Podcast
    Bedrohungsanalyse

    Get Cyber Resilient Ep 75 | Wie man Ransomware bekämpft - präsentiert von Wade Islan mit Ciaran Martin, Universität Oxford

    In dieser Woche präsentieren wir ein Interview zum Thema Ransomware, das von Wade Islan, einem Senior Analysten des Economist, geführt wurde. Wades Gast ist Ciaran Martin, Professor für die Praxis des Managements von öffentlichen Organisationen.

    CR_podcast_general.png

    Bevor er nach Oxford kam, war Ciaran der Gründungsgeschäftsführer des UK National Cyber Security Centre, das zum GCHQ gehört. Ciaran bringt seine fachkundige Analyse in dieses Gespräch ein und erläutert aus seiner Sicht, was Vorstandsmitglieder über Ransomware wissen sollten, welche Maßnahmen Unternehmen ergreifen können, um sich zu schützen, welchen Stellenwert menschliche im Vergleich zu technischen Kontrollen und Prozessen haben, welche Ressourcen für optimale Ergebnisse in Frage kommen, welche Nuancen Ransomware in verschiedenen Ländern aufweist, welche Politik und globale Zusammenarbeit zur Bekämpfung des Problems erforderlich sind und wie die Zukunft von Ransomware wahrscheinlich aussehen wird.

    Die Get Cyber Resilient Show Episode #75 Mitschrift

    Garrett O'Hara: Willkommen zum Podcast "Get Cyber Resilient". Ich bin Garrett O'Hara, aber das spielt heute keine Rolle, denn wir haben eine ganz andere Art von Episode. An meiner Stelle werden Sie Wade Islan hören, einen leitenden Analysten des Economist. Er interviewt Ciaran Martin, Professor für Praxis im Management öffentlicher Organisationen an der Universität Oxford. Viele werden Professor Martin als Gründungsdirektor des britischen National Cyber Security Center kennen, das zum Government Communications Headquarters (GCHQ) gehört.

    Im Mittelpunkt des Gesprächs steht Ransomware. Professor Martin erläutert, was Vorstandsmitglieder wissen sollten, welche Schritte Unternehmen unternehmen können, um sich zu schützen, welchen Stellenwert der Mensch im Vergleich zu technischen Kontrollen und Prozessen hat, welche Ressourcen für optimale Ergebnisse in Frage kommen, welche Unterschiede es bei Ransomware in den verschiedenen Ländern gibt, wie die Politik und die globale Zusammenarbeit bei der Bekämpfung des Problems aussieht, ob man zahlt oder nicht, wie es mit Cyber-Versicherungen aussieht und schließlich, wie die Zukunft aussieht. Zurück zum Gespräch.

    Wade Islan: Eine erste Frage: Was ist Ransomware und warum ist sie auf dem Vormarsch?

    Ciaran Martin: Ransomware ist Erpressung durch Computer-Hacking, das ist die einfachste Art, es zu betrachten. Sie haben zwei Möglichkeiten erwähnt: Die erste ist das, was man etwas flapsig als klassische Ransomware bezeichnen könnte, und das ist die Sperrung des Netzwerks, so dass man es nicht nutzen kann. Es handelt sich dabei um eine Art unfreiwillige Verschlüsselung des Netzwerks, d. h. Sie wachen eines Morgens auf und das gesamte Unternehmensnetzwerk funktioniert nicht mehr, und es liegt ein Forderungsschreiben vor, das oft in leicht gebrochenem Google-Übersetzungsenglisch verfasst ist und per E-Mail an den Schreibtisch Ihres IT-Dienstes geschickt wird: "Zahlen Sie uns ein Lösegeld in Kryptowährung, oder Sie werden nie wieder Zugang zu Ihrem Netzwerk erhalten."

    Das Problem aus Sicht der Kriminellen besteht darin, dass man, wenn man über eine brauchbare Sicherungskopie verfügt, die auf irgendeine Weise wiederhergestellt werden kann, kein Lösegeld für den Zugriff auf das System verlangen kann, weil man auf andere Weise in das System gelangen kann. Wenn ich deinen Stift gestohlen hätte, könnte ich dich nicht dazu zwingen, ihn mir zurückzugeben, wenn du einen anderen Stift hast, den du einfach aus einem Regal nehmen kannst.

    Im Laufe der Zeit hat sich die Ransomware also weiterentwickelt, da die Verteidigungsmaßnahmen immer besser wurden, so dass nun auch mit der Veröffentlichung sensibler Daten, der Weitergabe sensibler Daten oder deren Verkauf gedroht wird. Wenn Sie also ein Supermarkt wären, könnten sie Ihre Online-Kundendaten nehmen und sie im Dark Web verkaufen oder damit drohen, sie im Dark Web zu verkaufen, wenn Sie nicht zahlen.

    Wenn Sie sensible IP-Daten oder Klatsch und Tratsch oder etwas anderes haben, das Sie nicht veröffentlicht haben wollen, können sie Ihnen das heutzutage oft antun, und sie drohen auch damit, Sie aus dem Netzwerk auszuschließen, denn das ist wichtig. Backups sind schwierig, mühsam und kostspielig, und manche Leute haben sie immer noch nicht. Und heutzutage besteht fast eine doppelte Gefahr, dass sensible Daten nach außen dringen. So oft, dass sie Ihnen neben der Lösegeldforderung auch einige Daten schicken, um zu beweisen, dass sie sie haben, und um zu drohen, sie weiterzugeben.

    Warum ist sie im Steigen begriffen? Weil es für die Kriminellen sehr gut funktioniert. Es gibt eine ganze Reihe von Gründen, warum das so ist, aber es ist sehr lukrativ. Ich meine, Sie erwähnten 350 Millionen Dollar, die im Jahr 2020 nachweislich als Lösegeld gezahlt wurden. Ich vermute, dass die tatsächliche Zahl viel, viel höher ist, aber Sie müssen sie nicht bekannt geben. Nachforschungen haben ergeben, dass eine kriminelle Gruppe, eine russische Gruppe namens DarkSide, in den Jahren 2020 bis 2021 in neun Monaten mindestens 19 Millionen Dollar gesammelt hat. Und das ist nur eine Gruppe. Es ist also sehr lukrativ. Dies kann in Ländern der Fall sein, in denen die Gesetze nicht besonders gut durchgesetzt werden, die Verteidigungsmöglichkeiten noch schwach sind und das Geld leicht fließen kann. Aus all diesen Gründen ist es für Cyberkriminelle einfacher, mit Ransomware Geld zu verdienen, als einen Datensatz zu stehlen und herauszufinden, was man damit machen kann, wenn man ihn gestohlen hat.

    Wade Islan: Professor Martin, würden Sie sagen, dass alle Führungskräfte in Unternehmen, zum Beispiel Vorstandsmitglieder, über Ransomware Bescheid wissen sollten?

    Ciaran Martin: Ich glaube, das Erste, was jeder Unternehmensleiter verstehen muss, ist, dass die Kriminellen bei der Auswahl ihrer Mitarbeiter ziemlich unkritisch sind. Ich meine, diese Typen haben es auf Krankenhäuser und Gesundheitssysteme abgesehen. Manche Leute sagen, dass sie es nicht auf sie abgesehen haben, sondern einfach zuschlagen, weil es kein "H" Schild im Internet gibt, auf dem steht: "Ich bin ein Krankenhaus," äh, aber wenn sie herausfinden, dass es ein Krankenhaus ist, ziehen sie sich manchmal zurück und manchmal nicht. Aber wenn eine Gruppe von Kriminellen bereit ist, z.B. ein nationales Gesundheitssystem anzugreifen, wie sie es in Irland getan haben, oder einen Impfstoff-Registrierungsdienst, wie sie es in Italien getan haben, dann werden sie keine allzu großen Skrupel haben, ein bestimmtes Unternehmen anzugreifen, wenn sie Geld haben, das ist der erste Punkt. Die meisten normalen Unternehmen werden nicht durch den russischen Staat bedroht. Nur sehr wenige werden mit einer Bedrohung durch die Iraner oder andere Länder rechnen müssen. Aber Sie werden mit einer Bedrohung durch Ransomware-Kriminelle konfrontiert.

    Zweitens geht es bei diesem Thema in hohem Maße um Widerstandsfähigkeit und Erholung. Wenn Sie also diese Art von klassischer Ransomware nehmen, haben Sie dann Backups? Wissen Sie, wie man sie aktiviert? Verfügen Sie über eine Art von Plänen zur Aufrechterhaltung des Geschäftsbetriebs, die nicht aus dem Internet stammen, und die Ihnen helfen können, den Betrieb im Falle einer größeren Störung aufrechtzuerhalten?

    Und dann, denke ich, die dritte und vierte Sache. Die dritte ist eine Art Präventivmaßnahme, nämlich Ihre grundlegende Verteidigung. Die meisten Ransomware-Kriminellen sind nicht besonders raffiniert. Manchmal sind sie es, aber oft nutzen sie einfache Schwachstellen aus. Sie wissen schon, der Systemadministrator ist nicht richtig geschützt, die Zwei-Faktor-Authentifizierung ist involviert, Windows ist nicht gepatcht, usw., usw. Wissen Sie also, wie Ihr Unternehmen es Ransomware-Kriminellen erschwert hat, in das Unternehmen einzudringen?

    Und der vierte Punkt betrifft die sofortige Wiederherstellung, die sofortige Reaktion. Wissen Sie, wie Sie damit zurechtkommen würden? Wer wird mit der Presse sprechen? Wer wird den Brief an die Kunden verschicken? Wer wird mit der Regierung sprechen, wenn es sich um einen nicht regulierten Sektor handelt, und so weiter? Und, werden Sie bezahlen? Was ist Ihr Plan? usw., usw. Haben Sie das durchdacht? Das sind also die vier Dinge, über die ein Unternehmensleiter nachdenken sollte.

    Wade Islan: In Anbetracht der vier Punkte, die Sie gerade genannt haben, was würden Sie sagen, was die besten Schritte sind, die eine Organisation unternehmen kann, um sich zu schützen?

    Ciaran Martin: Nun, ich würde... Im Grunde gibt es eine Reihe von präventiven Maßnahmen, die man ergreifen kann, und dann gibt es noch eine Reihe von Planungsmaßnahmen. Die präventiven Maßnahmen sind also eine gute Patching-Politik, eine Multi-Faktor-Authentifizierung und so weiter, um das Risiko zu verringern, dass etwas passiert. Die Erkennung von Anomalien ist ein wenig komplizierter [unhörbar 00:06:22]. Aber, im Grunde, haben Sie... Ähm, sowie die Art von, Sie wissen schon, Firewalls, wo, Sie wissen schon, für Pen-Tests - für Penetrationstests und so weiter. Verfügen Sie über eine Funktion, die anomale Aktivitäten in Ihrem Netzwerk erkennen kann? Mit anderen Worten, kann, wenn jemand dort ist, der nicht dort sein sollte, etwas aufblitzen und "piepen"?

    Es gibt also eine ganze Reihe von technischen Vorbeugungsmaßnahmen, die man ergreifen kann. Aber dann ist da noch die Planung. Haben Sie also Sicherungskopien? Wie eng sind sie mit dem Netz verbunden, das vom Netz genommen werden könnte? Wie leicht lassen sie sich wiederherstellen? Und so weiter. Solche Dinge sind wirklich wichtig. Und prüfen Sie Ihre Annahmen.

    Wenn Sie sich zurückerinnern, haben Sie in Ihrer Einleitung den Colonial Pipeline Hack erwähnt. Der Grund, warum er so berühmt wurde, war, dass es in den letzten Jahren zahllose andere Ransomware-Hacks und Angriffe auf große amerikanische und andere westliche Länder sowie große amerikanische Unternehmen gab. Und von den meisten Anschlägen haben Sie noch nie etwas gehört. Der Grund, warum wir alle von Colonial Pipeline gehört haben, war der Angriff auf ihr gewöhnliches Unternehmensnetzwerk. Sie waren der Meinung, dass sie keine andere Wahl hatten, als die Pipeline zu schließen.

    Die meisten Unternehmen mit kritischen Anlagen können sich darauf verlassen, dass die Steuerung der Anlagen nicht vom normalen IT-Netz abhängig ist. Nun, im Fall von Colonial hat sich das nicht bewahrheitet. Und zweifelsohne akzeptierten sie die Zusicherung und den guten Glauben, dass die Kontrollen der Pipeline ausreichend vom Hauptnetz abgetrennt waren, so dass ein größerer Cyberangriff kein Problem darstellen würde.

    Die Unternehmen sollten also ihre Annahmen überprüfen und sie immer wieder überprüfen. Sind Sie sich wirklich sicher, dass Sie ein Energieunternehmen oder ein Krankenhaus sind? Wissen Sie, in Schweden mussten die Geschäfte frische Lebensmittel umsonst abgeben, weil sie sie nicht verkaufen konnten, weil ihre Chip- und Stiftmaschinen nicht funktionierten. Die Menschen sollten einfach ihre Abhängigkeiten durchdenken und das Schlimmste einplanen.

    Wade Islan: Wie viel davon hängt mit dem Faktor Mensch im Vergleich zu technischen Hilfsmitteln zusammen? Sie haben beide Verfahren sowie eine Reihe von technischen Lösungen aufgeführt. Einige waren einfach, andere vielleicht etwas komplizierter. Doch wie sollte eine Organisation das Gleichgewicht zwischen den beiden Aspekten herstellen und welche Rolle spielt der Faktor Mensch dabei?

    Ciaran Martin: Nun, die menschlichen Faktoren sind wichtig, aber ich spiele hier den Gegenspieler und betone die technische Seite, aber die technische Seite muss natürlich von Menschen geplant werden, die wissen, was sie tun. Letztendlich sind aber nur sehr wenige Organisationen in erster Linie Cybersicherheitsorganisationen. Und Colonial Pipelines ist ein Energieunternehmen, das Öl durch die USA transportiert. Der Leiter des Gesundheitswesens in Irland ist ein Beauftragter für das Gesundheitswesen.

    Sie wollen nicht so tun, als ob diese Organisationen in erster Linie zu Cybersicherheitsorganisationen werden müssten oder zu, Sie wissen schon, Expertenorganisationen für Cybersicherheit. Das ist nicht ihr Ziel. Der Grund, warum ich das sage, ist, dass man in gewissem Sinne einen ausreichend guten Satz an technischen Schutzmaßnahmen haben möchte, so dass es keine Personen gibt, deren Aufgabe etwas anderes ist. Es geht darum, eine Pipeline am Laufen zu halten, Gesundheitsfürsorge in Auftrag zu geben, Gesundheitsfürsorge zu erbringen, was auch immer. Sie wollen nicht, dass diese Leute 10 Cybersicherheitsentscheidungen pro Tag treffen müssen. Sie wollen also gute Blockiermechanismen haben, damit nur sehr wenige gefälschte E-Mails den Weg in die Postfächer dieser Leute finden, damit sie nicht täglich eine Stunde damit verbringen müssen, sich zu fragen: "Nun, soll ich diese E-Mail öffnen? Oder soll ich das an Ihre IT-Abteilung schicken, wegen Betrugs oder so?"

    Nehmen Sie den Menschen so oft wie möglich die Entscheidungen ab. Wie macht man das? Das erreicht man durch gute technische Verteidigung. Aber es gibt natürlich auch eine menschliche Dimension, und die wird oft ausgenutzt. Um Ihnen ein Beispiel zu geben: Anspruchsvollere Angreifer werden Dinge wie LinkedIn durchforsten und dann versuchen, den Systemadministrator eines Netzwerks zu finden, an dem sie interessiert sind, und sie werden versuchen, vielleicht... Denn der Systemadministrator besitzt die Schlüssel zum Königreich der Netzwerke.

    Sie haben das immer wieder erlebt, dass jemand vielleicht den Systemadministrator kultiviert hat oder sich seine Konten in den sozialen Medien angeschaut hat und erraten hat, dass sein Passwort vielleicht derselbe Name wie sein Haustier auf Twitter ist, dass er Bilder auf Twitter veröffentlicht hat usw. usw. Man muss die Menschen also über ihre eigenen Schwachstellen aufklären. Aber man muss es ihnen leicht machen. Letztes Jahr hat die Universität Oxford zum Beispiel die Zwei-Faktor-Authentifizierung eingeführt.

    Ich bin der Meinung, dass sie es ganz gut gemacht haben, aber für viele Menschen war es eine ziemlich störende Sache. "Was ist das? Warum erhalte ich eine Textnachricht auf meinem Telefon, bevor ich mich in das Netz einlogge?" Für ältere Akademiker war es ein bisschen, "Oh, wissen Sie, der Fernzugriff ist meine Lebensader zur Arbeit. Was ist das für eine Veränderung?" Aber wir müssen es den Menschen so leicht wie möglich machen, die Regeln zu befolgen, sonst machen sie etwas falsch. Und dann braucht man ein unterstützendes und förderndes Cybersicherheitsumfeld, in dem man es den Menschen leicht macht, das Richtige zu tun.

    Wade Islan: Würden Sie sagen, dass es Ressourcen gibt, über die die meisten Organisationen bereits verfügen und die besser genutzt werden könnten, als dass neue Investitionen erforderlich wären? In diesem Fall geht es eher um technische Lösungen, aber es kann auch an der menschlichen Kompetenz liegen oder an den Mitarbeitern.

    Ciaran Martin: Die Sicherheit wird mit der Einführung neuer Versionen und Updates und modernerer Technologie besser, weil wir uns dessen bewusster sind, mehr Geld für die Forschung ausgeben, sie stärker integrieren und mehr darüber nachdenken, wenn neue Produkte und Dienstleistungen eingeführt werden. Es ist also wichtig, seinen Nachlass auf dem neuesten Stand zu halten. Während der Pandemie zum Beispiel, als ich zu Beginn der Pandemie in Großbritannien in der Regierung war, als alle Organisationen sehr schnell und unerwartet und ungeplant begannen, von zu Hause aus zu arbeiten, lautete einer unserer Ratschläge in der britischen Regierung: Wenn möglich, sollten Sie sicherstellen, dass die neuen IT-Systeme, die Sie den Mitarbeitern für die Fernarbeit zur Verfügung stellen, auf dem neuesten Stand sind. Vielleicht haben wir dazu beigetragen, dass die Laptops verboten wurden und so weiter. Aber wenn Sie Sachen aus dem Schrank holen, die Sie eigentlich entsorgen wollten, aber jetzt Sachen brauchen, mit denen Ihre Mitarbeiter von unterwegs arbeiten können, dann ist das wahrscheinlich ziemlich unsicher, versuchen Sie, ein bisschen in modernere Sachen zu investieren.

    Ich denke also, dass es darum geht, das zu erhalten, was man hat. Ich frage mich also, ob Sie neue Investitionsschutzmaßnahmen brauchen? Sie brauchen eine ehrliche Diskussion am Brett. Das ist von Organisation zu Organisation unterschiedlich. Welche Risiken gehen Sie ein? Wer wird wahrscheinlich hinter Ihnen her sein? Denn wenn Sie wirklich sensibles geistiges Eigentum haben, sind vielleicht alle möglichen Leute hinter Ihnen her, einschließlich der Elite-Hacker der chinesischen 3PLA, aber wenn Sie nur schnelllebige Konsumgüter verkaufen, dann sind Sie wahrscheinlich eher an Cyber-Kriminellen interessiert.

    Wenn Sie in Russland im Energiebereich tätig sind, haben Sie ganz andere Probleme. Finden Sie also heraus, wie hoch Ihr Risiko ist und welche Schutzmaßnahmen Sie dagegen ergreifen können. Und dann berechnen Sie, was Sie brauchen. Das Einzige, was ich sagen würde, ist, kaufe nichts, was du nicht verstehst. Fragen Sie die Anbieter ernsthaft: "Welcher Schaden droht mir und was kann dieses Produkt oder diese Dienstleistung tun, um die Wahrscheinlichkeit zu verringern, dass dieser Schaden eintritt, oder um seine Auswirkungen zu mildern?" Grundlegende Fragen, die Sie auch bei anderen Themen stellen würden. Nur weil es sich um Cybersicherheit handelt, sollten Sie nicht sagen: "Oh, das sieht ja glänzend aus. Lass es uns tun."

    Wade Islan: Bis jetzt haben wir uns in unserer Diskussion ziemlich stark auf Nordamerika und Europa konzentriert. Ich meine, das ist verständlich, denn der Schwerpunkt der meisten Angriffe liegt dort. Was würden Sie Unternehmensleitern aus anderen Teilen der Welt raten, wie sie mit dem Thema Ransomware umgehen sollten? Gibt es irgendwelche Unterschiede, lautet die Frage? Das ist vielleicht nicht der Fall.

    Ciaran Martin: Nun, ich habe mich ein wenig in Japan umgesehen, was recht interessant ist, weil ich annehme, dass Japan einen sprachlichen Vorteil hat, da in vielen Ländern Englisch die zweite Sprache ist und daher viele der Cyberkriminellen zumindest in gewisser Weise Englisch beherrschen werden. Daher werden englischsprachige Volkswirtschaften oder solche, in denen viele Geschäfte in englischer Sprache abgewickelt werden, wie in Westeuropa, ins Visier genommen. Aber auch Japan ist von dieser Ransomware nicht verschont geblieben. Jedes Land, das sich auf der wohlhabenden Seite unserer Welt befindet, hat die Probleme, über die wir hier gesprochen haben.

    Bislang habe ich das in weniger reichen Ländern noch nicht gesehen. Vielleicht täusche ich mich, aber ich habe nicht gesehen, dass sie sich auf dieselbe Art und Weise dreht. In Lateinamerika zum Beispiel haben viele Länder sehr früh den digitalen Massenhandel eingeführt. Aber das ist manchmal auf ziemlich unsichere Weise geschehen. Persönliche Daten und Sicherheit sind also eines der größten Probleme im Zusammenhang mit Identitätsbetrug, Finanzbetrug im großen Stil und solchen Dingen. Und nachdem ich all das gesagt habe, möchte ich noch einmal darauf hinweisen, dass ein guter Schutz gegen diese Art von Risiken auch ein guter Schutz gegen Ransomware ist. Ich denke also, es sind weitgehend die gleichen Ratschläge.

    Wade Islan: Mir ist klar, dass viele der Lösungen, die Sie gerade angeboten haben, oder Vorschläge für Organisationen, die Sie gerade angeboten haben, über Ransomware hinausgehen. Um noch einmal kurz auf Ransomware zurückzukommen: Was wird Ihrer Meinung nach nicht ausreichend beachtet?

    Ciaran Martin: Nun, erstens ist eine gute Cybersicherheit, wie wir sie gerade besprochen haben, die beste Verteidigung gegen Ransomware. Ich meine, Ransomware ist nur ein Cyberangriff, gefolgt von Erpressung. Deshalb ist der Schutz vor [lacht] Ransomware dem Schutz vor anderen Formen von Cyber-Schäden sehr ähnlich.

    Was fehlt meiner Meinung nach bei Ransomware? Nun, die politische Aufmerksamkeit fehlte, aber es gab so viele hochkarätige Störfälle. Ich glaube, das war der Unterschied. Es hat tatsächlich begonnen, das tägliche Leben der Menschen auf ziemlich schreckliche und unangenehme Weise zu beeinträchtigen. An politischer Aufmerksamkeit mangelt es also nicht mehr.

    Auf dem G7-Gipfel im Vereinigten Königreich Anfang dieses Jahres unterzeichneten Präsident Biden, Premierminister Johnson und Präsident Macron sowie alle anderen eine Verpflichtung zum Umgang mit Ransomware. Und ich glaube, ein Aspekt, dem relativ wenig Aufmerksamkeit geschenkt wurde, war das Problem des sicheren Hafens in Russland. Aber Präsident Biden [inaudible 00:15:19] hat Präsident Putin gesagt, dass er das sehr ernst nimmt.

    Ich denke also, dass das Geld die einzige Sache ist, die jetzt viel Aufmerksamkeit braucht. Der Grund für die explosionsartige Zunahme von Ransomware ist, dass es sehr einfach ist, große Geldbeträge zu verschieben. Und es ist ein schwieriges Problem, aber, wenn ich jetzt eine winzige Enttäuschung über die Entwicklung seit dem G7 ausdrücken darf, wenn Sie sagen, vergleichen Sie mit, ähm... Wir nähern uns dem 20. Jahrestag des 11. Septembers und die Einnahmen reflektieren diesen Tag. Nach dem 11. September, so erinnere ich mich, waren die westlichen Staaten besorgt, dass der leichte Fluss illegaler Finanzmittel einer der Gründe für das Aufblühen des internationalen Terrorismus war. So hat die Financial Action Task Force 40 wirklich sehr detaillierte und einschneidende Empfehlungen ausgesprochen, die vom westlichen Finanzsektor schnell angenommen wurden. Das machte es sehr, sehr schwer, illegales Geld zu verschieben, wenn man mit einer terroristischen Gruppe verbunden war. Und so ist eine Gruppe von Experten hinter dem Geld her.

    Im G7-Kommuniqué zur Ransomware gab es ähnliche Äußerungen. Wir müssen uns ernsthaft darum bemühen, die Geldströme zu stoppen, aber wo sind die Folgemaßnahmen? Nun, das könnte die Frage des Verbots oder der Einschränkung von Zahlungen durch Unternehmen sein, und da sind die Meinungen geteilt. Aber ich kann mir vorstellen, dass es ein Volltreffer wird. Ich denke, das ist ein sehr schwieriges Thema. Aber die amerikanische Regierung ist sehr an Transparenzanforderungen für Kryptowährungen interessiert, da die meisten Ransomware-Zahlungen heutzutage, wenn auch nicht von Anfang an, in Dollar erfolgten, aber jetzt in Kryptowährung erfolgen. Und die meisten werden in Kryptowährung bezahlt.

    Die Biden-Administration ist sehr daran interessiert, diesen Weg zu erkunden, um den Geldfluss zu beschränken. Aber auch das würde eine globale Koordinierung erfordern, und ich kann nicht erkennen, wo das im Moment der Fall ist. Vielleicht wird alles etwas später enthüllt. Aber ich denke, wir brauchen etwas mehr Dringlichkeit, denn Ransomware unterscheidet sich meiner Meinung nach von allen anderen Formen der Internetkriminalität dadurch, wie lukrativ sie ist. Und es ist lukrativ, weil man Kryptowährungen sehr, sehr einfach verschieben kann, und das ist es, was wahrscheinlich fehlt. Ich bin kein Experte auf diesem Gebiet, und es ist nicht wirklich ein Problem der Cybersicherheit, sondern ein Problem der Finanzkriminalität. Wissen Sie, wie man das aufhalten kann? Aber ich denke, wir brauchen die besten Köpfe der Welt, die an diesem Thema arbeiten, um diesen Aspekt des Problems in den Griff zu bekommen.

    Ransomware-Angreifer haben keine politischen Ziele. Alles, was sie wollen, ist Geld. Das ist 100 % ihrer Motivation. Wenn man also Wege findet, den Geldfluss einzuschränken, was auch immer das sein mag, dann findet man Wege, das Problem zu verringern.

    Wade Islan: Sie erwähnen, dass es jetzt einen wachsenden Konsens, sogar einen politischen Konsens, über die Bekämpfung von Ransomware und Regierungsvereinbarungen in diesem Bereich gibt. Aber wo könnten Sie sich gegen die gängige Meinung oder den aktuellen Expertenkonsens zum Thema Ransomware stellen?

    Ciaran Martin: Nun, es gibt keinen Konsens in der Frage des Zahlungsverbots, und ich bin mir nicht sicher, wo das Gleichgewicht und die Debatte liegen. Ich meine, die Regierungen sind der Meinung, dass es zu schwierig ist und zu viele unbeabsichtigte Folgen haben wird, und sie könnten durchaus Recht haben. Ich denke nur, dass es sich lohnt, sich die Arbeit zu machen und im Detail zu prüfen, ob es funktionieren würde oder nicht. Ich meine, das Vereinigte Königreich hat sich lange Zeit geweigert, die Zahlung von Lösegeldern an terroristische Vereinigungen zuzulassen, selbst in außerordentlich schwierigen Situationen, in denen Menschenleben bedroht waren und sogar Morde begangen wurden. Auch die Kanadier und andere Länder haben bei den Zahlungserleichterungen still und leise einen anderen Ansatz gewählt. Ich denke also, dass wir uns das wirklich gründlich ansehen sollten.

    Wo wir jedoch gegen die Art von Konsens ankämpfen, ist, dass ich denke, dass es ein Zufall ist, denn ich gehe von gutem Willen aus, und ich glaube, dass die meisten Leute in den Debatten in den USA, im Vereinigten Königreich, in Europa usw. in gutem Glauben handeln. Aber ist diese Sache, die wir fast zufällig fördern, diese Art von pro-kriminellem Narrativ, dass Ransomware-Angriffe immer existenziell sind. Mit anderen Worten: Wenn Sie nicht zahlen, gehen Sie in Konkurs, und Menschen können sterben. Zunächst einmal ist die Bedrohung des Lebens durch Ransomware nicht unbekannt, aber sie ist ziemlich selten. Es ist furchtbar, wenn es passiert, aber es ist ziemlich selten. Und wir sollten unsere Politik nicht nur auf diese sehr seltenen Fälle stützen.

    Ich meine, es gibt diesen Mythos, dass Ransomware immer existenziell ist, und wenn man zahlt, gibt es eine Art "Schalter und alles ist wieder in Ordnung" Schalter. A: Das ist nicht wahr. Ich meine, schauen Sie sich Colonial Pipelines an, sie haben bezahlt und erholen sich immer noch. Aber Ransomware greift das Computernetzwerk an, so dass es Zeit braucht, sich zu erholen. Bezahlen macht also nicht automatisch alles richtig, und tatsächlich kann es auch die beste Option sein, sich einfach zu erholen. Ich denke also, wir sollten dieses Narrativ ein wenig zurückdrängen, denn es ist nicht hilfreich, wenn man etwas als [unhörbar 00:19:45] darstellt, während es in Wirklichkeit ziemlich nuanciert ist.

    Wade Islan: Wenn Ihr Unternehmen von Ransomware betroffen wäre, würden Sie dann zahlen? Und um das vielleicht etwas fairer zu formulieren: Wie sollte ein Unternehmen diese Entscheidung überdenken?

    Ciaran Martin: Also ich glaube, [inaudible 00:20:04] hat mit jemandem einen Artikel geschrieben, und sie [inaudible 00:20:06] wir haben von der Brookings Institution gelernt, dass es in den USA echte Probleme gibt, wenn man ein Telefonverbot verhängt, denn es wird Fälle geben, in denen es existenzielle Risiken gibt. Nicht alle, aber einige von ihnen. Ich denke also, dass wir das tun müssen. Ich meine, es ist ein Risiko für die nationale Sicherheit, das hat Präsident Biden gesagt, und die britische Regierung hat darauf hingewiesen, dass Ransomware ein Risiko für die nationale Sicherheit darstellt. In solchen Fällen tun wir also nicht genug, um den Opfern schwerer Straftaten staatliche Unterstützung zukommen zu lassen, und ich denke, dass wir das überdenken müssen. Aber wir sind, wo wir sind.

    Die ehrliche Frage ist also, ob meine Organisation oder eine Organisation, die ich leite, von Ransomware betroffen ist. Nun, das hängt vom Ausgangspunkt ab. Wissen Sie, ob wir gut abgesichert sind? Und wenn das der Fall ist, dann gibt es meiner Meinung nach einen starken Anreiz, nicht zu zahlen. Und niemand will zahlen, wissen Sie, ich glaube nicht, dass irgendjemand gerne zahlt. Das würde ich keine Sekunde lang glauben. Aber ich denke, manchmal sind die Anreize einfach zu leicht zu bezahlen, also würde ich alle Möglichkeiten ausschöpfen. Und Sie haben darum gebeten, auf den Punkt mit den überlieferten Weisheiten zurückzukommen, dem ich widersprechen möchte.

    Es gibt da diese spezielle Sache mit dem Erpressungsrisiko bei Datenlecks. Nennen Sie mir ein Beispiel, bei dem eine Organisation die Zahlung verweigert hat und durch die Weitergabe sehr sensibler Informationen gedemütigt oder geschädigt worden ist. Eigentlich sind es nicht viele. Und es gibt einfach nicht genug sachliche und objektive Analysen des Problems. Wir - und - und das ist der Grund, warum wir es nicht verstehen, wenn diese Angriffe passieren und diese armen Geschäftsführer und Leiter von Organisationen subjektiv gelähmt sind. Wenn man mir sagt, dass alles existenziell ist und dass das Unternehmen pleite gehen wird. Und selbst wenn das Unternehmen nicht pleite geht, werden alle sensiblen Informationen morgen im Internet veröffentlicht, wenn sie nicht X Millionen Dollar in Kryptowährung zahlen.

    Es ist viel komplizierter als das. Sie müssen Wege finden, den Menschen ausgewogene Informationen zu geben, denn wenn wir den Menschen ausgewogene Informationen geben, wette ich, dass mehr Menschen dem Weg der Harris Federation of Schools folgen werden und einfach sagen: "Weißt du was? Das ist eine echte Qual. Es ist demütigend, es ist kostspielig, es ist verheerend, aber wir machen es nicht weniger, indem wir ein paar Kriminelle bezahlen."

    Wade Islan: Ich danke Ihnen. Könnten Sie Ihren Zuhörern erklären, was eine Cyber-Versicherung ist und welche Rolle die Cyber-Versicherung bei der Ransomware-Geschichte spielt?

    Ciaran Martin: Bei der Cyberversicherung handelt es sich im Grunde um ein Produkt, das den Versicherten verpflichtet, im Falle eines durch einen Cyberangriff verursachten Schadens zu zahlen. Es ist also eine gute Sache und es sollte... Ich meine, eine Versicherung ist eine gute Sache. Deshalb haben wir sie, und wenn es sie nicht gäbe, würden wir sie erfinden. Sie trägt zur Sicherheit bei und hilft ihr. Ich meine, deshalb ist die physische Sicherheit so enorm, um die Forderungen der Versicherungen nach verschlossenen Türen, verschlossenen Autos, sicher geparkten Autos und so weiter zu erfüllen. Aber ich denke, dass die Cyberversicherung sich schwer getan hat, diese breitere Wirkung für das öffentliche Wohl zu entfalten, die Versicherungen normalerweise haben. In diesem Moment werden Doktorarbeiten darüber geschrieben, und zweifellos sind die Unternehmen zu Recht daran interessiert, Gewinne zu erzielen. Schauen Sie es sich genau an.

    Ransomware ist also einer der wenigen Fehler im Bereich der Cybersicherheit, bei dem es recht einfach ist, den Schaden zu messen. Wie viel haben Sie für das Lösegeld bezahlt, wie viel hat es Sie gekostet, es wiederzuerlangen, und können Sie abschätzen, wie viel Geschäft Sie verloren haben? Kommen wir zurück zu dem berühmten Angriff in den USA, bei dem die Kundendatenbank von Target gestohlen wurde: 46 Millionen Menschen und einige Kreditkarten. Aber die Informationen über die Kreditkarten reichen nicht aus, um sie zu benutzen. Nun, was ist daran schlimm? Sie müssen Briefe an Zielkunden schreiben. Das sind eine Menge Briefmarken.

    Dem Unternehmen entsteht also kein direkter finanzieller Schaden. Wechseln die Leute zu anderen Geschäften? Vielleicht. Aber auch hier wissen Sie nicht genau, wie. Wie hoch ist der Schaden für die gesamte Wirtschaft? Nun, je nachdem, was passiert, hat jemand sie im Dark Web gekauft? Was machen sie mit ihnen? Im Grunde genommen ist es ziemlich schwer zu messen. Ein [unhörbar 00:23:52] sprach einmal mit einer britischen Aufsichtsbehörde und sagte: "Wissen Sie, wenn ich Strafen für Fahrlässigkeit im Internet erhebe, welchen Schaden bestrafe ich dann? Was..." wissen Sie? Das ist einer der Gründe, warum sich die Versicherer so schwer tun.

    Eine andere ist die Haftung. Vor den Schweizer Gerichten wird gerade ein Fall verhandelt, bei dem ein Versicherer die Auszahlung mit der Begründung verweigert hat, dass die Hacker Nationalstaaten seien und es sich daher um eine Kriegshandlung handele. Der Punkt mit den Opfern ist, dass wir durchhalten werden. Ich meine, die meisten oder sehr viele Cyberangriffe gehen von Nationalstaaten aus, und sie sind weit entfernt von einem aktiven Krieg, denn wir berufen uns zum Beispiel nie auf Artikel 5 des NATO-Vertrags, wie könnten sie also als Kriegshandlungen behandelt werden? Wie sieht es also mit der Haftung aus, wenn z. B. ein Nationalstaat eine sehr schwache Cybersicherheit ausnutzt?

    Wissen Sie, wenn ein Nationalstaat eine erstklassige, hochentwickelte Arbeit leistet, dann kann man sagen, na ja, eine Organisation kann sagen: "Nun, wie um alles in der Welt hätten wir uns dagegen verteidigen sollen?" Aber wenn es tatsächlich die Tatsache ausnutzt, dass sie ihr Netzwerk nicht gepatcht haben, nun, was bedeutet das dann? Es ist also schwer, Schaden anzurichten, und es ist schwer, Haftung zu übernehmen. Ich denke, das sind zwei der Gründe, warum sich die Cyber-Versicherung so schwer tut. Aber ich hoffe, dass sich das auf lange Sicht bessern wird. Das brauchen wir auch.

    Wade Islan: Wenn Sie in die Zukunft blicken, was denken Sie, wohin werden wir uns in Bezug auf Ransomware entwickeln? Wie werden die nächsten Jahre bis 18 Monate für Ransomware aussehen, oder wie sieht es in 5 bis 10 Jahren aus?

    Ciaran Martin: Ich bin ein schlechter Prognostiker, Wade, aber du hast mich darum gebeten, also werde ich es versuchen. Ransomware kann also einen von zwei Wegen einschlagen. Der eine Weg ist sozusagen der Weg, der erst schlimmer wird, bevor er besser wird. Und das ist der Punkt, an dem insbesondere Krankenhäuser zunehmend von sozial störenden Hacks betroffen sind. Und tatsächlich wird jemand verletzt oder sogar noch schlimmer, zum Beispiel durch den Zusammenbruch, aber auch durch die Gesundheitsversorgung und so weiter. Und dann gibt es diese Art von konzertierten Bemühungen, Sie wissen schon, echte Dringlichkeit, die Geldströme zu unterbinden. Es wird für Russland einfach zu peinlich, einige dieser kriminellen Banden zu beherbergen, und sie beginnen, Druck auf sie auszuüben, und wir verdrängen das Problem.

    Ich denke, die Chancen dafür stehen nicht schlecht, aber leider ist es so - es muss eine Phase geben, in der es noch schlimmer wird, bevor wir beschließen, dass es genug ist. Es gibt einen alternativen Weg, der tatsächlich in einer hohen Basis mit vorsichtigeren Hackern bleibt. Ich meine, es gibt einige anekdotische Beweise für Unzufriedenheit in den Reihen der Ransomware-Gauner, denn sie hatten viel Spaß dabei, in aller Stille wohlhabende westliche Vorstandsvorsitzende zu erpressen, ohne dass es jemand bemerkte. Aber als dann einige Leute ein wenig rücksichtslos wurden und anfingen, Pipelines und Gesundheitssysteme zu zerstören, wurde die Welt aufmerksam und fühlte sich unwohl. Wenn sie also ein bisschen auf den Kopf fallen und zu ihrem ruhigen und lukrativen Geschäftsmodell zurückkehren würden, würde die politische Aufmerksamkeit der Welt angesichts all der anderen Ereignisse vielleicht nachlassen, und wir hätten ein erhebliches Problem, das sind also die beiden alternativen Visionen für die nächsten zwei Jahre.

    Für die nächsten 10 Jahre wäre ich optimistisch. Ich wäre aus einer Reihe von Gründen optimistisch, aber der wichtigste ist, dass ich der Meinung bin... Und ich hoffe, dass ich Recht habe... Aber ich bin der Ansicht, dass wir in einem Jahrzehnt oder ein paar Jahrzehnten über das Recht auf sichere Software und das Recht auf sichere Hardware sprechen werden, so wie wir über das Recht auf sicheres Reisen, sicheres Trinkwasser und so weiter sprechen. Wir werden keine schlampigen Praktiken mehr zulassen, wir werden keine schlechten Produkte und Dienstleistungen mehr auf dem Markt zulassen, weil die Digitalisierung einfach zu wichtig ist. Ich denke, wenn man sich den 10-Milliarden-Dollar-Plan der US-Regierung und die ausführliche Durchführungsverordnung ansieht, werden die Standards der Cybersicherheit deutlich. Schauen Sie sich das Geld an, das Großbritannien und die Europäische Union in diesen Kontinent gesteckt haben. Ich glaube, dass wir den Cyberspace immer besser absichern werden. Und das bedeutet nicht, dass alles rosig ist.

    Ransomware ist so ungeheuerlich und ein vermeidbarer Schaden, denn Cyberangriffe werden nicht verschwinden, Cyberrisiken werden nicht verschwinden, Cyberschwachstellen werden nicht verschwinden. Aber Ransomware macht lächerliche Summen mit sehr schwachen Verteidigungsmaßnahmen, und diese Lücke sollte leichter zu schließen sein als einige unserer anderen Schwachstellen.

    Wade Islan: Ich glaube, Sie haben gerade ein ziemlich optimistisches Zukunftsszenario gezeichnet.

    Ciaran Martin: Es ist langfristig.

    Wade Islan: Ja, die langfristige Zukunft. Glauben Sie, dass es eine pessimistischere Version dieser langfristigen Zukunft gibt, und wenn ja, wie könnte diese aussehen?

    Ciaran Martin: Eines der größten Risiken ist derzeit die Tatsache, dass böswillige Menschen jetzt ziemlich ernsthafte Fähigkeiten kaufen können. Und die meisten Ransomware-Aktivitäten sind nicht sonderlich ausgeklügelt, aber diese Leute haben jetzt eine Menge Geld. Ich meine, wie ich schon sagte, eine Gruppe hat in neun Monaten 19 Millionen Dollar erhalten. Ich weiß nicht, wie hoch die Kosten für den Endschnitt sind, aber sie sind nicht sehr hoch. Sie wissen schon, ein Haufen Hacker, ein Haufen Computer, Kanada, ein Haufen Mittelsmänner. Aber ich kann mir gut vorstellen, dass sie mit 19 Millionen Dollar einen äußerst geringen Gewinn erzielen. Na ja, Sie wissen ja, was bei so etwas passieren kann, wenn man bedenkt, wie viele Sachen zum Verkauf stehen. Das wäre ein Grund zur Sorge. Und diese Art der Bewaffnung des Cyberspace müssen wir wohl noch aufarbeiten. Aber ich würde trotzdem zu der optimistischeren Variante tendieren.

    Wade Islan: Auf keinen Fall, das ist... das ist schön zu hören. Und natürlich hoffe ich, dass sich die Dinge so entwickeln werden. Deshalb bitten wir unsere Gäste am Ende jeder Folge, ihr 30-sekündiges Elevator Pitch für Unternehmensleiter zum Thema der jeweiligen Folge zu geben. Was würden Sie Unternehmensleitern vorschlagen, um ihre Organisationen vor Ransomware zu schützen? Ich weiß, dass Sie das bereits ausführlich dargelegt haben, aber wenn Sie, wie gesagt, in einem Aufzug gefangen wären und 30 Sekunden Zeit hätten, Ihr bestes Argument vorzubringen, welches wäre das?

    Ciaran Martin: Drei Dinge. Erstens: Überprüfen Sie, ob Sie Backups haben und ob Ihr Team weiß, wie man sie bekommt und einsetzt. Zweitens: Überprüfen Sie Ihre grundlegenden Schutzvorkehrungen und Ihren Plan zur Aufrechterhaltung des Geschäftsbetriebs. Entspricht sie den Anforderungen? Grundlegende Fragen zu Patches für die Zwei-Faktor-Authentifizierung, den Sofortreaktionsplan und dergleichen mehr. Drittens: Wenn Ihnen das passiert, geraten Sie nicht in Panik, glauben Sie nicht an den Hype und lassen Sie sich gut beraten. Und zahlen Sie nicht.

    Wade Islan: Vielen Dank, dass Sie heute bei uns sind, Professor Martin.

    Ciaran Martin: Das war großartig, vielen Dank, Wade. Danke, dass ich dabei sein durfte.

    Garrett O'Hara: Vielen Dank an Professor Martin und Wade Islan für die heutige Folge. Wie immer vielen Dank, dass Sie den Get Cyber Resilient Podcast gehört haben. Stöbern Sie in unserem Episodenkatalog, abonnieren Sie uns und hinterlassen Sie uns eine Bewertung. Bis dahin, bleiben Sie sicher, und ich freue mich darauf, Sie in der nächsten Folge wiederzusehen.

     

    Zurück zum Anfang