Die Debatte über das von der US-Regierung verhängte Verbot von Ransomware-Zahlungen an Unternehmen ist wieder in den Schlagzeilen. Kürzlich hat die Ransomware-Taskforce des Institute für Sicherheit und Technologie ein Memo zu diesem Thema veröffentlicht. Die Taskforce erklärte, dass ein derzeitiges Verbot von Ransomware-Zahlungen in den USA den Schaden für Opfer, die Gesellschaft und die Wirtschaft verschärfen wird. Außerdem könnten kleine Unternehmen eine längere Betriebsunterbrechung nicht verkraften und müssten nach einem Ransomware-Angriff möglicherweise ihren Betrieb einstellen.
„Die derzeit verfügbaren, begrenzten Daten deuten darauf hin, dass die Mehrheit der Organisationen weltweit noch immer unzureichend darauf vorbereitet ist, sich gegen einen Ransomware-Angriff zu verteidigen oder sich davon zu erholen. Diese Vorbereitungslücke bleibt besonders problematisch in kritischen Sektoren mit begrenzten Ressourcen, die derzeit stark von Ransomware-Angriffen betroffen sind, wie Gesundheitswesen, Bildung und Regierung“, so die Taskforce in dem Memo.
In dem Memo wurde auf ein mögliches Verbot in der Zukunft hingewiesen und festgestellt, dass der wirksamste Ansatz zur Reduzierung von Zahlungen ein mehrjähriger Ansatz ist. Im Rahmen des Plans erklärte die Taskforce, dass Regierungen und die technische Gemeinschaft Unternehmen, die Opfer von Angriffen sind, mit anderen Wiederherstellungsoptionen als der Bezahlung der Ransomware helfen müssen.
Darüber hinaus müssen die Regierung und die Tech-Community die Unterstützung der Opfer stärken, um Unternehmen, die von Angriffen betroffen sind, alternative Möglichkeiten zur Wiederherstellung zu bieten, die über die Zahlung der Ransomware-Zahlung hinausgehen. Um die Fähigkeit eines Unternehmens zu verbessern, sich von einem Angriff zu erholen, ohne die Ransomware zu bezahlen, schlug die Taskforce die folgenden vier Einsatzbereiche vor, jeder mit spezifischen Meilensteinen:
Die Taskforce hat es zwar abgelehnt, ein Verbot von Ransomware-Zahlungen auszusprechen, aber es gibt derzeit andere Vorschriften und Gesetze, die Unternehmen bei ihrer Entscheidung, Ransomware-Zahlungen zu leisten, beeinflussen. Im Jahr 2020 fügte das Finanzministerium mögliche Sanktionen für Cyber-Versicherer, digitale Forensik und die Reaktion auf Vorfälle hinzu.
Darüber hinaus legt der Cyber Incident Reporting for Critical Infrastructure Act von 2022 (CIRCIA), inspiriert von den Angriffen auf SolarWinds, Microsoft Exchange Server und Colonial Pipeline, die Berichtspflichten für Ransomware-Zahlungsanfragen fest. Gemäß den Meldevorschriften des Cyber Incident Reporting for Critical Infrastructure Act (CIRCIA) müssen Cybervorfälle innerhalb von 72 Stunden und Ransomware-Zahlungen innerhalb von 24 Stunden gemeldet werden.
Während die Debatte über ein bundesweites Verbot weitergeht und die USA auf die Meilensteine hinarbeiten, treffen Unternehmen weiterhin ihre eigenen Entscheidungen, ob sie Ransomware bezahlen oder nicht. Die offizielle Haltung von IBM ist, niemals Lösegeld an Ransomware-Angreifer zu zahlen.
Die Taskforce und andere Experten sind allerdings der Ansicht, dass es viele Gründe gibt, zum jetzigen Zeitpunkt kein Verbot zu verhängen:
Die Taskforce stellt eine detaillierte Roadmap zur Verfügung. Ziel ist es, dass Unternehmen ihre Fähigkeit zur Verteidigung und Wiederherstellung nach einem Angriff verbessern. Sobald die Unternehmen und die Regierung Fortschritte machen, kann die Taskforce die Durchführbarkeit des Verbots erneut prüfen. Wenn Unternehmen ihre Daten relativ einfach wiederherstellen und schnell wieder online gehen können, wird die Frage der Bezahlung von Ransomware-Zahlungen weniger problematisch.