Anstehende Gesetze zur Meldung und Bezahlung von Ransomware im Jahr 2022

Politische Entscheidungsträger in den USA haben die Idee einer Meldepflicht für Ransomware als einen Schritt aufgegriffen, den sie inmitten einer scheinbar unaufhaltsamen Welle von Ransomware-Kriminalität im Jahr 2021 erreichen könnten. Die Gesetzgeber sehen die Meldepflicht als notwendig an, um die nationale Sicherheit zu schützen und entschlossen gegen Cyberkriminelle und ihre staatlichen Auftraggeber vorzugehen.[i] Einige Unternehmen befürchten jedoch, dass staatliche Eingriffe bei der Bewältigung von Ransomware-Angriffen eher störend als hilfreich sein könnten.

Eine parteiübergreifende Maßnahme wäre im Dezember fast als Teil eines größeren Verteidigungsausgabengesetzes verabschiedet worden, scheiterte aber in letzter Minute. Es wird erwartet, dass die Bemühungen im Jahr 2022 wieder aufgenommen werden.

Das Ergebnis vom Dezember stellt nur die Spitze des Eisbergs dar, denn im Kongress kursieren mehrere Gesetzesentwürfe sowie Erlasse von Bundesbehörden und ähnliche Maßnahmen in einigen Bundesstaaten. Während die Debatte geführt wird, zeigen Untersuchungen von Mimecast, dass viele Unternehmen das Lösegeld zahlen, wenn sie angegriffen werden, aber sie melden nicht, dass sie überhaupt angegriffen wurden.

Ransomware-Gesetze und -Richtlinien haben sich im Jahr 2021 verbreitet

Jeder der wenigen Gesetzesentwürfe zur Meldung von Ransomware, die 2021 auf Bundesebene eingebracht wurden, verfolgt einen etwas anderen Ansatz und gibt einen Ausblick auf das, was 2022 auf die Unternehmen zukommen könnte:

• Cybersecurity Incident Notification Act (CINA): Diese erste große parteiübergreifende Maßnahme der Vorsitzenden des Geheimdienstausschusses des Senats würde Unternehmen dazu verpflichten, jede Verletzung der Cybersicherheit oder jeden Versuch mit potenziellen Auswirkungen auf die nationale Sicherheit, die Regierung oder die Wirtschaft innerhalb von 24 Stunden zu melden. Die Bundesbehörden legen fest, welche Unternehmen davon betroffen sind, aber der Gesetzentwurf nennt bereits Auftragnehmer des Bundes, Betreiber kritischer Infrastrukturen und Anbieter von "Cybersecurity Incident Response Services". Um die Unternehmen zu ermutigen, sich zu melden, würde die öffentliche Bekanntgabe nach Möglichkeit eingeschränkt. Eine Nichtmeldung würde mit einer zivilrechtlichen Strafe von bis zu 0,5 % der Bruttoeinnahmen des Vorjahres für jeden Tag belegt, an dem das Unternehmen nicht meldet. Der Gesetzentwurf sieht auch vor, dass sich die Bundesregierung verpflichtet, die erhaltenen Informationen zu analysieren und entsprechend zu handeln.[ii]
• Cyber Incident Reporting Act: Unterschiede zum vorherigen Gesetzentwurf sind ein längeres Zeitfenster für die Meldung von Vorfällen (72 Stunden) und die Aussicht auf strafrechtliche Konsequenzen.[iii]
• Andere Gesetzesentwürfe: Neben anderen Vorschlägen würde der Ransomware Disclosure Act jedes Unternehmen, das im zwischenstaatlichen Handel tätig ist, dazu verpflichten, Ransomware-Zahlungen innerhalb von 48 Stunden zu melden, wobei die Strafen für die Nichtmeldung später festgelegt werden.[iv] Der Ransomware and Financial Stability Act würde den Banken die Zahlung der meisten Lösegeldforderungen verbieten.[v] Einige einzelne Bundesstaaten haben ebenfalls Gesetze vorgeschlagen, die es staatlichen Behörden, lokalen Regierungen und einigen Unternehmen verbieten, Lösegeld zu zahlen.[vi]
• Defense Authorization Act Amendment: Dies ist die Maßnahme, die im Dezember im Kongress nicht verabschiedet wurde. Er enthielt jedoch Aspekte des CINA und anderer anhängiger Gesetze, die einen Konsens unter den politischen Entscheidungsträgern für die Gesetzgebung im Jahr 2022 widerspiegeln könnten. Besonders hervorzuheben ist die 72-Stunden-Frist für die Meldung eines Vorfalls anstelle der 24-Stunden-Frist in CINA. Das bedeutet, dass jede tatsächliche Ransomware-Zahlung innerhalb von 24 Stunden gemeldet werden muss.[vii]

Die Regulierungsbehörden erlassen bereits Meldepflichten

Während die Gesetze, die derzeit im Kongress beraten werden, die Meldepflichten für Ransomware kodifizieren und verschärfen würden, gelten bereits mehrere Richtlinien der US-Bundesregierung aus dem Jahr 2021 für US-Regierungsbehörden und ihre Auftragnehmer, Pipeline-Betreiber und Transportunternehmen. Die US-Finanzaufsichtsbehörden haben gemeinsam die Anforderung an Banken aktualisiert, einen Cybersicherheitsvorfall innerhalb von 36 Stunden zu melden.[viii] In den USA und anderen Ländern können auch nationale und bundesstaatliche Gesetze zum Datenschutz und zu Datenschutzverletzungen gelten.[ix]

Einige Lösegeldzahlungen könnten verboten werden

Während es in den USA weniger Bestrebungen gibt, die Zahlung von Lösegeld zu verbieten, warnte das Finanzministerium kürzlich, dass es jeden bestrafen könnte, der Lösegeld an Personen oder Organisationen zahlt, die auf seiner Sanktionsliste stehen.[x] Beamte des Finanzministeriums fassten die vorherrschende Stimmung in Washington mit den Worten zusammen: "Die US-Regierung rät allen privaten Unternehmen und Bürgern dringend davon ab, Lösegeld oder Erpressungsforderungen zu zahlen, und empfiehlt, sich auf die Stärkung von Abwehr- und Resilienzmaßnahmen zu konzentrieren, um Ransomware-Angriffe zu verhindern und sich dagegen zu schützen."

Die Forschungsgruppe Gartner prognostizierte, dass weltweit: "Der Prozentsatz der Nationalstaaten, die Gesetze zur Regulierung von Ransomware-Zahlungen, -Geldstrafen und -Verhandlungen erlassen, wird bis Ende 2025 auf 30 % steigen, verglichen mit weniger als 1 % im Jahr 2021." [xi]

Unternehmen sind geteilter Meinung über die Meldung und Zahlung von Lösegeld

Unternehmen, die von Ransomware betroffen sein könnten, sehen diese Entwicklungen mit gemischten Gefühlen. So hat sich die Handelskammer in ihrer Erklärung zu Ransomware nicht zu Meldepflichten geäußert, sondern stattdessen u. a. mehr Anstrengungen der Regierung zur Unterbrechung internationaler Ransomware-Zahlungssysteme und zur Verbesserung der internationalen Strafverfolgungsressourcen gefordert.[xii] Eine andere Gruppe, die öffentlich-private Ransomware Task Force, hat sich für eine Meldepflicht ausgesprochen, ein Verbot der Zahlung von Lösegeld aber nicht empfohlen.[xiii]

Unternehmen können beide Seiten der Argumentation für die Zahlung von Lösegeld argumentieren. In den demnächst veröffentlichten Mimecast-Umfragedaten gaben 72 % der von Ransomware angegriffenen US-Unternehmen an, dass sie die Kriminellen bezahlt haben (wobei nur 19 % ihre Daten tatsächlich wiederhergestellt haben). Eine frühere Umfrage für den Bericht State of Ransomware Readiness 2021 von Mimecast lieferte detailliertere Daten auf globaler Ebene, darunter:

• Meldung: Etwa ein Drittel (31 %) meldete den Angriff an die örtliche Datenschutzbehörde und 25 % an die Strafverfolgungsbehörden (wobei sich diese beiden Reaktionen möglicherweise überschneiden).
• Warum einige Unternehmen gezahlt haben: Mehr als die Hälfte (51 %) gaben an, dass sie ihre Daten schnell wiederherstellen wollten, während 37 % glaubten, dass sie ihr Geld ganz oder teilweise zurückbekommen könnten, und 26 % befürchteten, dass ihre Daten veröffentlicht oder verkauft würden.
• Warum andere nicht gezahlt haben: Fast die Hälfte (47 %) war der Meinung, dass die Zahlung des Lösegelds nur zu einem weiteren Angriff auf ihr Unternehmen führen würde, während die gleiche Anzahl angab, dass sie über ausreichende Datensicherungs- und Wiederherstellungssysteme verfügten, um auf die Zahlung zu verzichten. Nur etwa jeder Zehnte befürchtete, dass er wegen der Zahlung des Lösegelds behördlich sanktioniert werden würde.

In der Umfrage Ransomware Readiness gaben 77 % der Unternehmen an, sich auf die Abwehr von Ransomware-Angriffen vorbereitet zu fühlen. Der Bericht ergab jedoch auch, dass 80 % der Unternehmen erfolgreich angegriffen wurden, was eine gemischte Prognose für Ransomware für das kommende Jahr ergibt.

Die Quintessenz

Im Jahr 2022 wird es wahrscheinlich mehr Anforderungen für Unternehmen geben, Ransomware-Angriffe und Zahlungen zu melden. Einige Beobachter prognostizieren sogar ein Verbot von Lösegeldzahlungen in bestimmten Situationen oder Ländern. In der Zwischenzeit zahlen viele Unternehmen einfach.

[i] "Nach SolarWinds & Colonial Hacks bringen führende Senatoren für nationale Sicherheit einen parteiübergreifenden Gesetzentwurf zur Cyber-Berichterstattung ein," Sen. Mark R. Warner

[ii] "Cybersecurity Incident Notification Act," U.S. Senate

[iii] "Cybersecurity Incident Reporting Act," U.S. Senat

[iv] "Warren and Ross Introduce Bill to Require Disclosures of Ransomware Payments," Senatorin Elizabeth Warren

[v] "Ransomware and Financial Stability Act," U.S. House of Representatives

[vi] "State Legislatures Consider Bansans on Ransomware Payments," JD Supra

[vii] "Änderungsantrag," Politico

[viii] "Twice as Fast, Twice as Much: Neue Meldepflicht für Cyber-Vorfälle," JD Supra

[ix] "Verpflichtung zur proaktiven Verringerung der Anfälligkeit für Ransomware-Angriffe und

Requirements Regarding Health Data Breach Reporting," California Department of Justice

[x] "Updated Advisory on Potential Sanctions Risks for Facilitating Ransomware Payments," U.S. Treasury Department

[xi] "The Top 8 Cybersecurity Predictions for 2021-2022," Gartner

[xii] "U.S. Chamber Calls on U.S. Government to Act Decisively Against Cyber Threats to Deter Further Attacks," Chamber of Commerce

[xiii] "Bekämpfung von Ransomware," Ransomware Task Force