger und Interessengruppen liegt.”

    Das Digital Shadows Photon Research Team schlug vor, dass eine Möglichkeit darin besteht, dass Ransomware-Angreifer einfach weniger als 100.000 Dollar verlangen oder Sektoren angreifen, die von der vorgeschlagenen Gesetzgebung nicht betroffen wären.

    “Das Fazit ist, dass die Betreiber von Ransomware ermutigt werden, ihre Aktivitäten auf eine Weise durchzuführen, die ihnen Geld einbringt. Solange die Opfer zahlen, werden Ransomware-Angriffe mit ziemlicher Sicherheit weitergehen”, hieß es.

    Zum jetzigen Zeitpunkt hat der Gesetzentwurf offenbar weder Mitunterstützer noch eine Senatsversion. Das Büro von McHenry hatte zum Zeitpunkt der Veröffentlichung dieses Artikels noch nicht auf eine Anfrage von Threatpost geantwortet.

    Bild mit freundlicher Genehmigung von Russell Watkins/Department for International Development.

    Möchten Sie die Kontrolle über die fadenscheinigen Passwörter zurückgewinnen, die zwischen Ihrem Netzwerk und dem nächsten Cyberangriff stehen? Darren James, Leiter der internen IT-Abteilung von Specops, und Roger Grimes, Evangelist für datengesteuerte Verteidigung bei KnowBe4, zeigen Ihnen in der kostenlosen LIVE-Veranstaltung “Password Reset”, wie das geht: Kontrolle über Anmeldeinformationen erlangen, um Angriffe zu stoppen”, am Mittwoch, 17. November um 14 Uhr ET. Präsentiert von Specops.

    Registrieren Sie sich JETZT für die LIVE-Veranstaltung und stellen Sie Ihre Fragen im Voraus über die Registrierungsseite.

    Einige Teile dieses Artikels stammen aus:
    threatpost.com