Ransomware: Neue US-Leitlinien von OFAC - Sanktionen bei Zahlungen drohen
von , veröffentlicht am 30.09.2021Ransomware ist bösartiger Softwarecode, der den Zugang zu Computersystemen oder Daten blockiert, häufig durch Verschlüsselung von Dateien und Daten, um von den geschädigten Unternehmen Lösegeldzahlungen im Austausch für die Wiederherstellung des Zugangs zu diesen Systemen und Daten zu erpressen. Das ist mehr und mehr ein Problem – auch für deutsche Unternehmen und Zahlungen können (auch) in den USA zu Sanktionen führen.
Das Office of Foreign Assets Control (OFAC) des US-Finanzministeriums hat kürzlich (21.09.2021) aktualisierte Leitlinien zu potenziellen Sanktionsrisiken für Unternehmen herausgegeben, die Zahlungen im Zusammenhang mit Ransomware-Angriffen ermöglichen. Darin wird Unternehmen dringend davon abgeraten, Ransomware-Zahlungen zu leisten, und es werden proaktive Schritte zur Abschwächung von Ransomware-Risiken vorgeschlagen, einschließlich Maßnahmen, die die OFAC als "mildernde Faktoren" bei einer entsprechenden Durchsetzungsmaßnahme ansehen würde.
OFAC hatte kürzlich eine Kryptowährungsbörse mit Sanktionen belegt, weil dise an der Erleichterung von Finanztransaktionen für Ransomware-Akteure beteiligt war. OFAC hat angekündigt. weiterhin Sanktionen gegen diejenigen verhängen, die finanzielle, materielle oder technologische Unterstützung für Ransomware-Aktivitäten leisten.
OFAC: „Zahlen Sie nicht.“
In der bisher schärfsten Stellungnahme der OFAC zu diesem Thema rät die aktualisierte Empfehlung von Zahlungen an Ransomware-Akteure im Namen von Opfern dringend ab und warnt, dass solche Zahlungen gegen die OFAC-Vorschriften verstoßen könnten. Laut der Empfehlung können Verstöße gegen die OFAC-Vorschriften zu zivilrechtlichen Strafen auf der Grundlage der verschuldensunabhängigen Haftung führen, was bedeutet, dass ein Unternehmen auch dann haftbar gemacht werden kann, wenn es sich nicht bewusst war, dass es eine von der OFAC verbotene Transaktion durchführt. Die OFAC empfiehlt stattdessen, sich auf die Stärkung von Abwehrmaßnahmen zu konzentrieren, um solchen Forderungen vorzubeugen und sich dagegen zu schützen.
Die OFAC ermutigt Unternehmen, das Risiko einer Erpressung durch die Verbesserung von Cybersicherheitspraktiken zu verringern, und weist darauf hin, dass Praktiken wie die Entwicklung von Reaktionsplänen auf Vorfälle, die Durchführung von Cybersicherheitsschulungen und die Verwendung von Authentifizierungsprotokollen als mildernde Faktoren in jeder OFAC-Durchsetzungsmaßnahme berücksichtigt werden.
OFAC ermutigt die Opfer von Ransomware-Angriffen außerdem, sich bei den zuständigen US-Regierungsbehörden, einschließlich der Cybersecurity and Infrastructure Security Agency, dem FBI und dem US-Geheimdienst zu melden und umfassend mit diesen zusammenzuarbeiten. Wenn die Angreifer zuvor von der OFAC sanktioniert wurden oder anderweitig eine Verbindung zu Sanktionen haben, fordert die OFAC die Opfer auf, zusätzlich die OFAC und das Office of Cybersecurity and Critical Infrastructure Protection des US-Finanzministeriums zu informieren.
Was meinen Sie: Wie sollte man im Unternehmen mit Ransomware-Attacken umgehen?
Hinweise zur bestehenden Moderationspraxis
Kommentar schreiben
4 Kommentare
Kommentare als Feed abonnierenViele Unternehmen werden leider trotzdem zahlen. Teils aus Panik, teils aus Sorge, dass bei einer Meldung Sicherheitslücken beim Unternehmen auffliegen könnten.
Noch eine Meldung dazu aus dem Ticker:
"Führende Mitglieder des Heimatschutzausschusses des Senats haben einen Gesetzentwurf eingebracht, der die Opfer von Ransomware-Angriffen verpflichtet, Erpressungszahlungen innerhalb von 24 Stunden zu melden. Dies ist der jüngste Versuch des Kongresses, gegen die Flut großer Cyberangriffe im vergangenen Jahr vorzugehen.
Der Cyber Incident Reporting Act, der von Sens. Gary Peters (D-Mich.) und Rob Portman (R-Ohio.) gesponsert wurde, würde auch eine 72-Stunden-Frist für kritische Infrastrukturunternehmen festlegen, um Cyberangriffe an die Cybersecurity and Infrastructure Security Agency, eine Abteilung des US-Ministeriums für Heimatschutz, zu melden.
Unternehmen, die Vorfälle oder Lösegeldzahlungen nicht innerhalb des vorgeschriebenen Zeitrahmens melden, könnten mit Vorladungen konfrontiert und später wegen Missachtung des Gerichts verurteilt werden, wenn sie dem Gesetzesentwurf nicht nachkommen. Die Gesetzgebung würde für jede Einrichtung gelten, die von einem Ransomware-Angriff betroffen ist - einschließlich Regierungen, Betreiber kritischer Infrastrukturen und Privatunternehmen -, jedoch nicht für Einzelpersonen oder Unternehmen mit weniger als 50 Mitarbeitern...."
Interessanterweise drägen die Versicherer die Unternehmen häufig zur Zahlung, weil das für sie billiger ist.
Ich hatte ja vor einigen Wochen schon einmal hier im Beck-Blog dazu geschrieben, dass als eine alternative Lösung möglicherweise das Verbot anonymisierbarer Zahlung in Kryptowährungen in Betracht zu ziehen ist. Das ist jedenfalls auch ein Ansatz, der in den USA diskutiert wurde.
Die aus Sicht eines Einzelunternehmens vernünftigste Reaktion zu verbieten und damit parktisch die Opfer zu bestrafen scheint mir demgegenüber eine weniger zielführende Lösung, solange es keinen wirklich wirksamen Schutz gegen Ransomware-Attacken gibt.