Wir brauchen eine Meldepflicht für Cybererpressung – jetzt

Die zunehmende Ransomware-Krise

Auch 2025 sind Ransomware-Angriffe ungebremst auf dem Vormarsch und finden ihre Opfer in Schulen, Krankenhäusern sowie dem privaten und öffentlichen Sektor. Die meisten Angriffe ließen sich durch die Implementierung einiger grundlegender, kostengünstiger und wohlverstandener Gegenmaßnahmen vermeiden. Weshalb wird das also nicht getan?

Das liegt zum einen Teil daran, wie die Bedrohung wahrgenommen wird, und zum anderen an Missverständnissen, wie man sich dagegen verteidigen kann. Die öffentliche Bekanntgabe von Cybervorfällen kann bei diesen Problemen helfen, da sie deutlich macht, dass nicht nur Unternehmen jeder Branche und Größe in Gefahr sind, sondern relativ leicht umzusetzende Abwehrmaßnahmen bemerkenswert Effizient sein können.

Doch fangen wir von vorn an.

Was ist Ransomware?

Selbst Experten sind sich hinsichtlich der Begrifflichkeit nicht einig. Nach dem ersten dokumentierten Fall 1989 wurde die Malware als eine schädliche Software definiert, die Computersysteme und Daten unbrauchbar macht und eine Zahlung fordert, damit das Opfer wieder zum normalen Betrieb zurückkehren kann.

Die kriminellen Taktiken haben sich seit 1989 weiterentwickelt. Heutzutage setzen Kriminelle eine Vielzahl von Techniken ein, um sich Erstzugriff zu verschaffen, wozu sie auch vorhandene Programme nutzen, um selbst ohne eine Malware ihre Ziele zu erreichen. Sobald ein Gerät kompromittiert ist, können Dateien verschlüsselt werden, doch viel häufiger werden sie gestohlen. Angreifer fordern dann eine Lösegeldzahlung mit der Drohung, anderenfalls die gestohlenen privaten oder vertraulichen Daten von Mitarbeitern, Kunden, Partnern und dergleichen zu veröffentlichen.

Obwohl bei modernen Angriffen nicht immer traditionelle Ransomware ins Spiel kommt, ist das Endergebnis dasselbe. Für viele Anwender (und im Rahmen dieses Artikels) bezieht sich daher der Begriff „Ransomware“ auf jede beliebige Art von digitaler Erpressung, die in verschiedenen Formen mit oder ohne schädliche Software oder Verschlüsselung auftreten kann.

Dabei muss immer im Kopf behalten werden, dass hinter diesen Erpressungsszenarien Kriminelle stecken und man den während eventueller Verhandlungen gemachten Versprechen nicht trauen kann.

Aktuelle Situation

Die Häufigkeit und Schwere der Ransomware-Angriffe haben seit dem ersten dokumentierten Fall dramatisch zugenommen, sodass sie inzwischen eine ernste Bedrohung für die nationale Sicherheit und wirtschaftliche Stabilität darstellen.

Wie gefährdet Ransomware die nationale Sicherheit? Kriminelle Gruppen, die hinter finanziell motivierten Angriffen stecken, entwickeln Techniken, mit denen dann kritische Infrastrukturen wie Gesundheitseinrichtungen, Energieversorgungsnetze, die Wasserversorgung oder Gasleitungen angegriffen werden können – und oftmals auch werden. Darüber hinaus geht man davon aus, dass Staaten, die derartige kriminelle Aktivitäten dulden – in erster Linie Russland, China, Nordkorea und Iran –, diese für ihre geopolitische Agenda einsetzen oder schlimmer noch in ausgewachsenen internationalen Krisen.

Dabei ist Ransomware nicht nur eine Gefahr für die nationale Sicherheit, auch für Unternehmen und Privatpersonen kann sie schwere Folgen haben. Nach einer aktuellen Studie sind 58 % der Opfer gezwungen, ihren Betrieb einzustellen, um sich wieder davon zu erholen. Daher müssen Anwender und Entscheider unbedingt für die Bedrohung sowie wirksame Verteidigungsstrategien sensibilisiert werden. Die zeitnahe Meldung von Cybervorfällen hilft dabei, den Fakt zu normalisieren, dass derartige Angriffe weit verbreitet sind, sowie Stigma zu beseitigen und den Einsatz aktiver Sicherheitsvorkehrungen zu bestärken.

Ransomware-Gangs bedienen sich Onlinemärkten, Vertriebstools, Diensten und kompromittierter Zugangsdaten. Um die Abwehr zu stärken, ist folglich eine bessere Zusammenarbeit erforderlich, etwa der Austausch von Erfahrungen aus vergangen Angriffen, um feindselige Taktiken vorauszusehen und abzuwehren.

Die Notwendigkeit einer Meldepflicht für Cybererpressung

Ein Teil des Problems ist, dass diejenigen, die über dieses wichtige Wissen verfügen, nämlich Anbieter zur Vorfallsreaktion, nicht immer geneigt sind, dieses weiterzugeben. Ihre Priorität besteht darin, den Kunden zu helfen, nicht zukünftige Angriffe zu verhindern. Die weitreichenden Vorteile, die sich durch die Offenlegung von Cybervorfällen ergeben, haben in der Regel keine Auswirkungen auf ihre Aktivitäten. Tatsächlich wird davon ausgegangen, dass einige in der Branche sogar aktiv versuchen, die Einzelheiten zu Angriffen geheim zu halten.

Das ist in der Hauptsache eine politische Angelegenheit. Um die kollektive Verteidigung zu stärken, sind strengere Gesetze und deren bessere Durchsetzung erforderlich.

Die Berichterstattungsgesetze auf bundesstaatlicher Ebene in den USA beispielsweise sind ein Flickenteppich aus inkonsistenten Richtlinien. Einige Bundesstaaten sammeln Daten, teilen sie aber nicht, andere wiederum haben nur schwache Vorschriften oder gar keine. So sieht es momentan in den USA aus:

• Einige Bundesstaaten (u. a. New Jersey) bieten einen gelegentlichen Link zu Artikeln der Presse, in denen über Datenschutzverletzungen berichtet wird.
• Einige Bundesstaaten (u. a. Colorado) fordern von Unternehmen, dass sie Kunden darüber informieren, wenn ihre personenbezogenen Daten kompromittiert wurden, scheinen dieses Gesetz aber nicht durchzusetzen.
• Einige Bundesstaaten sammeln Daten, veröffentlichen sie aber nicht.
• Einige Bundesstaaten (u. a. North Dakota, Hawaii) haben zwar Daten gesammelt und gemeldet, aber wieder damit aufgehört.
• Einige Bundesstaaten (u. a. North Carolina) sammeln und teilen Übersichtsdaten, aber nicht die Einzelheiten, die erforderlich sind, um die Art der Angriffe nachvollziehen zu können.
• Einige Bundesstaaten (u. a. Delaware, Oregon) teilen Daten in Tabellen, die allerdings nicht chronologisch sortiert werden können.

Wir benötigen einheitliche Gesetze zur Meldung von Datenschutzverletzungen und offizielle Behördenwebsites, die zeitnah klare Auskünfte geben. Ein landesweiter Ansatz zur Meldepflicht sollte Folgendes umfassen:

• Eindeutige Berichtspflichten für Unternehmen und Regierungseinrichtungen, sobald ein Angriff erfolgt
• Öffentlich zugängliche Daten in einem strukturierten, standardisierten und durchsuchbaren Format
• Zeitnahe Offenlegung betroffener Einzelpersonen, damit sie Gegenmaßnahmen ergreifen können
• Strengere Durchsetzung, um Einhaltung und Rechenschaftspflicht zu gewährleisten

Weitreichende Vorteile der Meldepflicht

• Hilfe zur Selbsthilfe: Indem Unternehmen und Privatpersonen die Ausmaße der Cyberbedrohungen verstehen, können sie ihre Abwehr stärken, bevor sie das nächste Opfer werden.
• Mehr Wissen über Bedrohungen: Cybersecurity-Experten können Trends besser analysieren und Verteidigungsmaßnahmen verbessern, um zukünftige Angriffe zu vermeiden.
• Stärke Handlungsfähigkeit der Strafverfolgung: Eine bessere Berichterstattung hilft Strafverfolgungsbehörden, Cyberkriminelle aufzuspüren, zu stören und zu verfolgen.
• Verstärkte Rechenschaftspflicht: Für Unternehmen wird ein höherer Anreiz geschaffen, stärkere Sicherheitsvorkehrungen zu treffen, wenn sie wissen, dass Vorfälle gemeldet werden müssen.

Fazit

Ohne die Meldepflicht kämpfen wir einen Krieg gegen einen unsichtbaren Feind, bei dem Unternehmen, Krankenhäuser und kritische Infrastrukturen tagtäglich unter Belagerung stehen. Gesetzgeber, Cybersicherheitsexperten und Wirtschaftsführer müssen zusammenkommen und einen Wandel bewirken. Die Zeit zu handeln ist jetzt.

Übersetzung: Doreen Schäfer