Technische Unterstützung
Dokumentation
Anmeldung
Kontakt
Was ist aus dem Gesetz über die Offenlegung von Lösegeldern - und Ihren Verpflichtungen - geworden?
Stephan Venter
Juni 6, 2023 - Tech-Evangelist
Ja, das Leben mit der Einhaltung von Vorschriften wird immer komplizierter, da eine Branche nach der anderen mit neuen Vorschriften überhäuft wird. Natürlich hat das alles einen guten Grund, aber es ist jedes Mal beunruhigend, wenn etwas Neues auftaucht.
Das war der Fall, als Ende 2021 bekannt wurde, dass die Abgeordnete Deborah Ross und die Senatorin Elizabeth Warren den "Ransom Disclosure Act" (Gesetz zur Offenlegung von Lösegeldern) ausgearbeitet hatten, mit dem ein Gesetz eingeführt werden sollte, das Unternehmen dazu zwingt, Zahlungen für Ransomware an das US-Ministerium für Heimatschutz zu melden.
Was ist aus dieser Offenlegungspflicht geworden - und welche anderen Offenlegungspflichten für Ransomware sollten Unternehmen beachten?
In diesem Artikel befassen wir uns mit dem vorgeschlagenen Gesetz zur Offenlegung von Ransomware sowie mit einigen anderen Versuchen, Bundesgesetze zur Offenlegung von Ransomware zu schaffen. Wir werden auch kurz untersuchen, wo Sie sonst noch Anforderungen zur Offenlegung von Ransomware finden können.
Beachten Sie, dass dies keineswegs eine vollständige Untersuchung der Offenlegungsanforderungen für Ransomware ist. Die Branche, in der Sie tätig sind, Ihre Verträge mit Ihren Kunden und Ihre Versicherungspolicen können spezifische Anforderungen an die Offenlegung von Ransomware-Angriffen und Zahlungen enthalten. Lassen Sie sich immer rechtlich beraten, um sicherzustellen, dass Sie auf dem Laufenden sind, welche Compliance-Anforderungen für Sie gelten.
Vorgeschlagen, aber nie in Kraft gesetzt
Eingeführt am 5. Oktober 2021, der "Ransom Disclosure Act ist ein vorgeschlagenes US-Gesetz, das darauf abzielt, Ransomware-Bedrohungen zu bekämpfen, indem Organisationen verpflichtet werden, Details über Lösegeldzahlungen innerhalb von 48 Stunden nach der Zahlung offenzulegen.
Dazu gehören der gezahlte Betrag, die verwendete Währung und alle bekannten Informationen über die Angreifer. Die Informationen würden dem Ministerium für Heimatschutz (DHS) gemeldet, das nach dem neuen Gesetz auch verpflichtet wäre, diese Informationen jährlich zu veröffentlichen und eine Studie über Ransomware-Muster und die Rolle von Kryptowährungen durchzuführen.
Das Gesetz wurde als ein Schritt zum Verständnis des Ausmaßes des Ransomware-Problems und als mögliche Grundlage für weitere Rechtsvorschriften angesehen.
Obwohl Sie auf einigen Technologie-Websites über das Gesetz lesen können und einige dieser Inhalte so formuliert sind, als sei das Gesetz bereits unterzeichnet worden, blieb das Gesetz ein Vorschlag und wurde nie vom Repräsentantenhaus und Senat verabschiedet, blieb das Gesetz ein Vorschlag und wurde nie vom Repräsentantenhaus und dem Senat verabschiedet. (Es ist nicht das erste Mal, dass ein vorgeschlagenes Gesetz zur Offenlegung von Ransomware nicht in Kraft getreten ist).
Eine weitere Offenlegungspflicht ist in Kraft getreten
Das soll nicht heißen, dass es keine Bewegung an der rechtlichen Front gibt, wenn es um die Offenlegung von Ransomware geht. Im März 2022 wurde ein enger gefasster Gesetzentwurf von Präsident Biden unterzeichnet, der für Organisationen gilt, die kritische nationale Infrastrukturen (CNI) betreiben.
Mit diesem Gesetz werden erhebliche neue Anforderungen an die Berichterstattung zur Cybersicherheit für Unternehmen in den Bereichen Gesundheitswesen, Finanzdienstleistungen, Energie, Verkehr und gewerbliche Einrichtungen eingeführt. Diese werden als "betroffene Unternehmen" bezeichnet, die nun vier Meldepflichten haben:
- Jede betroffene Einrichtung, die von einem "Cybervorfall" betroffen ist, muss den Vorfall innerhalb von 72 Stunden, nachdem sie davon ausgegangen ist, dass der Vorfall eingetreten ist, der CISA melden.
- Eine betroffene Einrichtung, die aufgrund eines Ransomware-Angriffs eine Lösegeldzahlung leistet, muss die Zahlung innerhalb von 24 Stunden nach der Lösegeldzahlung an die CISA melden
- Wenn wesentliche neue oder andere Informationen verfügbar werden, z. B. eine Lösegeldzahlung nach Einreichung eines Berichts über einen Cybervorfall, muss die Einrichtung eine Aktualisierung einreichen
- Betroffene Unternehmen müssen Daten, die für den Cybervorfall oder die Lösegeldzahlung relevant sind, aufbewahren
Wenn Sie also im Bereich CNI tätig sind, fallen Sie jetzt unter das Bundesgesetz und müssen Ransomware-Angriffe und Ransomware-Zahlungen innerhalb eines strengen Zeitrahmens melden.
Vor- und Nachteile der Meldepflicht
Es könnte viele Gründe dafür geben, dass einige Gesetze zur Offenlegung von Ransomware nicht in Kraft getreten sind. Schließlich gibt es viele Vorteile, wenn es um die Meldepflicht geht.
Durch die Meldepflicht für Opfer wird das Problem des kollektiven Handelns überwunden, das darin besteht, dass Ransomware-Vorfälle zu wenig gemeldet werden: Die Meldung von Details zu Vorfällen dient dem öffentlichen Wohl, da sie Informationen für die Verfolgung von Ransomware-Banden und die Abwehr künftiger Angriffe liefert.
Die in den Berichten enthaltenen Zahlungsanweisungen können den Strafverfolgungsbehörden bei der Wiedererlangung von Lösegeldzahlungen und der Nachverfolgung von Transaktionen helfen, und die Berichte können zu Indikatoren für die Kompromittierung bestimmter Ransomware-Banden führen und so die Ermittlungen unterstützen.
Es gibt jedoch eine Reihe von Problemen. Die Qualität der Meldedaten könnte schwanken, und die Meldepflicht könnte dazu führen, dass Angreifer exfiltrierte Daten als Durchsetzungsmechanismus nutzen, was zu mehr Leid für die Opfer und ihre Kunden oder zu einer erhöhten Lösegeldforderung führt.
Es gibt Schlupflöcher und Unsicherheiten in Bezug auf die Meldepflichten für Vermittler, Versicherungsgesellschaften und multinationale Unternehmen sowie unterschiedliche Meldestandards für die verschiedenen Einrichtungen. Die Opfer könnten vor die Qual der Wahl gestellt werden: Entweder sie riskieren Datenlecks, indem sie sich an die Polizei wenden, oder sie zahlen eine Strafe, wenn sie keine Meldung machen.
Was ist mit anderen Offenlegungspflichten für Ransomware?
Hier wird es unübersichtlich, denn die Offenlegungspflichten sind sehr unterschiedlich. Sie müssen sich rechtlich beraten lassen, um festzustellen, ob Ihr Unternehmen mit einer Strafe rechnen muss, wenn es einen Ransomware-Angriff nicht meldet.
Ein Beispiel, Ende 2021 kündigte das Justizministerium (Department of Justice, DOJ) an dass es zivilrechtliche Schritte gegen Bundesauftragnehmer einleiten wird, die es versäumen, Cyberangriffe oder Datenschutzverletzungen zu melden. Dies ist Teil der Civil Cyber-Fraud Initiative.
Die Initiative wird auf das bestehende Gesetz über unberechtigte Forderungen (False Claims Act) zurückgreifen, um gegen Betrug im Bereich der Cybersicherheit durch staatliche Auftragnehmer und Empfänger von Zuschüssen vorzugehen. Staatliche Auftragnehmer werden zur Rechenschaft gezogen, wenn sie wissentlich mangelhafte Cybersicherheitsprodukte oder -dienstleistungen anbieten und es versäumen, Cybersicherheitsvorfälle und -verletzungen zu überwachen und zu melden - wozu auch Ransomware-Angriffe gehören würden.
Darüber hinaus hat die SEC Offenlegungspflichten im Bereich der Cybersicherheit, die öffentliche Unternehmen (börsennotierte Unternehmen) dazu verpflichten, wesentliche Cybersicherheitsvorfälle innerhalb von vier Werktagen nach Feststellung eines Vorfalls zu melden. Dies gilt auch für Ransomware-Vorfälle - die SEC hat Blackbaud Blackbaud eine Geldstrafe in Höhe von 3 Millionen Dollar für eine irreführende Meldung auferlegt.
Für Einrichtungen, die unter den Health Insurance Portability and Accountability Act (HIPAA) fallen, gilt das Vorhandensein von Ransomware als Sicherheitsvorfall. Diese Einrichtungen sind verpflichtet, Meldeverfahren einzuleiten, wenn Ransomware entdeckt wird.
Möglicherweise müssen Sie auch die Offenlegungspflichten Ihrer Versicherungspolicen für Ransomware einhalten. Einige Policen verlangen beispielsweise, dass Unternehmen ihren Versicherer innerhalb eines bestimmten Zeitrahmens nach einem Ransomware-Angriff benachrichtigen, wenn Sie beabsichtigen, einen Anspruch geltend zu machen.
Unabhängig von den Anforderungen - bereit sein, zu reagieren
Ransomware-Angriffe stelleneine wachsende Bedrohung dar. Ohne einen umfassenden Ransomware-Reaktionsplan riskieren Unternehmen schwerwiegende Betriebsunterbrechungen, finanzielle Verluste und Rufschädigung. Eine gut vorbereitete Strategie hilft nicht nur bei der schnellen Wiederherstellung, sondern gewährleistet auch die Geschäftskontinuität und bewahrt das Vertrauen der Kunden.
Damit Sie sich auf diese Bedrohungen vorbereiten und sie abwehren können, empfehlen wir Ihnen den Download unseres Whitepapers Wie man sich von Ransomware erholt.
Diese Ressource bietet Einblicke in bewährte Praktiken für die Reaktion auf solche Angriffe sowie in proaktive Maßnahmen zu deren Verhinderung. Machen Sie den ersten Schritt zur Verbesserung der Ransomware-Bereitschaft Ihres Unternehmens und laden Sie es jetzt hier herunter.
