Steigende Gefahr durch Erpressersoftware

RaaS für Laien

Als beunruhigend stufen die beiden Behörden neben der Professionalisierung der Cyber-Angriffe und der Zunahme des Schadenspotentials auch den wachsenden Markt der Cyber-Crime-Ökonomie ein. So werden Ransomware-Angriffe dank Ransomware-as-a-Service (RaaS) zunehmend auch für Laien zugänglich. Sie können den Zugang zu einer Ransomware in einer gebrauchsfertigen Form abonnieren und damit zu geringen Kosten wirksame Erpressungsaktionen durchführen, ohne unbedingt über die technischen Fähigkeiten zur Entwicklung einer Ransomware und zur Aufrechterhaltung ihrer Kommando-, Kontroll- und Zahlungsinfrastruktur zu verfügen. Im Gegenzug erhalten die RaaS-Betreiber einen bestimmten Prozentsatz der von diesen Partnern erwirtschafteten Einnahmen.

Kein Lösegeld zahlen

Arne Schönbohm, Präsident des BSI warnt davor, Ransomware nur als eine einfache Cyber-Attacke zu definieren: „Die schwerwiegenden Auswirkungen von Ransomware-Attacken sind mit gezielten Sabotage-Akten zu vergleichen. Um Ransomware bilden sich ganze Ökosysteme an Dienstleistungen und Plattformen.” Einig sind sich BSI und ANSSI darin, dass die Zahlung von Lösegeld keine Option darstelle: „Das finanziert ein disruptives Geschäftsmodell, ohne zu garantieren, dass die Wiederherstellung von verschlüsselten Daten möglich gemacht wird”, heißt es im Lagebericht.

Internationale Zusammenarbeit stärken

Die wichtigste Botschaft des Berichts ist die Forderung nach mehr präventiven Sicherheitsmaßnahmen. Diese sollen nach Angaben des BSI oberste Priorität erhalten und kontinuierlich weiterentwickelt werden. Um Ransomware dauerhaft in Schach zu halten und das IT-Sicherheitsniveau weiter zu stärken, regte BSI-Chef Arne Schönbohm außerdem dazu an, die internationale länderübergreifende Zusammenarbeit zu intensivieren: „Die Zusammenarbeit von BSI und ANSSI ist hierfür ein Vorbild und ein essentieller Beitrag für den Schutzauftrag des BSI.” Die koordinierte Zerschlagung der Schadsoftware Emotet und Egregor im Jahr 2021 seien zwei gute Beispiele dafür, was im Kampf gegen Cybercrime erreicht werden kann.

KF (Stand 28.01.2022)