Ransomware - Stiftung Wissenschaft und Politik
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
NR. 56 AUGUST 2021 Einleitung Ransomware Technische, nationale und multilaterale Gegenmaßnahmen Matthias Schulze Während Ransomware-Angriffe immer professioneller werden, haben viele Organisa- tionen grundlegende IT-Sicherheitshausaufgaben noch immer nicht gemacht. Auf- grund der effektiven Untergrundökonomie der Cyber-Kriminellen ist dem Problem auch nicht mehr allein mit technischen Maßnahmen beizukommen. Die neue Bundes- regierung sollte es mit erhöhter Priorität und einer gesamtstaatlichen Perspektive angehen. Neben Präventionsmaßnahmen sollten auch für Organisationen in der Breite Pläne zur Reaktion und Wiederherstellung erstellt werden. Außerdem ließen sich Instrumente nutzen, die etwa bei der Bekämpfung von organisierter Kriminali- tät, Terrorismus oder Finanzkriminalität und sogar in der Entwicklungshilfe ein- gesetzt werden. Schließlich müssten multilaterale Initiativen zur Eindämmung von Cyber-Kriminalität und Geldwäsche mit Kryptowährungen gestärkt werden. Ransomware ist eine Form von Schadsoft- erfolgreich attackiert. IT-Experten warnen ware, die ein betroffenes System verschlüs- daher, dass es nur eine Frage der Zeit sei, selt und bewirkt, dass sich Daten nicht wann eine Organisation betroffen sein mehr verwenden lassen. Kriminelle verspre- wird. Zwar gibt es Ransomware schon seit chen gegen die Zahlung eines Lösegelds in den 1980er Jahren, doch haben eine Reihe Kryptowährungen die Freigabe der Daten. von Dynamiken dazu geführt, dass sich das Für viele Organisationen bedeutet ein Ver- Problem heute in Qualität und Quantität lust der Datenverfügbarkeit oft das unfrei- dramatisch verschärft hat. willige Ende des operativen Betriebs und verursacht somit hohe wirtschaftliche Kos- ten. Der »State of Ransomware 2021«- Problemlage und aktuelle Bericht der Firma Sophos zeigt, dass die Dynamiken Hälfte von 5.400 weltweit befragten Unter- nehmen bereits betroffen war. Laut einer Die Corona-Pandemie und die Verlagerung Befragung von 200 Firmen durch die Inter- ins Home-Office haben weltweit IT-Systeme national Data Corporation (IDC) wurden verwundbarer gemacht. Organisationen schon 78 % der deutschen Unternehmen haben hastig mobiles Arbeiten ermöglicht
und ihre sensiblen internen Netzwerke für und die Mittel für die Wiederherstellung von ihre daheim tätigen Mitarbeiterinnen und Infrastruktur aufzubringen. Die Umsatz- Mitarbeiter geöffnet. Dieser Fernzugriff auf einbußen belaufen sich im Schnitt auf das Systeme, etwa zur Administration, ist heute Fünf- bis Zehnfache der Ransomzahlungen. neben Emails und Schwachstellen in Firmen- Angreifer sind zudem agiler und schnel- VPN ein vorherrschender Angriffsvektor. ler geworden als die meist schwerfälligen Die jüngste massive Umstrukturierung Bürokratien und IT-Abteilungen, die oft- der IT wurde oft nicht mit zusätzlichen IT- mals Geld für neue Abwehrmaßnahmen Supportstellen und Schutzmaßnahmen langwierig einfordern müssen. Laut einer begleitet. Die Folge ist ein massiver Anstieg Studie von 2018 schützen traditionelle der Ransomware-Fälle (um 485 % gegenüber Antivirensysteme nicht mehr gegen die 2019 laut Bitdefender). meisten Ransomware-Angriffe. Denn Ran- Während vor einigen Jahren undifferen- somware-Gruppen lernen von ihrer Kon- zierte Angriffe gegen Opportunitätsziele kurrenz und auch von staatlichen Cyber- mit geringem IT-Sicherheitsniveau domi- Angriffstechniken und verbessern so ihre nierten, geht der Trend heute zum »big eigenen Operationen. Zudem reinvestieren game hunting«. Kritische Infrastrukturen sie die erpressten Lösegeldsummen in und größere Unternehmen wie Öl-Pipeline- immer neue und noch komplexere Angriffs- Betreiber, Supermarktketten, aber auch IT- techniken (oder subventionieren damit Unternehmen wie Acer werden systema- andere kriminelle Praktiken wie Drogen- tisch angegriffen. Dazu werten Kriminelle handel). Nimmt man in einem hypotheti- Quartalsberichte aus und errechnen die zu schen Beispiel die Lösegeldgewinne der fordernden Lösegelder, die bewusst geringer Angreifergruppe REvil von rund 40 Millio- sind als die geschätzten Kosten zur Wieder- nen US-Dollar als Bezugswert, die sich in herstellung der IT betroffener Unterneh- neue Angriffswerkzeuge investieren lassen, men, um die Anreize für die Bezahlung zu würde diese Summe den IT-Haushalt der erhöhen. Oft sind auch mittelständische meisten mittleren und größeren Unter- Unternehmen betroffen, die umsatzstark, nehmen übersteigen. Mit so hohen Beträ- aber vielfach nicht kritisch genug sind, als gen können Angreifer traditionelle und dass Angreifer staatliche Konsequenzen zu häufig schnell veraltete Schutzmaßnahmen befürchten hätten. Kleinere, kommunale der Verteidiger, die über ein weitaus gerin- kritische Infrastrukturen wie Wasserwerke geres IT-Sicherheitsbudget verfügen, pro- sind besonders verwundbar, da ihnen nicht blemlos ausmanövrieren. Ein Beispiel sind selten ein angemessenes IT-Sicherheits- »supply chain«-Angriffe. Diese richten budget fehlt. sich gegen Dienstleister, die ihren Klienten Waren vor einigen Jahren Zahlungen etwa Netzwerk- oder Software-Management geringerer Lösegeldsummen ein verkraft- bieten. Diese Form von Angriffen wurde vor bares Ärgernis für die meisten Unterneh- wenigen Jahren noch weitgehend exklusiv men, sind Angreifer inzwischen skrupel- von staatlichen Nachrichtendiensten ge- loser geworden und verlangen Millionen- nutzt, wird aber zunehmend auch von Kri- beträge – und erhalten sie auch. Die Grup- minellen nachgeahmt. pe REvil forderte von der IT-Firma Kaseya Ein weiteres Indiz für die fortschreitende im Juni 2021 rekordverdächtige 70 Millio- Professionalisierung ist die Ausnutzung nen Dollar Lösegeld. Durchschnittliche Löse- komplexerer Sicherheitslücken. Während geldsummen liegen mittlerweile bei rund Ransomware in den vergangenen Jahren 300.000 US-Dollar. Dies kann kleinere vorwiegend bei bekannten, von Betroffenen Unternehmen in Existenznöte bringen, ins- noch nicht per Update behobenen Sicher- besondere wenn sich derlei Vorfälle binnen heitslücken ansetzte, kaufen Angreifer kurzer Zeit wiederholen. Für solche Unter- mittlerweile auch Informationen über nehmen ist es schwieriger, die damit ver- sogenannte 0-Day-Sicherheitslücken auf bundenen Umsatzeinbußen zu verkraften Schwarzmärkten ein bzw. haben die Fähig- SWP-Aktuell 56 August 2021 2
keit, diese selber zu entwickeln. Damit halbwegs sichere digitale Zahlungsform. Die können sie auch Ziele angreifen, die durch bisherigen, weitgehend unregulierten Kryp- ein hohes Maß an IT-Sicherheit geschützt towährungen erleichtern Geldwäsche, einige sind, welche gegen 0-Days aber nichts aus- von ihnen, insbesondere Monero, erschwe- zurichten vermag. Einige Kriminelle operie- ren die Nachverfolgung von Finanzströmen. ren mittlerweile auf einem ähnlichen Pro- Hinzu kommt, dass die Preise enorm fessionalitätsniveau wie einige Staaten. gefallen sind. Eine Ransomwarekampagne Halfen vor wenigen Jahren noch Backups kann schon für wenige hundert bis tausend halbwegs zuverlässig gegen Ransomware, Euro lanciert werden, so eine Studie von da dank vorhandener Datenkopie der Er- Deloitte. Dagegen kosten defensive Maß- pressungsversuch ins Leere ging, verschlüs- nahmen der IT-Sicherheit oft bedeutend seln moderne Angreifer heute nicht nur mehr, im Schnitt 0,48 % des Jahresumsatzes Daten, sondern stehlen sie auch und drohen bzw. rund 7 % der IT-Etats von Unterneh- mit Veröffentlichung (»double extortion«). men. Angreifer sind also allein schon auf- grund geringer Kosten im Vorteil. Marktfaktoren und Proliferation Die einfache Verfügbarkeit führt zu einer Proliferation von Ransomware: Dank Die Professionalisierung folgt einer markt- niedriger Preise können auch weniger pro- orientierten Entwicklung. Ransomware als fessionelle Kriminelle mächtige Angriffs- äußerst profitables Geschäftsmodell hat werkzeuge einkaufen und einsetzen. Einer eine ganze Untergrundökonomie mit spe- Vielzahl von Akteuren, denen andernfalls zialisierten Dienstleistungen entstehen las- das Know-how fehlen würde, ist es insofern sen. Schadsoftwareentwickler vermieten möglich, komplexe, potenziell sehr kost- ihre Software an »affiliates«, die Gewinne spielige und gefährliche Cyber-Angriffe aus- werden geteilt. Spezialisierte Dienstleister zuführen, etwa gegen kritische Infrastruk- bieten mietbare Botnetze zum automati- turen wie Wasserwerke. Denkbar ist auch, sierten Verbreiten von Schadsoftware über dass Staaten solche Dienste anmieten, um Emails an. Gegen Strafverfolgung abgesi- Spuren zu verwischen, und beispielsweise cherte besondere Server (»bullet proof einzelne Dienste bzw. Malwarekomponen- hosts«) werden als »Command & Control«- ten für eigene Cyber-Angriffe verwenden, so Infrastruktur zur Steuerung von Schad- geschehen bei dem NotPetya-Angriff durch software vermietet. Den Zugang zu bereits Russland im Jahr 2017. Auch das wirtschaft- kompromittierten und damit weiter infi- lich sanktionierte Nordkorea setzt vermut- zierbaren Rechnern verkaufen sogenannte lich staatliche Angreifer ein, um mit Ran- »access broker«. Dank grafischer Benutzer- somware seinen Staatshaushalt aufzubes- oberflächen und automatisierter Prozesse sern. Es lässt sich nicht ausschließen, dass lässt sich Ransomware zudem immer ein- andere ökonomisch benachteiligte Staaten facher bedienen. So übernehmen zum Bei- dieses Modell vermehrt imitieren, etwa um spiel Dienstleister arbeitsintensive Prozesse Wirtschaftssanktionen zu unterlaufen. Eben- wie Zahlungsabwicklung, Kundensupport so ist vorstellbar, dass Ransomware als öko- und Lösegeldwäsche in Kryptowährungen. nomische Waffe (»denial of business attack«) Die zunehmende Verbreitung von Kryp- eingesetzt wird mit dem Ziel, Konkurrenz- towährungen wie Bitcoin oder Monero hat unternehmen in Existenznöte zu bringen. wiederum einen großen Einfluss auf die Cyber-Kriminalität. Derzeit werden rund Sozioökonomische Dimension 98 % aller Ransomware-Lösegelder in Bit- coin bezahlt. Während derlei Zahlungen Dass Ransomware momentan so viel Erfolg in den 2000er Jahren noch über obskure hat, ist auch Folge des Fachkräftemangels und umständliche Dienstleister abgewickelt in der IT-Sicherheitsbranche. Laut einer Stu- wurden, existiert heute mit Kryptowäh- die von Trend Micro (2019) fehlen in 56 % rungen eine einfache, weit verbreitete und der deutschen Unternehmen solche Fach- SWP-Aktuell 56 August 2021 3
kräfte. Europaweit sind 168.000 Stellen un- rung schützen. Die USA beschuldigen Russ- besetzt, etwas weniger als in den Jahren land mittlerweile offen, ein solcher »cyber zuvor. Dieser Mangel führt zu einem An- safe haven« zu sein; denn russische Nach- stieg der Löhne für Expertinnen und Exper- richtendienste pflegen angeblich Beziehun- ten, mit der Folge, dass sich viele kleinere, gen mit Cyber-Kriminellen und kooperieren aber kritische Organisationen kein spezia- teils auch direkt mit ihnen. Unter russisch- lisiertes IT-Sicherheitspersonal für präven- sprachigen Cyber-Kriminellen gilt seit Jah- tive Schutzmaßnahmen gegen Ransomware ren eine Art Kodex, keine russischen Ziele leisten können. anzugreifen, sondern sich auf westliche Der Mangel ist ein Problem nicht nur bei Staaten zu konzentrieren. Andere autori- der Prävention, sondern auch bei der Reak- täre Staaten profitieren ebenfalls von hei- tion. Es gibt nicht genügend »Incident Re- mischen Cyber-Kriminellen und lassen sie sponder«, die helfen können, von Ransom- daher unbehelligt gewähren: Staaten setzen ware befallene Systeme wiederherzustellen. diese stellvertretend in ihren Cyber-Opera- Existierende Dienstleister sind schnell aus- tionen »unter falscher Flagge« ein. So kön- gelastet, wenn eine neue Ransomware- nen sie plausibel die eigene Beteiligung Welle gleichzeitig viele potenzielle Kunden abstreiten. Kriminelle haben die Möglich- erfasst. Sie müssen dann unangenehme keit, dem Staat direkt oder eher indirekt »Cyber-Triage« praktizieren. Sind also viele auf Auftragsbasis zuzuarbeiten. In den ent- Organisationen parallel betroffen, lässt sich sprechenden Regionen müssen sie nicht mit im Zweifelsfall nicht allen rechtzeitig hel- Strafverfolgung rechnen. Oftmals existieren fen. Das kann im schlimmsten Fall kaska- auch keine Auslieferungsabkommen mit dierende Effekte produzieren. westlichen Staaten. Während also einerseits ein Mangel an Ransomware ist also nicht nur ein tech- IT-Sicherheitspersonal herrscht, gibt es nisches, sondern auch ein soziales und wirt- andererseits immer mehr Angreifer. Laut schaftliches Problem, das mit zunehmender einer Studie von Carbon Black ist die Zahl globaler Ungleichheit und fortschreitender der Akteure in der Ransomware-Unter- digitaler Vernetzung eher größer als kleiner grundökonomie in den letzten Jahren rapide werden dürfte. gewachsen. Mittels Ransomware kann man schnell reich werden, was insbesondere für Kriminelle in Regionen mit geringen Ent- Technische Maßnahmen wicklungschancen attraktiv ist. Ransom- ware-Gruppen rekrutieren aktiv und global Bisherige staatliche Versuche, Ransomware IT-Fachkräfte, denen sie teils höhere Ein- zu bekämpfen, sind vorwiegend techni- kommen bieten als der legale Markt. scher Natur. Diverse Cyber-Behörden wie Manche Forschungsergebnisse deuten das Bonner Bundesamt für Sicherheit in der darauf hin, dass Cyber-Kriminalität mit Informationstechnik (BSI) oder die Cyber- dem sozioökonomischen Status korreliert: security & Infrastructure Security Agency Insbesondere in sozioökonomisch schwa- (CISA) in den USA informieren seit Jahren chen Regionen und Ländern mit guten über bekannte und etablierte »best prac- Bildungssystemen, in denen gleichzeitig die tices« zur Prävention. Diese umfassen: Staatlichkeit schwach ausgeprägt ist, finden technische Maßnahmen wie Patch- und sich häufig Cyber-Kriminelle. Korruption Schwachstellenmanagement in IT-Abtei- und fehlendes investigatives Know-how auf lungen, die Systeme so up to date halten; staatlicher Seite tragen zudem oft dazu bei, Netzwerkmonitoring und Detektion, die dass lokale Strafverfolger das Problem ent- alle Systeme im Netzwerk sichtbar machen weder nicht sehen können oder darüber und Anomalien erkennen lassen; das Vor- hinwegsehen, bei aufgehaltener Hand. Folg- halten dezentraler, regelmäßiger »off-site«- lich werden diese Staaten zum sicheren Backups, die nicht mit operativen Systemen Hafen für Kriminelle, die sie vor Ausliefe- verbunden sind, um deren Infektion zu ver- SWP-Aktuell 56 August 2021 4
meiden; segmentierte und isolierte Netz- ventionsmaßnahmen aus und passiert werk-Topografien, die verhindern, dass Mal- lange Zeit nichts, stellt sich rasch die Frage, ware sich ungehindert in einer Firma aus- ob diese Summen nicht eingespart werden breiten kann; Zugangskontrollmanage- können. Entscheiderinnen und Entschei- ment, das nur denjenigen Zugriff auf admi- dern fehlt auch oft das Bewusstsein dafür, nistrative Funktionen erlaubt, wenn diese dass für IT-Sicherheit eine spezifische Aus- akut gebraucht werden; das Abschalten bildung oder Schulung und Fachwissen unnötiger Wartungsverbindungen wie das nötig sind, woran es dem eigenen IT-Perso- Remote Desktop Protocol; das Einrichten nal vielfach mangelt. einer Zwei-Faktor-Authentifizierung bei Abgesehen von den Defiziten bei Präven- Diensten, die über das Internet erreichbar tionsmaßnahmen wäre es darüber hinaus sind (Mail, Clouds etc.); »allow-listing« von erforderlich, dass Organisationen Notfall- Anwendungen, was das Starten unerlaubter strategien und Recovery-Pläne entwickeln. Schadsoftware in Anhängen unterbindet; Das würde die Cyber-Resilienz erhöhen. regelmäßige Trainings wie Email-Hygiene Reaktionspläne müssen methodisch durch- und Awareness, die Nutzerinnen und Nut- dacht sein und verschiedene Szenarien zer dazu anhalten, nicht auf verdächtige bzw. Ausfälle diverser Systeme antizipieren: Anhänge zu klicken. Wie dämmt man die Verbreitung von Diese Maßnahmen sind zwar hinlänglich Schadsoftware im Netzwerk ein und schützt bekannt, werden meist aber von Organisa- Systeme, die vielleicht noch nicht betroffen tionen nicht befolgt oder gar fehlerhaft sind? Wie sichert man Spuren für eine spä- umgesetzt. Viele Unternehmen – das gilt tere forensische Analyse? Wie dokumen- inzwischen vielfach auch für öffentliche tiert man Entscheidungen, die im Notfall- Verwaltungen, Universitäten oder Kran- modus getroffen werden, im Nachgang aber kenhäuser – machen diese grundlegenden noch rekonstruierbar sein sollen? Hausaufgaben nicht. Dafür gibt es vielerlei Außerdem muss es eine Backup- und Gründe. Kosten sind ein Faktor, fehlendes Wiederherstellungsstrategie geben. Denn Problembewusstsein bei Entscheidern ein das Einspielen von Backups in großen, weiterer. Noch immer sind die Ausgaben eventuell global verteilten IT-Umgebungen für IT-Sicherheit zu gering. Laut einer Um- ist ein komplexes Unterfangen. Dies kann frage des Branchenverbands Bitkom geben aufgrund großer Datenmengen sehr lange nur rund 31 % der deutschen Unternehmen dauern, wahrscheinlich ist nach der Back- nach dem empfohlenen Richtwert rund up-Einspielung auch hoher Administrations- 20 % ihrer IT-Haushaltsmittel für IT-Sicher- aufwand zu treiben, um kleinere Fehler heit aus. Nicht selten wird immer noch zu beheben. Deswegen sollten derlei Reak- fälschlich angenommen, dass die eigene tionspläne regelmäßig eingeübt werden. Organisation nicht interessant genug ist Zur Notfallplanung gehört auch eine und darum nicht betroffen sein wird. Folg- Strategie für die Kommunikation nach in- lich sind viele IT-Abteilungen nicht angemes- nen und außen. Wie erreicht man IT-Perso- sen finanziert und unterbesetzt. Häufig wer- nal, das eventuell im Urlaub oder Wochen- den die IT-Arbeitsstunden und -Personal- ende ist? Cyber-Angriffe korrelieren mit stellen vollständig für den »Desk Support« Feiertagen. Wie geht man mit Medienanfra- und den Betrieb von IT-Systemen verwendet. gen um, die zu erwarten sind? Was kom- Für die präventive Vorsorge und die Ent- muniziert man den Kunden? Ferner sind wicklung von Notfallstrategien fehlen häu- Kontinuitätspläne erforderlich, die defi- fig Zeit und Geld, die investiert werden nieren, welche grundlegenden Organisa- müssten, um mit immer besser werdenden tionsfunktionen im Minimalbetrieb auf- Angreifern Schritt zu halten. IT-Sicherheit rechtzuerhalten sind, nachdem es zu einem hat wie Gesundheitspolitik oder Katastro- Befall durch Ransomware gekommen ist. phenschutz mit dem Präventionsparadox Vielen Unternehmen würde der wirtschaft- zu kämpfen: Gibt man Millionen für Prä- liche Bankrott drohen, wenn für Monate SWP-Aktuell 56 August 2021 5
Buchungssysteme oder Dienstleistungen für gence«-Verfahren angewendet (vgl. SWP- die Kundschaft nicht mehr funktionieren. Aktuell 28/2019). Eine allgemeine politische Verpflichtung Darüber hinaus werden Zahlungsströme zu elementaren Schutzmaßnahmen gibt in den Blick genommen. Bisher fehlt ein es indes nicht. Lediglich Betreiber von Infra- Überblick, an wen bzw. an welche Bitcoin- strukturen, die für die Versorgung hoch- Konten Unternehmen in den USA ihre Löse- gradig kritisch sind, müssen bestimmte »tech- geldzahlungen entrichten, was die Nach- nische und organisatorische Maßnahmen« verfolgung erschwert. Finanztransaktionen (nach ISO 2700X) treffen. Die breite Masse über Bitcoin werden mittels Blockchain- der kleinen und mittelständischen Unter- Technologie gespeichert und sind daher im nehmen muss zwar Brandschutz-, Daten- Prinzip nachverfolgbar. Diesen Umstand schutz- und Gesundheitsschutzpläne vor- will sich auch Australien zunutze machen, halten; IT-Schutz und Vorsorgepläne sind in wo kürzlich ein Entwurf für ein Gesetz vor- Deutschland aber nicht weithin verpflich- gestellt wurde, das Unternehmen verpflich- tend. Daher sollte über gesetzlich verpflich- ten soll, etwaige Ransomware-Zahlungen an tende Notfall- und Vorsorgestrategien nach- das australische Cyber Security Centre zu gedacht werden, die sektorenspezifisch an- melden. In den USA soll überdies eine neue gelegt bzw. an der Unternehmensgröße ori- öffentlich-private Partnerschaft zwischen entiert sind. Ein IT-Sicherheitsfonds nach Industrie und Finanzministerium Krypto- australischem Vorbild könnte kleinere Orga- Zahlungsströme in Echtzeit überwachen. nisationen entlasten, die sich solche IT-Si- Das US-Finanzministerium entwickelt cherheitsmaßnahmen kaum leisten können. zudem neue Regularien für Betreiber von Krypto-Währungsexchanges – jenen Stel- len, die digitale in analoge Währungen Maßnahmen anderer Länder umtauschen – und für »over the counter trading desks«, die auf diese Weise an Die USA verlassen sich bei der Bekämpfung bestehende Anti-Geldwäscheverfahren der von Ransomware mittlerweile nicht mehr analogen Finanzindustrie gebunden wer- nur auf technisch-präventive Maßnahmen. den sollen. Dazu gehören »know your cus- Präsident Joe Biden hat diesen Kampf poli- tomer«-Prozesse, die Exchanges dazu ver- tisch ähnlich hoch priorisiert wie die Terro- pflichten, die Identitäten von Konteninha- rismusbekämpfung. Im Juli 2021 wurde bern zu überprüfen, sowie das Befolgen von eine behördenübergreifende Ransomware Anti-Geldwäsche- bzw. Antiterror-Finanzie- Task Force gegründet, die das Problem mit rungsgesetzen. Außerdem sollen Krypto- einem »whole of government«-Ansatz an- Exchanges künftig Auszahlungen ab 10.000 gehen soll. Die zentral koordinierte Task US-Dollar an Aufsichtsbehörden melden. Force erfasst alle Ransomware-Vorfälle Das Problem ist, dass diese Regelungen und -Ermittlungen in den USA und bün- nur heimische Exchanges betreffen, nicht delt die wichtigsten Informationen, um ein aber ähnliche Services im Ausland. Wahr- vollständiges Lagebild zu erstellen. Dazu scheinlich werden Kriminelle dann auch gehören Informationen über Angreifer, die auf andere Kryptowährungen wie Monero genutzte Schadsoftware, die dabei verwen- ausweichen, die schwerer zu überwachen dete Infrastruktur (insbesondere Botnetze sind. Insofern kann das Ziel nur sein, Trans- und Bullet-Proof-Hosting-Dienste), über aktionen zu erschweren, die sich vollstän- Opfer und Lösegeldtransaktionen. Weiter- dig nie werden verhindern lassen. In Groß- hin werden Informationen zur Untergrund- britannien wird unterdessen die Idee dis- ökonomie gesammelt, konkret zu den Fo- kutiert, Ransomware-Zahlungen Betroffe- ren im Darknet, zu Ransomware-as-service- ner gänzlich zu verbieten, um den Krimi- Plattformen und zu Blogs von Ransom- nellen die Geschäftsgrundlage zu entzie- waregruppen. Dabei werden auch nachrich- hen. Der Vorschlag ist insofern kontrovers, tendienstliche und »Open Source Intelli- als sich nicht wenige Unternehmen vor SWP-Aktuell 56 August 2021 6
der Entscheidung sehen, entweder die Löse- Ransomware-Aktivitäten auf ihrem Terri- geldforderung zu erfüllen oder Insolvenz torium dulden. Dabei soll die ganze Band- anzumelden. Auch wenn in der IT-Sicher- breite außenpolitischer Maßnahmen ge- heitsindustrie die Maxime gepredigt wird, nutzt werden, inklusive »naming & sham- »zahle nicht das Lösegeld«, weil damit das ing« in öffentlichen Foren, die Androhung, kriminelle Ökosystem und die Entwicklung finanzielle Unterstützung und Entwick- neuer Angriffstechniken unterstützt wer- lungshilfe zu kürzen, bis hin zu Wirtschafts- den, ist sie häufig nicht praktikabel. sanktionen. Wo Ermittlungskapazitäten fehlen, sollten fortschrittlichere Staaten unterstützend eingreifen und »capacity Multilaterale Maßnahmen building« in Drittländern betreiben, um Strafverfolger zu wirksamem Handeln zu Da Regularien für Kryptowährungsdienst- befähigen. Flankierend bietet das US-Außen- leister national nur begrenzt wirksam sind, ministerium jenen als Anreiz Belohnungen müssen sie international in multilateralen von bis zu 10 Millionen US-Dollar an, Foren durchgesetzt werden. Beim G7-Tref- die US-Behörden Tipps zur Identifizierung fen im Sommer 2021 wurde das Thema staatlich gestützter Cyber-Angriffe auf kri- erstmals angesprochen. Allerdings lag der tische Infrastrukturen geben. Hier wird Fokus vor allem darauf, dass Staaten es exemplarisch und in vorbildlicher Weise nicht wissentlich dulden sollten, Kriminelle ein breites Instrumentarium staatlichen von ihrem Territorium aus operieren zu Handelns eingesetzt. Der erhöhte Druck der lassen. Sie sollten vielmehr ihrer Sorgfalts- US-Regierung scheint zumindest momentan verantwortung nachkommen und die kri- zu wirken: Nachdem US-Präsident Biden minellen Machenschaften stoppen und das Thema bei Russlands Präsident Putin verfolgen, sofern sie von ihnen wissen oder angesprochen hatte, gingen die Aktivitäten von anderen Staaten Hinweise bekommen. der Ransomware-Gruppe REvil zurück. Ob Auf diese Norm verantwortlichen Staaten- dies aber an den bilateralen Konsultationen verhaltens hatten sich die UN-Mitglieder lag oder andere Gründe hatte, wie etwa vor einigen Jahren geeignet, allerdings ist eine verborgene Offensive von U.S. Cyber sie nicht verbindlich, sondern nur freiwillig Command, ist unklar. Außerdem muss sich einzuhalten. Die Kooperation bei der Regu- erst zeigen, ob die Gruppe ihre Aktivitäten lierung von Digitalwährungen stand beim dauerhaft eingeschränkt hat oder nur kurz- G7-Treffen nicht im Vordergrund, wird aber fristig die Füße stillhält, bis der öffentliche im Rahmen der Financial Action Task Force Druck nachgelassen hat. ein Thema sein, die internationale Stan- Darüber hinaus sollten Bemühungen dards und Instrumente zur Kontrolle vir- intensiviert werden, Russland und die Mit- tueller Währungen entwickeln soll. glieder der Gemeinschaft Unabhängiger Krpytowährungsdienste sind jedoch nur Staaten (GUS) zu bewegen, der völkerrecht- ein Teil des Problems. Ein anderer sind die lich bindenden Budapest-Konvention gegen Auswüchse der Ransomware-Untergrund- Cyber-Kriminalität beizutreten, die seit ökonomien, zu deren Einhegung die Staa- 2004 in Kraft ist und von 46 Staaten ratifi- ten einen strukturierten Ansatz entwickeln ziert wurde. Diese Konvention regelt zum sollten, indem sie sich etwa verpflichten, Beispiel Fragen länderübergreifender Straf- keine Bullet-Proof-Hosting-Dienste auf ihrem verfolgung und den Austausch elektroni- Territorium zuzulassen bzw. strafrechtlich scher Beweismittel bei Ermittlungen gegen gegen sie vorzugehen. Da Anti-Geldwäsche- Cyber-Kriminalität. Russland verweigerte prozesse allerlei Schlupflöcher bieten, hat seinerzeit den Beitritt, weil es in den Be- eine Gruppe internationaler Forscher auf stimmungen eine Einmischung in innere dem World Economic Forum 2021 einen Angelegenheiten sah. Seitdem versucht das »Zuckerbrot und Peitsche«-Ansatz vorge- Land auf UN-Ebene, die Budapest-Konven- schlagen, um auf Staaten einzuwirken, die tion durch ein eigenes Cybercrime-Regime SWP-Aktuell 56 August 2021 7
zu ersetzen, das diverse Maßnahmen zur Operationen scheinen darum eher für die Zensur von Internetinhalten ebenso vor- Strafverfolgung von Nutzen zu sein. sieht wie Einschränkungen eines freien, glo- Cyber-Operationen, die der Immuni- balen Internets. Für demokratische Staaten sierung (»Zwangsimpfen«) von mit Schad- ist das eine rote Linie, die nicht überschrit- software infizierten Endgeräten der Opfer ten werden sollte. Da auch die Budapest- dienen sollen, wie sie im Falle des Emotet- Konvention Defizite hat und über Reformen Botnetzes diskutiert wurden, sind risiko- nachgedacht wird, sollte Russland hier mit reich. Es ist nie völlig klar, welche Kollate- an den Tisch geholt werden. Gleichzeitig ralschäden ein Eingriff in die Integrität von gilt es Anreize zu schaffen, dass Russland Systemen anrichten kann. Cyber-Gegen- © Stiftung Wissenschaft einem reformierten Vertrag beitritt, an schläge sind also kein Wundermittel und und Politik, 2021 dessen Reform es mitwirken könnte. können allenfalls begleitend bei Straf- Alle Rechte vorbehalten verfolgungsermittlungen eine Rolle spielen. Dazu müssen sie in Kombination mit den Das Aktuell gibt die Auf- fassung des Autors wieder. Offensive Maßnahmen? angesprochenen anderen Instrumenten in eine umfassende Strategie eingebettet sein. In der Online-Version dieser Nicht zuletzt stellt sich die Frage, inwiefern Nationale Ad-hoc-Alleingänge sind dabei Publikation sind Verweise eigene offensive Cyber-Maßnahmen gegen wenig hilfreich, da Cyber-Operationen im auf SWP-Schriften und die Ransomware-Kommandoinfrastruktur schlimmsten Fall die Ermittlungsbemühun- wichtige Quellen anklickbar. gerichtet werden können und sollten. Das gen anderer Länder torpedieren. Insofern SWP-Aktuells werden intern U.S. Cyber Command nutzte Cyber-Opera- muss über international abgestimmte einem Begutachtungsverfah- tionen, um die Infrastruktur des Trickbot- Mechanismen nachgedacht werden. Hier- ren, einem Faktencheck und Botnetzes temporär zu stören. Das gab An- für sind eine sorgfältige und systematische einem Lektorat unterzogen. lass zu einer Diskussion darüber, ob eine Analyse potenzieller Schadenseffekte und Weitere Informationen Militarisierung dieses gesamtgesellschaft- gegebenenfalls die Aufstellung von Mitiga- zur Qualitätssicherung der lichen Problems der richtige Ansatz ist. tions- bzw. Kontingenzplänen zwingend SWP finden Sie auf der SWP- Website unter https://www. Militärische Maßnahmen sollten immer die erforderlich. Für deutsche Behörden stellen swp-berlin.org/ueber-uns/ letzte Wahl bleiben, und vor ihrem Einsatz sich bei einem solchen Vorgehen diverse qualitaetssicherung/ sollte ihre Notwendigkeit sorgfältig geprüft grundrechtliche Fragen. werden, so der US-Politologe Jason Healey. SWP Denn notwendig dürften sie nur in nur sehr Stiftung Wissenschaft und Politik wenigen Fällen sein, etwa bei direkter In- Fazit Deutsches Institut für volvierung eines anderen Staates. Internationale Politik und Darüber hinaus ist zu klären, was ein Die nächste Bundesregierung sollte prüfen, Sicherheit Gegenschlag bezwecken soll. Wenn das Ziel welche der hier diskutierten Maßnahmen ist, Ransomware-Infrastruktur dauerhaft auch in Deutschland umgesetzt werden Ludwigkirchplatz 3–4 auszuschalten, dürfte dies kaum zu errei- könnten. Sehr wichtig wäre, dass das Thema 10719 Berlin Telefon +49 30 880 07-0 chen sein, wie das Trickbot-Beispiel zeigt: höher priorisiert und geeignete Konzepte Fax +49 30 880 07-100 Nur wenige Wochen nach dem Gegenschlag und Maßnahmen gesamtstaatlich koordi- www.swp-berlin.org waren die Kriminellen mit einem neuen niert werden. Dazu braucht es ein Lagebild swp@swp-berlin.org Botnet wieder aktiv. Das Untergrundöko- über die Untergrundökonomie und die Zah- system ist mit anderen Worten überaus lungsströme. Darüber hinaus ist die Unter- ISSN (Print) 1611-6364 ISSN (Online) 2747-5018 effektiv und resilient, Ausweichmöglich- stützung multilateraler Initiativen sinnvoll, doi: 10.18449/2021A56 keiten lassen sich sehr schnell wiederauf- die gegen das Untergrundökosystem vor- bauen oder anmieten. Cyber-Spionage- gehen; dazu gehört etwa die Finanzregulie- operationen, mit denen Kommandoinfra- rung von Kryptowährungsdiensten. All dies struktur infiltriert werden sollen, können wird aber nur begrenzte Wirksamkeit ent- in Einzelfällen aber Informationen über falten, solange Organisationen in Deutsch- verwendete Schadsoftware oder Betreiber land nicht stärker verpflichtet bzw. dabei bzw. Servicedienstleister liefern, sofern sie unterstützt werden, ihre IT-Sicherheits- ihre Spuren nicht gut verwischen. Solche hausaufgaben zu machen. SWP-Aktuell 56 Dr. Matthias Schulze ist Stellvertretender Leiter der Forschungsgruppe Sicherheitspolitik. August 2021 8
Sie können auch lesen