Experten-Kommitee für Ransomware verlangt härtere Regulierung von Kryptowährungen
Cybercrime. Bild von Richard Patterson / Comparitech via flickr.com. Lizenz: Creative Commons
Es war nur eine Frage der Zeit. Ransomware treibt Unternehmen und Institutionen schon lange vor sich her, und die steigende Professionalisierung der Szene bereitet Experten nicht erst seit gestern Sorgen. Nun fordert eine Arbeitsgruppe die US-Regierung dazu auf, beherzter gegen Ransomware vorzugehen. In diesem Zuge sollen auch Kryptowährungen strenger reguliert werden.
Klar, wenn eine Expertengruppe einen Bericht verfasst, dann soll dieser auch aufzeigen, wie schwerwiegend das Thema ist. Es überrascht daher nicht, wenn die Wortwahl eher übertreibt, als zu verharmlosen, und wenn sie das Thema eher aufbläst, als es zu verzwergen.
Dennoch hinterlassen die Formulierungen einen Eindruck, mit denen der „Combating Ransomware“-Bericht eröffnet, den die 8-köpfige, vom Institute for Security and Technology einberufene Ransomware Taskforce verfasst hat: In nur wenigen Jahren sei Ransomware – eine Art Virus, der Daten verschlüsselt und für die Entschlüsselung ein Lösegeld meist in Bitcoin verlangt – zu „einer ernsthaften nationalen Sicherheitsgefahr und einem Risiko für die öffentliche Gesundheit und Sicherheit geworden.“
Ransomware sei, schreibt der Bericht, „nicht nur eine finanzielle Erpressung; sie ist ein Verbrechen, das Unternehmen, Regierungen, Hochschulen und geographische Grenzen unterwandert.“ Sie betreffe das Gesundheitswesen während einer Pandemie und unterbreche den Betrieb von Schulen, Krankenhäusern, Polizeirevieren, Stadtverwaltungen und sogar militärischen Einrichtungen. „Es ist ein Verbrechen, das sowohl private als auch Steuergelder an globale kriminelle Organisationen abführt“ und so auch illegale Aktivitäten finanziere, etwa den Handel mit Menschen oder die Entwicklung und Verbreitung von Massenvernichtungswaffen.
350 Millionen Dollar Lösegeld und ein noch viel höherer Schaden
Im vergangenen Jahr habe sich das Volumen der Lösegeldzahlungen für Ransomware auf mehr als 350 Millionen Dollar verdreifacht. Schlimmer als die Kosten durch Zahlungen wiege jedoch der Schaden, den die Angriffe verursachten.
Allein 2020 habe es 2.400 Ransomware-Vorfälle in öffentlichen Institutionen der Vereinigten Staaten gegeben, etwa in Stadtverwaltungen, Schulen oder Krankenhäusern. Deren Computersysteme – und damit auch Teile des Betriebes – seien durch einen Angriff im Durchschnitt für 21 Tage ausgefallen und haben 287 Tage gebraucht, um sich vollständig zu erholen. Die Kosten der Wiederherstellung übersteigen das Lösegeld oft um ein Vielfaches. So habe die Stadtverwaltung von Atlanta ein Lösegeld von 50.000 Dollar bezahlt, aber rund 2,6 Millionen Dollar aufgewandt, um den Angriff aufzuarbeiten.
Je mehr sich das „Internet der Dinge“ ausbreitet, desto gravierender werde die Gefahr durch Ransomware. Der Bericht nennt einige Beispiele für die „Bedrohung kritischer Infrastruktur“: 2019 setzte ein Ransomware-Angriff eine Einrichtung der Küstenwache für 30 Stunden außer Betrieb; 2020 traf es eine Erdgas-Pipeline für zwei Tage. Mit Sorge betrachtet die Arbeitsgruppe auch die Häufung der Angriffe auf Krankenhäuser, welche zur Verzögerung von Behandlungen führten „und möglicherweise auch Leben kosteten“. Noch blieb die große Katastrophe aus – doch die Angriffe zeigen, wie verletzlich die Infrastruktur sein kann.
Es ist also Zeit, gegen die Plage vorzugehen. Aber wie?
Ein beinah straffreies Verbrechen
Gegen Ransomware vorzugehen ist äußerst schwierig. Dies zeigt sich auch darin, dass die Gangs das Internet seit 2013 heimsuchen, aber man die Anzahl an Verhaftungen an einer, maximal an zwei Händen abzählen kann.
Die meisten der Hacker „operieren beinah strafbefreit, da sie in Jurisdiktionen leben, die nicht willens oder in der Lage sind, sie vor Gericht zu bringen.“ Hier zielt die Arbeitsgruppe vor allem auf Russland. Erst im April hat das US-Finanzministerium Sanktionen gegen russische Bürger erlassen, nachdem eine Verbindung zwischen Ransomware-Hackern und dem russischen Geheimdienst FSB ans Tageslicht kam. Der FSB „kultiviere die Zusammenarbeit mit kriminellen Hackern“, so der Vorwurf, der in Sicherheitskreisen alles andere als neu ist.
Verschärfend komme noch ein Finanzsystem hinzu, dass es den Angreifern erlaube, Geld zu empfangen, ohne dass die Zahlungen nachverfolgbar seien. Hier meint der Bericht Bitcoin und andere Kryptowährungen. Trotz der hohen Transparenz der Blockchain können erfahrene User die Nachverfolgung von Zahlungen erheblich erschweren, indem sie Mixer und andere Verschleierungsverfahren benutzen oder von Blockchain zu Blockchain springen.
Eine globale Antwort – und mehr Regulierung für Krypto-Börsen
Ransomware sei, stellt der Bericht fest, eine „globale Herausforderung“, die man nur global lösen kann. Sie sollte daher auf Gipfelforen wie der G7 oder G20, Interpol, Europol und anderen, zum Thema gemacht werden. Diesen schlägt die Taskforce eine Reihe von 48 Maßnahmen vor, die das Ziel haben, die Hacker effizienter zur Verantwortung zu ziehen und Unternehmen sowie Institutionen besser auf Angriffe vorzubereiten und vor diesen zu schützen.
Neben vielen Ratschlägen – etwa einem „Name and Shame“-Ansatz, um auch Staaten wie Russland im Kampf gegen Ransomware auf Linie zu bringen – enthält der Bericht eine Reihe von empfohlenen Maßnahmen, die Kryptowährungen betreffen.
So sollen die Regierungen Anreize für Unternehmen setzen, Krypto-Zahlungen zügig zu melden. Alle Arten von Wechselplattformen – auch Kioske und außerbörsliche Handelsbüros – sollen strenger überwacht und gedrängt werden, die geltenden Rechte umzusetze, etwa die wohlbekannten KYC- und AML-Regeln: Sie sollen die Identität ihrer Kunden kennen und potenzielle Versuche der Geldwäsche identifizieren und melden. Die Gesetze existieren bereits, doch deren Einhaltung lasse noch zu wünschen übrig.
Auf der Seite der Regierungen sollen die Kompetenzen bei der Analyse der Blockchain verbessern und zentralisiert werden. Vor allem auch sollen Regierungen effektiver und zügiger in der Lage sein, Kryptowährungen zu beschlagnahmen, die Börsen für ihre Kunden verwahren. Nur wenn dies zeitnah geschehe, können den Kriminellen die Gelder entzogen werden.
Nicht alle Experten teilen jedoch den Fokus auf Kryptowährungen. Ilia Kolochenko von ImmuniWeb etwa meint, man solle sich besser auf die Wurzel des Problems konzentrieren: den „weit verbreiteten Mangel an minimaler Cyber-Hygiene.“ Selbst wenn alle Krypto-Börsen reguliert werden, würden Kriminelle Möglichkeiten finden, die Regulierung zu unterlaufen.
Die Sicherheitslücken bleiben die selben. Wenn es nicht geldgeile Ransomware Kriminelle ausnutzen, dann vielleicht bald Cybersoldaten oder Terroristen. Und die geben die Daten nicht so einfach gegen Geld wieder raus, denn die wollen Schaden anrichten.
Manchmal kann man den Kriminellen fast dankbar sein, dass sie endlich mal die Motivation erhöhen, etwas für die eigene Sicherheit zu tun.
Ja, auch auf Kosten von immer neuen Funktionen, die am Ende eh niemand wirklich benötigt.
Wenn wir schon mit Ransomware solch desolate IT-Landschaften haben, wie sähe es dann erst ohne Ransomware aus. Gar nicht auszumalen diese Horrorszenarien. Wenn sogar das Militär zum Opfer fällt, da würde ich mir ganz andere Sorgen machen, als um die Vergleichsweise lächerlichen 380 Millionen $.
Das Problem sind die Softwarekonzerne. Milliardengewinne mit Bananensoftware (die beim Kunden reift), mangelhafter Systemschutz, bekannte Sicherheitslücken, die viel zu spät geschlossen werden.
Erst dann sind die Betreiber der IT zu nennen und erst ganz zum Schluss die Anwender.
Wenn es keine Skripte in Webseiten geben würde, (oder wenn diese nicht vom Browser interpretiert würden), gäbe es auch schon wieder deutlich weniger Einfallstore. Und warum muss ein E-Mailanhang eine Software installieren können…
Wir brauchen einen Stresstest für IT-Systeme und Ransomware leistet hier einen wichtigen Beitrag. Es ist, als ob ein Sicherheitsforscher, für den gefundenen Bug eine Belohnung bekäme. Auch hier könnten die superreichen Softwaregiganten wie Microsoft und Co. Prämien aussetzen, die sich lohnen und so die Hacker auf die andere Seite zu ziehen…
Anstatt die Probleme an der Wurzel zu bekämpfen, werden diese für eine Hexenjagt instrumentalisiert. Letztendlich läuft es mal wieder darauf hinaus Freiheit und Demokratie zu beschneiden…
Naja, ganz so einfach ist es leider nicht. Es beginnt dabei, dass Softwaresicherheit für Kunden leider nicht so sichtbar ist, wie neue GlanzFeatures. Und wenn mein Chef sagt, ist ja schön, aber der Kunde zahlt das nicht, hat er da leider oft recht. (Wenn er sagt, der Kunde will das nicht, hat er dagegen unrecht.)
Nur als Kunde hat jeder das zu einem kleinen Teil in der Hand. Wenn alle Sicherheit wollen, sich schlau machen und auch Geld dafür ausgeben, dann wird das in der Entwicklung berücksichtigt.
Deshalb sollte sich der intelligente Krypto-Investor genau überlegen, wie unbeschreiblich wertvoll es in Zukunft sein wird, wenn man VOR DER GROßEN GLOBALEN REGULIERUNG seine coins zumindest im Wesentlichen bereits erworben und diese auf externen Adressen von den Börsen sauber und ordentlich heruntergezogen und „eingelagert“ hat. Nicht zu vergessen auch die steuerrechtliche Lage, wo auf der Welt hat man derart astronomische Gewinne nach einem Jahr legal steuerfrei – ich bin mir sicher, dass auch die Besteuerung von Kryptowährungen früher oder später massiv verschärft wird, nicht einmal die normale Kapitalertragssteuer lässt die Kommunisten heute noch schlafen, die wird bald von der Einkommenssteuer ersetzt. Möge sich jeder ausmalen wie hoch die Chance ist, dass man den Kyptoanlegern nach einem Jahr Haltefrist von Bitcoin & co derartig hohe Gewinne die nächsten 10-15 Jahre steuerfrei belassen wird.
Das wird allerdings nur die neuen Käufe ab Gesetzesänderung betreffen, nicht die Altkäufer, die noch zur aktuellen Zeit erworben haben – immer schön Belege sammeln, dann kann man die auch nach 20 Jahren trotzdem zur alten Steuerrechtslage verkaufen. Ein wahnsinniger Vorteil, der für mich zusätzlich enorm für die Krypton spricht. Ich kann nur jedem raten, bis zur großen Regulierung alles mehr oder weniger fertig zu haben – dann ist das alles recht entspannt, dazu noch die alte Rechtslage im Sack, wo nach einem Jahr alles frei ist.
Daher alles fertig machen und dann einfach HODL und Cheers!!