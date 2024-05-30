Im März 2022 hat die Biden-Regierung das Gesetz Cyber Incident Reporting for Critical Infrastructure Act of 2022 (CIRCIA) verabschiedet. Diese wegweisende Gesetzgebung beauftragt die Cybersecurity and Infrastructure Security Agency (CISA) mit der Entwicklung und Umsetzung von Vorschriften, die betroffene Unternehmen dazu verpflichten, relevante Cybervorfälle und Lösegeldzahlungen zu melden.
Die CIRCIA-Vorfallsberichte sollen es der CISA ermöglichen:
Wie man so schön sagt: Der Teufel steckt im Detail. Anfang April veröffentlichte die CISA als Reaktion auf ihre durch CIRCIA übertragenen Aufgaben den 447 Seiten umfassenden Entwurf einer neuen Verordnung (Notice of Proposed Rulemaking, NPRM). Das Dokument steht jetzt über das Federal Register für öffentliches Feedback zur Verfügung.
Wie könnte in Anbetracht von CIRCIA und der kürzlich veröffentlichten NPRM die Berichterstattung über Ransomware-Angriffe in Zukunft aussehen? Finden wir es heraus.
Laut CISA ist „Ransomware eine sich ständig weiterentwickelnde Form von Malware, die darauf ausgelegt ist, Dateien auf einem Gerät zu verschlüsseln und alle Dateien sowie die darauf angewiesenen Systeme unbrauchbar zu machen. Böswillige Akteure verlangen dann Lösegeld als Gegenleistung für Entschlüsselung.“
Ransomware-Gruppen greifen häufig bestimmte Ziele an und drohen mit dem Verkauf oder der Veröffentlichung gestohlener Daten oder Authentifizierungsinformationen, falls das Lösegeld nicht gezahlt wird. Ransomware-Angriffe sind bei staatlichen, lokalen, Stammes- und territorialen (SLTT) Regierungsstellen sowie bei Unternehmen mit kritischer Infrastruktur zunehmend verbreitet.
Der NPRM-Entwurf der CISA schlägt vier Arten von Auswirkungen vor, die dazu führen würden, dass ein Vorfall als schwerwiegender Cybervorfall eingestuft und somit meldepflichtig wäre. Zu den vier Arten von Einwirkungen gehören:
Die CISA schlägt außerdem vor, dass zu den schwerwiegenden Cybervorfällen alle Vorfälle unabhängig von ihrer Ursache zählen – unabhängig davon, ob Ransomware beteiligt ist oder nicht. Dies könnte ein Kompromiss eines Cloud-Serviceproviders, Managed Service Providers oder eines anderen Drittanbieters für Datenhosting sein; ein Kompromiss in der Lieferkette; eine Denial-of-Service-Attacke; eine Ransomware-Attacke oder die Ausnutzung einer Zero-Day-Schwachstelle.
CIRCIA verpflichtet betroffene Unternehmen, alle relevanten Cybervorfälle innerhalb von 72 Stunden nach der begründeten Annahme, dass ein solcher Vorfall eingetreten ist, an die CISA zu melden.
Unterdessen müssen Lösegeldzahlungen, die als Reaktion auf einen Ransomware-Angriff geleistet wurden, innerhalb von 24 Stunden nach der Zahlung gemeldet werden. Es ist offensichtlich, dass CIRCIA Ransomware als Priorität bei der Meldung einstuft.
Was die Meldung von Ransomware-Angriffen betrifft, so beschreibt die NPRM der CISA vier Schritte:
Die CISA erklärt außerdem, dass die Zeit die Meldung nicht ausschließt. Nehmen wir beispielsweise an, Ihr Unternehmen stellt fest, dass es vor zwei Jahren einen Cybervorfall erlebt hat und dieser Vorfall noch andauert. Gemäß der vorgeschlagenen Regelung wären Sie weiterhin verpflichtet, einen Bericht über einen abgedeckten Cybervorfall einzureichen, da der Vorfall noch nicht abgeschlossen und noch nicht vollständig gemildert und behoben ist.
Gemäß CISA sind meldepflichtige Vorfälle ausgeschlossen, „die in gutem Glauben von einer Organisation als Reaktion auf eine spezifische Anfrage des Eigentümers oder Betreibers des Informationssystems durchgeführt werden“.
Was genau sind „Szenarien in gutem Glauben“? Es könnte sich um einen Drittanbieter handeln, der im Rahmen eines Vertrags tätig ist und unbeabsichtigt die Geräte eines Unternehmens falsch konfiguriert hat, was zu einem Serviceausfall geführt hat. Ein weiteres Beispiel wäre ein ordnungsgemäß genehmigter Penetrationstest, der unbeabsichtigt zu einem Cybervorfall mit tatsächlichen Auswirkungen führt.
Weitere Ausschlüsse in gutem Glauben könnten Vorfälle im Zusammenhang mit Sicherheitsforschungstests sein. Forscher können autorisiert worden sein, zu versuchen, Systeme zu kompromittieren, beispielsweise im Einklang mit einer Richtlinie zur Offenlegung von Sicherheitslücken oder Bug-Bounty-Programmen. Dennoch geht die CISA davon aus, dass diese Ausnahmen nur in seltenen Fällen auftreten werden. Seriöse Sicherheitsforschung endet in der Regel an dem Punkt, an dem die Schwachstelle nachgewiesen werden kann, und sollte normalerweise nicht zu einem tatsächlichen schwerwiegenden Vorfall führen.
In bestimmten Fällen kann eine betroffene Einrichtung als Reaktion auf eine tatsächliche Ransomware-Attacke oder einen anderen böswilligen Vorfall beschließen, Maßnahmen gegen sich selbst zu ergreifen, die zu meldepflichtigen Auswirkungen führen, wie beispielsweise die Abschaltung von Systemen oder der Einstellung des Betriebs. Beispielsweise könnte ein Opfer eines Ransomware-as-a-Service-Angriffs dies tun, um weitreichendere Auswirkungen aufgrund eines Cyberangriffs zu verhindern. Dieses Szenario wird weiterhin als meldepflichtiger schwerwiegender Cybervorfall angesehen.
In einem solchen Fall wurde der Vorfall selbst nicht in gutem Glauben begangen, und die Auswirkungen der Schwellenwerte wären ohne den Angriff nicht eingetreten. Daher würde die CISA die Handlungen des betroffenen Unternehmens nicht als Ausnahmeregelung aufgrund von „gutem Glauben“ betrachten. Es ist offensichtlich, dass das betroffene Unternehmen absichtlich ein einschneidendes Ereignis ausgelöst hat (z. B. die Abschaltung von Systemen), um den potenziellen Schaden eines Cybervorfalls zu minimieren. Allerdings wäre diese Art von Tätigkeit nicht von der Meldepflicht befreit.
Die Diskussion über die Meldepflichten für Ransomware ist noch nicht abgeschlossen. Und wenn selbst Unternehmen mit robuster Cyber-Resilienz gefährdet sind, werden die endgültigen Schlussfolgerungen von CIRCIA auf allen Radar sein.
