Welche rechtlichen Konsequenzen hat die Zahlung von Ransomware-Forderungen?

Auch wenn Unternehmen glauben, dass die beste Strategie bei einem Ransomware-Angriff darin besteht, den Forderungen des Angreifers nachzukommen, könnten sie dadurch in rechtliche Schwierigkeiten geraten. Sobald die Bundesregierung eingreift, werden die finanziellen Auswirkungen größer sein als das Lösegeld selbst. Hier erfahren Sie, was Unternehmen in dieser Situation tun und vermeiden sollten, um ihr Vermögen zu schützen.

Zahlen die meisten Organisationen das Lösegeld?

Ransomware-Angriffe wirken sich stark auf jede Branche aus. Leider werden sie immer schlimmer. Die Vorfälle Die Kosten überstiegen 400 Millionen US-Dollar im Jahr 2020 viermal höher als der Gesamtwert von 2019. Diese Angriffe bedrohen die Lebensgrundlage der Menschen, sodass viele unter enormem Druck stehen, das Lösegeld zu zahlen.

Tatsächlich, etwa 50 % der Opfer das Lösegeld zahlen. Doch obwohl die meisten den Forderungen der Angreifer nachgeben, erhalten nur 4 % alle ihre Daten entschlüsselt und unversehrt zurück. Auch wenn die Einhaltung der Vorschriften der beste Ansatz zu sein scheint, zahlt sie sich oft nicht aus.

Ist es illegal, das Lösegeld zu zahlen?

Es ist technisch gesehen illegal, während eines Ransomware-Angriffs ein Lösegeld zu zahlen. Schließlich ist es nahezu unmöglich, den Aufenthaltsort des Angreifers herauszufinden oder herauszufinden, für wen er arbeitet – und die Regierung missbilligt die Finanzierung von US-amerikanischen Organisationen, die Terrorgruppen oder Länder unter einem Embargo finanzieren.

Warum zahlen Organisationen das Lösegeld, obwohl es illegal ist? Während viele vielleicht nicht wissen, dass es legal ist, machen einige es trotzdem, weil sie glauben, dass es die beste Wahl ist. Nach einer Kostenanalyse stellen sie fest, dass die Zahlung der Bußgelder möglicherweise günstiger ist.

Enthält einen Malware-Angriff dauert etwa 50 Tage Im Durchschnitt könnte diese längere Ausfallzeit den Umsatz und den Ruf einer Marke beeinträchtigen. Anstatt ihre Daten dauerhaft zu verlieren, sich der Kontrolle der Regierung auszusetzen und öffentliche Gegenreaktionen zu bekommen, bezahlen manche den Angreifer stillschweigend. Es mag wie ein kalkuliertes Risiko erscheinen, aber die potenziellen Auswirkungen sind es normalerweise nicht wert.

Rechtliche Überlegungen zu Ransomware-Angriffen

Viele lokale und bundesstaatliche Vorschriften betreffen Cyberangriffe und Ransomware. Personen, die in den Vereinigten Staaten leben oder dort Geschäfte tätigen, müssen diese gesetzlichen Anforderungen einhalten.

Hier sind die wichtigsten Gesetze und Überlegungen für Organisationen:

• Stakeholder informieren: Unternehmen müssen ihre Stakeholder in der Regel über einen Ransomware-Angriff informieren. Abhängig von den örtlichen Gesetzen müssen sie möglicherweise öffentliche Erklärungen abgeben oder alle Kunden benachrichtigen.
• Zahlung von Lösegeldern: Die Bundes- und Kommunalverwaltungen haben strenge Regeln dagegen, weil es eine Frage der Sicherheit ist – sie betrachten es als Finanzierung oder Unterstützung.
• Benachrichtigung der Strafverfolgungsbehörden: Die Cybersecurity and Infrastructure Security Agency (CISA) erklärt Eine rechtzeitige Berichterstattung ist Pflicht für alle Ransomware-Vorfälle. Opfer müssen die zuständigen US-Regierungsbehörden informieren.
• Kunden informieren: Unternehmen müssen Kunden benachrichtigen, wenn ein Ransomware-Angriff Auswirkungen auf die Datensicherheit hat. Schließlich ist ihre Privatsphäre gefährdet, wenn die Angreifer ihre persönlichen oder finanziellen Daten preisgeben.

Während die genauen Meldepflichten je nach Staat und Branche unterschiedlich sind, erfordern sie alle, dass Organisationen die Strafverfolgungsbehörden informieren. Selbst wenn die Menschen die Situation unter Kontrolle haben, müssen sie sie den zuständigen Behörden mitteilen.

Was sind die Vorgaben der Bundesregierung?

Obwohl die Bundesregierung keine expliziten, umfassenden Gesetze zu Ransomware hat, betrachtet sie Lösegeldzahlungen als eine Art Transaktion. Aus diesem technischen Grund ist es illegal, mit dem Angreifer in Kontakt zu treten – dies könnte zu harten Strafen führen. Das Office of Foreign Assets Control (OFAC) des US-Finanzministeriums überwacht die meisten dieser Vorfälle.

Der International Emergency Economic Powers Act (IEEPA) und der Trading with the Enemy Act (TWEA) enthalten strenge Regeln gegen ausländisches finanzielles Engagement. Es Es ist illegal, eine Transaktion durchzuführen mit einer natürlichen oder juristischen Person, die auf der Liste der besonders designierten Staatsangehörigen und gesperrten Personen des OFAC steht. Darüber hinaus ist es ein Verbrechen, Geschäfte mit Personen zu tätigen, gegen die ein Embargo verhängt wurde.

In diesen Gesetzen und Gesetzen geht es zwar nicht explizit um Lösegeldzahlungen, aber sie decken Ransomware ab. Verstöße gegen Sanktionen führen in der Regel zu zivilrechtlichen Sanktionen, was bedeutet, dass Unternehmen hohe Geldstrafen oder Entschädigungen zahlen müssen. Manchen Menschen droht sogar eine Gefängnisstrafe, wenn die Regierung der Ansicht ist, dass ihre Handlungen kriminell oder fahrlässig sind.

Entscheidend ist, dass die Regierung darauf hinweist, dass sogar diejenigen, die sich der Taten nicht bewusst sind, rechtliche Konsequenzen haben können – sie kann Menschen zivilrechtlich haftbar machen, selbst wenn sie nicht wussten, dass ihre Handlungen illegal waren. Wenn ein Unternehmen in Panik gerät und das Lösegeld zahlt, sobald es zu einem Angriff kommt, muss es sich trotzdem vor OFAC, CISA und anderen Behörden verantworten.

Welche Anforderungen stellen Kommunalverwaltungen?

Organisationen müssen bedenken, dass ihre Kommunalverwaltung ebenfalls eine Haltung zu Ransomware einnimmt – die meisten verhängen Bußgelder und rechtliche Konsequenzen. Jeder Bundesstaat und jedes US-Territorium hat seine eigenen Meldepflichten und Strafen für Datenschutzverletzungen.

Obwohl die spezifischen Gesetze jedes Bundesstaates unterschiedlich sind, ist jeder Bundesstaat unterschiedlich verlangt von den Unternehmen, dass sie die Stakeholder benachrichtigen und Strafverfolgung. Lokale Einrichtungen sind in der Regel nicht für den Umgang mit Ransomware gerüstet, daher liegt die Verantwortung bei Bundesbehörden wie dem FBI, CISA oder dem Department of Homeland Security.

Während viele Staaten von Lösegeldzahlungen abraten – einige haben sogar die Kommunikation mit Ransomware-Angreifern verboten – beziehen sich ihre Bußgelder in der Regel auf den Datenschutz. Lokale Strafverfolgungsbehörden und öffentliche Einrichtungen haben nicht so viel Macht wie die Bundesregierung und mischen sich daher normalerweise nicht in die privaten Angelegenheiten der Menschen ein.

Sie können weiterhin schnell auf Datenschutzverstöße reagieren und verhängen Bußgelder, wenn sie dies für erforderlich halten. Seit fast 50 % der Angreifer Wenn Organisationen Daten stehlen, bevor sie mit dem Ransomware-Angriff beginnen, müssen sie sich wahrscheinlich den Gesetzen ihres Staates unterwerfen.

Warum sollten Organisationen das Lösegeld nicht zahlen?

Unternehmen werden mit rechtlichen Problemen konfrontiert, wenn sie einer Ransomware-Forderung nachkommen. Da die Bundesregierung Zahlungen als Finanzierung krimineller Organisationen ansieht, wird sie schnell reagieren. Die Geldstrafen reichen von einigen tausend Dollar bis hin zu Millionen – oft ist dies ein größerer finanzieller Schaden als das ursprüngliche Lösegeld.

Zusätzlich zu Geldstrafen könnten Strafverfolgungsbehörden einen Fall an das Justizministerium übergeben. Sie können die nicht konforme Organisation auch vor Gericht bringen, wo die finanziellen und rufschädigenden Strafen weitaus härter ausfallen.

Wenn die Regierung außerdem feststellt, dass ein Unternehmen alles getan hat, um eine Ransomware-Zahlung zu vertuschen, kann es sein, dass es strafrechtlich zur Verantwortung gezogen wird. Die strafrechtlichen Sanktionen sind weitaus härter und können je nach Einzelfall sogar eine Gefängnisstrafe nach sich ziehen.

Was sollten Organisationen stattdessen tun?

Anstatt das Lösegeld zu zahlen, sollten sich Organisationen an die zuständigen Behörden wenden. Der Strengthening American Cybersecurity Act (SAC) von 2022 besagt, dass alle kritischen nationalen Infrastrukturorganisationen Ransomware-Angriffe der Cybersecurity and Infrastructure Security Agency (CISA) melden müssen. in weniger als 72 Stunden oder es drohen Strafen. Zahlt das Opfer ein Lösegeld, verkürzt sich die Frist auf 24 Stunden.

Die Präsenz von CISA ist jedoch nur der erste Schritt. Sie sollten sich auch an das Department of Homeland Security, die Sanktions- und Compliance-Bewertungsabteilung des OFAC und die Cyber-Task Force des FBI wenden. Diese Agenturen beschäftigen sich ständig mit Ransomware-Angriffen und wissen, wie sie am besten damit umgehen.

Das Ignorieren von Ransomware-Anforderungen ist der beste Ansatz

Die meisten Unternehmen geraten in Panik, wenn sie feststellen, dass ein Angreifer ihre Daten hinter einer böswilligen Paywall gesperrt hat. Dennoch ist die Erfüllung ihrer Forderungen einer der schlechtesten Ansätze. Auch wenn eine Organisation Sicherheits- und Datenschutzstrafen erhalten kann, wenn sie sich an die Strafverfolgungsbehörden wendet, vermeidet sie, Hunderttausende für Verstöße gegen IEEPA, TWEA oder den Strengthening American Cybersecurity Act zahlen zu müssen.