Zahlung von Lösegeld für Ransomware: Die USA als Vorbild?
Die Zahlung von Lösegeld fördert die Zunahme von Ransomware-Angriffen und unterstützt Cyberkriminelle finanziell. Daher haben die US-Behörden beschlossen, US-amerikanische Organisationen zu sanktionieren, die der finanziellen Erpressung durch Hacker nachgeben. Das OFAC (Office of Foreign Assets Control des US-Finanzministeriums) hat mehrere Mitteilungen veröffentlicht, um Privatpersonen und Organisationen für den Kampf gegen Ransomware-Angriffe zu sensibilisieren. Eine dieser Mitteilungen, die am 1. Oktober 2020 veröffentlicht wurde, macht die Sanktionen im Zusammenhang mit Ransomware-Zahlungen offiziell.
Das BAZL präzisiert, dass diese Sanktion auch für Organisationen gilt, die im Namen der Opfer die Zahlung von Lösegeld an Cyberkriminelle erleichtern.
Das Verbot der Zahlung von Lösegeld gilt somit für die gehackte Organisation und für die Unternehmen oder Firmen, mit denen die infizierte Organisation zusammenarbeitet: Finanzinstitute, Versicherungen, digitale Expertise, Finanzdienstleister, die die Zahlung von Lösegeld erleichtern.
Die Zahlung einer Lösegeldforderung für Ransomware ist jedoch möglich, allerdings nur für Organisationen, die mit dem US-Finanzministerium, dem FBI und anderen Regierungsbehörden zusammenarbeiten. (Quelle: siliconangle.com).
Ohne diese Genehmigung der Regierung verstoßen die Organisationen gegen die Sanktionen der OFAC. Die rechtlichen Folgen sind erheblich, darunter Geldstrafen von bis zu 20 Millionen Dollar.
Ransomware: zahlen oder nicht zahlen?
Laut ZDNet zeigt eine Studie von IBM, dass „fast 70 % der Unternehmen, die Opfer von Ransomware geworden sind, bereit sind, die Cyberkriminellen zu bezahlen“. Die Hälfte dieser Lösegeldzahlungen beläuft sich auf jeweils mehr als 10.000 Dollar. Die Hauptmotivation dieser Unternehmen ist es, ihre Daten zurückzubekommen. Dies gilt insbesondere für Daten aus den Bereichen Finanzen, Kunden, geistiges Eigentum und Geschäftsprojekte. Laut ZDNet geben „60 % der befragten Führungskräfte zu, dass sie für die Rückgabe der Daten zahlen würden”.
In Frankreich ist es nicht illegal, das geforderte Lösegeld zu zahlen. Das Thema wirft zahlreiche heikle Fragen auf: Denn die Unternehmen des CAC40 haben ebenso wie öffentliche Einrichtungen rechtliche Verpflichtungen gegenüber ihren Aktionären. Würde ein Gesetz ihnen Geldstrafen oder sogar Freiheitsstrafen auferlegen, wäre dessen Umsetzung äußerst schwierig.
Guillaume Poupard, Generaldirektor derANSSI, empfiehlt, keine Zahlungen zu leisten, da dies die Erpresser finanziell unterstützt und sie somit dazu ermutigt, diesen Weg weiter zu beschreiten. Darüber hinaus garantiert die Zahlung eines Lösegelds an Cyberkriminelle keineswegs, dass das Opfer wieder Zugriff auf seine gestohlenen Daten erhält. Cyberkriminelle können darüber hinaus eine Kopie der Daten behalten, um sie beispielsweise im Dark Web weiterzuverkaufen oder zu tauschen.
Eine schwierige Entscheidung
Sich unterwerfen?
- Bezahlen, obwohl man weiß, dass diese Handlung Cyberkriminelle zu weiteren Angriffen ermutigt. Durch die Zahlung trägt eine Organisation dazu bei, einen neuen Markt für Cyberkriminelle zu schaffen.
- Bezahlen und das Risiko eingehen, dass man seine Daten nicht wiederherstellen oder entschlüsseln kann. Denn Cyberkriminelle verfügen nicht immer über den Entschlüsselungscode für Ransomware, die sie auf dem Schwarzmarkt erworben haben.
Widerstehen?
- Nicht nachgeben und natürlich seine Daten preisgeben und die Folgen eines Cyberangriffs hinnehmen (finanzielle Verluste, Ausfall oder Störung der Informationssysteme, der Produktion, Vertrauensverlust, Imageschaden usw.).
