Offener Brief fordert Maßnahmen gegen Ransomware: Ein Statement

Am 27.06.2022 veröffentlichten 40 Fachleute aus dem Bereich der IT-Sicherheit einen offenen Brief, indem sie das grundlegende Problem von Ransomware, und insbesondere von durchgeführten Lösegeldzahlungen, darlegen. Zudem fordern sie die Politik auf, geeignete Gegenmaßnahmen zu treffen.

Der offene Brief ist hier einsehbar.

Unterschiedliche Statements zu dem Brief können  hier eingesehen werden. Unter anderem auch das Statement von Dr.-Ing. Stefan Köpsell:

Dr. Stefan Köpsell

Professurvertretung der Professur Datenschutz & Datensicherheit, Technische Universität Dresden, und Research Group Leader Datenschutzgerechte und sichere Datenverarbeitung, Barkhausen Institut, Dresden

„Zahlen oder nicht? Das scheint die entscheidende Frage bei einem Befall mit Ransomware zu sein. Für einen Betroffenen mag dies auch so sein ‒ aus gesellschaftlicher Perspektive ist es aber bestenfalls ein ‚Rumdoktern an den Symptomen‘, während es stattdessen auf die Bekämpfung der Krankheit ankommt. Richtig ist, dass Ransomware (wie auch andere Schadsoftware) in den letzten Jahren eine zunehmende Bedrohung geworden sind. Richtig ist auch, dass Kriminelle mit dieser Erpressungsmethode leicht an viel Geld gelangen ‒ und dies bei vergleichsweise geringem Risiko bezüglich Strafverfolgung. Und natürlich locken diese Erfolgsaussichten weitere Kriminelle an. Nur liegt die Ursache des leichten Geldverdienens nicht nur im Geld selbst – sondern vor allem in den katastrophal unsicheren IT-Systemen, die flächendeckend in der Praxis im Einsatz sind. Darin liegt meiner Meinung nach die tatsächliche ‚Wurzel allen Übels‘. Hier gilt es anzusetzen.“

„Forschung und Entwicklung, Hersteller und Politik müssen endlich sinnvolle Lösungen erstellen und die richtigen Anreize schaffen, um die praktische IT-Sicherheit auf ein Niveau zu bringen, die erfolgreiche Ransomware-Angriffe nur noch mit erheblichem Aufwand durchführbar und diese insofern zu – im Vergleich zur aktuellen Situation – deutlich selteneren Ereignissen macht. Erst dann ist es aus meiner Sicht sinnvoll darüber zu diskutieren, ob in diesen Fällen eine Lösegeldzahlung legitim ist oder nicht. Denn das Unterlassen von Lösegeldzahlungen macht leider kein einziges der aktuell im Einsatz befindlichen IT-Systeme sicherer. Und selbst wenn das Einstellen von Lösegeldzahlungen dazu führen sollte – was ich stark bezweifele –, dass Kriminelle die Lust verlieren, ihre Ransomware-Angriffe fortzuführen, so entsteht im Ergebnis doch bestenfalls eine Imagination von sicheren IT-Systemen, welche im Falle von terroristischen oder kriegerischen Cyberangriffen in sich zusammenfällt ‒ verbunden mit Auswirkungen, die die Schäden krimineller Angriffe weit übersteigen.“

„Ich persönlich finde es auch ein wenig zynisch, wenn man von IT-Unsicherheiten Betroffenen verbieten will, den aus ihrer Sicht effizientesten Weg zur Schadensminimierung (sprich: Lösegeldzahlung) zu wählen. Sie sind dann von den IT-Unsicherheiten quasi gleich doppelt betroffen. Natürlich haben auch die Nutzer von IT-Systemen eine Mitwirkungspflicht im Gesamtkontext ‚IT-Sicherheit‘. Diese gibt es nämlich nicht zum Nulltarif. Hat sich ein Anwender wissentlich für eine (scheinbare) billigere aber eben unsichere Lösung entschieden, so ist es gerechtfertigt, wenn er die damit verbundenen Risiken trägt. Allerdings sehe ich ‒ wie zuvor bereits erwähnt ‒ momentan eher die Hersteller sowie Wissenschaft und Politik in der Pflicht, Anwendern sinnvolle, benutzbare IT-Sicherheitslösungen beziehungsweise von Grund auf sichere IT-Produkte zur Verfügung zu stellen. Wir sollten unsere Kraft auf die Erreichung dieses Ziel aufwenden und sie nicht mit Symptombeseitigungsdiskussionen verschwenden.“