Zur Erinnerung: Unter Ransomware versteht man Schadprogramme, die den Zugriff auf Daten und IT-Systeme sperren. Erst nach Zahlung eines Lösegelds wird ein erneuter Zugriff auf die befallenen Systeme in Aussicht gestellt. Oft werden im Zuge eines Ransomware-Angriffs auch Daten des Opfers gestohlen. Die Cyberkriminellen drohen dann damit, diese Daten im Netz zu veröffentlichen, sollte die Lösegeldzahlung verweigert werden.
Wie der CEO von Colonial Pipeline zugegeben hat, zahlte sein Unternehmen den Erpressern satte 4,5 Millionen US-Dollar Lösegeld, um wieder Zugriff auf seine Systeme zu erhalten.
Nicht nur der Fall Colonial Pipeline zeigt, dass Angriffe mit Ransomware ein überaus einträgliches Geschäft sind. Wie die Analysten von Elliptic herausgefunden haben, hat DarkSide seit August 2020 Lösegelder im Wert von mindestens 90 Millionen US-Dollar von etwa 47 Opfern erpresst. Und das ist nur die Spitze des Eisbergs. Denn mindestens ein Dutzend profilierter Ransomware-Gangs profitieren immer wieder von Angriffen auf Unternehmen, Schulen, Behörden und Krankenhäuser.
Lösegeldzahlung: ja oder nein?
Immer wieder kontrovers diskutiert wird die Frage, ob Unternehmen, Behörden und Institutionen, die Opfer von erfolgreichen Ransomware-Angriffen geworden sind, ihre Daten wieder freikaufen sollen oder nicht.
Für Strafverfolgungsbehörden weltweit steht fest: Wer Lösegelder an Erpresser zahlt, unterstützt das Geschäftsmodell der Cyberkriminellen. Das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) rät etwa, angemessen vorzusorgen und nicht zu zahlen. „Jede erfolgreiche Erpressung zeigt den Erfolg des Angriffs und motiviert den Angreifer weiter zu machen“, heißt es in einer Veröffentlichung der Behörde zum Umgang mit Ransomware. „Sie finanziert die Weiterentwicklung der Schadsoftware und fördert deren Verbreitung. Mit jeder bezahlten Infektion steigt damit die Wahrscheinlichkeit für den Betroffenen noch einmal, vielleicht sogar über raffiniertere Verfahren, infiziert zu werden.“ Außerdem gebe es keine Garantie, dass die Verbrecher auch ihr „Wort halten“ und die Entschlüsselung ermöglichen oder ausgeleitete Daten auch wirklich löschen würden. Tatsächlich zahle knapp über die Hälfte aller betroffenen Unternehmen das Lösegeld, wie das IT-Sicherheitsunternehmen Kaspersky berichtet. 17 Prozent dieser Firmen bekämen dennoch trotz Zahlung keinen Zugriff auf ihre Daten.
Lösegeldzahlungen einfach verbieten?
Wenn ausbleibende Lösegeldzahlungen dazu führen sollen, dass die Zahl der Ransomware-Angriffe abnimmt, warum wird das Freikaufen der Daten nicht einfach verboten?
Die Ransomware Task Force (RTF), eine globale Koalition von Cybersicherheitsexperten, will Regierungen dazu bewegen, endlich gegen die Bedrohung durch Ransomware-Gangs vorzugehen. Ob man das Zahlen von Lösegeldern per Gesetz verbieten soll, darüber sind sich auch die Experten nicht einig.
Gegner des Verbots führen unter anderem ins Feld, dass ein Verbot von Lösegeldzahlungen dazu führen könnte, dass Cyberkriminelle ihre Angriffe einfach auf Organisationen konzentrieren, die am wenigsten damit zurechtkämen. Zum Beispiel Krankenhäuser, Wasserwerke, Energielieferanten und Schulen. Die katastrophalen gesellschaftlichen Folgen für diese Opfer wären für die Angreifer ein hervorragendes Druckmittel, um das Lösegeld zu kassieren.
Für andere Experten ist die Sache klar: Lösegeldzahlungen müssen verboten werden. Ransomware-Angriffe werden hauptsächlich wegen des Profits geführt. Fällt dieser Motivationsfaktor weg, werden solche Cyberattacken weniger attraktiv für Kriminelle. „Keine Organisation will Lösegeld zahlen“, sagt etwa Michael Daniel, Chef der Cyber Threat Alliance (CTA) gegenüber der britischen BBC. „Stattdessen denken sie, dass sie keine andere Wahl haben.“ Entweder weil die Insolvenz drohe, Rufschädigung durch Leistungsunterbrechungen oder große ökonomische Beeinträchtigungen. Daher sei eine Lösegeldzahlung die ökonomisch rationale Entscheidung. „Diesen Kreislauf müssen wir unterbrechen“, fordert Daniel. Allerdings sei ein Verbot erst sinnvoll, wenn Regierungen effektive Unterstützungsmechanismen für betroffene Organisationen etabliert hätten.
Fazit
Betroffene Unternehmen sehen sich also vor die Wahl gestellt: Entweder sie bezahlen das Lösegeld und haben wenigstens die Chance, ihre Daten wiederzubekommen, oder sie verweigern die Zahlung und schaden somit dem Geschäftsmodell der Kriminellen auf Kosten der eigenen Wirtschaftlichkeit, wenn nicht sogar der eigenen Existenz. Vor diesem Hintergrund ist es verständlich, dass Organisationen, die nach einem Ransomware-Angriff kaum noch handlungsfähig sind, ihre Daten lieber wieder freikaufen. Einig sind sich wohl alle darüber, dass Ransomware gar nicht erst auf die Systeme der Opfer gelangen sollte. Denn dann würde sich die Frage nach dem Lösegeld gar nicht erst stellen.