Es ist unbestritten, dass Ransomware als das Hauptrisiko der heutigen Zeit gilt. Seit dem Erscheinen von WannaCry im Mai 2017 mehren sich die Zwischenfälle, die es in die Tagespresse schaffen. Die Opfer werden zu Zahlungen gezwungen oder sehen sich mit der Veröffentlichung von sensiblen Daten konfrontiert. Dieser Beitrag beleuchtet, ob und inwiefern die Opfer ihre Krisen mitverschuldet haben.

Bei Ransomware handelt es sich um eine spezielle Gattung klassischer Computerviren. Traditionell werden auf einem infizierten System die Daten verschlüsselt. Das Opfer wird kontaktiert und kann durch eine Lösegeldzahlung den Zugriff auf seine Daten zurückkaufen. Falls ein Backup der Daten vorhanden ist, kann das Opfer jedoch diesen Zwang umgehen. Die Ransomware-Gangs haben deshalb begonnen zuerst die Daten über das Netzwerk zu exfiltrieren, bevor sie durch eine lokale Verschlüsselung unzugänglich gemacht werden. Bei dieser Double-Exfiltration reicht das Zurückspielen eines Backups nicht mehr. Denn falls der Lösegeldzahlung nicht nachgekommen wird, werden die gestohlenen Daten veröffentlicht. Die Opfer sind, auch wenn sie alternative Lösungswege für den Zugriff auf ihre Daten erschlossen haben, gezwungen der Zahlung einzuwilligen.

Die Schuld

Unsere technokratische Gesellschaft verlangt eine digitale Transformation des Alltags. Unternehmen müssen dieser Pflicht der Digitalisierung folgen, um Akzeptanz zu erhalten und kompetitiv bleiben zu können. Dies führt zu elektronischen Informationsangeboten, Kommunikationskanälen und automatisierter Datenverarbeitung. Dadurch kann ein Mehr an Flexibilität und Effizienz gewährleistet werden. Vor allem Letztere wird durch die Unternehmen freien Willens angestrebt, um eine wirtschaftliche Optimierung erreichen zu können.

Doch diese digitale Transformation darf nicht geschehen, ohne das Thema Cybersecurity mitzuberücksichtigen. Es ist zwar möglich, eine vollumfängliche Digitalisierung ohne diese umzusetzen. Doch dadurch erhöht man seine Risiken. Jeder Mensch, jedes Unternehmen darf Risiken eingehen. Man muss sich aber bewusst sein, dass Risiken auch getragen werden können müssen. Wer sich entschieden hat Risiken zu tragen, darf sich nicht beklagen, wenn der schlechtesmögliche Zustand eintrifft. Die wenigsten von uns setzen sich ohne Sicherheitsgurt vors Lenkrad, fahren 100 kmh in einem Dorf oder überqueren eine dichtbefahrene Kreuzung ohne Kontrollblick. Wer es trotzdem tut, nimmt Schäden an Fahrzeugen, Personen und Umwelt in Kauf. Dabei spielt es eine untergeordnete Rolle, ob man diese Konsequenzen absichtlich oder fahrlässig akzeptiert genommen hat.

Der Autofahrer muss die anderen Verkehrsteilnehmer berücksichtigen. Bei der digitalen Transformation sind dies Mitarbeiter, Partner und Kunden. Wer also Digitalisierung ohne Cybersecurity macht, dem ist es weitestgehend egal, ob auch diese einen Schaden davontragen werden. Dies ist, man kann es nicht anders sagen, niederträchtig und verachtenswert.

Doch wieso erdreiste ich mich überhaupt anzunehmen, dass so manches Opfer das Thema Cybersecurity absichtlich oder fahrlässig nicht ernst genommen hat? Studiert man die einzelnen Fälle, wird es oftmals unverzüglich klar, dass dies der Fall gewesen sein muss. Betrachten wir die einzelnen Schritte, die für eine Kompromittierung mit einer Ransomware erforderlich sind:

Diese Liste illustriert, dass ein erfolgreicher Ransomware-Angriff verschiedene Phasen durchlaufen muss und deshalb ein relativ hohes Mass an Komplexität mitbringt. In jeder dieser Phasen gibt es mehrere altbewährt Massnahmen, die sich mit überschaubarem Aufwand konsequent etablieren lassen. Wenn auch nur eine oder zwei dieser Massnahmen gegeben gewesen wären, hätte dies gereicht, um den erfolgreichen Ablauf zu unterbrechen und somit die Attacke abzuwenden. Dass ein Grossteil dieser Massnahmen fehlt oder nicht richtig umgesetzt ist, ist in erster Linie der Fahrlässigkeit des Opfers geschuldet. Art. 7 Abs. 1 DSG bringt es auf den Punkt:

Personendaten müssen durch angemessene technische und organisatorische Massnahmen gegen unbefugtes Bearbeiten geschützt werden.

Die Sühne

Kein Unternehmen möchte mit negativen Schlagzeilen in den Medien sein. Da man nach einem Zwischenfall ungern in den sauren Apfel beissen möchte, zögern die meisten Betroffenen eine Veröffentlichung heraus. Das Vogel-Strauss-Prinzip wird also konsequent weitergeführt, in dieser Phase jedoch aus anderen Beweggründen. Man hofft, dass sich das Problem von alleine lösen wird.

Die Konsequenz dieses Zögerns ist oftmals, dass die betroffenen Personen – Mitarbeiter, Partner und Kunden – nicht oder erst spät über vom Zwischenfall erfahren. Dabei hätte das Unternehmen die moralische Pflicht – und manchmal auch eine rechtliche Vorgabe (z.B. Art. 34 Abs. 1 DSGVO) -, sie über die drohenden Risiken zu informieren. Denn sie könnten nun Opfer von zielgerichtetem Phishing, Social Engineering, Datendiebstahl oder Erpressung werden. Doch Nein, die Unternehmen setzen ihren unprofessionellen Egoismus fort, überlassen die wahren Opfer ihrem unverschuldeten Schicksal.

Die Datenschutz-Grundverordnung der Europäischen Union (DSGVO) sieht vor, dass in gewissen Fällen drakonische Strafen für einen fahrlässigen oder fehlerhaften Umgang mit Daten ausgesprochen werden kann (Art. 58 Abs. 2 sowie Art. 83 DSGVO). Die Überarbeitung des Datenschutzgesetz der Schweiz (DSG) will ebenfalls solche Einführen. Doch juristischer Ermessensspielraum führen nicht selten dazu, dass die Gesetze wie zahnlose Papiertiger wirken. Sie vermögen nachträglich nicht den Schmerz auszulösen, um vorgängig Dummheiten und Frechheiten zu verhindern.

So verbleiben zum Schluss nur noch die Betroffenen, in erster Linie die Kunden, die die gerechte Sühne durchsetzen können. Durch konsequentes Meiden von Anbietern, die sich nicht um die Datensicherheit kümmern, könnte ein Zeichen gesetzt werden. Und mit dem Umsetzen von Anzeigen liesse sich auch auf rechtlicher Ebene ein Signal geben. Doch Kunden sind träge und vergessen zu schnell. Was interessiert sie der Breach von vor einem halben Jahr? Und wohin will man wechseln? Zu einem anderen Anbieter, der das Thema nicht ernst nehmen wird? Ein Teufelskreis, bei dem es nur Verlierer gibt. Nur die Juristen vermögen diesen zu durchbrechen. Unternehmen und Entscheider müssen konsequent zur Rechenschaft gezogen werden. Und zwar nicht erst morgen, sondern schon heute.

Fazit

Ransomware-Zwischenfälle haben sich die letzten Jahre gehäuft. Betrachtet man die Fälle im Detail, so wird klar, dass ihnen ein fehlendes oder fehlerhaftes Verständnis für das Thema Cybersicherheit zugrundeliegt. Risiken werden durch Unternehmen fahrlässig oder bewusst in Kauf genommen, die durch einzelne Massnahmen frühzeitig und nachhaltig hätten mitigiert werden können. Nicht selten werden Drittparteien betroffen, die keinen direkten Einfluss auf das Sicherheitsniveau einer Unternehmung ausüben können und dadurch zu wehrlosen Opfern werden. Hierbei sollte die Gesetzgebung konsequent ansetzen und nachlässige Firmen in die Pflicht nehmen.

Über den Autor

Marc Ruef ist seit Ende der 1990er Jahre im Cybersecurity-Bereich aktiv. Er hat vor allem im deutschsprachigen Raum aufgrund der Vielzahl durch ihn veröffentlichten Fachpublikationen und Bücher – dazu gehört besonders Die Kunst des Penetration Testing – Bekanntheit erlangt. Er ist Dozent an verschiedenen Fakultäten, darunter ETH, HWZ, HSLU und IKF. (ORCID 0000-0002-1328-6357)

Links

• https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:02016R0679-20160504#tocId108
• https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:02016R0679-20160504#tocId47
• https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:02016R0679-20160504#tocId78
• https://www.fedlex.admin.ch/eli/cc/1993/1945_1945_1945/de#art_7