Mehr Druck auf Hacker: FBI schaltet sich in Ransomware-Debatte ein

Sollen bei einer Hacker-Attacke die Angreifer ausbezahlt werden? Diese Diskussion ist nicht zuletzt wegen der Axa entbrannt und spaltet weiter die Gemüter. Nun hat sich sowohl das Federal Bureau of Investigation (FBI) wie auch der Internal Revenue Service (IRS) eingeschaltet. Die Meinungen widersprechen sich.

„Don’t pay the cybercriminals“ – ist die klare Aussage des FBI zur Frage, ob bei einer Verschlüsselung des eigenen Systems ein Lösegeld an die Erpresser bezahlt werden soll. Damit liegt die Behörde auf derselben Linie wie die Axa France und einige französische Politiker, VWheute berichtete. Der Gedanke hinter der Verweigerung ist, Nachahmer von ähnlichen Taten abzuhalten. Der Gedanke dahinter ist nachvollziehbar, denn mittlerweile können Angriffe auch ohne allzu tiefe IT-Kenntnisse gelingen. Die benötigten Komponenten können im Darknet relativ einfach zusammengestellt und erworben werden. Die Verkäufer bieten sogar einen Kundenservice, wie die NYTimes anhand der Gruppe DarkSide nachweist, die unter anderem für den Angriff auf die Colonial Pipeline verantwortlich war.

Infobox: Bei einem Ransomware-Angriff wird eine Malware eingesetzt. Diese verschlüsselt alle Dateien auf dem Rechner oder Netzwerk, ohne einen Key zum Entschlüsseln sind die Daten nicht mehr nutzbar. Die Hacker geben diesen nur gegen Bezahlung heraus. Bei einer DDoS-Attacke wird die Webseite des Opfers mit einer Vielzahl von Anfragen bombardiert. Die Webseite kann diese Anfragenflut nicht beherrschen was zur Folge hat, dass User nicht mehr auf die Seite zugreifen können.

Steuerabzugsfähiges Erpressergeld?

Auf der anderen Seite der Debatte stehen die Praktiker. Diese haben das eigene Unternehmen im Blick und sind zur Zusammenarbeit mit den Hackern bereit, wenn es die beste Option darstellt. So hat  Joseph Blount, CEO on Colonial Pipeline, eine Millionenzahlung an die Hacker geleistet, wie er  gegenüber dem Wall Street Journal bestätigt hat.

Wahrscheinlich kann er die Zahlung von der Steuer absetzen. Bisher hat die IRS zwar noch keine offizielle Bestätigung gegeben, allerdings bestätigen „viele Steuerexperten“, dass solche Zahlungen von der IRS anerkannt werden, berichtet insurancejournal mit Bezug auf die Associated Press.  „I would counsel a client to take a deduction for it,“ erklärt Scott Harty, a Corporate Tax Attorney bei der Anwaltskanzlei Alston & Bird. “Eine solche Zahlung erfülle die Definition einer  „ordinary and necessary expense.”

Zusammen gegen Cyber-Kriminalität

Ein Zusammenschluss von Versicherern will die „Maßnahmen zur Schadenbegrenzung gegen Cyber-Risiken in der Branche steigern“, berichtet businessinsurance. Zu CyberAcuView LLC gehören unter anderem die American International Group und Chubb. Der Sitz ist in New York und das Konstrukt wird von Mark Camillo geführt, zuvor Head of Cyber für Europe Middle East Asia bei AIG. Zu der Gruppe gehören unter anderem Beazley, The Hartford Financial Services Group, Liberty Mutual Insurance Group und Travelers Cos.  CyberAcuView arbeitet mit „other leading direct writers of cyber insurance“ zusammen, um weitere Partner und Mitglieder zu gewinnen, kann auf der Webseite nachgelesen werden.

Autor: VW-Redaktion