Aufbau von Widerstandsfähigkeit gegen Ransomware – eine proaktive Strategie für Unternehmen und Aufsichtsbehörden

Die Zunahme von Ransomware-Angriffen hat die internationale Gemeinschaft dazu veranlasst, eine Reihe von Ansätzen zur Abschreckung dieser Angriffe zu prüfen, darunter die Anwendung von Sanktionen, die Weiterentwicklung und Umsetzung von Normen für Cyberangriffe sowie die Förderung bewährter Praktiken im Bereich der Cybersicherheit.

Sanktionen sind ein wichtiger Bestandteil des Instrumentariums, mit dem Regierungsbehörden Ransomware-Akteuren Kosten auferlegen. Im Februar 2023 verhängten Aufsichtsbehörden im Vereinigten Königreich und das Office of Foreign Assets Control (OFAC) des US-Finanzministeriums Sanktionen gegen sieben Mitglieder der in Russland ansässigen Cyberkriminalitätsbande TrickBot, die mit russischen Geheimdiensten in Verbindung steht, weil sie Ransomware eingesetzt hatten, um kritische Infrastrukturen in beiden Ländern anzugreifen. Im August 2022 sanktionierte das OFAC Tornado Cash, einen dezentralen Kryptowährungsmixer, wegen angeblicher Beihilfe zum Waschen von 7 Milliarden US-Dollar in virtueller Währung (VC). In einem ähnlichen Schritt hat das OFAC im September 2021 SUEX OTC, SRO (SUEX), eine russische Kryptowährungsbörse, als Unternehmen auf die Liste der „Specially Designated Nationals and Blocked Persons“ gesetzt, die den Umgang der USA mit bestimmten Unternehmen, die eine nationale Sicherheitsbedrohung darstellen, einschränkt. Gleichzeitig veröffentlichte das OFAC eine Ransomware-Meldung (September 2021), in der es auf die Sanktionsrisiken im Zusammenhang mit Ransomware-Zahlungen im Zusammenhang mit böswilligen Cyber-Aktivitäten hinwies. Es wurde festgestellt, dass SUEX Kryptowährungen im Wert von Hunderten Millionen US-Dollar aus illegalen Quellen transferiert hat, darunter mehr als 160 Millionen US-Dollar von Ransomware-Akteuren.

Obwohl diese Bezeichnungen wichtig sind, ist ein umfassender Ansatz erforderlich, um Ransomware-Netzwerke weiterhin abzuschrecken und zu schwächen. Dieser proaktive und breit angelegte Ansatz kann gezielte Sanktionen, Informationsaustausch, öffentlich-private Partnerschaften und die Ermächtigung von Unternehmen und Einzelpersonen umfassen, sich vor Ransomware-Angriffen zu schützen. Durch die Konzentration auf ausländische Regulierungsbehörden, die Wert auf die Einhaltung von Finanzkriminalität legen, könnte dieser Ansatz Virtual Asset Service Provider (VASPs) in ihren Gerichtsbarkeiten effektiver beaufsichtigen, um Risiken bei der Verarbeitung von Zahlungen für Ransomware-Akteure zu reduzieren.

I. Das Ransomware-Ökosystem verstehen

Ransomware ist eine Form bösartiger Software (Malware), die darauf abzielt, den Zugriff auf Computersysteme oder Daten zu blockieren, häufig durch Verschlüsselung von Daten oder Programmen. Cyber-Akteure verlangen Lösegeldzahlungen, meist in Form von VC, als Gegenleistung für einen Schlüssel zum Entschlüsseln von Dateien und zum Wiederherstellen des Zugriffs der Opfer auf ihre Informationen. In den letzten Jahren hat OFAC verschiedene Akteure im Ransomware-Ökosystem ins Visier genommen, darunter:

II. OFAC-Beratung vom September 2021

OFAC hat nicht nur eine Reihe von Akteuren benannt, die am Ransomware-Ökosystem beteiligt sind, sondern auch Compliance-Leitlinien herausgegeben, um Unternehmen bei der Bewältigung von Risiken im Zusammenhang mit Ransomware-Transaktionen im Speziellen und VC-Transaktionen im Allgemeinen zu unterstützen. In der Stellungnahme des OFAC vom September 2021 heißt es, dass die US-Regierung „allen privaten Unternehmen und Bürgern dringend davon abhält, Lösegeld- oder Erpressungsforderungen zu zahlen“. Im Gutachten vom September 2021 wird erklärt, dass Unternehmen nach dem International Emergency Economic Powers Act oder dem Trading with the Enemy Act für Verstöße gegen die OFAC-Regeln zur Verantwortung gezogen werden können, indem sie Lösegelder an sanktionierte Personen zahlen, selbst wenn sie sich dessen nicht bewusst waren. Um Verstöße gegen Sanktionen zu vermeiden, schlägt OFAC Unternehmen außerdem vor, ein „risikobasiertes Compliance-Programm einzuführen, um das Risiko sanktionsbedingter Verstöße zu verringern“, das durch Schulungen, Offline-Backups, Reaktionspläne und andere Maßnahmen zum Schutz der technischen Infrastruktur eines Unternehmens ergänzt werden kann. OFAC betont auch die Bedeutung einer zeitnahen Berichterstattung und weist darauf hin, dass es eine „selbst initiierte und vollständige Meldung eines Ransomware-Angriffs an die Strafverfolgungsbehörden“ als wichtigen mildernden Faktor im Kontext der Durchsetzung ansieht. Diese Leitlinien stehen im Einklang mit den umfassenderen Leitlinien des OFAC darüber, wie Unternehmen wirksame risikobasierte Compliance-Programme aufbauen sollten.

***

Insgesamt spiegelt die Sanktionskampagne des OFAC sein Engagement im Kampf gegen Ransomware durch gezielte Sanktionen und Partnerschaften mit anderen Regierungsbehörden und internationalen Partnern wider.

III. Wichtige Compliance-Überlegungen für Ransomware-Angriffe

Um die OFAC-Vorschriften einzuhalten und das Sanktionsrisiko bei Ransomware-Zahlungen zu mindern, sollten Unternehmen risikobasierte Compliance-Programme implementieren. Diese Programme sind unerlässlich, um potenzielle Fallstricke im Zusammenhang mit Ransomware-Zahlungen zu vermeiden und eine starke Sicherheitslage aufrechtzuerhalten. Zu den Schlüsselelementen dieser Programme können gehören:

IV. Jenseits von Sanktionen: Eine umfassende Strategie für Ransomware-BedrohungenUm Ransomware-Bedrohungen wirksam bekämpfen zu können, ist ein branchenübergreifender, ganzheitlicher Ansatz erforderlich.

A. Operationalisierung des Ansatzes

Sanktionen sind ein wichtiger – notwendiger, aber nicht ausreichender – Bestandteil einer Gesamtstrategie zur Bekämpfung von Ransomware. US-Regulierungsbehörden sollten der Zusammenarbeit mit ausländischen Partnern bei der Umsetzung von Sanktionsmaßnahmen Priorität einräumen.1 Darüber hinaus können OFAC und andere präventive Grundsätze entwickeln, indem sie Best-Practice-Schulungen anbieten und sich auf Bildung in gefährdeten Regionen wie Lateinamerika, der Karibik und Osteuropa konzentrieren und so die globale Stärkung stärken Abwehr von Ransomware und Abmilderung ihrer negativen Auswirkungen auf Unternehmen und Einzelpersonen.

US-Regulierungsbehörden wie OFAC können bei der verantwortungsvollen Entwicklung und Gestaltung von Compliance-Standards, Wissen und Tools für ihre internationalen Kollegen eine Führungsrolle übernehmen, um VC-Börsen und VASPs im Hinblick auf die Einhaltung von Finanzkriminalität wirksam zu überwachen und zu regulieren. Um die unbeabsichtigte Erleichterung von Transaktionen für Ransomware-Akteure weiter zu verhindern, könnte dieser Ansatz auch auf Erkenntnisse aus den Bemühungen zur Terrorismusfinanzierung zurückgreifen, bei denen ein internationaler, sektorübergreifender Ansatz zur Prävention im Vordergrund steht, der Investitionen und die Zusammenarbeit mit Partnern aus dem privaten Sektor und anderen Interessengruppen umfasst Angriffe, bevor sie passieren.

Indem wir VASPs beaufsichtigen und ausländische Aufsichtsbehörden und Unternehmen mit den erforderlichen Schulungen und Ressourcen ausstatten, risikobasierte Compliance-Programme implementieren und mit erfahrenen Dritten zusammenarbeiten, können wir eine robuste globale Verteidigung gegen Ransomware schaffen. Dieser vielschichtige Ansatz geht über die Verhängung von Sanktionen gegen bestimmte böswillige Akteure hinaus – er reduziert die Verbreitung von Ransomware und schützt Regierungen und Unternehmen vor den verheerenden Folgen.