Ransomware

Problemlage und aktuelle Dynamiken

Die Corona-Pandemie und die Verlagerung ins Home-Office haben weltweit IT-Systeme verwundbarer gemacht. Organisationen haben hastig mobiles Arbeiten ermöglicht und ihre sensiblen internen Netzwerke für ihre daheim tätigen Mitarbeiterinnen und Mitarbeiter geöffnet. Dieser Fernzugriff auf Systeme, etwa zur Administration, ist heute neben Emails und Schwachstellen in Firmen-VPN ein vorherrschender Angriffsvektor. Die jüngste massive Umstrukturierung der IT wurde oft nicht mit zusätzlichen IT-Sup­portstellen und Schutzmaßnahmen begleitet. Die Folge ist ein massiver Anstieg der Ransomware-Fälle (um 485 % gegenüber 2019 laut Bitdefender).

Während vor einigen Jahren undifferenzierte Angriffe gegen Opportunitätsziele mit geringem IT-Sicherheitsniveau domi­nierten, geht der Trend heute zum »big game hunting«. Kritische Infrastrukturen und größere Unternehmen wie Öl-Pipeline-Betreiber, Supermarktketten, aber auch IT-Unternehmen wie Acer werden systematisch angegriffen. Dazu werten Kriminelle Quartalsberichte aus und errechnen die zu fordernden Lösegelder, die bewusst geringer sind als die geschätzten Kosten zur Wieder­herstellung der IT betroffener Unternehmen, um die Anreize für die Bezahlung zu erhöhen. Oft sind auch mittelständische Unternehmen betroffen, die umsatzstark, aber vielfach nicht kritisch genug sind, als dass Angreifer staatliche Konsequenzen zu befürchten hätten. Kleinere, kommunale kritische Infrastrukturen wie Wasserwerke sind besonders verwundbar, da ihnen nicht selten ein angemessenes IT-Sicherheits­budget fehlt.

Waren vor einigen Jahren Zahlungen geringerer Lösegeldsummen ein verkraft­bares Ärgernis für die meisten Unternehmen, sind Angreifer inzwischen skrupel­loser geworden und verlangen Millionen­beträge – und erhalten sie auch. Die Grup­pe REvil forderte von der IT-Firma Kaseya im Juni 2021 rekordverdächtige 70 Millio­nen Dollar Lösegeld. Durchschnittliche Löse­geldsummen liegen mittlerweile bei rund 300.000 US-Dollar. Dies kann kleinere Unter­nehmen in Existenznöte bringen, ins­besondere wenn sich derlei Vorfälle binnen kurzer Zeit wiederholen. Für solche Unter­nehmen ist es schwieriger, die damit ver­bundenen Umsatzeinbußen zu verkraften und die Mittel für die Wiederherstellung von Infra­struktur aufzubringen. Die Umsatz­einbußen belaufen sich im Schnitt auf das Fünf- bis Zehnfache der Ransomzahlungen.

Angreifer sind zudem agiler und schneller geworden als die meist schwerfälligen Bürokratien und IT-Abteilungen, die oft­mals Geld für neue Abwehrmaßnahmen langwierig einfordern müssen. Laut einer Studie von 2018 schützen traditionelle Anti­virensysteme nicht mehr gegen die meisten Ransomware-Angriffe. Denn Ran­somware-Gruppen lernen von ihrer Kon­kurrenz und auch von staatlichen Cyber-Angriffs­techniken und verbessern so ihre eigenen Operationen. Zudem reinvestieren sie die erpressten Löse­geldsummen in immer neue und noch komplexere Angriffs­techniken (oder subventionieren damit andere kriminelle Praktiken wie Drogenhandel). Nimmt man in einem hypothetischen Beispiel die Lösegeldgewinne der Angreifergruppe REvil von rund 40 Millio­nen US-Dollar als Bezugswert, die sich in neue Angriffswerkzeuge investieren lassen, würde diese Summe den IT-Haushalt der meisten mittleren und grö­ßeren Unternehmen übersteigen. Mit so hohen Beträ­gen können Angreifer traditionelle und häufig schnell veraltete Schutzmaßnahmen der Verteidiger, die über ein weitaus gerin­geres IT-Sicherheitsbudget verfügen, pro­blemlos ausmanövrieren. Ein Beispiel sind »supply chain«-Angriffe. Diese richten sich gegen Dienstleister, die ihren Klienten etwa Netzwerk- oder Software-Management bieten. Diese Form von Angriffen wurde vor wenigen Jahren noch weitgehend exklu­siv von staatlichen Nachrichtendiensten ge­nutzt, wird aber zunehmend auch von Kri­mi­nellen nachgeahmt.

Ein weiteres Indiz für die fortschreitende Professionalisierung ist die Ausnutzung komplexerer Sicherheitslücken. Während Ransomware in den vergangenen Jahren vorwiegend bei bekannten, von Betroffenen noch nicht per Update behobenen Sicherheitslücken ansetzte, kaufen Angreifer mitt­lerweile auch Informationen über sogenannte 0-Day-Sicherheitslücken auf Schwarzmärkten ein bzw. haben die Fähig­keit, diese selber zu entwickeln. Damit können sie auch Ziele angreifen, die durch ein hohes Maß an IT-Sicherheit geschützt sind, welche gegen 0-Days aber nichts aus­zurichten vermag. Einige Kriminelle operie­ren mittlerweile auf einem ähnlichen Pro­fessionalitätsniveau wie einige Staaten. Halfen vor wenigen Jahren noch Backups halbwegs zuverlässig gegen Ransomware, da dank vorhandener Datenkopie der Er­pressungsversuch ins Leere ging, verschlüs­seln moderne An­greifer heute nicht nur Daten, sondern stehlen sie auch und drohen mit Veröffentlichung (»double extortion«).

Technische Maßnahmen

Bisherige staatliche Versuche, Ransomware zu bekämpfen, sind vorwiegend technischer Natur. Diverse Cyber-Behörden wie das Bonner Bundesamt für Sicherheit in der Informationstechnik (BSI) oder die Cyber­security & Infrastructure Security Agency (CISA) in den USA informieren seit Jahren über bekannte und etablierte »best prac­tices« zur Prävention. Diese umfassen: technische Maßnahmen wie Patch- und Schwachstellenmanagement in IT-Abtei­lungen, die Systeme so up to date halten; Netzwerkmonitoring und Detektion, die alle Systeme im Netzwerk sichtbar machen und Anomalien erkennen lassen; das Vor­halten dezentraler, regelmäßiger »off-site«-Backups, die nicht mit operativen Systemen verbunden sind, um deren Infektion zu ver­meiden; segmentierte und isolierte Netz­werk-Topografien, die verhindern, dass Mal­ware sich ungehindert in einer Firma aus­breiten kann; Zugangskontrollmanage­ment, das nur denjenigen Zugriff auf admi­nis­trative Funktionen erlaubt, wenn diese akut gebraucht werden; das Abschalten unnötiger Wartungsverbindungen wie das Remote Desktop Protocol; das Einrichten einer Zwei-Faktor-Authentifizierung bei Diensten, die über das Internet erreichbar sind (Mail, Clouds etc.); »allow-listing« von Anwendungen, was das Starten unerlaubter Schadsoftware in Anhängen unterbindet; regelmäßige Trainings wie Email-Hygiene und Awareness, die Nutzerinnen und Nut­zer dazu anhalten, nicht auf verdächtige Anhänge zu klicken.

Diese Maßnahmen sind zwar hinlänglich bekannt, werden meist aber von Organisationen nicht befolgt oder gar fehlerhaft umgesetzt. Viele Unternehmen – das gilt inzwischen vielfach auch für öffentliche Verwaltungen, Universitäten oder Krankenhäuser – machen diese grundlegenden Hausaufgaben nicht. Dafür gibt es vielerlei Gründe. Kosten sind ein Faktor, fehlendes Problembewusstsein bei Entscheidern ein weiterer. Noch immer sind die Ausgaben für IT-Sicherheit zu gering. Laut einer Um­frage des Branchenverbands Bitkom geben nur rund 31 % der deutschen Unternehmen nach dem empfohlenen Richtwert rund 20 % ihrer IT-Haushaltsmittel für IT-Sicher­heit aus. Nicht selten wird immer noch fälschlich angenommen, dass die eigene Organisation nicht interessant genug ist und darum nicht betroffen sein wird. Folg­lich sind viele IT-Abteilungen nicht ange­mes­sen finanziert und unterbesetzt. Häufig wer­den die IT-Arbeitsstunden und ‑Personal­stellen vollständig für den »Desk Support« und den Betrieb von IT-Systemen verwendet.

Für die präventive Vorsorge und die Ent­wicklung von Notfallstrategien fehlen häu­fig Zeit und Geld, die investiert werden müssten, um mit immer besser werdenden Angreifern Schritt zu halten. IT-Sicherheit hat wie Gesundheitspolitik oder Katastrophenschutz mit dem Präventionsparadox zu kämpfen: Gibt man Millionen für Prä­ventionsmaßnahmen aus und passiert lange Zeit nichts, stellt sich rasch die Frage, ob diese Summen nicht eingespart werden können. Entscheiderinnen und Entscheidern fehlt auch oft das Bewusstsein dafür, dass für IT-Sicherheit eine spezifische Aus­bildung oder Schulung und Fachwissen nötig sind, woran es dem eigenen IT-Perso­nal vielfach mangelt.

Abgesehen von den Defiziten bei Präventionsmaßnahmen wäre es darüber hinaus erforderlich, dass Organisationen Notfallstrategien und Recovery-Pläne entwickeln. Das würde die Cyber-Resilienz erhöhen. Reaktionspläne müssen methodisch durch­dacht sein und verschiedene Szenarien bzw. Ausfälle diverser Systeme antizipieren: Wie dämmt man die Verbreitung von Schad­software im Netzwerk ein und schützt Systeme, die vielleicht noch nicht betroffen sind? Wie sichert man Spuren für eine spä­tere forensische Analyse? Wie dokumentiert man Entscheidungen, die im Notfallmodus getroffen werden, im Nachgang aber noch rekonstruierbar sein sollen?

Außerdem muss es eine Backup- und Wiederherstellungsstrategie geben. Denn das Einspielen von Backups in großen, eventuell global verteilten IT-Umgebungen ist ein komplexes Unterfangen. Dies kann aufgrund großer Datenmengen sehr lange dauern, wahrscheinlich ist nach der Back­up-Einspielung auch hoher Administrations­aufwand zu treiben, um kleinere Fehler zu beheben. Deswegen sollten derlei Reak­tionspläne regelmäßig eingeübt werden.

Zur Notfallplanung gehört auch eine Strategie für die Kommunikation nach in­nen und außen. Wie erreicht man IT-Perso­nal, das eventuell im Urlaub oder Wochen­ende ist? Cyber-Angriffe korrelieren mit Feiertagen. Wie geht man mit Medienanfra­gen um, die zu erwarten sind? Was kom­muniziert man den Kunden? Ferner sind Kontinuitätspläne erforderlich, die defi­nieren, welche grundlegenden Organisa­tionsfunktionen im Minimalbetrieb auf­rechtzuerhalten sind, nachdem es zu einem Befall durch Ransomware gekommen ist. Vielen Unternehmen würde der wirtschaft­liche Bankrott drohen, wenn für Monate Buchungssysteme oder Dienstleistungen für die Kundschaft nicht mehr funktionieren.

Eine allgemeine politische Verpflichtung zu elementaren Schutzmaßnahmen gibt es indes nicht. Lediglich Betreiber von Infra­strukturen, die für die Versorgung hoch­gradig kritisch sind, müssen bestimmte »tech­nische und organisatorische Maßnahmen« (nach ISO 2700X) treffen. Die breite Masse der kleinen und mittelständischen Unter­nehmen muss zwar Brandschutz-, Datenschutz- und Gesundheitsschutzpläne vor­halten; IT-Schutz und Vorsorgepläne sind in Deutschland aber nicht weithin verpflich­tend. Daher sollte über gesetzlich verpflich­tende Notfall- und Vorsorgestrategien nach­gedacht werden, die sektorenspezifisch an­gelegt bzw. an der Unternehmensgröße ori­entiert sind. Ein IT-Sicherheitsfonds nach australischem Vorbild könnte kleinere Orga­nisationen entlasten, die sich solche IT-Si­cherheitsmaßnahmen kaum leisten können.

Maßnahmen anderer Länder

Die USA verlassen sich bei der Bekämpfung von Ransomware mittlerweile nicht mehr nur auf technisch-präventive Maßnahmen. Präsident Joe Biden hat diesen Kampf poli­tisch ähnlich hoch priorisiert wie die Terro­rismusbekämpfung. Im Juli 2021 wurde eine behördenübergreifende Ransomware Task Force gegründet, die das Problem mit einem »whole of government«-Ansatz an­gehen soll. Die zentral koordinierte Task Force erfasst alle Ransomware-Vorfälle und ‑Ermittlungen in den USA und bün­delt die wichtigsten Informationen, um ein voll­ständiges Lagebild zu erstellen. Dazu gehö­ren Informationen über Angreifer, die genutzte Schadsoftware, die dabei verwendete Infrastruktur (insbesondere Botnetze und Bullet-Proof-Hosting-Dienste), über Opfer und Lösegeldtransaktionen. Weiterhin werden Informationen zur Untergrund­ökonomie gesammelt, konkret zu den Fo­ren im Darknet, zu Ransomware-as-service-Plattfor­men und zu Blogs von Ransom­waregruppen. Dabei werden auch nach­rich­tendienstliche und »Open Source Intelligence«-Verfahren angewendet (vgl. SWP-Aktuell 28/2019).

Darüber hinaus werden Zahlungsströme in den Blick genommen. Bisher fehlt ein Überblick, an wen bzw. an welche Bitcoin-Konten Unternehmen in den USA ihre Löse­geldzahlungen entrichten, was die Nach­verfolgung erschwert. Finanztransaktionen über Bitcoin werden mittels Blockchain-Technologie gespeichert und sind daher im Prinzip nachverfolgbar. Diesen Umstand will sich auch Australien zunutze machen, wo kürzlich ein Entwurf für ein Gesetz vor­gestellt wurde, das Unternehmen verpflichten soll, etwaige Ransomware-Zahlungen an das australische Cyber Security Centre zu melden. In den USA soll überdies eine neue öffentlich-private Partnerschaft zwischen Industrie und Finanzministerium Krypto-Zahlungsströme in Echtzeit überwachen. Das US-Finanzministerium entwickelt zudem neue Regularien für Betreiber von Krypto-Währungsexchanges – jenen Stel­len, die digitale in analoge Währungen umtauschen – und für »over the counter trading desks«, die auf diese Weise an bestehende Anti-Geldwäscheverfahren der analogen Finanzindustrie gebunden wer­den sollen. Dazu gehören »know your cus­tomer«-Prozesse, die Exchanges dazu ver­pflichten, die Identitäten von Konteninha­bern zu überprüfen, sowie das Befolgen von Anti-Geldwäsche- bzw. Antiterror-Finanzie­rungsgesetzen. Außerdem sollen Krypto-Exchanges künftig Auszahlungen ab 10.000 US-Dollar an Aufsichtsbehörden melden.

Das Problem ist, dass diese Regelungen nur heimische Exchanges betreffen, nicht aber ähnliche Services im Ausland. Wahr­scheinlich werden Kriminelle dann auch auf andere Kryptowährungen wie Monero ausweichen, die schwerer zu überwachen sind. Insofern kann das Ziel nur sein, Trans­aktionen zu erschweren, die sich vollstän­dig nie werden verhindern lassen. In Groß­britannien wird unterdessen die Idee dis­kutiert, Ransomware-Zahlungen Betroffe­ner gänzlich zu verbieten, um den Krimi­nellen die Geschäftsgrundlage zu entzie­hen. Der Vorschlag ist insofern kontrovers, als sich nicht wenige Unternehmen vor der Entscheidung sehen, entweder die Löse­geldforderung zu erfüllen oder Insolvenz anzumelden. Auch wenn in der IT-Sicher­heits­industrie die Maxime gepredigt wird, »zahle nicht das Lösegeld«, weil damit das kriminelle Ökosystem und die Entwicklung neuer Angriffstechniken unterstützt wer­den, ist sie häufig nicht praktikabel.

Multilaterale Maßnahmen

Da Regularien für Kryptowährungsdienstleister national nur begrenzt wirksam sind, müssen sie international in multilateralen Foren durchgesetzt werden. Beim G7-Tref­fen im Sommer 2021 wurde das Thema erstmals angesprochen. Allerdings lag der Fokus vor allem darauf, dass Staaten es nicht wissentlich dulden sollten, Kriminelle von ihrem Territorium aus operieren zu lassen. Sie sollten vielmehr ihrer Sorgfalts­verantwortung nachkommen und die kri­minellen Machenschaften stoppen und verfolgen, sofern sie von ihnen wissen oder von anderen Staaten Hinweise bekommen. Auf diese Norm verantwortlichen Staatenverhaltens hatten sich die UN-Mitglieder vor einigen Jahren geeignet, allerdings ist sie nicht verbindlich, sondern nur freiwillig einzuhalten. Die Kooperation bei der Regu­lierung von Digitalwährungen stand beim G7-Treffen nicht im Vordergrund, wird aber im Rahmen der Financial Action Task Force ein Thema sein, die internationale Stan­dards und Instrumente zur Kontrolle vir­tueller Währungen entwickeln soll.

Krpytowährungsdienste sind jedoch nur ein Teil des Problems. Ein anderer sind die Auswüchse der Ransomware-Untergrund­ökonomien, zu deren Einhegung die Staa­ten einen strukturierten Ansatz entwickeln sollten, indem sie sich etwa verpflichten, keine Bullet-Proof-Hosting-Dienste auf ihrem Territorium zuzulassen bzw. strafrechtlich gegen sie vorzugehen. Da Anti-Geldwäsche­prozesse allerlei Schlupflöcher bieten, hat eine Gruppe internationaler Forscher auf dem World Economic Forum 2021 einen »Zuckerbrot und Peitsche«-Ansatz vorgeschlagen, um auf Staaten einzuwirken, die Ransomware-Aktivitäten auf ihrem Terri­torium dulden. Dabei soll die ganze Band­breite außenpolitischer Maßnahmen ge­nutzt werden, inklusive »naming & sham­ing« in öffentlichen Foren, die Androhung, finan­zielle Unterstützung und Entwicklungshilfe zu kürzen, bis hin zu Wirtschaftssanktionen. Wo Ermittlungskapazitäten fehlen, sollten fortschrittlichere Staaten unterstützend eingreifen und »capacity building« in Drittländern betreiben, um Strafverfolger zu wirksamem Handeln zu befähigen. Flankierend bietet das US‑Außen­ministerium jenen als Anreiz Belohnungen von bis zu 10 Millionen US-Dollar an, die US-Behörden Tipps zur Identifizierung staatlich gestützter Cyber-Angriffe auf kri­tische Infrastrukturen geben. Hier wird exemplarisch und in vorbildlicher Weise ein breites Instrumentarium staatlichen Han­delns eingesetzt. Der erhöhte Druck der US-Regierung scheint zumindest momentan zu wirken: Nachdem US-Präsident Biden das Thema bei Russlands Präsident Putin angesprochen hatte, gingen die Aktivitäten der Ransomware-Gruppe REvil zurück. Ob dies aber an den bilateralen Konsultationen lag oder andere Gründe hatte, wie etwa eine verborgene Offensive von U.S. Cyber Command, ist unklar. Außerdem muss sich erst zeigen, ob die Gruppe ihre Aktivitäten dauerhaft eingeschränkt hat oder nur kurz­fristig die Füße stillhält, bis der öffentliche Druck nachgelassen hat.

Darüber hinaus sollten Bemühungen intensiviert werden, Russland und die Mit­glieder der Gemeinschaft Unabhängiger Staaten (GUS) zu bewegen, der völkerrechtlich bindenden Budapest-Konvention gegen Cyber-Kriminalität beizutreten, die seit 2004 in Kraft ist und von 46 Staaten ratifi­ziert wurde. Diese Konvention regelt zum Beispiel Fragen länderübergreifender Straf­verfolgung und den Austausch elektronischer Beweismittel bei Ermittlungen gegen Cyber-Kriminalität. Russland verweigerte seinerzeit den Beitritt, weil es in den Be­stimmungen eine Einmischung in innere Angelegenheiten sah. Seitdem versucht das Land auf UN-Ebene, die Budapest-Konven­tion durch ein eigenes Cybercrime-Regime zu ersetzen, das diverse Maßnahmen zur Zensur von Internetinhalten ebenso vor­sieht wie Einschränkungen eines freien, glo­balen Internets. Für demokratische Staaten ist das eine rote Linie, die nicht überschritten werden sollte. Da auch die Budapest-Kon­vention Defizite hat und über Reformen nachgedacht wird, sollte Russland hier mit an den Tisch geholt werden. Gleichzeitig gilt es Anreize zu schaffen, dass Russland einem reformierten Vertrag beitritt, an dessen Reform es mitwirken könnte.

Offensive Maßnahmen?

Nicht zuletzt stellt sich die Frage, inwiefern eigene offensive Cyber-Maßnahmen gegen die Ransomware-Kommandoinfrastruktur gerichtet werden können und sollten. Das U.S. Cyber Command nutzte Cyber-Opera­tio­nen, um die Infrastruktur des Trickbot-Botnetzes temporär zu stören. Das gab An­lass zu einer Diskussion darüber, ob eine Militarisierung dieses gesamtgesellschaft­lichen Problems der richtige Ansatz ist. Militärische Maßnahmen sollten immer die letzte Wahl bleiben, und vor ihrem Einsatz sollte ihre Notwendigkeit sorgfältig geprüft werden, so der US-Politologe Jason Healey. Denn notwendig dürften sie nur in nur sehr wenigen Fällen sein, etwa bei direkter In­vol­vierung eines anderen Staates.

Darüber hinaus ist zu klären, was ein Gegenschlag bezwecken soll. Wenn das Ziel ist, Ransomware-Infrastruktur dauerhaft auszuschalten, dürfte dies kaum zu errei­chen sein, wie das Trickbot-Beispiel zeigt: Nur wenige Wochen nach dem Gegenschlag waren die Kriminellen mit einem neuen Botnet wieder aktiv. Das Untergrundöko­system ist mit anderen Worten überaus effektiv und resilient, Ausweichmöglich­keiten lassen sich sehr schnell wiederaufbauen oder anmieten. Cyber-Spionage­operationen, mit denen Kommandoinfrastruktur infiltriert werden sollen, können in Einzelfällen aber Informationen über verwendete Schadsoftware oder Betreiber bzw. Servicedienstleister liefern, sofern sie ihre Spuren nicht gut verwischen. Solche Operationen scheinen darum eher für die Strafverfolgung von Nutzen zu sein.

Cyber-Operationen, die der Immuni­sierung (»Zwangsimpfen«) von mit Schad­software infizierten Endgeräten der Opfer dienen sollen, wie sie im Falle des Emotet-Botnetzes diskutiert wurden, sind risikoreich. Es ist nie völlig klar, welche Kollateralschäden ein Eingriff in die Integrität von Systemen anrichten kann. Cyber-Gegen­schläge sind also kein Wundermittel und können allenfalls begleitend bei Straf­verfolgungsermittlungen eine Rolle spielen. Dazu müssen sie in Kombination mit den angesprochenen anderen Instrumenten in eine umfassende Strategie eingebettet sein. Nationale Ad-hoc-Alleingänge sind dabei wenig hilfreich, da Cyber-Operationen im schlimmsten Fall die Ermittlungsbemühun­gen anderer Länder torpedieren. Insofern muss über international abgestimmte Mechanismen nachgedacht werden. Hier­für sind eine sorgfältige und systematische Ana­lyse potenzieller Schadenseffekte und gege­benenfalls die Aufstellung von Mitiga­tions- bzw. Kontingenzplänen zwingend erforderlich. Für deutsche Behörden stellen sich bei einem solchen Vorgehen diverse grundrechtliche Fragen.

Fazit

Die nächste Bundesregierung sollte prüfen, welche der hier diskutierten Maßnahmen auch in Deutschland umgesetzt werden könnten. Sehr wichtig wäre, dass das Thema höher priorisiert und geeignete Konzepte und Maßnahmen gesamtstaatlich koordiniert werden. Dazu braucht es ein Lagebild über die Untergrundökonomie und die Zah­lungsströme. Darüber hinaus ist die Unter­stützung multilateraler Initia­tiven sinnvoll, die gegen das Untergrund­ökosystem vor­gehen; dazu gehört etwa die Finanzregulierung von Kryptowährungsdiensten. All dies wird aber nur begrenzte Wirksamkeit ent­falten, solange Organisationen in Deutschland nicht stärker verpflichtet bzw. dabei unterstützt werden, ihre IT-Sicherheits­hausaufgaben zu machen.