Ransomware - Stiftung Wissenschaft und Politik
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
NR. 56 AUGUST 2021 Einleitung Ransomware Technische, nationale und multilaterale Gegenmaßnahmen Matthias Schulze Während Ransomware-Angriffe immer professioneller werden, haben viele Organisa- tionen grundlegende IT-Sicherheitshausaufgaben noch immer nicht gemacht. Auf- grund der effektiven Untergrundökonomie der Cyber-Kriminellen ist dem Problem auch nicht mehr allein mit technischen Maßnahmen beizukommen. Die neue Bundes- regierung sollte es mit erhöhter Priorität und einer gesamtstaatlichen Perspektive angehen. Neben Präventionsmaßnahmen sollten auch für Organisationen in der Breite Pläne zur Reaktion und Wiederherstellung erstellt werden. Außerdem ließen sich Instrumente nutzen, die etwa bei der Bekämpfung von organisierter Kriminali- tät, Terrorismus oder Finanzkriminalität und sogar in der Entwicklungshilfe ein- gesetzt werden. Schließlich müssten multilaterale Initiativen zur Eindämmung von Cyber-Kriminalität und Geldwäsche mit Kryptowährungen gestärkt werden. Ransomware ist eine Form von Schadsoft- erfolgreich attackiert. IT-Experten warnen ware, die ein betroffenes System verschlüs- daher, dass es nur eine Frage der Zeit sei, selt und bewirkt, dass sich Daten nicht wann eine Organisation betroffen sein mehr verwenden lassen. Kriminelle verspre- wird. Zwar gibt es Ransomware schon seit chen gegen die Zahlung eines Lösegelds in den 1980er Jahren, doch haben eine Reihe Kryptowährungen die Freigabe der Daten. von Dynamiken dazu geführt, dass sich das Für viele Organisationen bedeutet ein Ver- Problem heute in Qualität und Quantität lust der Datenverfügbarkeit oft das unfrei- dramatisch verschärft hat. willige Ende des operativen Betriebs und verursacht somit hohe wirtschaftliche Kos- ten. Der »State of Ransomware 2021«- Problemlage und aktuelle Bericht der Firma Sophos zeigt, dass die Dynamiken Hälfte von 5.400 weltweit befragten Unter- nehmen bereits betroffen war. Laut einer Die Corona-Pandemie und die Verlagerung Befragung von 200 Firmen durch die Inter- ins Home-Office haben weltweit IT-Systeme national Data Corporation (IDC) wurden verwundbarer gemacht. Organisationen schon 78 % der deutschen Unternehmen haben hastig mobiles Arbeiten ermöglicht
und ihre sensiblen internen Netzwerke für und die Mittel für die Wiederherstellung von
ihre daheim tätigen Mitarbeiterinnen und Infrastruktur aufzubringen. Die Umsatz-
Mitarbeiter geöffnet. Dieser Fernzugriff auf einbußen belaufen sich im Schnitt auf das
Systeme, etwa zur Administration, ist heute Fünf- bis Zehnfache der Ransomzahlungen.
neben Emails und Schwachstellen in Firmen- Angreifer sind zudem agiler und schnel-
VPN ein vorherrschender Angriffsvektor. ler geworden als die meist schwerfälligen
Die jüngste massive Umstrukturierung Bürokratien und IT-Abteilungen, die oft-
der IT wurde oft nicht mit zusätzlichen IT- mals Geld für neue Abwehrmaßnahmen
Supportstellen und Schutzmaßnahmen langwierig einfordern müssen. Laut einer
begleitet. Die Folge ist ein massiver Anstieg Studie von 2018 schützen traditionelle
der Ransomware-Fälle (um 485 % gegenüber Antivirensysteme nicht mehr gegen die
2019 laut Bitdefender). meisten Ransomware-Angriffe. Denn Ran-
Während vor einigen Jahren undifferen- somware-Gruppen lernen von ihrer Kon-
zierte Angriffe gegen Opportunitätsziele kurrenz und auch von staatlichen Cyber-
mit geringem IT-Sicherheitsniveau domi- Angriffstechniken und verbessern so ihre
nierten, geht der Trend heute zum »big eigenen Operationen. Zudem reinvestieren
game hunting«. Kritische Infrastrukturen sie die erpressten Lösegeldsummen in
und größere Unternehmen wie Öl-Pipeline- immer neue und noch komplexere Angriffs-
Betreiber, Supermarktketten, aber auch IT- techniken (oder subventionieren damit
Unternehmen wie Acer werden systema- andere kriminelle Praktiken wie Drogen-
tisch angegriffen. Dazu werten Kriminelle handel). Nimmt man in einem hypotheti-
Quartalsberichte aus und errechnen die zu schen Beispiel die Lösegeldgewinne der
fordernden Lösegelder, die bewusst geringer Angreifergruppe REvil von rund 40 Millio-
sind als die geschätzten Kosten zur Wieder- nen US-Dollar als Bezugswert, die sich in
herstellung der IT betroffener Unterneh- neue Angriffswerkzeuge investieren lassen,
men, um die Anreize für die Bezahlung zu würde diese Summe den IT-Haushalt der
erhöhen. Oft sind auch mittelständische meisten mittleren und größeren Unter-
Unternehmen betroffen, die umsatzstark, nehmen übersteigen. Mit so hohen Beträ-
aber vielfach nicht kritisch genug sind, als gen können Angreifer traditionelle und
dass Angreifer staatliche Konsequenzen zu häufig schnell veraltete Schutzmaßnahmen
befürchten hätten. Kleinere, kommunale der Verteidiger, die über ein weitaus gerin-
kritische Infrastrukturen wie Wasserwerke geres IT-Sicherheitsbudget verfügen, pro-
sind besonders verwundbar, da ihnen nicht blemlos ausmanövrieren. Ein Beispiel sind
selten ein angemessenes IT-Sicherheits- »supply chain«-Angriffe. Diese richten
budget fehlt. sich gegen Dienstleister, die ihren Klienten
Waren vor einigen Jahren Zahlungen etwa Netzwerk- oder Software-Management
geringerer Lösegeldsummen ein verkraft- bieten. Diese Form von Angriffen wurde vor
bares Ärgernis für die meisten Unterneh- wenigen Jahren noch weitgehend exklusiv
men, sind Angreifer inzwischen skrupel- von staatlichen Nachrichtendiensten ge-
loser geworden und verlangen Millionen- nutzt, wird aber zunehmend auch von Kri-
beträge – und erhalten sie auch. Die Grup- minellen nachgeahmt.
pe REvil forderte von der IT-Firma Kaseya Ein weiteres Indiz für die fortschreitende
im Juni 2021 rekordverdächtige 70 Millio- Professionalisierung ist die Ausnutzung
nen Dollar Lösegeld. Durchschnittliche Löse- komplexerer Sicherheitslücken. Während
geldsummen liegen mittlerweile bei rund Ransomware in den vergangenen Jahren
300.000 US-Dollar. Dies kann kleinere vorwiegend bei bekannten, von Betroffenen
Unternehmen in Existenznöte bringen, ins- noch nicht per Update behobenen Sicher-
besondere wenn sich derlei Vorfälle binnen heitslücken ansetzte, kaufen Angreifer
kurzer Zeit wiederholen. Für solche Unter- mittlerweile auch Informationen über
nehmen ist es schwieriger, die damit ver- sogenannte 0-Day-Sicherheitslücken auf
bundenen Umsatzeinbußen zu verkraften Schwarzmärkten ein bzw. haben die Fähig-
SWP-Aktuell 56
August 2021
2keit, diese selber zu entwickeln. Damit halbwegs sichere digitale Zahlungsform. Die
können sie auch Ziele angreifen, die durch bisherigen, weitgehend unregulierten Kryp-
ein hohes Maß an IT-Sicherheit geschützt towährungen erleichtern Geldwäsche, einige
sind, welche gegen 0-Days aber nichts aus- von ihnen, insbesondere Monero, erschwe-
zurichten vermag. Einige Kriminelle operie- ren die Nachverfolgung von Finanzströmen.
ren mittlerweile auf einem ähnlichen Pro- Hinzu kommt, dass die Preise enorm
fessionalitätsniveau wie einige Staaten. gefallen sind. Eine Ransomwarekampagne
Halfen vor wenigen Jahren noch Backups kann schon für wenige hundert bis tausend
halbwegs zuverlässig gegen Ransomware, Euro lanciert werden, so eine Studie von
da dank vorhandener Datenkopie der Er- Deloitte. Dagegen kosten defensive Maß-
pressungsversuch ins Leere ging, verschlüs- nahmen der IT-Sicherheit oft bedeutend
seln moderne Angreifer heute nicht nur mehr, im Schnitt 0,48 % des Jahresumsatzes
Daten, sondern stehlen sie auch und drohen bzw. rund 7 % der IT-Etats von Unterneh-
mit Veröffentlichung (»double extortion«). men. Angreifer sind also allein schon auf-
grund geringer Kosten im Vorteil.
Marktfaktoren und Proliferation Die einfache Verfügbarkeit führt zu
einer Proliferation von Ransomware: Dank
Die Professionalisierung folgt einer markt- niedriger Preise können auch weniger pro-
orientierten Entwicklung. Ransomware als fessionelle Kriminelle mächtige Angriffs-
äußerst profitables Geschäftsmodell hat werkzeuge einkaufen und einsetzen. Einer
eine ganze Untergrundökonomie mit spe- Vielzahl von Akteuren, denen andernfalls
zialisierten Dienstleistungen entstehen las- das Know-how fehlen würde, ist es insofern
sen. Schadsoftwareentwickler vermieten möglich, komplexe, potenziell sehr kost-
ihre Software an »affiliates«, die Gewinne spielige und gefährliche Cyber-Angriffe aus-
werden geteilt. Spezialisierte Dienstleister zuführen, etwa gegen kritische Infrastruk-
bieten mietbare Botnetze zum automati- turen wie Wasserwerke. Denkbar ist auch,
sierten Verbreiten von Schadsoftware über dass Staaten solche Dienste anmieten, um
Emails an. Gegen Strafverfolgung abgesi- Spuren zu verwischen, und beispielsweise
cherte besondere Server (»bullet proof einzelne Dienste bzw. Malwarekomponen-
hosts«) werden als »Command & Control«- ten für eigene Cyber-Angriffe verwenden, so
Infrastruktur zur Steuerung von Schad- geschehen bei dem NotPetya-Angriff durch
software vermietet. Den Zugang zu bereits Russland im Jahr 2017. Auch das wirtschaft-
kompromittierten und damit weiter infi- lich sanktionierte Nordkorea setzt vermut-
zierbaren Rechnern verkaufen sogenannte lich staatliche Angreifer ein, um mit Ran-
»access broker«. Dank grafischer Benutzer- somware seinen Staatshaushalt aufzubes-
oberflächen und automatisierter Prozesse sern. Es lässt sich nicht ausschließen, dass
lässt sich Ransomware zudem immer ein- andere ökonomisch benachteiligte Staaten
facher bedienen. So übernehmen zum Bei- dieses Modell vermehrt imitieren, etwa um
spiel Dienstleister arbeitsintensive Prozesse Wirtschaftssanktionen zu unterlaufen. Eben-
wie Zahlungsabwicklung, Kundensupport so ist vorstellbar, dass Ransomware als öko-
und Lösegeldwäsche in Kryptowährungen. nomische Waffe (»denial of business attack«)
Die zunehmende Verbreitung von Kryp- eingesetzt wird mit dem Ziel, Konkurrenz-
towährungen wie Bitcoin oder Monero hat unternehmen in Existenznöte zu bringen.
wiederum einen großen Einfluss auf die
Cyber-Kriminalität. Derzeit werden rund Sozioökonomische Dimension
98 % aller Ransomware-Lösegelder in Bit-
coin bezahlt. Während derlei Zahlungen Dass Ransomware momentan so viel Erfolg
in den 2000er Jahren noch über obskure hat, ist auch Folge des Fachkräftemangels
und umständliche Dienstleister abgewickelt in der IT-Sicherheitsbranche. Laut einer Stu-
wurden, existiert heute mit Kryptowäh- die von Trend Micro (2019) fehlen in 56 %
rungen eine einfache, weit verbreitete und der deutschen Unternehmen solche Fach-
SWP-Aktuell 56
August 2021
3kräfte. Europaweit sind 168.000 Stellen un- rung schützen. Die USA beschuldigen Russ-
besetzt, etwas weniger als in den Jahren land mittlerweile offen, ein solcher »cyber
zuvor. Dieser Mangel führt zu einem An- safe haven« zu sein; denn russische Nach-
stieg der Löhne für Expertinnen und Exper- richtendienste pflegen angeblich Beziehun-
ten, mit der Folge, dass sich viele kleinere, gen mit Cyber-Kriminellen und kooperieren
aber kritische Organisationen kein spezia- teils auch direkt mit ihnen. Unter russisch-
lisiertes IT-Sicherheitspersonal für präven- sprachigen Cyber-Kriminellen gilt seit Jah-
tive Schutzmaßnahmen gegen Ransomware ren eine Art Kodex, keine russischen Ziele
leisten können. anzugreifen, sondern sich auf westliche
Der Mangel ist ein Problem nicht nur bei Staaten zu konzentrieren. Andere autori-
der Prävention, sondern auch bei der Reak- täre Staaten profitieren ebenfalls von hei-
tion. Es gibt nicht genügend »Incident Re- mischen Cyber-Kriminellen und lassen sie
sponder«, die helfen können, von Ransom- daher unbehelligt gewähren: Staaten setzen
ware befallene Systeme wiederherzustellen. diese stellvertretend in ihren Cyber-Opera-
Existierende Dienstleister sind schnell aus- tionen »unter falscher Flagge« ein. So kön-
gelastet, wenn eine neue Ransomware- nen sie plausibel die eigene Beteiligung
Welle gleichzeitig viele potenzielle Kunden abstreiten. Kriminelle haben die Möglich-
erfasst. Sie müssen dann unangenehme keit, dem Staat direkt oder eher indirekt
»Cyber-Triage« praktizieren. Sind also viele auf Auftragsbasis zuzuarbeiten. In den ent-
Organisationen parallel betroffen, lässt sich sprechenden Regionen müssen sie nicht mit
im Zweifelsfall nicht allen rechtzeitig hel- Strafverfolgung rechnen. Oftmals existieren
fen. Das kann im schlimmsten Fall kaska- auch keine Auslieferungsabkommen mit
dierende Effekte produzieren. westlichen Staaten.
Während also einerseits ein Mangel an Ransomware ist also nicht nur ein tech-
IT-Sicherheitspersonal herrscht, gibt es nisches, sondern auch ein soziales und wirt-
andererseits immer mehr Angreifer. Laut schaftliches Problem, das mit zunehmender
einer Studie von Carbon Black ist die Zahl globaler Ungleichheit und fortschreitender
der Akteure in der Ransomware-Unter- digitaler Vernetzung eher größer als kleiner
grundökonomie in den letzten Jahren rapide werden dürfte.
gewachsen. Mittels Ransomware kann man
schnell reich werden, was insbesondere für
Kriminelle in Regionen mit geringen Ent- Technische Maßnahmen
wicklungschancen attraktiv ist. Ransom-
ware-Gruppen rekrutieren aktiv und global Bisherige staatliche Versuche, Ransomware
IT-Fachkräfte, denen sie teils höhere Ein- zu bekämpfen, sind vorwiegend techni-
kommen bieten als der legale Markt. scher Natur. Diverse Cyber-Behörden wie
Manche Forschungsergebnisse deuten das Bonner Bundesamt für Sicherheit in der
darauf hin, dass Cyber-Kriminalität mit Informationstechnik (BSI) oder die Cyber-
dem sozioökonomischen Status korreliert: security & Infrastructure Security Agency
Insbesondere in sozioökonomisch schwa- (CISA) in den USA informieren seit Jahren
chen Regionen und Ländern mit guten über bekannte und etablierte »best prac-
Bildungssystemen, in denen gleichzeitig die tices« zur Prävention. Diese umfassen:
Staatlichkeit schwach ausgeprägt ist, finden technische Maßnahmen wie Patch- und
sich häufig Cyber-Kriminelle. Korruption Schwachstellenmanagement in IT-Abtei-
und fehlendes investigatives Know-how auf lungen, die Systeme so up to date halten;
staatlicher Seite tragen zudem oft dazu bei, Netzwerkmonitoring und Detektion, die
dass lokale Strafverfolger das Problem ent- alle Systeme im Netzwerk sichtbar machen
weder nicht sehen können oder darüber und Anomalien erkennen lassen; das Vor-
hinwegsehen, bei aufgehaltener Hand. Folg- halten dezentraler, regelmäßiger »off-site«-
lich werden diese Staaten zum sicheren Backups, die nicht mit operativen Systemen
Hafen für Kriminelle, die sie vor Ausliefe- verbunden sind, um deren Infektion zu ver-
SWP-Aktuell 56
August 2021
4meiden; segmentierte und isolierte Netz- ventionsmaßnahmen aus und passiert
werk-Topografien, die verhindern, dass Mal- lange Zeit nichts, stellt sich rasch die Frage,
ware sich ungehindert in einer Firma aus- ob diese Summen nicht eingespart werden
breiten kann; Zugangskontrollmanage- können. Entscheiderinnen und Entschei-
ment, das nur denjenigen Zugriff auf admi- dern fehlt auch oft das Bewusstsein dafür,
nistrative Funktionen erlaubt, wenn diese dass für IT-Sicherheit eine spezifische Aus-
akut gebraucht werden; das Abschalten bildung oder Schulung und Fachwissen
unnötiger Wartungsverbindungen wie das nötig sind, woran es dem eigenen IT-Perso-
Remote Desktop Protocol; das Einrichten nal vielfach mangelt.
einer Zwei-Faktor-Authentifizierung bei Abgesehen von den Defiziten bei Präven-
Diensten, die über das Internet erreichbar tionsmaßnahmen wäre es darüber hinaus
sind (Mail, Clouds etc.); »allow-listing« von erforderlich, dass Organisationen Notfall-
Anwendungen, was das Starten unerlaubter strategien und Recovery-Pläne entwickeln.
Schadsoftware in Anhängen unterbindet; Das würde die Cyber-Resilienz erhöhen.
regelmäßige Trainings wie Email-Hygiene Reaktionspläne müssen methodisch durch-
und Awareness, die Nutzerinnen und Nut- dacht sein und verschiedene Szenarien
zer dazu anhalten, nicht auf verdächtige bzw. Ausfälle diverser Systeme antizipieren:
Anhänge zu klicken. Wie dämmt man die Verbreitung von
Diese Maßnahmen sind zwar hinlänglich Schadsoftware im Netzwerk ein und schützt
bekannt, werden meist aber von Organisa- Systeme, die vielleicht noch nicht betroffen
tionen nicht befolgt oder gar fehlerhaft sind? Wie sichert man Spuren für eine spä-
umgesetzt. Viele Unternehmen – das gilt tere forensische Analyse? Wie dokumen-
inzwischen vielfach auch für öffentliche tiert man Entscheidungen, die im Notfall-
Verwaltungen, Universitäten oder Kran- modus getroffen werden, im Nachgang aber
kenhäuser – machen diese grundlegenden noch rekonstruierbar sein sollen?
Hausaufgaben nicht. Dafür gibt es vielerlei Außerdem muss es eine Backup- und
Gründe. Kosten sind ein Faktor, fehlendes Wiederherstellungsstrategie geben. Denn
Problembewusstsein bei Entscheidern ein das Einspielen von Backups in großen,
weiterer. Noch immer sind die Ausgaben eventuell global verteilten IT-Umgebungen
für IT-Sicherheit zu gering. Laut einer Um- ist ein komplexes Unterfangen. Dies kann
frage des Branchenverbands Bitkom geben aufgrund großer Datenmengen sehr lange
nur rund 31 % der deutschen Unternehmen dauern, wahrscheinlich ist nach der Back-
nach dem empfohlenen Richtwert rund up-Einspielung auch hoher Administrations-
20 % ihrer IT-Haushaltsmittel für IT-Sicher- aufwand zu treiben, um kleinere Fehler
heit aus. Nicht selten wird immer noch zu beheben. Deswegen sollten derlei Reak-
fälschlich angenommen, dass die eigene tionspläne regelmäßig eingeübt werden.
Organisation nicht interessant genug ist Zur Notfallplanung gehört auch eine
und darum nicht betroffen sein wird. Folg- Strategie für die Kommunikation nach in-
lich sind viele IT-Abteilungen nicht angemes- nen und außen. Wie erreicht man IT-Perso-
sen finanziert und unterbesetzt. Häufig wer- nal, das eventuell im Urlaub oder Wochen-
den die IT-Arbeitsstunden und -Personal- ende ist? Cyber-Angriffe korrelieren mit
stellen vollständig für den »Desk Support« Feiertagen. Wie geht man mit Medienanfra-
und den Betrieb von IT-Systemen verwendet. gen um, die zu erwarten sind? Was kom-
Für die präventive Vorsorge und die Ent- muniziert man den Kunden? Ferner sind
wicklung von Notfallstrategien fehlen häu- Kontinuitätspläne erforderlich, die defi-
fig Zeit und Geld, die investiert werden nieren, welche grundlegenden Organisa-
müssten, um mit immer besser werdenden tionsfunktionen im Minimalbetrieb auf-
Angreifern Schritt zu halten. IT-Sicherheit rechtzuerhalten sind, nachdem es zu einem
hat wie Gesundheitspolitik oder Katastro- Befall durch Ransomware gekommen ist.
phenschutz mit dem Präventionsparadox Vielen Unternehmen würde der wirtschaft-
zu kämpfen: Gibt man Millionen für Prä- liche Bankrott drohen, wenn für Monate
SWP-Aktuell 56
August 2021
5Buchungssysteme oder Dienstleistungen für gence«-Verfahren angewendet (vgl. SWP-
die Kundschaft nicht mehr funktionieren. Aktuell 28/2019).
Eine allgemeine politische Verpflichtung Darüber hinaus werden Zahlungsströme
zu elementaren Schutzmaßnahmen gibt in den Blick genommen. Bisher fehlt ein
es indes nicht. Lediglich Betreiber von Infra- Überblick, an wen bzw. an welche Bitcoin-
strukturen, die für die Versorgung hoch- Konten Unternehmen in den USA ihre Löse-
gradig kritisch sind, müssen bestimmte »tech- geldzahlungen entrichten, was die Nach-
nische und organisatorische Maßnahmen« verfolgung erschwert. Finanztransaktionen
(nach ISO 2700X) treffen. Die breite Masse über Bitcoin werden mittels Blockchain-
der kleinen und mittelständischen Unter- Technologie gespeichert und sind daher im
nehmen muss zwar Brandschutz-, Daten- Prinzip nachverfolgbar. Diesen Umstand
schutz- und Gesundheitsschutzpläne vor- will sich auch Australien zunutze machen,
halten; IT-Schutz und Vorsorgepläne sind in wo kürzlich ein Entwurf für ein Gesetz vor-
Deutschland aber nicht weithin verpflich- gestellt wurde, das Unternehmen verpflich-
tend. Daher sollte über gesetzlich verpflich- ten soll, etwaige Ransomware-Zahlungen an
tende Notfall- und Vorsorgestrategien nach- das australische Cyber Security Centre zu
gedacht werden, die sektorenspezifisch an- melden. In den USA soll überdies eine neue
gelegt bzw. an der Unternehmensgröße ori- öffentlich-private Partnerschaft zwischen
entiert sind. Ein IT-Sicherheitsfonds nach Industrie und Finanzministerium Krypto-
australischem Vorbild könnte kleinere Orga- Zahlungsströme in Echtzeit überwachen.
nisationen entlasten, die sich solche IT-Si- Das US-Finanzministerium entwickelt
cherheitsmaßnahmen kaum leisten können. zudem neue Regularien für Betreiber von
Krypto-Währungsexchanges – jenen Stel-
len, die digitale in analoge Währungen
Maßnahmen anderer Länder umtauschen – und für »over the counter
trading desks«, die auf diese Weise an
Die USA verlassen sich bei der Bekämpfung bestehende Anti-Geldwäscheverfahren der
von Ransomware mittlerweile nicht mehr analogen Finanzindustrie gebunden wer-
nur auf technisch-präventive Maßnahmen. den sollen. Dazu gehören »know your cus-
Präsident Joe Biden hat diesen Kampf poli- tomer«-Prozesse, die Exchanges dazu ver-
tisch ähnlich hoch priorisiert wie die Terro- pflichten, die Identitäten von Konteninha-
rismusbekämpfung. Im Juli 2021 wurde bern zu überprüfen, sowie das Befolgen von
eine behördenübergreifende Ransomware Anti-Geldwäsche- bzw. Antiterror-Finanzie-
Task Force gegründet, die das Problem mit rungsgesetzen. Außerdem sollen Krypto-
einem »whole of government«-Ansatz an- Exchanges künftig Auszahlungen ab 10.000
gehen soll. Die zentral koordinierte Task US-Dollar an Aufsichtsbehörden melden.
Force erfasst alle Ransomware-Vorfälle Das Problem ist, dass diese Regelungen
und -Ermittlungen in den USA und bün- nur heimische Exchanges betreffen, nicht
delt die wichtigsten Informationen, um ein aber ähnliche Services im Ausland. Wahr-
vollständiges Lagebild zu erstellen. Dazu scheinlich werden Kriminelle dann auch
gehören Informationen über Angreifer, die auf andere Kryptowährungen wie Monero
genutzte Schadsoftware, die dabei verwen- ausweichen, die schwerer zu überwachen
dete Infrastruktur (insbesondere Botnetze sind. Insofern kann das Ziel nur sein, Trans-
und Bullet-Proof-Hosting-Dienste), über aktionen zu erschweren, die sich vollstän-
Opfer und Lösegeldtransaktionen. Weiter- dig nie werden verhindern lassen. In Groß-
hin werden Informationen zur Untergrund- britannien wird unterdessen die Idee dis-
ökonomie gesammelt, konkret zu den Fo- kutiert, Ransomware-Zahlungen Betroffe-
ren im Darknet, zu Ransomware-as-service- ner gänzlich zu verbieten, um den Krimi-
Plattformen und zu Blogs von Ransom- nellen die Geschäftsgrundlage zu entzie-
waregruppen. Dabei werden auch nachrich- hen. Der Vorschlag ist insofern kontrovers,
tendienstliche und »Open Source Intelli- als sich nicht wenige Unternehmen vor
SWP-Aktuell 56
August 2021
6der Entscheidung sehen, entweder die Löse- Ransomware-Aktivitäten auf ihrem Terri-
geldforderung zu erfüllen oder Insolvenz torium dulden. Dabei soll die ganze Band-
anzumelden. Auch wenn in der IT-Sicher- breite außenpolitischer Maßnahmen ge-
heitsindustrie die Maxime gepredigt wird, nutzt werden, inklusive »naming & sham-
»zahle nicht das Lösegeld«, weil damit das ing« in öffentlichen Foren, die Androhung,
kriminelle Ökosystem und die Entwicklung finanzielle Unterstützung und Entwick-
neuer Angriffstechniken unterstützt wer- lungshilfe zu kürzen, bis hin zu Wirtschafts-
den, ist sie häufig nicht praktikabel. sanktionen. Wo Ermittlungskapazitäten
fehlen, sollten fortschrittlichere Staaten
unterstützend eingreifen und »capacity
Multilaterale Maßnahmen building« in Drittländern betreiben, um
Strafverfolger zu wirksamem Handeln zu
Da Regularien für Kryptowährungsdienst- befähigen. Flankierend bietet das US-Außen-
leister national nur begrenzt wirksam sind, ministerium jenen als Anreiz Belohnungen
müssen sie international in multilateralen von bis zu 10 Millionen US-Dollar an,
Foren durchgesetzt werden. Beim G7-Tref- die US-Behörden Tipps zur Identifizierung
fen im Sommer 2021 wurde das Thema staatlich gestützter Cyber-Angriffe auf kri-
erstmals angesprochen. Allerdings lag der tische Infrastrukturen geben. Hier wird
Fokus vor allem darauf, dass Staaten es exemplarisch und in vorbildlicher Weise
nicht wissentlich dulden sollten, Kriminelle ein breites Instrumentarium staatlichen
von ihrem Territorium aus operieren zu Handelns eingesetzt. Der erhöhte Druck der
lassen. Sie sollten vielmehr ihrer Sorgfalts- US-Regierung scheint zumindest momentan
verantwortung nachkommen und die kri- zu wirken: Nachdem US-Präsident Biden
minellen Machenschaften stoppen und das Thema bei Russlands Präsident Putin
verfolgen, sofern sie von ihnen wissen oder angesprochen hatte, gingen die Aktivitäten
von anderen Staaten Hinweise bekommen. der Ransomware-Gruppe REvil zurück. Ob
Auf diese Norm verantwortlichen Staaten- dies aber an den bilateralen Konsultationen
verhaltens hatten sich die UN-Mitglieder lag oder andere Gründe hatte, wie etwa
vor einigen Jahren geeignet, allerdings ist eine verborgene Offensive von U.S. Cyber
sie nicht verbindlich, sondern nur freiwillig Command, ist unklar. Außerdem muss sich
einzuhalten. Die Kooperation bei der Regu- erst zeigen, ob die Gruppe ihre Aktivitäten
lierung von Digitalwährungen stand beim dauerhaft eingeschränkt hat oder nur kurz-
G7-Treffen nicht im Vordergrund, wird aber fristig die Füße stillhält, bis der öffentliche
im Rahmen der Financial Action Task Force Druck nachgelassen hat.
ein Thema sein, die internationale Stan- Darüber hinaus sollten Bemühungen
dards und Instrumente zur Kontrolle vir- intensiviert werden, Russland und die Mit-
tueller Währungen entwickeln soll. glieder der Gemeinschaft Unabhängiger
Krpytowährungsdienste sind jedoch nur Staaten (GUS) zu bewegen, der völkerrecht-
ein Teil des Problems. Ein anderer sind die lich bindenden Budapest-Konvention gegen
Auswüchse der Ransomware-Untergrund- Cyber-Kriminalität beizutreten, die seit
ökonomien, zu deren Einhegung die Staa- 2004 in Kraft ist und von 46 Staaten ratifi-
ten einen strukturierten Ansatz entwickeln ziert wurde. Diese Konvention regelt zum
sollten, indem sie sich etwa verpflichten, Beispiel Fragen länderübergreifender Straf-
keine Bullet-Proof-Hosting-Dienste auf ihrem verfolgung und den Austausch elektroni-
Territorium zuzulassen bzw. strafrechtlich scher Beweismittel bei Ermittlungen gegen
gegen sie vorzugehen. Da Anti-Geldwäsche- Cyber-Kriminalität. Russland verweigerte
prozesse allerlei Schlupflöcher bieten, hat seinerzeit den Beitritt, weil es in den Be-
eine Gruppe internationaler Forscher auf stimmungen eine Einmischung in innere
dem World Economic Forum 2021 einen Angelegenheiten sah. Seitdem versucht das
»Zuckerbrot und Peitsche«-Ansatz vorge- Land auf UN-Ebene, die Budapest-Konven-
schlagen, um auf Staaten einzuwirken, die tion durch ein eigenes Cybercrime-Regime
SWP-Aktuell 56
August 2021
7zu ersetzen, das diverse Maßnahmen zur Operationen scheinen darum eher für die
Zensur von Internetinhalten ebenso vor- Strafverfolgung von Nutzen zu sein.
sieht wie Einschränkungen eines freien, glo- Cyber-Operationen, die der Immuni-
balen Internets. Für demokratische Staaten sierung (»Zwangsimpfen«) von mit Schad-
ist das eine rote Linie, die nicht überschrit- software infizierten Endgeräten der Opfer
ten werden sollte. Da auch die Budapest- dienen sollen, wie sie im Falle des Emotet-
Konvention Defizite hat und über Reformen Botnetzes diskutiert wurden, sind risiko-
nachgedacht wird, sollte Russland hier mit reich. Es ist nie völlig klar, welche Kollate-
an den Tisch geholt werden. Gleichzeitig ralschäden ein Eingriff in die Integrität von
gilt es Anreize zu schaffen, dass Russland Systemen anrichten kann. Cyber-Gegen-
© Stiftung Wissenschaft einem reformierten Vertrag beitritt, an schläge sind also kein Wundermittel und
und Politik, 2021 dessen Reform es mitwirken könnte. können allenfalls begleitend bei Straf-
Alle Rechte vorbehalten verfolgungsermittlungen eine Rolle spielen.
Dazu müssen sie in Kombination mit den
Das Aktuell gibt die Auf-
fassung des Autors wieder.
Offensive Maßnahmen? angesprochenen anderen Instrumenten in
eine umfassende Strategie eingebettet sein.
In der Online-Version dieser Nicht zuletzt stellt sich die Frage, inwiefern Nationale Ad-hoc-Alleingänge sind dabei
Publikation sind Verweise eigene offensive Cyber-Maßnahmen gegen wenig hilfreich, da Cyber-Operationen im
auf SWP-Schriften und die Ransomware-Kommandoinfrastruktur schlimmsten Fall die Ermittlungsbemühun-
wichtige Quellen anklickbar.
gerichtet werden können und sollten. Das gen anderer Länder torpedieren. Insofern
SWP-Aktuells werden intern
U.S. Cyber Command nutzte Cyber-Opera- muss über international abgestimmte
einem Begutachtungsverfah- tionen, um die Infrastruktur des Trickbot- Mechanismen nachgedacht werden. Hier-
ren, einem Faktencheck und Botnetzes temporär zu stören. Das gab An- für sind eine sorgfältige und systematische
einem Lektorat unterzogen. lass zu einer Diskussion darüber, ob eine Analyse potenzieller Schadenseffekte und
Weitere Informationen Militarisierung dieses gesamtgesellschaft- gegebenenfalls die Aufstellung von Mitiga-
zur Qualitätssicherung der
lichen Problems der richtige Ansatz ist. tions- bzw. Kontingenzplänen zwingend
SWP finden Sie auf der SWP-
Website unter https://www. Militärische Maßnahmen sollten immer die erforderlich. Für deutsche Behörden stellen
swp-berlin.org/ueber-uns/ letzte Wahl bleiben, und vor ihrem Einsatz sich bei einem solchen Vorgehen diverse
qualitaetssicherung/ sollte ihre Notwendigkeit sorgfältig geprüft grundrechtliche Fragen.
werden, so der US-Politologe Jason Healey.
SWP
Denn notwendig dürften sie nur in nur sehr
Stiftung Wissenschaft und
Politik
wenigen Fällen sein, etwa bei direkter In- Fazit
Deutsches Institut für volvierung eines anderen Staates.
Internationale Politik und Darüber hinaus ist zu klären, was ein Die nächste Bundesregierung sollte prüfen,
Sicherheit Gegenschlag bezwecken soll. Wenn das Ziel welche der hier diskutierten Maßnahmen
ist, Ransomware-Infrastruktur dauerhaft auch in Deutschland umgesetzt werden
Ludwigkirchplatz 3–4
auszuschalten, dürfte dies kaum zu errei- könnten. Sehr wichtig wäre, dass das Thema
10719 Berlin
Telefon +49 30 880 07-0 chen sein, wie das Trickbot-Beispiel zeigt: höher priorisiert und geeignete Konzepte
Fax +49 30 880 07-100 Nur wenige Wochen nach dem Gegenschlag und Maßnahmen gesamtstaatlich koordi-
www.swp-berlin.org waren die Kriminellen mit einem neuen niert werden. Dazu braucht es ein Lagebild
swp@swp-berlin.org Botnet wieder aktiv. Das Untergrundöko- über die Untergrundökonomie und die Zah-
system ist mit anderen Worten überaus lungsströme. Darüber hinaus ist die Unter-
ISSN (Print) 1611-6364
ISSN (Online) 2747-5018
effektiv und resilient, Ausweichmöglich- stützung multilateraler Initiativen sinnvoll,
doi: 10.18449/2021A56 keiten lassen sich sehr schnell wiederauf- die gegen das Untergrundökosystem vor-
bauen oder anmieten. Cyber-Spionage- gehen; dazu gehört etwa die Finanzregulie-
operationen, mit denen Kommandoinfra- rung von Kryptowährungsdiensten. All dies
struktur infiltriert werden sollen, können wird aber nur begrenzte Wirksamkeit ent-
in Einzelfällen aber Informationen über falten, solange Organisationen in Deutsch-
verwendete Schadsoftware oder Betreiber land nicht stärker verpflichtet bzw. dabei
bzw. Servicedienstleister liefern, sofern sie unterstützt werden, ihre IT-Sicherheits-
ihre Spuren nicht gut verwischen. Solche hausaufgaben zu machen.
SWP-Aktuell 56 Dr. Matthias Schulze ist Stellvertretender Leiter der Forschungsgruppe Sicherheitspolitik.
August 2021
8Sie können auch lesen
