Sollten Lösegeldzahlungen nach einem Ransomware-Angriff verboten werden?

Ein hochrangiger FBI-Beamter appellierte Ende Juli an den US-Kongress, die Bedrohung durch Ransomware nicht durch ein Verbot von Lösegeldzahlungen an Cyber-Kriminelle zu bekämpfen. Sowohl in den USA als auch in der EU haben die Behörden versucht, die Opfer von Ransomware davon abzuhalten, Lösegeld zu zahlen. Bisher haben sich Gesetzgeber jedoch schwer getan, wirksame Wege zu finden, um dieses Verhalten zu unterbinden. Der Appell des FBI scheint nun den umgekehrten Weg einzuschlagen – höchstwahrscheinlich in dem Wissen, dass viele Opfer ohnehin zahlen würden, um ihre Systeme und Daten zurückzubekommen, und dabei das Risiko eingehen, doppelt bestraft zu werden.

Zahlen oder nicht zahlen, das ist hier die Frage

Die Entscheidung, ob man Ransomware-Kriminelle bezahlen soll oder nicht, ist eine Debatte, die teils geschäftlich, teils politisch, teils rechtlich und teils philosophisch ist. Es ist klar, dass die Zahlung des Lösegelds Sie in Zukunft nicht vor weiteren Angriffen schützt, die manchmal von der gleichen Gruppe ausgehen, die es auf Sie abgesehen hat. Die „Prioritäten“ der Unternehmen diktieren, wie hoch die IT-Budgets sind und wie viel für die Cybersicherheit ausgegeben wird. Bei der überwiegenden Mehrheit der Angriffe scheint nie genug Zeit und Geld vorhanden zu sein, um alles richtig zu machen. Wenn es jedoch zu einem Zwischenfall kommt, scheint es immer genug Zeit und Geld zu geben, um (zu versuchen) die Situation wieder in Ordnung zu bringen.

Ein Umdenken ist notwendig

Die Debatte muss sich von der Frage „Sollen wir zahlen?“ und der Frage, ob die Zahlung von Ransomware-Forderungen illegal sein sollte, auf die Frage verlagern, ob wir heute genug in die richtige Technologie und die richtigen Mitarbeiter investieren, um einen Angriff morgen zu verhindern. Der CEO von Colonial Pipeline erklärte, dass das Unternehmen einen großen Teil der wiedererlangten Ransomware-Zahlung in die Verbesserung der Cybersicherheit investieren werde. Wieder einmal ist es den Angreifern gelungen, die hohen Kosten eines Angriffs auf das Opfer abzuwälzen.

Die neue Denkweise sollte darin bestehen, dass der Angreifer für jeden Versuch, das Netzwerk und die Endpunkte eines Unternehmens zu kompromittieren, einen hohen Preis zahlen muss. Es ist klar, dass es nie genug ausgebildete Cybersicherheitsexperten geben wird, um alle offenen Stellen zu besetzen. Durch den bewussten Einsatz von Automatisierung, künstlicher Intelligenz und maschinellem Lernen geht es nicht mehr darum, auf einen Angriff zu reagieren und ihn wiederherzustellen, sondern ihn ganz zu stoppen.

Autor: Morgan Wright, Chief Security Advisor bei SentinelOne