Ransomware - Stiftung Wissenschaft und Politik

Die Seite wird erstellt Christina Martens
 
WEITER LESEN
Ransomware - Stiftung Wissenschaft und Politik
NR. 56 AUGUST 2021                       Einleitung

Ransomware
Technische, nationale und multilaterale Gegenmaßnahmen
Matthias Schulze

Während Ransomware-Angriffe immer professioneller werden, haben viele Organisa-
tionen grundlegende IT-Sicherheitshausaufgaben noch immer nicht gemacht. Auf-
grund der effektiven Untergrundökonomie der Cyber-Kriminellen ist dem Problem
auch nicht mehr allein mit technischen Maßnahmen beizukommen. Die neue Bundes-
regierung sollte es mit erhöhter Priorität und einer gesamtstaatlichen Perspektive
angehen. Neben Präventionsmaßnahmen sollten auch für Organisationen in der
Breite Pläne zur Reaktion und Wiederherstellung erstellt werden. Außerdem ließen
sich Instrumente nutzen, die etwa bei der Bekämpfung von organisierter Kriminali-
tät, Terrorismus oder Finanzkriminalität und sogar in der Entwicklungshilfe ein-
gesetzt werden. Schließlich müssten multilaterale Initiativen zur Eindämmung von
Cyber-Kriminalität und Geldwäsche mit Kryptowährungen gestärkt werden.

Ransomware ist eine Form von Schadsoft-       erfolgreich attackiert. IT-Experten warnen
ware, die ein betroffenes System verschlüs-   daher, dass es nur eine Frage der Zeit sei,
selt und bewirkt, dass sich Daten nicht       wann eine Organisation betroffen sein
mehr verwenden lassen. Kriminelle verspre-    wird. Zwar gibt es Ransomware schon seit
chen gegen die Zahlung eines Lösegelds in     den 1980er Jahren, doch haben eine Reihe
Kryptowährungen die Freigabe der Daten.       von Dynamiken dazu geführt, dass sich das
Für viele Organisationen bedeutet ein Ver-    Problem heute in Qualität und Quantität
lust der Datenverfügbarkeit oft das unfrei-   dramatisch verschärft hat.
willige Ende des operativen Betriebs und
verursacht somit hohe wirtschaftliche Kos-
ten. Der »State of Ransomware 2021«-          Problemlage und aktuelle
Bericht der Firma Sophos zeigt, dass die      Dynamiken
Hälfte von 5.400 weltweit befragten Unter-
nehmen bereits betroffen war. Laut einer      Die Corona-Pandemie und die Verlagerung
Befragung von 200 Firmen durch die Inter-     ins Home-Office haben weltweit IT-Systeme
national Data Corporation (IDC) wurden        verwundbarer gemacht. Organisationen
schon 78 % der deutschen Unternehmen          haben hastig mobiles Arbeiten ermöglicht
und ihre sensiblen internen Netzwerke für       und die Mittel für die Wiederherstellung von
                 ihre daheim tätigen Mitarbeiterinnen und        Infrastruktur aufzubringen. Die Umsatz-
                 Mitarbeiter geöffnet. Dieser Fernzugriff auf    einbußen belaufen sich im Schnitt auf das
                 Systeme, etwa zur Administration, ist heute     Fünf- bis Zehnfache der Ransomzahlungen.
                 neben Emails und Schwachstellen in Firmen-         Angreifer sind zudem agiler und schnel-
                 VPN ein vorherrschender Angriffsvektor.         ler geworden als die meist schwerfälligen
                 Die jüngste massive Umstrukturierung            Bürokratien und IT-Abteilungen, die oft-
                 der IT wurde oft nicht mit zusätzlichen IT-     mals Geld für neue Abwehrmaßnahmen
                 Supportstellen und Schutzmaßnahmen              langwierig einfordern müssen. Laut einer
                 begleitet. Die Folge ist ein massiver Anstieg   Studie von 2018 schützen traditionelle
                 der Ransomware-Fälle (um 485 % gegenüber        Antivirensysteme nicht mehr gegen die
                 2019 laut Bitdefender).                         meisten Ransomware-Angriffe. Denn Ran-
                    Während vor einigen Jahren undifferen-       somware-Gruppen lernen von ihrer Kon-
                 zierte Angriffe gegen Opportunitätsziele        kurrenz und auch von staatlichen Cyber-
                 mit geringem IT-Sicherheitsniveau domi-         Angriffstechniken und verbessern so ihre
                 nierten, geht der Trend heute zum »big          eigenen Operationen. Zudem reinvestieren
                 game hunting«. Kritische Infrastrukturen        sie die erpressten Lösegeldsummen in
                 und größere Unternehmen wie Öl-Pipeline-        immer neue und noch komplexere Angriffs-
                 Betreiber, Supermarktketten, aber auch IT-      techniken (oder subventionieren damit
                 Unternehmen wie Acer werden systema-            andere kriminelle Praktiken wie Drogen-
                 tisch angegriffen. Dazu werten Kriminelle       handel). Nimmt man in einem hypotheti-
                 Quartalsberichte aus und errechnen die zu       schen Beispiel die Lösegeldgewinne der
                 fordernden Lösegelder, die bewusst geringer     Angreifergruppe REvil von rund 40 Millio-
                 sind als die geschätzten Kosten zur Wieder-     nen US-Dollar als Bezugswert, die sich in
                 herstellung der IT betroffener Unterneh-        neue Angriffswerkzeuge investieren lassen,
                 men, um die Anreize für die Bezahlung zu        würde diese Summe den IT-Haushalt der
                 erhöhen. Oft sind auch mittelständische         meisten mittleren und größeren Unter-
                 Unternehmen betroffen, die umsatzstark,         nehmen übersteigen. Mit so hohen Beträ-
                 aber vielfach nicht kritisch genug sind, als    gen können Angreifer traditionelle und
                 dass Angreifer staatliche Konsequenzen zu       häufig schnell veraltete Schutzmaßnahmen
                 befürchten hätten. Kleinere, kommunale          der Verteidiger, die über ein weitaus gerin-
                 kritische Infrastrukturen wie Wasserwerke       geres IT-Sicherheitsbudget verfügen, pro-
                 sind besonders verwundbar, da ihnen nicht       blemlos ausmanövrieren. Ein Beispiel sind
                 selten ein angemessenes IT-Sicherheits-         »supply chain«-Angriffe. Diese richten
                 budget fehlt.                                   sich gegen Dienstleister, die ihren Klienten
                    Waren vor einigen Jahren Zahlungen           etwa Netzwerk- oder Software-Management
                 geringerer Lösegeldsummen ein verkraft-         bieten. Diese Form von Angriffen wurde vor
                 bares Ärgernis für die meisten Unterneh-        wenigen Jahren noch weitgehend exklusiv
                 men, sind Angreifer inzwischen skrupel-         von staatlichen Nachrichtendiensten ge-
                 loser geworden und verlangen Millionen-         nutzt, wird aber zunehmend auch von Kri-
                 beträge – und erhalten sie auch. Die Grup-      minellen nachgeahmt.
                 pe REvil forderte von der IT-Firma Kaseya          Ein weiteres Indiz für die fortschreitende
                 im Juni 2021 rekordverdächtige 70 Millio-       Professionalisierung ist die Ausnutzung
                 nen Dollar Lösegeld. Durchschnittliche Löse-    komplexerer Sicherheitslücken. Während
                 geldsummen liegen mittlerweile bei rund         Ransomware in den vergangenen Jahren
                 300.000 US-Dollar. Dies kann kleinere           vorwiegend bei bekannten, von Betroffenen
                 Unternehmen in Existenznöte bringen, ins-       noch nicht per Update behobenen Sicher-
                 besondere wenn sich derlei Vorfälle binnen      heitslücken ansetzte, kaufen Angreifer
                 kurzer Zeit wiederholen. Für solche Unter-      mittlerweile auch Informationen über
                 nehmen ist es schwieriger, die damit ver-       sogenannte 0-Day-Sicherheitslücken auf
                 bundenen Umsatzeinbußen zu verkraften           Schwarzmärkten ein bzw. haben die Fähig-

SWP-Aktuell 56
August 2021

2
keit, diese selber zu entwickeln. Damit         halbwegs sichere digitale Zahlungsform. Die
können sie auch Ziele angreifen, die durch      bisherigen, weitgehend unregulierten Kryp-
ein hohes Maß an IT-Sicherheit geschützt        towährungen erleichtern Geldwäsche, einige
sind, welche gegen 0-Days aber nichts aus-      von ihnen, insbesondere Monero, erschwe-
zurichten vermag. Einige Kriminelle operie-     ren die Nachverfolgung von Finanzströmen.
ren mittlerweile auf einem ähnlichen Pro-          Hinzu kommt, dass die Preise enorm
fessionalitätsniveau wie einige Staaten.        gefallen sind. Eine Ransomwarekampagne
Halfen vor wenigen Jahren noch Backups          kann schon für wenige hundert bis tausend
halbwegs zuverlässig gegen Ransomware,          Euro lanciert werden, so eine Studie von
da dank vorhandener Datenkopie der Er-          Deloitte. Dagegen kosten defensive Maß-
pressungsversuch ins Leere ging, verschlüs-     nahmen der IT-Sicherheit oft bedeutend
seln moderne Angreifer heute nicht nur          mehr, im Schnitt 0,48 % des Jahresumsatzes
Daten, sondern stehlen sie auch und drohen      bzw. rund 7 % der IT-Etats von Unterneh-
mit Veröffentlichung (»double extortion«).      men. Angreifer sind also allein schon auf-
                                                grund geringer Kosten im Vorteil.
Marktfaktoren und Proliferation                    Die einfache Verfügbarkeit führt zu
                                                einer Proliferation von Ransomware: Dank
Die Professionalisierung folgt einer markt-     niedriger Preise können auch weniger pro-
orientierten Entwicklung. Ransomware als        fessionelle Kriminelle mächtige Angriffs-
äußerst profitables Geschäftsmodell hat         werkzeuge einkaufen und einsetzen. Einer
eine ganze Untergrundökonomie mit spe-          Vielzahl von Akteuren, denen andernfalls
zialisierten Dienstleistungen entstehen las-    das Know-how fehlen würde, ist es insofern
sen. Schadsoftwareentwickler vermieten          möglich, komplexe, potenziell sehr kost-
ihre Software an »affiliates«, die Gewinne      spielige und gefährliche Cyber-Angriffe aus-
werden geteilt. Spezialisierte Dienstleister    zuführen, etwa gegen kritische Infrastruk-
bieten mietbare Botnetze zum automati-          turen wie Wasserwerke. Denkbar ist auch,
sierten Verbreiten von Schadsoftware über       dass Staaten solche Dienste anmieten, um
Emails an. Gegen Strafverfolgung abgesi-        Spuren zu verwischen, und beispielsweise
cherte besondere Server (»bullet proof          einzelne Dienste bzw. Malwarekomponen-
hosts«) werden als »Command & Control«-         ten für eigene Cyber-Angriffe verwenden, so
Infrastruktur zur Steuerung von Schad-          geschehen bei dem NotPetya-Angriff durch
software vermietet. Den Zugang zu bereits       Russland im Jahr 2017. Auch das wirtschaft-
kompromittierten und damit weiter infi-         lich sanktionierte Nordkorea setzt vermut-
zierbaren Rechnern verkaufen sogenannte         lich staatliche Angreifer ein, um mit Ran-
»access broker«. Dank grafischer Benutzer-      somware seinen Staatshaushalt aufzubes-
oberflächen und automatisierter Prozesse        sern. Es lässt sich nicht ausschließen, dass
lässt sich Ransomware zudem immer ein-          andere ökonomisch benachteiligte Staaten
facher bedienen. So übernehmen zum Bei-         dieses Modell vermehrt imitieren, etwa um
spiel Dienstleister arbeitsintensive Prozesse   Wirtschaftssanktionen zu unterlaufen. Eben-
wie Zahlungsabwicklung, Kundensupport           so ist vorstellbar, dass Ransomware als öko-
und Lösegeldwäsche in Kryptowährungen.          nomische Waffe (»denial of business attack«)
   Die zunehmende Verbreitung von Kryp-         eingesetzt wird mit dem Ziel, Konkurrenz-
towährungen wie Bitcoin oder Monero hat         unternehmen in Existenznöte zu bringen.
wiederum einen großen Einfluss auf die
Cyber-Kriminalität. Derzeit werden rund         Sozioökonomische Dimension
98 % aller Ransomware-Lösegelder in Bit-
coin bezahlt. Während derlei Zahlungen          Dass Ransomware momentan so viel Erfolg
in den 2000er Jahren noch über obskure          hat, ist auch Folge des Fachkräftemangels
und umständliche Dienstleister abgewickelt      in der IT-Sicherheitsbranche. Laut einer Stu-
wurden, existiert heute mit Kryptowäh-          die von Trend Micro (2019) fehlen in 56 %
rungen eine einfache, weit verbreitete und      der deutschen Unternehmen solche Fach-

                                                                                                SWP-Aktuell 56
                                                                                                  August 2021

                                                                                                            3
kräfte. Europaweit sind 168.000 Stellen un-     rung schützen. Die USA beschuldigen Russ-
                 besetzt, etwas weniger als in den Jahren        land mittlerweile offen, ein solcher »cyber
                 zuvor. Dieser Mangel führt zu einem An-         safe haven« zu sein; denn russische Nach-
                 stieg der Löhne für Expertinnen und Exper-      richtendienste pflegen angeblich Beziehun-
                 ten, mit der Folge, dass sich viele kleinere,   gen mit Cyber-Kriminellen und kooperieren
                 aber kritische Organisationen kein spezia-      teils auch direkt mit ihnen. Unter russisch-
                 lisiertes IT-Sicherheitspersonal für präven-    sprachigen Cyber-Kriminellen gilt seit Jah-
                 tive Schutzmaßnahmen gegen Ransomware           ren eine Art Kodex, keine russischen Ziele
                 leisten können.                                 anzugreifen, sondern sich auf westliche
                     Der Mangel ist ein Problem nicht nur bei    Staaten zu konzentrieren. Andere autori-
                 der Prävention, sondern auch bei der Reak-      täre Staaten profitieren ebenfalls von hei-
                 tion. Es gibt nicht genügend »Incident Re-      mischen Cyber-Kriminellen und lassen sie
                 sponder«, die helfen können, von Ransom-        daher unbehelligt gewähren: Staaten setzen
                 ware befallene Systeme wiederherzustellen.      diese stellvertretend in ihren Cyber-Opera-
                 Existierende Dienstleister sind schnell aus-    tionen »unter falscher Flagge« ein. So kön-
                 gelastet, wenn eine neue Ransomware-            nen sie plausibel die eigene Beteiligung
                 Welle gleichzeitig viele potenzielle Kunden     abstreiten. Kriminelle haben die Möglich-
                 erfasst. Sie müssen dann unangenehme            keit, dem Staat direkt oder eher indirekt
                 »Cyber-Triage« praktizieren. Sind also viele    auf Auftragsbasis zuzuarbeiten. In den ent-
                 Organisationen parallel betroffen, lässt sich   sprechenden Regionen müssen sie nicht mit
                 im Zweifelsfall nicht allen rechtzeitig hel-    Strafverfolgung rechnen. Oftmals existieren
                 fen. Das kann im schlimmsten Fall kaska-        auch keine Auslieferungsabkommen mit
                 dierende Effekte produzieren.                   westlichen Staaten.
                     Während also einerseits ein Mangel an          Ransomware ist also nicht nur ein tech-
                 IT-Sicherheitspersonal herrscht, gibt es        nisches, sondern auch ein soziales und wirt-
                 andererseits immer mehr Angreifer. Laut         schaftliches Problem, das mit zunehmender
                 einer Studie von Carbon Black ist die Zahl      globaler Ungleichheit und fortschreitender
                 der Akteure in der Ransomware-Unter-            digitaler Vernetzung eher größer als kleiner
                 grundökonomie in den letzten Jahren rapide      werden dürfte.
                 gewachsen. Mittels Ransomware kann man
                 schnell reich werden, was insbesondere für
                 Kriminelle in Regionen mit geringen Ent-        Technische Maßnahmen
                 wicklungschancen attraktiv ist. Ransom-
                 ware-Gruppen rekrutieren aktiv und global       Bisherige staatliche Versuche, Ransomware
                 IT-Fachkräfte, denen sie teils höhere Ein-      zu bekämpfen, sind vorwiegend techni-
                 kommen bieten als der legale Markt.             scher Natur. Diverse Cyber-Behörden wie
                     Manche Forschungsergebnisse deuten          das Bonner Bundesamt für Sicherheit in der
                 darauf hin, dass Cyber-Kriminalität mit         Informationstechnik (BSI) oder die Cyber-
                 dem sozioökonomischen Status korreliert:        security & Infrastructure Security Agency
                 Insbesondere in sozioökonomisch schwa-          (CISA) in den USA informieren seit Jahren
                 chen Regionen und Ländern mit guten             über bekannte und etablierte »best prac-
                 Bildungssystemen, in denen gleichzeitig die     tices« zur Prävention. Diese umfassen:
                 Staatlichkeit schwach ausgeprägt ist, finden    technische Maßnahmen wie Patch- und
                 sich häufig Cyber-Kriminelle. Korruption        Schwachstellenmanagement in IT-Abtei-
                 und fehlendes investigatives Know-how auf       lungen, die Systeme so up to date halten;
                 staatlicher Seite tragen zudem oft dazu bei,    Netzwerkmonitoring und Detektion, die
                 dass lokale Strafverfolger das Problem ent-     alle Systeme im Netzwerk sichtbar machen
                 weder nicht sehen können oder darüber           und Anomalien erkennen lassen; das Vor-
                 hinwegsehen, bei aufgehaltener Hand. Folg-      halten dezentraler, regelmäßiger »off-site«-
                 lich werden diese Staaten zum sicheren          Backups, die nicht mit operativen Systemen
                 Hafen für Kriminelle, die sie vor Ausliefe-     verbunden sind, um deren Infektion zu ver-

SWP-Aktuell 56
August 2021

4
meiden; segmentierte und isolierte Netz-        ventionsmaßnahmen aus und passiert
werk-Topografien, die verhindern, dass Mal-     lange Zeit nichts, stellt sich rasch die Frage,
ware sich ungehindert in einer Firma aus-       ob diese Summen nicht eingespart werden
breiten kann; Zugangskontrollmanage-            können. Entscheiderinnen und Entschei-
ment, das nur denjenigen Zugriff auf admi-      dern fehlt auch oft das Bewusstsein dafür,
nistrative Funktionen erlaubt, wenn diese       dass für IT-Sicherheit eine spezifische Aus-
akut gebraucht werden; das Abschalten           bildung oder Schulung und Fachwissen
unnötiger Wartungsverbindungen wie das          nötig sind, woran es dem eigenen IT-Perso-
Remote Desktop Protocol; das Einrichten         nal vielfach mangelt.
einer Zwei-Faktor-Authentifizierung bei             Abgesehen von den Defiziten bei Präven-
Diensten, die über das Internet erreichbar      tionsmaßnahmen wäre es darüber hinaus
sind (Mail, Clouds etc.); »allow-listing« von   erforderlich, dass Organisationen Notfall-
Anwendungen, was das Starten unerlaubter        strategien und Recovery-Pläne entwickeln.
Schadsoftware in Anhängen unterbindet;          Das würde die Cyber-Resilienz erhöhen.
regelmäßige Trainings wie Email-Hygiene         Reaktionspläne müssen methodisch durch-
und Awareness, die Nutzerinnen und Nut-         dacht sein und verschiedene Szenarien
zer dazu anhalten, nicht auf verdächtige        bzw. Ausfälle diverser Systeme antizipieren:
Anhänge zu klicken.                             Wie dämmt man die Verbreitung von
   Diese Maßnahmen sind zwar hinlänglich        Schadsoftware im Netzwerk ein und schützt
bekannt, werden meist aber von Organisa-        Systeme, die vielleicht noch nicht betroffen
tionen nicht befolgt oder gar fehlerhaft        sind? Wie sichert man Spuren für eine spä-
umgesetzt. Viele Unternehmen – das gilt         tere forensische Analyse? Wie dokumen-
inzwischen vielfach auch für öffentliche        tiert man Entscheidungen, die im Notfall-
Verwaltungen, Universitäten oder Kran-          modus getroffen werden, im Nachgang aber
kenhäuser – machen diese grundlegenden          noch rekonstruierbar sein sollen?
Hausaufgaben nicht. Dafür gibt es vielerlei         Außerdem muss es eine Backup- und
Gründe. Kosten sind ein Faktor, fehlendes       Wiederherstellungsstrategie geben. Denn
Problembewusstsein bei Entscheidern ein         das Einspielen von Backups in großen,
weiterer. Noch immer sind die Ausgaben          eventuell global verteilten IT-Umgebungen
für IT-Sicherheit zu gering. Laut einer Um-     ist ein komplexes Unterfangen. Dies kann
frage des Branchenverbands Bitkom geben         aufgrund großer Datenmengen sehr lange
nur rund 31 % der deutschen Unternehmen         dauern, wahrscheinlich ist nach der Back-
nach dem empfohlenen Richtwert rund             up-Einspielung auch hoher Administrations-
20 % ihrer IT-Haushaltsmittel für IT-Sicher-    aufwand zu treiben, um kleinere Fehler
heit aus. Nicht selten wird immer noch          zu beheben. Deswegen sollten derlei Reak-
fälschlich angenommen, dass die eigene          tionspläne regelmäßig eingeübt werden.
Organisation nicht interessant genug ist            Zur Notfallplanung gehört auch eine
und darum nicht betroffen sein wird. Folg-      Strategie für die Kommunikation nach in-
lich sind viele IT-Abteilungen nicht angemes-   nen und außen. Wie erreicht man IT-Perso-
sen finanziert und unterbesetzt. Häufig wer-    nal, das eventuell im Urlaub oder Wochen-
den die IT-Arbeitsstunden und -Personal-        ende ist? Cyber-Angriffe korrelieren mit
stellen vollständig für den »Desk Support«      Feiertagen. Wie geht man mit Medienanfra-
und den Betrieb von IT-Systemen verwendet.      gen um, die zu erwarten sind? Was kom-
   Für die präventive Vorsorge und die Ent-     muniziert man den Kunden? Ferner sind
wicklung von Notfallstrategien fehlen häu-      Kontinuitätspläne erforderlich, die defi-
fig Zeit und Geld, die investiert werden        nieren, welche grundlegenden Organisa-
müssten, um mit immer besser werdenden          tionsfunktionen im Minimalbetrieb auf-
Angreifern Schritt zu halten. IT-Sicherheit     rechtzuerhalten sind, nachdem es zu einem
hat wie Gesundheitspolitik oder Katastro-       Befall durch Ransomware gekommen ist.
phenschutz mit dem Präventionsparadox           Vielen Unternehmen würde der wirtschaft-
zu kämpfen: Gibt man Millionen für Prä-         liche Bankrott drohen, wenn für Monate

                                                                                                  SWP-Aktuell 56
                                                                                                    August 2021

                                                                                                              5
Buchungssysteme oder Dienstleistungen für        gence«-Verfahren angewendet (vgl. SWP-
                 die Kundschaft nicht mehr funktionieren.         Aktuell 28/2019).
                    Eine allgemeine politische Verpflichtung         Darüber hinaus werden Zahlungsströme
                 zu elementaren Schutzmaßnahmen gibt              in den Blick genommen. Bisher fehlt ein
                 es indes nicht. Lediglich Betreiber von Infra-   Überblick, an wen bzw. an welche Bitcoin-
                 strukturen, die für die Versorgung hoch-         Konten Unternehmen in den USA ihre Löse-
                 gradig kritisch sind, müssen bestimmte »tech-    geldzahlungen entrichten, was die Nach-
                 nische und organisatorische Maßnahmen«           verfolgung erschwert. Finanztransaktionen
                 (nach ISO 2700X) treffen. Die breite Masse       über Bitcoin werden mittels Blockchain-
                 der kleinen und mittelständischen Unter-         Technologie gespeichert und sind daher im
                 nehmen muss zwar Brandschutz-, Daten-            Prinzip nachverfolgbar. Diesen Umstand
                 schutz- und Gesundheitsschutzpläne vor-          will sich auch Australien zunutze machen,
                 halten; IT-Schutz und Vorsorgepläne sind in      wo kürzlich ein Entwurf für ein Gesetz vor-
                 Deutschland aber nicht weithin verpflich-        gestellt wurde, das Unternehmen verpflich-
                 tend. Daher sollte über gesetzlich verpflich-    ten soll, etwaige Ransomware-Zahlungen an
                 tende Notfall- und Vorsorgestrategien nach-      das australische Cyber Security Centre zu
                 gedacht werden, die sektorenspezifisch an-       melden. In den USA soll überdies eine neue
                 gelegt bzw. an der Unternehmensgröße ori-        öffentlich-private Partnerschaft zwischen
                 entiert sind. Ein IT-Sicherheitsfonds nach       Industrie und Finanzministerium Krypto-
                 australischem Vorbild könnte kleinere Orga-      Zahlungsströme in Echtzeit überwachen.
                 nisationen entlasten, die sich solche IT-Si-     Das US-Finanzministerium entwickelt
                 cherheitsmaßnahmen kaum leisten können.          zudem neue Regularien für Betreiber von
                                                                  Krypto-Währungsexchanges – jenen Stel-
                                                                  len, die digitale in analoge Währungen
                 Maßnahmen anderer Länder                         umtauschen – und für »over the counter
                                                                  trading desks«, die auf diese Weise an
                 Die USA verlassen sich bei der Bekämpfung        bestehende Anti-Geldwäscheverfahren der
                 von Ransomware mittlerweile nicht mehr           analogen Finanzindustrie gebunden wer-
                 nur auf technisch-präventive Maßnahmen.          den sollen. Dazu gehören »know your cus-
                 Präsident Joe Biden hat diesen Kampf poli-       tomer«-Prozesse, die Exchanges dazu ver-
                 tisch ähnlich hoch priorisiert wie die Terro-    pflichten, die Identitäten von Konteninha-
                 rismusbekämpfung. Im Juli 2021 wurde             bern zu überprüfen, sowie das Befolgen von
                 eine behördenübergreifende Ransomware            Anti-Geldwäsche- bzw. Antiterror-Finanzie-
                 Task Force gegründet, die das Problem mit        rungsgesetzen. Außerdem sollen Krypto-
                 einem »whole of government«-Ansatz an-           Exchanges künftig Auszahlungen ab 10.000
                 gehen soll. Die zentral koordinierte Task        US-Dollar an Aufsichtsbehörden melden.
                 Force erfasst alle Ransomware-Vorfälle              Das Problem ist, dass diese Regelungen
                 und -Ermittlungen in den USA und bün-            nur heimische Exchanges betreffen, nicht
                 delt die wichtigsten Informationen, um ein       aber ähnliche Services im Ausland. Wahr-
                 vollständiges Lagebild zu erstellen. Dazu        scheinlich werden Kriminelle dann auch
                 gehören Informationen über Angreifer, die        auf andere Kryptowährungen wie Monero
                 genutzte Schadsoftware, die dabei verwen-        ausweichen, die schwerer zu überwachen
                 dete Infrastruktur (insbesondere Botnetze        sind. Insofern kann das Ziel nur sein, Trans-
                 und Bullet-Proof-Hosting-Dienste), über          aktionen zu erschweren, die sich vollstän-
                 Opfer und Lösegeldtransaktionen. Weiter-         dig nie werden verhindern lassen. In Groß-
                 hin werden Informationen zur Untergrund-         britannien wird unterdessen die Idee dis-
                 ökonomie gesammelt, konkret zu den Fo-           kutiert, Ransomware-Zahlungen Betroffe-
                 ren im Darknet, zu Ransomware-as-service-        ner gänzlich zu verbieten, um den Krimi-
                 Plattformen und zu Blogs von Ransom-             nellen die Geschäftsgrundlage zu entzie-
                 waregruppen. Dabei werden auch nachrich-         hen. Der Vorschlag ist insofern kontrovers,
                 tendienstliche und »Open Source Intelli-         als sich nicht wenige Unternehmen vor

SWP-Aktuell 56
August 2021

6
der Entscheidung sehen, entweder die Löse-      Ransomware-Aktivitäten auf ihrem Terri-
geldforderung zu erfüllen oder Insolvenz        torium dulden. Dabei soll die ganze Band-
anzumelden. Auch wenn in der IT-Sicher-         breite außenpolitischer Maßnahmen ge-
heitsindustrie die Maxime gepredigt wird,       nutzt werden, inklusive »naming & sham-
»zahle nicht das Lösegeld«, weil damit das      ing« in öffentlichen Foren, die Androhung,
kriminelle Ökosystem und die Entwicklung        finanzielle Unterstützung und Entwick-
neuer Angriffstechniken unterstützt wer-        lungshilfe zu kürzen, bis hin zu Wirtschafts-
den, ist sie häufig nicht praktikabel.          sanktionen. Wo Ermittlungskapazitäten
                                                fehlen, sollten fortschrittlichere Staaten
                                                unterstützend eingreifen und »capacity
Multilaterale Maßnahmen                         building« in Drittländern betreiben, um
                                                Strafverfolger zu wirksamem Handeln zu
Da Regularien für Kryptowährungsdienst-         befähigen. Flankierend bietet das US-Außen-
leister national nur begrenzt wirksam sind,     ministerium jenen als Anreiz Belohnungen
müssen sie international in multilateralen      von bis zu 10 Millionen US-Dollar an,
Foren durchgesetzt werden. Beim G7-Tref-        die US-Behörden Tipps zur Identifizierung
fen im Sommer 2021 wurde das Thema              staatlich gestützter Cyber-Angriffe auf kri-
erstmals angesprochen. Allerdings lag der       tische Infrastrukturen geben. Hier wird
Fokus vor allem darauf, dass Staaten es         exemplarisch und in vorbildlicher Weise
nicht wissentlich dulden sollten, Kriminelle    ein breites Instrumentarium staatlichen
von ihrem Territorium aus operieren zu          Handelns eingesetzt. Der erhöhte Druck der
lassen. Sie sollten vielmehr ihrer Sorgfalts-   US-Regierung scheint zumindest momentan
verantwortung nachkommen und die kri-           zu wirken: Nachdem US-Präsident Biden
minellen Machenschaften stoppen und             das Thema bei Russlands Präsident Putin
verfolgen, sofern sie von ihnen wissen oder     angesprochen hatte, gingen die Aktivitäten
von anderen Staaten Hinweise bekommen.          der Ransomware-Gruppe REvil zurück. Ob
Auf diese Norm verantwortlichen Staaten-        dies aber an den bilateralen Konsultationen
verhaltens hatten sich die UN-Mitglieder        lag oder andere Gründe hatte, wie etwa
vor einigen Jahren geeignet, allerdings ist     eine verborgene Offensive von U.S. Cyber
sie nicht verbindlich, sondern nur freiwillig   Command, ist unklar. Außerdem muss sich
einzuhalten. Die Kooperation bei der Regu-      erst zeigen, ob die Gruppe ihre Aktivitäten
lierung von Digitalwährungen stand beim         dauerhaft eingeschränkt hat oder nur kurz-
G7-Treffen nicht im Vordergrund, wird aber      fristig die Füße stillhält, bis der öffentliche
im Rahmen der Financial Action Task Force       Druck nachgelassen hat.
ein Thema sein, die internationale Stan-           Darüber hinaus sollten Bemühungen
dards und Instrumente zur Kontrolle vir-        intensiviert werden, Russland und die Mit-
tueller Währungen entwickeln soll.              glieder der Gemeinschaft Unabhängiger
   Krpytowährungsdienste sind jedoch nur        Staaten (GUS) zu bewegen, der völkerrecht-
ein Teil des Problems. Ein anderer sind die     lich bindenden Budapest-Konvention gegen
Auswüchse der Ransomware-Untergrund-            Cyber-Kriminalität beizutreten, die seit
ökonomien, zu deren Einhegung die Staa-         2004 in Kraft ist und von 46 Staaten ratifi-
ten einen strukturierten Ansatz entwickeln      ziert wurde. Diese Konvention regelt zum
sollten, indem sie sich etwa verpflichten,      Beispiel Fragen länderübergreifender Straf-
keine Bullet-Proof-Hosting-Dienste auf ihrem    verfolgung und den Austausch elektroni-
Territorium zuzulassen bzw. strafrechtlich      scher Beweismittel bei Ermittlungen gegen
gegen sie vorzugehen. Da Anti-Geldwäsche-       Cyber-Kriminalität. Russland verweigerte
prozesse allerlei Schlupflöcher bieten, hat     seinerzeit den Beitritt, weil es in den Be-
eine Gruppe internationaler Forscher auf        stimmungen eine Einmischung in innere
dem World Economic Forum 2021 einen             Angelegenheiten sah. Seitdem versucht das
»Zuckerbrot und Peitsche«-Ansatz vorge-         Land auf UN-Ebene, die Budapest-Konven-
schlagen, um auf Staaten einzuwirken, die       tion durch ein eigenes Cybercrime-Regime

                                                                                                  SWP-Aktuell 56
                                                                                                    August 2021

                                                                                                              7
zu ersetzen, das diverse Maßnahmen zur                           Operationen scheinen darum eher für die
                               Zensur von Internetinhalten ebenso vor-                          Strafverfolgung von Nutzen zu sein.
                               sieht wie Einschränkungen eines freien, glo-                        Cyber-Operationen, die der Immuni-
                               balen Internets. Für demokratische Staaten                       sierung (»Zwangsimpfen«) von mit Schad-
                               ist das eine rote Linie, die nicht überschrit-                   software infizierten Endgeräten der Opfer
                               ten werden sollte. Da auch die Budapest-                         dienen sollen, wie sie im Falle des Emotet-
                               Konvention Defizite hat und über Reformen                        Botnetzes diskutiert wurden, sind risiko-
                               nachgedacht wird, sollte Russland hier mit                       reich. Es ist nie völlig klar, welche Kollate-
                               an den Tisch geholt werden. Gleichzeitig                         ralschäden ein Eingriff in die Integrität von
                               gilt es Anreize zu schaffen, dass Russland                       Systemen anrichten kann. Cyber-Gegen-
© Stiftung Wissenschaft        einem reformierten Vertrag beitritt, an                          schläge sind also kein Wundermittel und
und Politik, 2021              dessen Reform es mitwirken könnte.                               können allenfalls begleitend bei Straf-
Alle Rechte vorbehalten                                                                         verfolgungsermittlungen eine Rolle spielen.
                                                                                                Dazu müssen sie in Kombination mit den
Das Aktuell gibt die Auf-
fassung des Autors wieder.
                               Offensive Maßnahmen?                                             angesprochenen anderen Instrumenten in
                                                                                                eine umfassende Strategie eingebettet sein.
In der Online-Version dieser   Nicht zuletzt stellt sich die Frage, inwiefern                   Nationale Ad-hoc-Alleingänge sind dabei
Publikation sind Verweise      eigene offensive Cyber-Maßnahmen gegen                           wenig hilfreich, da Cyber-Operationen im
auf SWP-Schriften und          die Ransomware-Kommandoinfrastruktur                             schlimmsten Fall die Ermittlungsbemühun-
wichtige Quellen anklickbar.
                               gerichtet werden können und sollten. Das                         gen anderer Länder torpedieren. Insofern
SWP-Aktuells werden intern
                               U.S. Cyber Command nutzte Cyber-Opera-                           muss über international abgestimmte
einem Begutachtungsverfah-     tionen, um die Infrastruktur des Trickbot-                       Mechanismen nachgedacht werden. Hier-
ren, einem Faktencheck und     Botnetzes temporär zu stören. Das gab An-                        für sind eine sorgfältige und systematische
einem Lektorat unterzogen.     lass zu einer Diskussion darüber, ob eine                        Analyse potenzieller Schadenseffekte und
Weitere Informationen          Militarisierung dieses gesamtgesellschaft-                       gegebenenfalls die Aufstellung von Mitiga-
zur Qualitätssicherung der
                               lichen Problems der richtige Ansatz ist.                         tions- bzw. Kontingenzplänen zwingend
SWP finden Sie auf der SWP-
Website unter https://www.     Militärische Maßnahmen sollten immer die                         erforderlich. Für deutsche Behörden stellen
swp-berlin.org/ueber-uns/      letzte Wahl bleiben, und vor ihrem Einsatz                       sich bei einem solchen Vorgehen diverse
qualitaetssicherung/           sollte ihre Notwendigkeit sorgfältig geprüft                     grundrechtliche Fragen.
                               werden, so der US-Politologe Jason Healey.
SWP
                               Denn notwendig dürften sie nur in nur sehr
Stiftung Wissenschaft und
Politik
                               wenigen Fällen sein, etwa bei direkter In-                       Fazit
Deutsches Institut für         volvierung eines anderen Staates.
Internationale Politik und         Darüber hinaus ist zu klären, was ein                        Die nächste Bundesregierung sollte prüfen,
Sicherheit                     Gegenschlag bezwecken soll. Wenn das Ziel                        welche der hier diskutierten Maßnahmen
                               ist, Ransomware-Infrastruktur dauerhaft                          auch in Deutschland umgesetzt werden
Ludwigkirchplatz 3–4
                               auszuschalten, dürfte dies kaum zu errei-                        könnten. Sehr wichtig wäre, dass das Thema
10719 Berlin
Telefon +49 30 880 07-0        chen sein, wie das Trickbot-Beispiel zeigt:                      höher priorisiert und geeignete Konzepte
Fax +49 30 880 07-100          Nur wenige Wochen nach dem Gegenschlag                           und Maßnahmen gesamtstaatlich koordi-
www.swp-berlin.org             waren die Kriminellen mit einem neuen                            niert werden. Dazu braucht es ein Lagebild
swp@swp-berlin.org             Botnet wieder aktiv. Das Untergrundöko-                          über die Untergrundökonomie und die Zah-
                               system ist mit anderen Worten überaus                            lungsströme. Darüber hinaus ist die Unter-
ISSN (Print) 1611-6364
ISSN (Online) 2747-5018
                               effektiv und resilient, Ausweichmöglich-                         stützung multilateraler Initiativen sinnvoll,
doi: 10.18449/2021A56          keiten lassen sich sehr schnell wiederauf-                       die gegen das Untergrundökosystem vor-
                               bauen oder anmieten. Cyber-Spionage-                             gehen; dazu gehört etwa die Finanzregulie-
                               operationen, mit denen Kommandoinfra-                            rung von Kryptowährungsdiensten. All dies
                               struktur infiltriert werden sollen, können                       wird aber nur begrenzte Wirksamkeit ent-
                               in Einzelfällen aber Informationen über                          falten, solange Organisationen in Deutsch-
                               verwendete Schadsoftware oder Betreiber                          land nicht stärker verpflichtet bzw. dabei
                               bzw. Servicedienstleister liefern, sofern sie                    unterstützt werden, ihre IT-Sicherheits-
                               ihre Spuren nicht gut verwischen. Solche                         hausaufgaben zu machen.

      SWP-Aktuell 56           Dr. Matthias Schulze ist Stellvertretender Leiter der Forschungsgruppe Sicherheitspolitik.
      August 2021

      8
Sie können auch lesen