Einen offenen Brief mit dem Titel „Lösegeldzahlungen bei Ransomware-Angriffen: ein geostrategisches Risiko“ haben mehr als 30 Experten aus dem Bereich IT-Sicherheit und Informatik in Bildung, Forschung sowie dem privatwirtschaftlichen Sektor unterzeichnet. Darin erläutern die Autoren das Risiko durch Lösegeldzahlungen, das weit über einzelne Personen oder Unternehmen hinausgehe. Zudem haben sie einen Maßnahmenkatalog erstellt, in dem sie konkrete rechtliche Umsetzungen von Maßnahmen zur Verhinderung solcher Ransomware-Zahlungen fordern. Um das Problem zu verdeutlichen, führen die IT-Spezialisten einige Zahlen ins Feld: Der Schaden durch Daten-Diebstahl, Spionage und Sabotage für die deutsche Wirtschaft belaufe sich auf 223 Milliarden Euro jährlich, was mehr als 6 Prozent des deutschen Bruttoinlandsprodukts für 2021 (3,57 Billionen Euro) entspreche. Es seien neben Behörden und kritischer Infrastruktur 90 Prozent der Unternehmen betroffen. Für einen Großteil sei Ransomware verantwortlich. Backups seien nur selten eine Hilfe, da die kriminellen Akteure diese ebenfalls verschlüsselten. Zudem drohten sie ihren Opfern mit der Preisgabe vertraulicher Daten. Das erhöhe die Bereitschaft zur Lösegeldzahlung, folgern die Autoren. So zahlten einer Sophos-Studie zufolge 42 Prozent der deutschen Unternehmen Lösegeld, im Schnitt eine Viertelmillion Euro – entgegen den Empfehlungen von BSI und BKA. Vor dem Hintergrund, dass die Kosten zur Wiederaufnahme Durschnittlich 1,6 Millionen Euro betragen würden, verwundere dies wenig. Diese Kosten würden zudem oftmals von Cyberversicherungen übernommen. Inzwischen seien rund 80 Prozent der Unternehmen gegen Ransomware-Angriffe versichert. Die Autoren erläutern, dass viele Versicherungen nebst Wiederherstellungsmaßnahmen auch Lösegeld erstatten würden, wenn dies den Schaden für das Unternehmen minimiere. „Ransomware ist seit Jahren ein stark organisiertes Verbrechen, dessen Umsätze in Deutschland die des gesamten europäischen Drogenhandels um rund das Achtfache übersteigen. Wenn Opfer von Ransomware das geforderte Lösegeld nicht zahlen würden, dann würde dieses Geschäftsmodell im Keim erstickt“, schreiben die Unterzeichner in ihrem Brief. So hätten die Lösegeldzahlungen zu einer deutlichen Professionalisierung der Verbrecherbanden geführt. Diese seien „technisch und methodisch oft um Größenordnungen besser aufgestellt […] als die angegriffenen Unternehmen“. Gewinne kämmen insbesondere Staaten zugute, die Deutschland eigentlich sanktioniert. So landeten 74 Prozent aller Ransomware-Lösegelder im Jahr 2021 bei Cybergangs in Russland. Lösegeldzahlungen würden das aktuelle EU-Embargo gegen Russland signifikant schwächen. Zu den unter Embargo stehenden Nutznießern stehe aber auch Nordkorea. Es sei direkt in Ransomwareangriffe verstrickt, stehle darüber hinaus aber auch regelmäßig entsprechende Kryptowährungen zur Finanzierung seines Atomraketenprogramms. Die Autoren des offenen Briefs erklären, dass sich die Bereitschaft zu Lösegeldzahlungen mittlerweile für Deutschland zu einem massiven geostrategischen Risiko entwickelt habe, das nicht länger ignoriert werden dürfe. Sie erläutern: „Lösegeldzahlungen stärken Deutschlands geopolitische Konkurrenten und schwächen die deutsche Wirtschaft und den deutschen Staat, sie gefährden unsere kritischen Infrastrukturen. Aber auch hier vor Ort setzen Lösegeldzahlungen falsche Anreize, denn sie ermöglichen Unternehmen und Behörden einen vermeintlich einfachen Ausweg, der zwar kurzzeitig das Leid lindert, aber mittelfristig mehr Probleme verursacht als er löst“. Die als Lösegeld gezahlte Summe wandere nicht in Maßnahmen zur Verbesserung der IT-Sicherheit, sondern erhöhten die Wahrscheinlichkeit weiterer erfolgreicher Angriffe gegen sich selbst und andere. Insbesondere kleine Unternehmen könnten sich weder Lösegelder noch Cyber-Versicherungen leisten und stünden nach einem Angriff potenziell vor dem Bankrott. „Statt diese Milliarden an Euro jährlich dem organisierten Verbrechen und den Staaten, die diese Verbrecherbanden beheimaten, zukommen zu lassen, sollten deutsche Unternehmen diese Gelder vielmehr in ihre eigene IT-Sicherheit investieren, um somit einerseits die Hürden für weitere Angriffe zu erhöhen und andererseits die Finanzströme der Verbrecherbanden versiegen zu lassen“, erklären die Unterzeichner. Die Ersteller des offenen Briefs haben einen Maßnahmenkatalog aufgestellt, der zur Senkung der skizzierten Risiken umgesetzt werden sollte. Die Initiatoren fordern von der Bundespolitik, sie solle Maßnahmen erlassen und Anreize bieten, die Lösegeldzahlungen unterbinden würden:
- Schaffen Sie die steuerliche Absetzbarkeit von Ransomware-Lösegeldzahlungen (§ 33 EStG) ab.
- Führen Sie für Unternehmen ab einer bestimmten Größe eine Meldepflicht für Ransomwareangriffe und Lösegeldzahlungen ein.
- Unterbinden Sie Versicherungen, die diese Lösegeldzahlungen absichern.
- Befördern Sie stattdessen Versicherungen, die die verursachten Umsatzeinbußen und Wiederherstellungsmaßnahmen absichern. Da die Versicherer zunehmend starke Sicherheitsmaßnahmen bei den Versicherungsnehmern einfordern, besteht hier die Möglichkeit, die IT-Sicherheit in der Breite signifikant zu erhöhen, ohne weitere regulatorische Maßnahmen treffen zu müssen.
- Unterstützen Sie Unternehmen, die durch Ransomwareangriffe in eine finanzielle Notlage geraten, in angemessener Weise, beispielsweise über einen Hilfsfonds, sodass diese nicht gezwungen werden, Lösegelder zu zahlen. Die Unterstützung sollte jedoch an Bedingungen geknüpft sein, welche sicherstellen, dass die Opfer ihre Pflicht zur eigenständigen Absicherung nicht vernachlässigen.
- Forcieren Sie Maßnahmen, die deutschen Unternehmen in Zukunft Methoden und Technologien bereitstellen, um an sie gestellte IT-Sicherheitsanforderungen effektiv und dennoch möglichst kostengünstig erfüllen zu können.
Zu der Frage, warum er den offenen Brief initiiert habe, antwortete Professor Dr. Eric Bodden vom Heinz Nixdorf Institut der Universität Paderborn und Fraunhofer IEM: „Diese Maßnahmen würden es stark erleichtern, dass betroffene Organisationen keine Lösegeldzahlungen nach Ransomware-Angriffen mehr zahlen müssen. Sie können helfen, die kriminellen Gruppen finanziell auszutrocknen und sanktionierten Staaten keine Devisen zukommen zu lassen.“ Professor Dr.-Ing. Tibor Jager von der Bergischen Universität Wuppertal ergänzte: „Dass ein Unternehmen durch die Nichtzahlung eines Lösegeldes in finanzielle Bedrängnis kommen kann, ist ein großes Problem, jedoch kein unlösbares. Es ist auf jeden Fall wesentlich sinnvoller, geschädigte Unternehmen vor dem Bankrott zu retten, als kriminelle Geschäftsmodelle zu finanzieren und so gesamtwirtschaftlich noch höheren Schaden zu fördern“. „Durch die Lösegeldzahlungen fließen immense Mittel an die Seite der Angreifer und insbesondere nach Russland. Das ist geopolitisch nicht tragbar und steigert das Risiko von Cyberangriffen, auch auf kritische Infrastrukturen, immer weiter“, erklärte Professor Dr.-Ing. Dorothea Kolossa von der Ruhr-Universität Bochum, warum die Politik das Thema jetzt angehen sollte.