Lösegeldzahlungen bei Ransomware-Angriffen: ein geostrategisches Risiko

Erpressungstrojaner in Form sogenannter Ransomware sind in den letzten Jahren zu einer ernsthaften und dauerhaften Bedrohung für die deutsche und europäische Wirtschaft herangewachsen. Eine aktuelle Bitkom-Studie beziffert den Schaden durch Daten-Diebstahl, Spionage und Sabotage für die deutsche Wirtschaft allein auf jährlich 223 Milliarden Euro - dies entspricht über 6% des gesamten deutschen Bruttoinlandsprodukts für 2021 (3,57 Billionen EUR). Neun von zehn deutschen Unternehmen sind mittlerweile betroffen, und auch Behörden und kritische Infrastrukturen sind nicht vor Angriffen gefeit. Für einen Großteil der Schäden sei laut Studie Ransomware verantwortlich. Auch Datensicherungen helfen den Opfern mittlerweile nur noch bedingt, denn seit einiger Zeit kopieren Verbrecherbanden Daten, bevor sie sie verschlüsseln, und drohen den Opfern dann mit der öffentlichen Preisgabe vertraulicher Daten, sollte die geforderte Lösegeldzahlung ausbleiben.

Aufgrund dieser Problematik ist die Bereitschaft von Unternehmen, Lösegeldzahlungen zu tätigen, zuletzt stark gestiegen. Laut einer aktuellen Studie des Sicherheitsdienstleisters Sophos zahlen rund 42% aller deutschen Unternehmen das geforderte Lösegeld, im Schnitt über EUR 250.000 - und dies trotz gegenteiliger Empfehlungen von BSI und BKA. Vor dem Hintergrund der enormen Kosten für die Wiederaufnahme des Betriebs ohne Lösegeldzahlung (laut Studie im Schnitt ca. 1,6 Millionen EUR) verwundert diese Entscheidung wenig. Die Zahlung von Lösegeld ist für das einzelne Unternehmen nicht nur finanziell günstiger, sie lässt sich über sogenannte Cyber-Versicherungen mittlerweile auch recht bequem im Jahresbudget einplanen. Rund 80% der von Sophos befragten Unternehmen sind gegen Ransomware-Angriffe versichert. Ein Großteil der Versicherer zahlt hierbei neben Wiederherstellungsmaßnahmen unter Umständen auch das geforderte Lösegeld, sofern sich hierdurch der Schaden für das Unternehmen minimieren lässt.

Lösegeldzahlungen sind jedoch bei Ransomware die Wurzel allen Übels: Ransomware ist seit Jahren ein stark organisiertes Verbrechen, das allein in Deutschland Schäden in Milliardenhöhe verursacht. Wenn Opfer von Ransomware das geforderte Lösegeld nicht zahlen würden, dann würde dieses Geschäftsmodell im Keim erstickt. Umgekehrt hat jedoch die Zahlungsbereitschaft der Opfer dieses kriminelle Geschäftsmodell erst ermöglicht. Reinvestitionen der aktiven Verbrecherbanden haben dazu geführt, dass diese heute hoch professionell vorgehen können und technisch und methodisch oft um Größenordnungen besser aufgestellt sind als die angegriffenen Unternehmen. Gewinne kommen hierbei in erster Linie Staaten zugute, die Deutschland eigentlich sanktioniert. Eine aktuelle BBC-Studie zeigt auf, dass 74% aller Ransomware-Lösegelder in 2021 an Verbrecherbanden in Russland gezahlt wurden. Diverse Medien haben wiederholt von starken Verbindungen des Kremls zu den betreffenden Verbrecherbanden berichtet. Lösegeldzahlungen schwächen somit das aktuelle EU-Embargo gegen Russland signifikant. Auch Nordkorea ist direkt in Ransomwareangriffe verstrickt, stiehlt darüber hinaus aber auch regelmäßig entsprechende Kryptowährungen zur Finanzierung seines Atomraketenprogramms.

Vor diesem Hintergrund lässt sich feststellen, dass sich die Bereitschaft zu Lösegeldzahlungen mittlerweile für Deutschland zu einem massiven geostrategischen Risiko entwickelt hat, das nicht länger ignoriert werden darf. Lösegeldzahlungen stärken Deutschlands geopolitische Konkurrenten und schwächen die deutsche Wirtschaft und den deutschen Staat, sie gefährden unsere kritische Infrastrukturen. Aber auch hier vor Ort setzen Lösegeldzahlungen falsche Anreize, denn sie ermöglichen Unternehmen und Behörden einen vermeintlich einfachen Ausweg, der zwar kurzzeitig das Leid lindert, aber mittelfristig mehr Probleme verursacht als er löst: Anstatt in die Verbesserung ihrer IT-Sicherheit und ihrer Leistungsfähigkeit zu investieren, zahlen die Opfer Lösegeld und erhöhen somit die Wahrscheinlichkeit weiterer erfolgreicher Angriffe gegen sich selbst und andere. Das Nachsehen dabei haben insbesondere kleinere Unternehmen, die sich Lösegelder und Cyber-Versicherungen nicht leisten können und bei einem Angriff potenziell vor dem Ruin stehen. Statt diese Milliarden an Euro jährlich dem organisierten Verbrechen und den Staaten, die diese Verbrecherbanden beheimaten, zukommen zu lassen, sollten deutsche Unternehmen diese Gelder vielmehr in ihre eigene IT-Sicherheit investieren, um somit einerseits die Hürden für weitere Angriffe zu erhöhen und andererseits die Finanzströme der Verbrecherbanden versiegen zu lassen.

Die Unterzeichner:innen fordern daher die Bundespolitik auf:

• Erlassen Sie Maßnahmen und setzen Sie Anreize, welche Lösegeldzahlungen bei Ransomware-Angriffen effektiv unterbinden.
• Schaffen Sie die steuerliche Absetzbarkeit von Ransomware-Lösegeldzahlungen (§ 33 EStG) ab.
• Führen Sie für Unternehmen ab einer bestimmten Größe eine Meldepflicht für Ransomware-Angriffe und Lösegeldzahlungen ein.
• Unterbinden Sie Versicherungen, die diese Lösegeldzahlungen absichern.
• Befördern Sie stattdessen Versicherungen, die die verursachten Umsatzeinbußen und Wiederherstellungsmaßnahmen absichern. Da die Versicherer zunehmend starke Sicherheitsmaßnahmen bei den Versicherungsnehmern einfordern, besteht hier die Möglichkeit, die IT-Sicherheit in der Breite signifikant zu erhöhen, ohne weitere regulatorische Maßnahmen treffen zu müssen.
• Unterstützen Sie Unternehmen, die durch Ransomware-Angriffe in eine finanzielle Notlage geraten, in angemessener Weise, beispielsweise über einen Hilfsfonds, sodass diese nicht gezwungen werden, Lösegelder zu zahlen. Die Unterstützung sollte jedoch an Bedingungen geknüpft sein, welche sicherstellen, dass die Opfer ihre Pflicht zur eigenständigen Absicherung nicht vernachlässigen.
• Forcieren Sie Maßnahmen, die deutschen Unternehmen in Zukunft Methoden und Technologien bereitstellen, um an sie gestellte IT-Sicherheitsanforderungen effektiv und dennoch möglichst kostengünstig erfüllen zu können.

Unterzeichner:innen

(Die angegebene Affiliation dient nur der besseren Identifikation der Person und ist kein Ausdruck der Position der jeweiligen genannten Organisation.)

Ein weiteres Unterzeichnen des Briefs ist nicht mehr möglich. Für Feedback senden Sie dieses gerne an: ransomletter@bodden.de. Besten Dank!

1. Prof. Dr. Eric Bodden, Universität Paderborn & Fraunhofer IEM
2. Prof. Dr. Tibor Jager, Bergische Universität Wuppertal
3. Prof. Dr. Juraj Somorovsky, Universität Paderborn
4. JProf. Dr. Ben Hermann, Technische Universität Dortmund
5. Jun.-Prof. Dr. Nils Fleischhacker, Ruhr-Universität Bochum
6. Prof. Dr. Andreas Zeller, CISPA Helmholtz-Zentrum für Informationssicherheit
7. Prof. Dr. Johannes Kinder, Universität der Bundeswehr München
8. Prof. Dr.-Ing. Thomas Eisenbarth, Universität zu Lübeck
9. Prof. Dr.-Ing. Ulrich Greveler, Hochschule Rhein-Waal
10. Prof. Dr. Andreas Noack, Hochschule Stralsund
11. Prof. Dr.-Ing. Dorothea Kolossa, Ruhr-Universität Bochum
12. Prof. Dr. Gregor Leander, Ruhr-Universität Bochum
13. Prof. Dr. Florian Alt, Universität der Bundeswehr München
14. Prof. Dr. Mira Mezini, Technische Universität Darmstadt
15. Prof. Dr. Matthew Smith, Universität Bonn, Fraunhofer FKIE
16. Prof. Dr. Daniel Gruss, Technische Universität Graz
17. Prof. Dr. Konrad Rieck, Technische Universität Braunschweig
18. Prof. Dr. Christian Bischof, Technische Universität Darmstadt
19. Prof. Dr. Patricia Arias Cabarcos, Universität Paderborn
20. Prof. Dr. M. Angela Sasse, Ruhr-Universität Bochum
21. Prof. Dr. Stefan Brunthaler, FI CODE, Universität der Bundeswehr München
22. Prof. Dr.-Ing. Andreas Mayer, Hochschule Heilbronn
23. Prof. Dr. Michael Meier, Universität Bonn & Fraunhofer FKIE
24. Dr. Matthias Wübbeling, Identeco GmbH & Co. KG
25. Manuel HonkHase Atug, Netzaktivist
26. Christine Regitz, Präsidentin Gesellschaft für Informatik e.V.
27. Prof. Dr. Hannes Federrath, Universität Hamburg / Past President der Gesellschaft für Informatik e.V.
28. Prof. Dr. Dominik Herrmann, Universität Bamberg / GI-Präsidium
29. Alexander von Gernler, genua GmbH
30. David Fuhr, HiSolutions AG
31. Udo Nolte, Fraunhofer IEM
32. Steffen Zimmermann, Head of Industrial Security, VDMA - Verband Deutscher Maschinen- und Anlagenbau e.V.
33. Jürgen Renfer, KUVB und Mitwirkender im CSN des BSI
34. Prof. Dr. Marko Schuba, FH Aachen
35. Max Imbiel, ahead Security
36. Johannah Sprinz, BSc LMU München
37. Carsten Hennig, diggitize GmbH
38. Thore Tiemann, Universität zu Lübeck
39. Jan Wichelmann, Universität zu Lübeck
40. Max Rahner, Claroty GmbH
41. Johannes Feldmann, M.A., M.A., MBA, Vindler GmbH
42. Borys Sobieski, IT Leitung Piratenpartei Deutschland
43. Inés Atug, HiSolutions AG
44. Mirko Ross, asvin GmbH
45. Thomas R Koehler, CE21 GmbH, Holzkirchen
46. Dr.-Ing. Daniel Demmler, Universität Hamburg
47. Dr. Tim Sattler, Präsident ISACA Germany Chapter e.V.
48. Dror-John Röcher, Privat
49. Martin Oberberger, Technische Hochschule Deggendorf
50. Mark Semmler, Mark Semmler GmbH
51. Konstantin Weddige, Lutra Security GmbH
52. Cedric Mössner, Youtuber
53. Peter Wilfahrt, Bundesverband Digitale Sicherheit e.V.
54. Solveigh Zieger, BÜNDNIS 90 / DIE GRÜNEN Kreisverband Mettmann
55. Holm Diening, Chief Security Officer gematik GmbH
56. Jörg Backschues, backschues.NET
57. Jürgen Peters, antei GmbH
58. Vladimir Dragnić, Mitglied des Leitungsgremiums der Regionalgruppe Stuttgart/Böblingen der Gesellschaft für Informatik e.V. (GI) & German Chapter of the ACM e.V. (GChACM)
59. Christian Leipold, Wealthcap Kapitalverwaltungsgesellschaft mbH
60. Jens Liebau, bitinspect GmbH
61. Steffen Ullrich, genua GmbH
62. Bernward Gruber, IT Leiter der Caritas Trägergesellschaft St. Mauritius
63. Dr. Horst Laschinsky, LaCoSys
64. Stephan Eisvogel, embinet GmbH
65. Dr. Sebastian Berndt, Universität zu Lübeck
66. Benny “BenBE” Baumann, privat
67. Dr. Matteo Große-Kampmann, AWARE7 GmbH
68. Roland Hoheisel-Gruler, HS Bund Fachbereich Kriminalpolizei, Wiesbaden
69. André Beuker, nextN GmbH
70. David Bothe, AWARE7 GmbH, Institut für Internet-Sicherheit
71. Liss Heidrich, Universität Paderborn
72. Prof. Dr. Steffen Hölldobler, TU Dresden
73. Dirk Schrader, Netwrix
74. Jörg Jessen , Gründer AUTHADA GmbH, Darmstadt
75. Folker Schmidt, HiSolutions AG
76. Helge Klein, vast limits GmbH
77. Christoph Frohneberg, unabhängiger Sicherheitsforscher
78. Stefan Kremer, Inhaber AdminPress, Managing Partner KeDe Digital LLP
79. Pascal Witte, Numiga GmbH
80. Randolf-Heiko Skerka, privat
81. Hagen Bauer, rusticus consulting
82. Alexander Krause, CISPA Helmholtz-Zentrum für Informationssicherheit
83. Volker Bentz, BRANDMAUER IT GmbH
84. Ralph Schmidt, Numiga GmbH
85. Alexander Hoßdorf, Hoßdorf & Weber GmbH
86. Christian Hoßdorf, Hoßdorf & Weber GmbH
87. Prof. Dr. Kristina Schädler, Fachhochschule Westküste
88. Stephan Gerling, Kaspersky
89. Ralf Benzmüller, G DATA CyberDefense
90. Thomas Ernst, Check Point Software Technologies GmbH
91. Torsten Landmann, IT.Grundschutz & Stadtwerke Stralsund
92. Prof. Dr. Dirk Heuzeroth, Hochschule der Medien Stuttgart & Geschäftsführender Gesellschafter der ValueAbler GmbH
93. Prof. Dr. Johannes Blömer, Uni Paderborn

Aktualisierungen:

• 27.06.2022, 20:02 Korrektur, Größenvergleich mit Drogenhandel war so nicht ganz zutreffend, wurde daher entfernt.
• 28.06.2022, 13:01 Formular aufgrund zu vieler Fake-Einträge geschlossen. Danke Fefe!

Presseartikel und Interviews im Nachgang der Veröffentlichung

• Lösegeldzahlungen bei Ransomware-Angriffen als geostrategisches Risiko (Pressemittelung der Universität Paderborn, 27.6.2022)
• Offener Brief fordert Verbot von Lösegeldzahlungen (Tagesspiegel, 27.6.2022, Zugriff erfordert kostenlose Registerierung)
• Lösegeldzahlungen “die Wurzel allen Übels” (Golem, 27.6.2022)
• Offener Brief: Lösegeldzahlungen bei Ransomware Wurzel allen Übels (Heise Online, 27,6,2022)
• IT-Forscher verlangen Stopp von Lösegeldzahlungen nach Cyberangriffen (Spiegel Online, 27.6.2022)
• Offener Brief zu Lösegeldzahlungen bei Ransomware-Angriffen: ein geostrategisches Risiko (Gesellschaft für Informatik, 27.6.2022)
• Schluss mit Lösegeldzahlungen (Netzpalaver, 27.6.2022)
• Offener Brief fordert Maßnahmen gegen Ransomware (science media center, 27.6.2022)
• Interview mit Eric Bodden, Uni Paderborn, zu: Cybersicherheit – unterschätzt? (Deutschlandfunk, 28.6.2022)
• Fefes Blog (27.6.2022)
• Lokalzeit Münsterland (WDR, 29.6.2022)
• Experten schlagen Alarm wegen Ransomware-Attacken (Hessenschau, 30.6.2022)
• Versicherer halten an Lösegeld-Absicherung fest (Tagesspiegel, 31.7.2022)
• Die unfassbaren Kriminellen (Frankfurter Allgemeine Sonntagszeitung, 4.7.2022)
• Logbuch Netzpolitik 433 (Logbuch Netzpolitik 433, ab ca. Minute 30)
  • Widerspricht teilweise den Aussagen der Versicherungsgesellschaft, siehe Versicherer halten an Lösegeld-Absicherung fest
• Regierung gegen Lösegeldzahlungen bei Ransomware-Attacken (Deutscher Bundestag, 4.8.2022)