Mehrere IT-Forscherinnen- und forscher sprechen sich dafür aus, Lösegeldzahlungen nach Ransomware-Angriffen zu unterbinden. Diese seien bei Ransomware die Wurzel allen Übels, schreiben die Experten in einem offenen Brief, der auf der Entwicklungsplattform GitHub veröffentlicht wurde. Ransomware sei demnach ein stark organisiertes Verbrechen. Wenn Opfer von Ransomware das geforderte Lösegeld nicht zahlen würden, dann würde dieses Geschäftsmodell im Keim erstickt, so die Unterzeichner des Briefes. Umgekehrt habe jedoch die Zahlungsbereitschaft der Opfer dieses kriminelle Geschäftsmodell erst ermöglicht.
Geostrategisches Risiko
„Die Bereitschaft zu Lösegeldzahlungen hat sich für Deutschland zu einem massiven geostrategischen Risiko entwickelt, das nicht länger ignoriert werden darf“, heißt es im Brief. „Lösegeldzahlungen stärken Deutschlands geopolitische Konkurrenten und schwächen die deutsche Wirtschaft und den deutschen Staat, sie gefährden unsere kritischen Infrastrukturen. Aber auch hier vor Ort setzen Lösegeldzahlungen falsche Anreize, denn sie ermöglichen Unternehmen und Behörden einen vermeintlich einfachen Ausweg, der zwar kurzzeitig das Leid lindert, aber mittelfristig mehr Probleme verursacht als er löst.“
Anreize setzen
Die Verfasser fordern die Politik auf, Maßnahmen zu ergreifen und Anreize zu setzen, die Lösegeldzahlungen bei Ransomware-Angriffen unterbinden – etwa die Abschaffung der steuerlichen Absetzbarkeit von Ransomware-Lösegeldzahlungen. Auch sprechen sich die Unterzeichner für eine Meldepflicht von Ransomware-Angriffen und Lösegeldzahlungen für Unternehmen ab einer bestimmten Größe aus. Ferner wird im Brief gefordert, Versicherungen zu unterbinden, die Lösegeldzahlungen absichern. Stattdessen fordern die Experten, Versicherungen zu fördern, die die verursachten Umsatzeinbußen und Wiederherstellungsmaßnahmen absichern. Auch sollten Unternehmen Unterstützung erhalten, die durch Ransomware-Angriffe in eine finanzielle Notlage geraten, etwa über Hilfsfonds. Weiterhin fordern die Unterzeichner die Politik auf, Maßnahmen zu ergreifen, um Unternehmen Methoden und Technologien bereitstellen zu können, um an sie gestellte IT-Sicherheitsanforderungen erfüllen zu können. mst