International Counter Ransomware Initiative: 40 Staaten versichern, kein Lösegeld zu zahlen
von Tina Siering
Das kriminelle Geschäft mit Ransomware zählt gemäß aktuellem BSI Lagebericht 2023 zu den immer noch größten Bedrohungen für Unternehmen, Organisationen und öffentliche Einrichtungen. Ransomware ist der Begriff für Schadsoftware, die in der Lage ist, Daten zu verschlüsseln und somit unbrauchbar zu machen. Das Freischalten der Daten wird seitens der Erpresser von Lösegeldzahlungen abhängig gemacht. Aus Sicht der US-Regierung liegt der „Erfolg“ von Ransomware nicht zuletzt an der Bereitschaft zur Zahlung der geforderten Lösegelder. Durch einen internationalen Zusammenschluss zahlreicher Staaten soll der Fluss aus Lösegeld nun trockengelegt werden.
Ransomware lebt von Lösegeld
Anfang Oktober 2023 wandte sich die US-Regierung mit einem dringenden Appell an die Vertreter von 45 Nationen. Die Regierungen sollen sich öffentlich dazu bekennen, kein Lösegeld mehr an die Erpresser hinter Ransomware-Attacken zu zahlen. Der Aufruf ist im Vorfeld zu der Ende 2023 stattfindenden, US-geführten „International Counter Ransomware Initiative (ICRI)“ zu verstehen, an der die EU, weitere 48 Länder sowie Interpol teilnehmen. Das Ziel des Appells war es, bereits vor dem internationalen Treffen ein Bekenntnis möglichst vieler Staaten zu erhalten – oder zumindest eine Diskussionsgrundlage zu schaffen. Stand heute sind 40 der teilnehmenden Staaten bereit, sich dem Aufruf der USA anschließen zu wollen, allerdings ist unbekannt, um welche Staaten es sich genau handelt.
Die USA sind von allen Staaten am häufigsten von Ransomware-Cyberangriffen betroffen – 46 Prozent aller Angriffe richten sich gegen US-amerikanische Unternehmen und Organisationen. Nach einem der folgenreichsten Angriffe im Sommer 2021 auf Colonial Pipeline kündigte das Weiße Haus an, alle zur Verfügung stehenden Mittel gegen die Erpressungsversuche ins Feld führen zu wollen. Trotz aller Anstrengungen wurde jedoch deutlich, dass die Cyberkriminellen sich von der Initiative der US-Regierung nicht haben abschrecken lassen. Zahlreiche schwere Angriffe in den vergangenen zwei Jahren haben gezeigt, dass die Bedrohungslage weiterhin unverändert hoch ist.
Mit einer weiteren Ankündigung im Frühjahr 2023 ging die US-Regierung nochmals deutlicher in die Offensive. Der Plan: Staaten, die den Drahtziehern hinter Ransomware Zuflucht gewähren, sollten international isoliert werden. Die für die Erpressungsversuche notwendige Infrastruktur soll aufgebrochen und gleichzeitig die Abwehrmechanismen gestärkt werden. Der eng mit Ransomware verwobene Einsatz von Kryptowährungen wird seitens der Behörden deutlich strenger überwacht.
Die US-Regierung hat ein konkretes Ziel – nämlich die Verschiebung der Verantwortungsbereiche für Abwehrmaßnahmen gegen Cyberkriminalität. Während aktuell die Verantwortung bei den Betroffenen – in der Regel Einzelpersonen, kleine Unternehmen oder lokale Regierungen – liegt, soll die Verteidigung zukünftig von Organisationen übernommen werden, die hierzu wirklich fähig sind. Es müsse wesentlich strategischer vorgegangen werden, so ließ das Weiße Haus im Frühjahr verlauten.
Aus Sicht der US-Regierung ist die Bereitschaft zur Zahlung der geforderten Lösegelder nach einem Ransomware-Angriff die Wurzel allen Übels. Denn solange Geld fließt – und die Erpresser somit zum gewünschten Erfolg kommen – bleibt das kriminelle Geschäftsmodell interessant. Anne Neuberger, die stellvertretende nationale Sicherheitsberaterin der USA in der Biden-Regierung, erklärte hierzu: „Solange Geld an Ransomware-Kriminelle fließt, wird dieses Problem weiter wachsen.“ Mit der nun geplanten internationalen Allianz soll die Finanzierung der Cyberkriminellen weitestgehend unterbunden und der Einsatz von Ransomware dadurch maximal unattraktiv gemacht werden.
Optimierter internationaler Informationsaustausch im Kampf gegen Ransomware
Die Allianz aus zahlreichen Staaten soll insbesondere Informationen zu bösartigen Krypto-Wallets, die für den anonymen Transfer der Lösegeldzahlungen verwendet werden, untereinander teilen, so der Plan der US-Regierung. Mit zwei neuen Plattformen, errichtet von Litauen einerseits und einem Zusammenschluss von Israel und den Vereinigten Arabischen Emiraten andererseits, sollen Informationen zu Ransomware-Angriffen schneller und präziser geteilt werden. Die Hoffnung hinter den Bemühungen: Durch eine gestärkte internationale Zusammenarbeit auf partnerschaftlicher Ebene lassen sich Geldströme zuverlässiger zuordnen – oder direkt unterbinden.
Im Idealfall sollen überhaupt keine Lösegelder mehr gezahlt werden. Damit dies gelingt, kommt es aber auf die staatlichen Stellen in den betroffenen Ländern an. Sobald auf gesetzlicher Seite die Zahlungen ausgeschlossen werden, so der Ansatz der US-Regierung, würde die Kalkulation der Cyberkriminellen nicht mehr aufgehen.
40 Teilnehmerländer beim ICRI – und noch kein offizielles Ergebnis
Zum Auftakt der International Counter Ransomware Initiative (ICRI) 2023 geloben 40 Teilnehmerländer, sich der Allianz anzuschließen und zukünftig die Zahlung von Lösegeldern zu verweigern. Derzeit ist noch nicht bekannt, um welche Länder es sich genau handelt. Was ebenfalls noch nicht an die Öffentlichkeit gedrungen ist: Was sind Lippenbekenntnisse – und welche Staaten setzen die Forderungen der USA am Ende wirklich um? Eine Herausforderung ist hierbei sicherlich die teilweise Aufgabe der nationalen Souveränität zugunsten einer verbesserten, internationalen Zusammenarbeit. Insbesondere die Staaten, die kein enges Verhältnis zu den USA pflegen, dürften bei dem Gedanken an einen intensivierten Datenaustausch Bauchschmerzen bekommen.
Fazit: Ein richtiger Ansatz mit schwieriger Umsetzung
Prinzipiell ist der Ansatz der USA richtig. Ransomware lebt von Lösegeld und wird dieses nicht mehr gezahlt, fehlt den Erpressern hinter der Malware schlichtweg die Motivation, ihre Angriffe weiter fortzuführen. Auch wir bei Allgeier secion raten dringend dazu, im Falle einer erfolgten Datenverschlüsselung strategisch und planvoll vorzugehen – und keinesfalls die geforderten Summen zu begleichen. Denn selbst dann, wenn Gelder fließen, ist es keinesfalls sicher, dass die verschlüsselten Daten durch die Cyberkriminellen freigegeben werden. Vielmehr bekommen die Angreifer genau das, was sie wollen – und werden so zu einer möglichen Wiederholung der Angriffe nahezu aufgefordert.
Entsprechend nachvollziehbar ist der Wunsch der US-Regierung, Lösegeldzahlungen durch möglichst viele Staaten direkt unterbinden zu lassen. Allerdings wird auch deutlich, dass die Zusammenarbeit auf dem „internationalen Parkett“ alles andere als einfach ist. Wir bleiben vorsichtig optimistisch, dass der Plan einer internationalen, durch die US-Regierung geführten Allianz aufgeht.