Im Kampf gegen Ransomware kam es Mitte Oktober 2021 zu einem beachtlichen Treffen, das weitreichende Wirkung haben dürfte: Vertreter der USA, der Europäischen Union und 30 weiterer Länder haben sich getroffen, um darüber zu sprechen, wie man das Risiko von Ransomware mindern und das Finanzsystem vor Ausbeutung schützen kann. Die dort getroffenen Beschlüsse werden die Cybersicherheitspolitik der mittelfristigen Zukunft prägen.
Neben der Förderung des Informationsaustauschs zwischen Ransomware-Opfern und den zuständigen Strafverfolgungsbehörden und Cyber-Notfallteams (CERTs) zielt die Initiative darauf ab, international die Mechanismen zu verbessern, die für eine wirksame Reaktion auf derartige Angriffe eingerichtet wurden, und gleichzeitig dem Missbrauch von Finanzinfrastrukturen zur Geldwäsche von Lösegeldzahlungen entgegenzuwirken. Dazu gehört die internationale Etablierung von Standards im Bereich IT-Sicherheit:
So erkennt man an, dass universelle Best Practices für die Cybersicherheit existieren und die Wahrscheinlichkeit eines Ransomware-Vorfalls drastisch verringern sowie das Risiko einer Vielzahl anderer Cyber-Bedrohungen absenken können. Zu diesen grundlegenden Schritten gehören nach dem Papier:
- die Erstellung von Offline-Datensicherungen,
- die Verwendung sicherer Passwörter und einer mehrstufigen Authentifizierung,
- die Sicherstellung aktueller Software-Patches
- die Aufklärung gegen das Anklicken verdächtiger Links oder das Öffnen nicht vertrauenswürdiger Dokumente.
Unter anderem verpflichteten sich die teilnehmenden Staaten zur Zusammenarbeit mit der Wirtschaft, um Verbesserungen in der grundlegenden „Cyber-Hygiene“ zu fördern, um die Widerstandsfähigkeit von Netzwerken zu erhöhen und das Risiko von Ransomware zu mindern:
Wir verpflichten uns, Erfahrungen und bewährte Praktiken für die Entwicklung von Maßnahmen gegen Lösegeldzahlungen auszutauschen, sofern dies angebracht ist. Wir werden auch mit Einrichtungen des privaten Sektors zusammenarbeiten, um den Austausch von Informationen über Vorfälle zu fördern und andere Möglichkeiten für den kollektiven Kauf von Risiken zu erkunden. Darüber hinaus stellen wir fest, dass die Bemühungen um Widerstandsfähigkeit am effektivsten sind, wenn verantwortliche Führungskräfte, die in der Lage sind, Ressourcen zu lenken, die damit verbundenen Kompromisse abzuwägen und die Ergebnisse voranzutreiben, aktiv in die Entscheidungsfindung im Bereich der Cybersicherheit eingebunden sind.
Möglicherweise, neben den zunehmenden Bestrebungen innerhalb der EU, ein weiterer Baustein der zu gesetzlich normierten Standards auf internationaler Ebene führt – weniger im Sinne von in Gesetz gegossenen technischen Vorgaben als vielmehr durch die Hintertüre; wenn etwa jedes Datenschutzleck eine Schadensersatzgrundlage ist, alleine weil keine 2FA-Authentifizierung vorhanden war, schafft man so mittelbar einen internationales Standard – von dem wir aktuell noch weit entfernt sind.
Unsere Kanzlei ist spezialisiert auf Starke Strafverteidigung, seriöses Wirtschaftsstrafrecht, Arbeitsrecht und IT-Recht / Technologierecht.