Jump directly to page content

Ransomware

Technische, nationale und multilaterale Gegenmaßnahmen

SWP-Aktuell 2021/A 56, 31.08.2021, 8 Pages

doi:10.18449/2021A56

Während Ransomware-Angriffe immer professioneller werden, haben viele Organisa­tionen grundlegende IT-Sicherheitshausaufgaben noch immer nicht gemacht. Auf­grund der effektiven Untergrundökonomie der Cyber-Kriminellen ist dem Problem auch nicht mehr allein mit technischen Maßnahmen beizukommen. Die neue Bundes­regierung sollte es mit erhöhter Priorität und einer gesamtstaatlichen Perspektive angehen. Neben Präventionsmaßnahmen sollten auch für Organisationen in der Breite Pläne zur Reaktion und Wiederherstellung erstellt werden. Außerdem ließen sich Instrumente nutzen, die etwa bei der Bekämpfung von organisierter Kriminalität, Terrorismus oder Finanzkriminalität und sogar in der Entwicklungshilfe ein­gesetzt werden. Schließlich müssten multilaterale Initiativen zur Eindämmung von Cyber-Kriminalität und Geldwäsche mit Kryptowährungen gestärkt werden.

Ransomware ist eine Form von Schadsoft­ware, die ein betroffenes System verschlüsselt und bewirkt, dass sich Daten nicht mehr verwenden lassen. Kriminelle verspre­chen gegen die Zahlung eines Lösegelds in Kryptowährungen die Freigabe der Daten. Für viele Organisationen bedeutet ein Ver­lust der Datenverfügbarkeit oft das unfrei­willige Ende des operativen Betriebs und verursacht somit hohe wirtschaftliche Kos­ten. Der »State of Ransomware 2021«-Bericht der Firma Sophos zeigt, dass die Hälfte von 5.400 weltweit befragten Unter­nehmen bereits betroffen war. Laut einer Befragung von 200 Firmen durch die Inter­national Data Corporation (IDC) wurden schon 78 % der deutschen Unternehmen erfolgreich attackiert. IT-Experten warnen daher, dass es nur eine Frage der Zeit sei, wann eine Organisation betroffen sein wird. Zwar gibt es Ransomware schon seit den 1980er Jahren, doch haben eine Reihe von Dynamiken dazu geführt, dass sich das Problem heute in Qualität und Quantität dramatisch verschärft hat.

Problemlage und aktuelle Dynamiken

Die Corona-Pandemie und die Verlagerung ins Home-Office haben weltweit IT-Systeme verwundbarer gemacht. Organisationen haben hastig mobiles Arbeiten ermöglicht und ihre sensiblen internen Netzwerke für ihre daheim tätigen Mitarbeiterinnen und Mitarbeiter geöffnet. Dieser Fernzugriff auf Systeme, etwa zur Administration, ist heute neben Emails und Schwachstellen in Firmen-VPN ein vorherrschender Angriffsvektor. Die jüngste massive Umstrukturierung der IT wurde oft nicht mit zusätzlichen IT-Sup­portstellen und Schutzmaßnahmen begleitet. Die Folge ist ein massiver Anstieg der Ransomware-Fälle (um 485 % gegenüber 2019 laut Bitdefender).

Während vor einigen Jahren undifferenzierte Angriffe gegen Opportunitätsziele mit geringem IT-Sicherheitsniveau domi­nierten, geht der Trend heute zum »big game hunting«. Kritische Infrastrukturen und größere Unternehmen wie Öl-Pipeline-Betreiber, Supermarktketten, aber auch IT-Unternehmen wie Acer werden systematisch angegriffen. Dazu werten Kriminelle Quartalsberichte aus und errechnen die zu fordernden Lösegelder, die bewusst geringer sind als die geschätzten Kosten zur Wieder­herstellung der IT betroffener Unternehmen, um die Anreize für die Bezahlung zu erhöhen. Oft sind auch mittelständische Unternehmen betroffen, die umsatzstark, aber vielfach nicht kritisch genug sind, als dass Angreifer staatliche Konsequenzen zu befürchten hätten. Kleinere, kommunale kritische Infrastrukturen wie Wasserwerke sind besonders verwundbar, da ihnen nicht selten ein angemessenes IT-Sicherheits­budget fehlt.

Waren vor einigen Jahren Zahlungen geringerer Lösegeldsummen ein verkraft­bares Ärgernis für die meisten Unternehmen, sind Angreifer inzwischen skrupel­loser geworden und verlangen Millionen­beträge – und erhalten sie auch. Die Grup­pe REvil forderte von der IT-Firma Kaseya im Juni 2021 rekordverdächtige 70 Millio­nen Dollar Lösegeld. Durchschnittliche Löse­geldsummen liegen mittlerweile bei rund 300.000 US-Dollar. Dies kann kleinere Unter­nehmen in Existenznöte bringen, ins­besondere wenn sich derlei Vorfälle binnen kurzer Zeit wiederholen. Für solche Unter­nehmen ist es schwieriger, die damit ver­bundenen Umsatzeinbußen zu verkraften und die Mittel für die Wiederherstellung von Infra­struktur aufzubringen. Die Umsatz­einbußen belaufen sich im Schnitt auf das Fünf- bis Zehnfache der Ransomzahlungen.

Angreifer sind zudem agiler und schneller geworden als die meist schwerfälligen Bürokratien und IT-Abteilungen, die oft­mals Geld für neue Abwehrmaßnahmen langwierig einfordern müssen. Laut einer Studie von 2018 schützen traditionelle Anti­virensysteme nicht mehr gegen die meisten Ransomware-Angriffe. Denn Ran­somware-Gruppen lernen von ihrer Kon­kurrenz und auch von staatlichen Cyber-Angriffs­techniken und verbessern so ihre eigenen Operationen. Zudem reinvestieren sie die erpressten Löse­geldsummen in immer neue und noch komplexere Angriffs­techniken (oder subventionieren damit andere kriminelle Praktiken wie Drogenhandel). Nimmt man in einem hypothetischen Beispiel die Lösegeldgewinne der Angreifergruppe REvil von rund 40 Millio­nen US-Dollar als Bezugswert, die sich in neue Angriffswerkzeuge investieren lassen, würde diese Summe den IT-Haushalt der meisten mittleren und grö­ßeren Unternehmen übersteigen. Mit so hohen Beträ­gen können Angreifer traditionelle und häufig schnell veraltete Schutzmaßnahmen der Verteidiger, die über ein weitaus gerin­geres IT-Sicherheitsbudget verfügen, pro­blemlos ausmanövrieren. Ein Beispiel sind »supply chain«-Angriffe. Diese richten sich gegen Dienstleister, die ihren Klienten etwa Netzwerk- oder Software-Management bieten. Diese Form von Angriffen wurde vor wenigen Jahren noch weitgehend exklu­siv von staatlichen Nachrichtendiensten ge­nutzt, wird aber zunehmend auch von Kri­mi­nellen nachgeahmt.

Ein weiteres Indiz für die fortschreitende Professionalisierung ist die Ausnutzung komplexerer Sicherheitslücken. Während Ransomware in den vergangenen Jahren vorwiegend bei bekannten, von Betroffenen noch nicht per Update behobenen Sicherheitslücken ansetzte, kaufen Angreifer mitt­lerweile auch Informationen über sogenannte 0-Day-Sicherheitslücken auf Schwarzmärkten ein bzw. haben die Fähig­keit, diese selber zu entwickeln. Damit können sie auch Ziele angreifen, die durch ein hohes Maß an IT-Sicherheit geschützt sind, welche gegen 0-Days aber nichts aus­zurichten vermag. Einige Kriminelle operie­ren mittlerweile auf einem ähnlichen Pro­fessionalitätsniveau wie einige Staaten. Halfen vor wenigen Jahren noch Backups halbwegs zuverlässig gegen Ransomware, da dank vorhandener Datenkopie der Er­pressungsversuch ins Leere ging, verschlüs­seln moderne An­greifer heute nicht nur Daten, sondern stehlen sie auch und drohen mit Veröffentlichung (»double extortion«).

Marktfaktoren und Proliferation

Die Professionalisierung folgt einer markt­orientierten Entwicklung. Ransomware als äußerst profitables Geschäftsmodell hat eine ganze Untergrundökonomie mit spe­zialisierten Dienstleistungen entstehen las­sen. Schadsoftwareentwickler vermieten ihre Software an »affiliates«, die Gewinne werden geteilt. Spezialisierte Dienstleister bieten mietbare Botnetze zum automati­sierten Verbreiten von Schadsoftware über Emails an. Gegen Strafverfol­gung abgesicherte besondere Server (»bullet proof hosts«) werden als »Command & Control«-Infrastruktur zur Steuerung von Schad­software vermietet. Den Zugang zu bereits kom­promittierten und damit weiter infi­zierbaren Rechnern verkaufen sogenannte »access broker«. Dank grafischer Benutzer­oberflächen und automatisierter Prozesse lässt sich Ransomware zudem immer ein­facher bedienen. So übernehmen zum Bei­spiel Dienstleister arbeitsintensive Prozesse wie Zahlungsabwicklung, Kundensupport und Lösegeldwäsche in Kryptowährungen.

Die zunehmende Verbreitung von Krypto­währungen wie Bitcoin oder Monero hat wiederum einen großen Einfluss auf die Cyber-Kriminalität. Derzeit werden rund 98 % aller Ransomware-Lösegelder in Bit­coin bezahlt. Während derlei Zahlungen in den 2000er Jahren noch über obskure und umständliche Dienstleister abgewickelt wurden, existiert heute mit Kryptowäh­rungen eine einfache, weit verbreitete und halbwegs sichere digitale Zahlungsform. Die bisherigen, weitgehend unregulierten Kryptowährungen erleichtern Geldwäsche, einige von ihnen, insbesondere Monero, erschweren die Nach­verfolgung von Finanz­strömen.

Hinzu kommt, dass die Preise enorm gefallen sind. Eine Ransomwarekampagne kann schon für wenige hundert bis tausend Euro lanciert werden, so eine Studie von Deloitte. Dagegen kosten defensive Maß­nahmen der IT-Sicherheit oft bedeutend mehr, im Schnitt 0,48 % des Jahresumsatzes bzw. rund 7 % der IT-Etats von Unternehmen. Angreifer sind also allein schon auf­grund geringer Kosten im Vorteil.

Die einfache Verfügbarkeit führt zu einer Proliferation von Ransomware: Dank niedriger Preise können auch weniger pro­fessionelle Kriminelle mächtige Angriffswerkzeuge einkaufen und einsetzen. Einer Vielzahl von Akteuren, denen andernfalls das Know-how fehlen würde, ist es insofern möglich, komplexe, potenziell sehr kost­spielige und gefährliche Cyber-Angriffe aus­zuführen, etwa gegen kritische Infrastrukturen wie Wasserwerke. Denkbar ist auch, dass Staaten solche Dienste anmieten, um Spuren zu verwischen, und beispielsweise einzelne Dienste bzw. Malwarekomponenten für eigene Cyber-Angriffe verwenden, so geschehen bei dem NotPetya-Angriff durch Russland im Jahr 2017. Auch das wirtschaft­lich sanktionierte Nordkorea setzt vermutlich staatliche Angreifer ein, um mit Ran­somware seinen Staatshaushalt aufzubes­sern. Es lässt sich nicht ausschließen, dass andere ökonomisch benachteiligte Staaten dieses Modell vermehrt imitieren, etwa um Wirtschaftssanktionen zu unterlaufen. Ebenso ist vorstellbar, dass Ransomware als ökonomische Waffe (»denial of business attack«) eingesetzt wird mit dem Ziel, Kon­kurrenzunternehmen in Existenznöte zu bringen.

Sozioökonomische Dimension

Dass Ransomware momentan so viel Erfolg hat, ist auch Folge des Fachkräftemangels in der IT-Sicherheitsbranche. Laut einer Stu­die von Trend Micro (2019) fehlen in 56 % der deutschen Unternehmen solche Fach­kräfte. Europaweit sind 168.000 Stellen un­besetzt, etwas weniger als in den Jahren zuvor. Dieser Mangel führt zu einem An­stieg der Löhne für Expertinnen und Exper­ten, mit der Folge, dass sich viele kleinere, aber kritische Orga­nisationen kein spezia­lisiertes IT-Sicherheitspersonal für präventive Schutzmaßnahmen gegen Ransomware leisten können.

Der Mangel ist ein Problem nicht nur bei der Prävention, sondern auch bei der Reak­tion. Es gibt nicht genügend »Incident Re­sponder«, die helfen können, von Ransom­ware befallene Systeme wiederher­zustellen. Existierende Dienstleister sind schnell aus­gelastet, wenn eine neue Ransomware-Welle gleichzeitig viele potenzielle Kunden erfasst. Sie müssen dann unangenehme »Cyber-Triage« praktizieren. Sind also viele Organisationen parallel betroffen, lässt sich im Zweifelsfall nicht allen rechtzeitig hel­fen. Das kann im schlimmsten Fall kaska­dierende Effekte produzieren.

Während also einerseits ein Mangel an IT-Sicherheitspersonal herrscht, gibt es andererseits immer mehr Angreifer. Laut einer Studie von Carbon Black ist die Zahl der Akteure in der Ransomware-Unter­grundökonomie in den letzten Jahren rapi­de gewachsen. Mittels Ransomware kann man schnell reich werden, was insbesondere für Kriminelle in Regionen mit geringen Ent­wicklungschancen attraktiv ist. Ransom­ware-Gruppen rekrutieren aktiv und global IT-Fachkräfte, denen sie teils höhere Ein­kommen bieten als der legale Markt.

Manche Forschungsergebnisse deuten darauf hin, dass Cyber-Kriminalität mit dem sozioökonomischen Status korreliert: Insbesondere in sozioökonomisch schwachen Regionen und Ländern mit guten Bildungssystemen, in denen gleichzeitig die Staatlichkeit schwach ausgeprägt ist, finden sich häufig Cyber-Kriminelle. Korruption und fehlendes investigatives Know-how auf staatlicher Seite tragen zudem oft dazu bei, dass lokale Strafverfolger das Problem ent­weder nicht sehen können oder darüber hinwegsehen, bei aufgehaltener Hand. Folg­lich werden diese Staaten zum sicheren Hafen für Kriminelle, die sie vor Auslieferung schützen. Die USA beschuldigen Russ­land mittlerweile offen, ein solcher »cyber safe haven« zu sein; denn russische Nach­richtendienste pflegen angeblich Beziehungen mit Cyber-Kriminellen und kooperieren teils auch direkt mit ihnen. Unter russischsprachigen Cyber-Kriminellen gilt seit Jah­ren eine Art Kodex, keine russi­schen Ziele anzugreifen, sondern sich auf westliche Staaten zu konzentrieren. Andere autori­täre Staaten profitieren ebenfalls von hei­mischen Cyber-Kriminellen und lassen sie daher unbehelligt gewähren: Staaten setzen diese stellvertretend in ihren Cyber-Opera­tionen »unter falscher Flagge« ein. So kön­nen sie plausibel die eigene Beteiligung abstreiten. Kriminelle haben die Möglichkeit, dem Staat direkt oder eher indirekt auf Auftragsbasis zuzuarbeiten. In den ent­sprechenden Regionen müssen sie nicht mit Strafverfolgung rechnen. Oftmals existieren auch keine Auslieferungsabkommen mit west­lichen Staaten.

Ransomware ist also nicht nur ein tech­nisches, sondern auch ein soziales und wirt­schaftliches Problem, das mit zunehmender glo­baler Ungleichheit und fortschreitender digi­taler Vernetzung eher größer als kleiner wer­den dürfte.

Technische Maßnahmen

Bisherige staatliche Versuche, Ransomware zu bekämpfen, sind vorwiegend technischer Natur. Diverse Cyber-Behörden wie das Bonner Bundesamt für Sicherheit in der Informationstechnik (BSI) oder die Cyber­security & Infrastructure Security Agency (CISA) in den USA informieren seit Jahren über bekannte und etablierte »best prac­tices« zur Prävention. Diese umfassen: technische Maßnahmen wie Patch- und Schwachstellenmanagement in IT-Abtei­lungen, die Systeme so up to date halten; Netzwerkmonitoring und Detektion, die alle Systeme im Netzwerk sichtbar machen und Anomalien erkennen lassen; das Vor­halten dezentraler, regelmäßiger »off-site«-Backups, die nicht mit operativen Systemen verbunden sind, um deren Infektion zu ver­meiden; segmentierte und isolierte Netz­werk-Topografien, die verhindern, dass Mal­ware sich ungehindert in einer Firma aus­breiten kann; Zugangskontrollmanage­ment, das nur denjenigen Zugriff auf admi­nis­trative Funktionen erlaubt, wenn diese akut gebraucht werden; das Abschalten unnötiger Wartungsverbindungen wie das Remote Desktop Protocol; das Einrichten einer Zwei-Faktor-Authentifizierung bei Diensten, die über das Internet erreichbar sind (Mail, Clouds etc.); »allow-listing« von Anwendungen, was das Starten unerlaubter Schadsoftware in Anhängen unterbindet; regelmäßige Trainings wie Email-Hygiene und Awareness, die Nutzerinnen und Nut­zer dazu anhalten, nicht auf verdächtige Anhänge zu klicken.

Diese Maßnahmen sind zwar hinlänglich bekannt, werden meist aber von Organisationen nicht befolgt oder gar fehlerhaft umgesetzt. Viele Unternehmen – das gilt inzwischen vielfach auch für öffentliche Verwaltungen, Universitäten oder Krankenhäuser – machen diese grundlegenden Hausaufgaben nicht. Dafür gibt es vielerlei Gründe. Kosten sind ein Faktor, fehlendes Problembewusstsein bei Entscheidern ein weiterer. Noch immer sind die Ausgaben für IT-Sicherheit zu gering. Laut einer Um­frage des Branchenverbands Bitkom geben nur rund 31 % der deutschen Unternehmen nach dem empfohlenen Richtwert rund 20 % ihrer IT-Haushaltsmittel für IT-Sicher­heit aus. Nicht selten wird immer noch fälschlich angenommen, dass die eigene Organisation nicht interessant genug ist und darum nicht betroffen sein wird. Folg­lich sind viele IT-Abteilungen nicht ange­mes­sen finanziert und unterbesetzt. Häufig wer­den die IT-Arbeitsstunden und ‑Personal­stellen vollständig für den »Desk Support« und den Betrieb von IT-Systemen verwendet.

Für die präventive Vorsorge und die Ent­wicklung von Notfallstrategien fehlen häu­fig Zeit und Geld, die investiert werden müssten, um mit immer besser werdenden Angreifern Schritt zu halten. IT-Sicherheit hat wie Gesundheitspolitik oder Katastrophenschutz mit dem Präventionsparadox zu kämpfen: Gibt man Millionen für Prä­ventionsmaßnahmen aus und passiert lange Zeit nichts, stellt sich rasch die Frage, ob diese Summen nicht eingespart werden können. Entscheiderinnen und Entscheidern fehlt auch oft das Bewusstsein dafür, dass für IT-Sicherheit eine spezifische Aus­bildung oder Schulung und Fachwissen nötig sind, woran es dem eigenen IT-Perso­nal vielfach mangelt.

Abgesehen von den Defiziten bei Präventionsmaßnahmen wäre es darüber hinaus erforderlich, dass Organisationen Notfallstrategien und Recovery-Pläne entwickeln. Das würde die Cyber-Resilienz erhöhen. Reaktionspläne müssen methodisch durch­dacht sein und verschiedene Szenarien bzw. Ausfälle diverser Systeme antizipieren: Wie dämmt man die Verbreitung von Schad­software im Netzwerk ein und schützt Systeme, die vielleicht noch nicht betroffen sind? Wie sichert man Spuren für eine spä­tere forensische Analyse? Wie dokumentiert man Entscheidungen, die im Notfallmodus getroffen werden, im Nachgang aber noch rekonstruierbar sein sollen?

Außerdem muss es eine Backup- und Wiederherstellungsstrategie geben. Denn das Einspielen von Backups in großen, eventuell global verteilten IT-Umgebungen ist ein komplexes Unterfangen. Dies kann aufgrund großer Datenmengen sehr lange dauern, wahrscheinlich ist nach der Back­up-Einspielung auch hoher Administrations­aufwand zu treiben, um kleinere Fehler zu beheben. Deswegen sollten derlei Reak­tionspläne regelmäßig eingeübt werden.

Zur Notfallplanung gehört auch eine Strategie für die Kommunikation nach in­nen und außen. Wie erreicht man IT-Perso­nal, das eventuell im Urlaub oder Wochen­ende ist? Cyber-Angriffe korrelieren mit Feiertagen. Wie geht man mit Medienanfra­gen um, die zu erwarten sind? Was kom­muniziert man den Kunden? Ferner sind Kontinuitätspläne erforderlich, die defi­nieren, welche grundlegenden Organisa­tionsfunktionen im Minimalbetrieb auf­rechtzuerhalten sind, nachdem es zu einem Befall durch Ransomware gekommen ist. Vielen Unternehmen würde der wirtschaft­liche Bankrott drohen, wenn für Monate Buchungssysteme oder Dienstleistungen für die Kundschaft nicht mehr funktionieren.

Eine allgemeine politische Verpflichtung zu elementaren Schutzmaßnahmen gibt es indes nicht. Lediglich Betreiber von Infra­strukturen, die für die Versorgung hoch­gradig kritisch sind, müssen bestimmte »tech­nische und organisatorische Maßnahmen« (nach ISO 2700X) treffen. Die breite Masse der kleinen und mittelständischen Unter­nehmen muss zwar Brandschutz-, Datenschutz- und Gesundheitsschutzpläne vor­halten; IT-Schutz und Vorsorgepläne sind in Deutschland aber nicht weithin verpflich­tend. Daher sollte über gesetzlich verpflich­tende Notfall- und Vorsorgestrategien nach­gedacht werden, die sektorenspezifisch an­gelegt bzw. an der Unternehmensgröße ori­entiert sind. Ein IT-Sicherheitsfonds nach australischem Vorbild könnte kleinere Orga­nisationen entlasten, die sich solche IT-Si­cherheitsmaßnahmen kaum leisten können.

Maßnahmen anderer Länder

Die USA verlassen sich bei der Bekämpfung von Ransomware mittlerweile nicht mehr nur auf technisch-präventive Maßnahmen. Präsident Joe Biden hat diesen Kampf poli­tisch ähnlich hoch priorisiert wie die Terro­rismusbekämpfung. Im Juli 2021 wurde eine behördenübergreifende Ransomware Task Force gegründet, die das Problem mit einem »whole of government«-Ansatz an­gehen soll. Die zentral koordinierte Task Force erfasst alle Ransomware-Vorfälle und ‑Ermittlungen in den USA und bün­delt die wichtigsten Informationen, um ein voll­ständiges Lagebild zu erstellen. Dazu gehö­ren Informationen über Angreifer, die genutzte Schadsoftware, die dabei verwendete Infrastruktur (insbesondere Botnetze und Bullet-Proof-Hosting-Dienste), über Opfer und Lösegeldtransaktionen. Weiterhin werden Informationen zur Untergrund­ökonomie gesammelt, konkret zu den Fo­ren im Darknet, zu Ransomware-as-service-Plattfor­men und zu Blogs von Ransom­waregruppen. Dabei werden auch nach­rich­tendienstliche und »Open Source Intelligence«-Verfahren angewendet (vgl. SWP-Aktuell 28/2019).

Darüber hinaus werden Zahlungsströme in den Blick genommen. Bisher fehlt ein Überblick, an wen bzw. an welche Bitcoin-Konten Unternehmen in den USA ihre Löse­geldzahlungen entrichten, was die Nach­verfolgung erschwert. Finanztransaktionen über Bitcoin werden mittels Blockchain-Technologie gespeichert und sind daher im Prinzip nachverfolgbar. Diesen Umstand will sich auch Australien zunutze machen, wo kürzlich ein Entwurf für ein Gesetz vor­gestellt wurde, das Unternehmen verpflichten soll, etwaige Ransomware-Zahlungen an das australische Cyber Security Centre zu melden. In den USA soll überdies eine neue öffentlich-private Partnerschaft zwischen Industrie und Finanzministerium Krypto-Zahlungsströme in Echtzeit überwachen. Das US-Finanzministerium entwickelt zudem neue Regularien für Betreiber von Krypto-Währungsexchanges – jenen Stel­len, die digitale in analoge Währungen umtauschen – und für »over the counter trading desks«, die auf diese Weise an bestehende Anti-Geldwäscheverfahren der analogen Finanzindustrie gebunden wer­den sollen. Dazu gehören »know your cus­tomer«-Prozesse, die Exchanges dazu ver­pflichten, die Identitäten von Konteninha­bern zu überprüfen, sowie das Befolgen von Anti-Geldwäsche- bzw. Antiterror-Finanzie­rungsgesetzen. Außerdem sollen Krypto-Exchanges künftig Auszahlungen ab 10.000 US-Dollar an Aufsichtsbehörden melden.

Das Problem ist, dass diese Regelungen nur heimische Exchanges betreffen, nicht aber ähnliche Services im Ausland. Wahr­scheinlich werden Kriminelle dann auch auf andere Kryptowährungen wie Monero ausweichen, die schwerer zu überwachen sind. Insofern kann das Ziel nur sein, Trans­aktionen zu erschweren, die sich vollstän­dig nie werden verhindern lassen. In Groß­britannien wird unterdessen die Idee dis­kutiert, Ransomware-Zahlungen Betroffe­ner gänzlich zu verbieten, um den Krimi­nellen die Geschäftsgrundlage zu entzie­hen. Der Vorschlag ist insofern kontrovers, als sich nicht wenige Unternehmen vor der Entscheidung sehen, entweder die Löse­geldforderung zu erfüllen oder Insolvenz anzumelden. Auch wenn in der IT-Sicher­heits­industrie die Maxime gepredigt wird, »zahle nicht das Lösegeld«, weil damit das kriminelle Ökosystem und die Entwicklung neuer Angriffstechniken unterstützt wer­den, ist sie häufig nicht praktikabel.

Multilaterale Maßnahmen

Da Regularien für Kryptowährungsdienstleister national nur begrenzt wirksam sind, müssen sie international in multilateralen Foren durchgesetzt werden. Beim G7-Tref­fen im Sommer 2021 wurde das Thema erstmals angesprochen. Allerdings lag der Fokus vor allem darauf, dass Staaten es nicht wissentlich dulden sollten, Kriminelle von ihrem Territorium aus operieren zu lassen. Sie sollten vielmehr ihrer Sorgfalts­verantwortung nachkommen und die kri­minellen Machenschaften stoppen und verfolgen, sofern sie von ihnen wissen oder von anderen Staaten Hinweise bekommen. Auf diese Norm verantwortlichen Staatenverhaltens hatten sich die UN-Mitglieder vor einigen Jahren geeignet, allerdings ist sie nicht verbindlich, sondern nur freiwillig einzuhalten. Die Kooperation bei der Regu­lierung von Digitalwährungen stand beim G7-Treffen nicht im Vordergrund, wird aber im Rahmen der Financial Action Task Force ein Thema sein, die internationale Stan­dards und Instrumente zur Kontrolle vir­tueller Währungen entwickeln soll.

Krpytowährungsdienste sind jedoch nur ein Teil des Problems. Ein anderer sind die Auswüchse der Ransomware-Untergrund­ökonomien, zu deren Einhegung die Staa­ten einen strukturierten Ansatz entwickeln sollten, indem sie sich etwa verpflichten, keine Bullet-Proof-Hosting-Dienste auf ihrem Territorium zuzulassen bzw. strafrechtlich gegen sie vorzugehen. Da Anti-Geldwäsche­prozesse allerlei Schlupflöcher bieten, hat eine Gruppe internationaler Forscher auf dem World Economic Forum 2021 einen »Zuckerbrot und Peitsche«-Ansatz vorgeschlagen, um auf Staaten einzuwirken, die Ransomware-Aktivitäten auf ihrem Terri­torium dulden. Dabei soll die ganze Band­breite außenpolitischer Maßnahmen ge­nutzt werden, inklusive »naming & sham­ing« in öffentlichen Foren, die Androhung, finan­zielle Unterstützung und Entwicklungshilfe zu kürzen, bis hin zu Wirtschaftssanktionen. Wo Ermittlungskapazitäten fehlen, sollten fortschrittlichere Staaten unterstützend eingreifen und »capacity building« in Drittländern betreiben, um Strafverfolger zu wirksamem Handeln zu befähigen. Flankierend bietet das US‑Außen­ministerium jenen als Anreiz Belohnungen von bis zu 10 Millionen US-Dollar an, die US-Behörden Tipps zur Identifizierung staatlich gestützter Cyber-Angriffe auf kri­tische Infrastrukturen geben. Hier wird exemplarisch und in vorbildlicher Weise ein breites Instrumentarium staatlichen Han­delns eingesetzt. Der erhöhte Druck der US-Regierung scheint zumindest momentan zu wirken: Nachdem US-Präsident Biden das Thema bei Russlands Präsident Putin angesprochen hatte, gingen die Aktivitäten der Ransomware-Gruppe REvil zurück. Ob dies aber an den bilateralen Konsultationen lag oder andere Gründe hatte, wie etwa eine verborgene Offensive von U.S. Cyber Command, ist unklar. Außerdem muss sich erst zeigen, ob die Gruppe ihre Aktivitäten dauerhaft eingeschränkt hat oder nur kurz­fristig die Füße stillhält, bis der öffentliche Druck nachgelassen hat.

Darüber hinaus sollten Bemühungen intensiviert werden, Russland und die Mit­glieder der Gemeinschaft Unabhängiger Staaten (GUS) zu bewegen, der völkerrechtlich bindenden Budapest-Konvention gegen Cyber-Kriminalität beizutreten, die seit 2004 in Kraft ist und von 46 Staaten ratifi­ziert wurde. Diese Konvention regelt zum Beispiel Fragen länderübergreifender Straf­verfolgung und den Austausch elektronischer Beweismittel bei Ermittlungen gegen Cyber-Kriminalität. Russland verweigerte seinerzeit den Beitritt, weil es in den Be­stimmungen eine Einmischung in innere Angelegenheiten sah. Seitdem versucht das Land auf UN-Ebene, die Budapest-Konven­tion durch ein eigenes Cybercrime-Regime zu ersetzen, das diverse Maßnahmen zur Zensur von Internetinhalten ebenso vor­sieht wie Einschränkungen eines freien, glo­balen Internets. Für demokratische Staaten ist das eine rote Linie, die nicht überschritten werden sollte. Da auch die Budapest-Kon­vention Defizite hat und über Reformen nachgedacht wird, sollte Russland hier mit an den Tisch geholt werden. Gleichzeitig gilt es Anreize zu schaffen, dass Russland einem reformierten Vertrag beitritt, an dessen Reform es mitwirken könnte.

Offensive Maßnahmen?

Nicht zuletzt stellt sich die Frage, inwiefern eigene offensive Cyber-Maßnahmen gegen die Ransomware-Kommandoinfrastruktur gerichtet werden können und sollten. Das U.S. Cyber Command nutzte Cyber-Opera­tio­nen, um die Infrastruktur des Trickbot-Botnetzes temporär zu stören. Das gab An­lass zu einer Diskussion darüber, ob eine Militarisierung dieses gesamtgesellschaft­lichen Problems der richtige Ansatz ist. Militärische Maßnahmen sollten immer die letzte Wahl bleiben, und vor ihrem Einsatz sollte ihre Notwendigkeit sorgfältig geprüft werden, so der US-Politologe Jason Healey. Denn notwendig dürften sie nur in nur sehr wenigen Fällen sein, etwa bei direkter In­vol­vierung eines anderen Staates.

Darüber hinaus ist zu klären, was ein Gegenschlag bezwecken soll. Wenn das Ziel ist, Ransomware-Infrastruktur dauerhaft auszuschalten, dürfte dies kaum zu errei­chen sein, wie das Trickbot-Beispiel zeigt: Nur wenige Wochen nach dem Gegenschlag waren die Kriminellen mit einem neuen Botnet wieder aktiv. Das Untergrundöko­system ist mit anderen Worten überaus effektiv und resilient, Ausweichmöglich­keiten lassen sich sehr schnell wiederaufbauen oder anmieten. Cyber-Spionage­operationen, mit denen Kommandoinfrastruktur infiltriert werden sollen, können in Einzelfällen aber Informationen über verwendete Schadsoftware oder Betreiber bzw. Servicedienstleister liefern, sofern sie ihre Spuren nicht gut verwischen. Solche Operationen scheinen darum eher für die Strafverfolgung von Nutzen zu sein.

Cyber-Operationen, die der Immuni­sierung (»Zwangsimpfen«) von mit Schad­software infizierten Endgeräten der Opfer dienen sollen, wie sie im Falle des Emotet-Botnetzes diskutiert wurden, sind risikoreich. Es ist nie völlig klar, welche Kollateralschäden ein Eingriff in die Integrität von Systemen anrichten kann. Cyber-Gegen­schläge sind also kein Wundermittel und können allenfalls begleitend bei Straf­verfolgungsermittlungen eine Rolle spielen. Dazu müssen sie in Kombination mit den angesprochenen anderen Instrumenten in eine umfassende Strategie eingebettet sein. Nationale Ad-hoc-Alleingänge sind dabei wenig hilfreich, da Cyber-Operationen im schlimmsten Fall die Ermittlungsbemühun­gen anderer Länder torpedieren. Insofern muss über international abgestimmte Mechanismen nachgedacht werden. Hier­für sind eine sorgfältige und systematische Ana­lyse potenzieller Schadenseffekte und gege­benenfalls die Aufstellung von Mitiga­tions- bzw. Kontingenzplänen zwingend erforderlich. Für deutsche Behörden stellen sich bei einem solchen Vorgehen diverse grundrechtliche Fragen.

Fazit

Die nächste Bundesregierung sollte prüfen, welche der hier diskutierten Maßnahmen auch in Deutschland umgesetzt werden könnten. Sehr wichtig wäre, dass das Thema höher priorisiert und geeignete Konzepte und Maßnahmen gesamtstaatlich koordiniert werden. Dazu braucht es ein Lagebild über die Untergrundökonomie und die Zah­lungsströme. Darüber hinaus ist die Unter­stützung multilateraler Initia­tiven sinnvoll, die gegen das Untergrund­ökosystem vor­gehen; dazu gehört etwa die Finanzregulierung von Kryptowährungsdiensten. All dies wird aber nur begrenzte Wirksamkeit ent­falten, solange Organisationen in Deutschland nicht stärker verpflichtet bzw. dabei unterstützt werden, ihre IT-Sicherheits­hausaufgaben zu machen.

Dr. Matthias Schulze ist Stellvertretender Leiter der Forschungsgruppe Sicherheitspolitik.

© Stiftung Wissenschaft und Politik, 2021

SWP

Stiftung Wissenschaft und Politik

ISSN (Print) 1611-6364

ISSN (Online) 2747-5018