Im vergangenen Jahr wurden in Großbritannien zwei Gesetzesvorschläge zum Thema Ransomware-Zahlungen durch britische Unternehmen eingebracht. Diese Fokussierung der britischen Regierung könnte auf einen Kurswechsel hin zu einem Verbot solcher Zahlungen hindeuten oder Unternehmen vor schwierige Entscheidungen stellen. Dan Raywood analysiert die Details.
Im vergangenen Jahr begann die britische Regierung ein hartes Vorgehen gegen Cyberkriminelle. vorgeschlagene Rechtsvorschriften Dies würde die Zahlung von Lösegeld für bestimmte Sektoren illegal machen. Konkret wären öffentliche Einrichtungen und Betreiber kritischer nationaler Infrastrukturen – darunter der NHS, Kommunen und Schulen – von der Zahlung von Lösegeldforderungen ausgeschlossen. Andere Unternehmen, die nicht unter dieses Verbot fallen, müssten die Regierung über jede Zahlungsabsicht informieren.
Sicherheitsminister Dan Jarvis erklärte, der Vorschlag ziele darauf ab, „das Geschäftsmodell von Cyberkriminellen zu zerschlagen“ und wichtige Dienste zu schützen. Durch die Zusammenarbeit mit der Industrie, so Jarvis, „senden wir ein klares Signal, dass Großbritannien im Kampf gegen Ransomware geeint ist.“
Die Konsultation lief über 12 Wochen (vom 14. Januar bis zum 8. April 2025) und schlug Folgendes vor:
- Ein gezieltes Verbot von Ransomware-Zahlungen für regulierte kritische nationale Infrastrukturen und den öffentlichen Sektor.
- Ein System zur Verhinderung von Ransomware-Zahlungen.
- Ein obligatorisches Meldesystem für Vorfälle.
Diese Maßnahmen wären die erste spezifische britische Gesetzgebung zur Bekämpfung von Ransomware mit dem zentralen Ziel, öffentliche Dienste und kritische Infrastrukturen vor Störungen zu schützen.
Crystal Morin, leitende Cybersicherheitsstrategin bei Sysdig, erklärte dazu, dass die Verbesserung der Meldung von Ransomware-Vorfällen keine Kurzschlussreaktion, sondern eine strategische Anpassung an eine sich rasch entwickelnde Bedrohungslandschaft sei.
„Die prominenten Vorfälle des letzten Jahres haben gezeigt, wie Ransomware kritische Dienste lahmlegen und den Alltag beeinträchtigen kann“, sagte sie. „Diese Ereignisse belegen, dass Cyberangriffe, so isoliert sie auch erscheinen mögen, eine reale Gefahr für die nationale Sicherheit und das Wohlergehen der Bevölkerung darstellen.“
Positive Reaktion
Die Beraterin und Politikexpertin Jen Ellis hebt die „überwältigend positive Resonanz“ auf die Konsultation der Regierung zum Thema eines möglichen Verbots hervor. Sie vermutet, dass dies unter anderem daran liegt, dass Unternehmen ihren Kunden mitteilen möchten, dass sie aus rechtlichen Gründen nicht in der Lage sind, ein Lösegeld zu zahlen und sich lediglich an das Gesetz halten.
Sie weist außerdem darauf hin, dass manche glauben, Ransomware sei rein profitorientiert und die Beseitigung dieses Motivs würde das Verbrechen ausrotten. Dabei werden jedoch Faktoren wie die Beteiligung organisierter krimineller Gruppen, die mit gewalttätigeren Aktivitäten wie Menschenhandel in Verbindung stehen, außer Acht gelassen.
„Dabei wird weder das Ausmaß der erzielten Gewinne noch die mangelnde Wirksamkeit der Strafverfolgung berücksichtigt“, sagt Ellis. „Angreifer agieren ungestraft und können die verwundbarsten Organisationen mit geringem Aufwand ins Visier nehmen.“
„Dabei wird auch die Tatsache ignoriert, dass wir in einem globalen Internet agieren. Ein Verbot in Großbritannien schützt Organisationen nicht vor Aktivitäten, die anderswo stattfinden.“
Neuer Faktor
Während die Konsultation auf ihre nächste Phase wartet, ergab sich im Oktober eine weitere Entwicklung, als der Abgeordnete Bradley Thomas einen Vorschlag einbrachte. Gesetzesentwurf eines Abgeordneten Im Jahr 2025. Der Gesetzentwurf würde Unternehmen, die bestimmte Kriterien erfüllen, dazu verpflichten, jede Cybererpressung oder jeden Ransomware-Angriff innerhalb eines festgelegten Zeitraums der Regierung zu melden.
Bei der Vorstellung des Gesetzentwurfs wies Thomas darauf hin, dass Unternehmen derzeit nicht verpflichtet sind, Lösegeldzahlungen offenzulegen, obwohl diese eine erhebliche finanzielle Belastung darstellen. Sein Vorschlag sieht vor, dass jedes nach dem Companies Act 2006 registrierte Unternehmen mit einem Jahresumsatz von über 25 Millionen Pfund – oder mit Verantwortung für kritische nationale Infrastruktur – die Regierung innerhalb von 72 Stunden nach Eintritt eines Lösegelds benachrichtigen muss.
Ein weiterer Bericht wäre erforderlich, falls das Unternehmen oder ein Dritter in seinem Namen eine Zahlung leisten würde; dieser müsste wiederum innerhalb von 72 Stunden vorliegen. Thomas räumte Bedenken hinsichtlich eines möglichen Reputationsschadens ein, versicherte jedoch, dass strenge rechtliche Schutzmaßnahmen die Vertraulichkeit der Berichte gewährleisten würden, es sei denn, eine Offenlegung liege im nationalen Interesse.
„Das Fehlen einer Meldepflicht, insbesondere für Lösegeldzahlungen, hinterlässt eine gefährliche Schwachstelle in unserer nationalen Sicherheit“, sagte er. „Wenn Unternehmen diese Zahlungen melden, erhalten unsere Sicherheitsbehörden wichtige Informationen darüber, wer ins Visier genommen wird und wie sich die Angriffe entwickeln.“
Morin erklärte, die Meldepflicht diene nicht dazu, Organisationen an den Pranger zu stellen, sondern die kollektive Verteidigung zu stärken. „Wenn Organisationen Vorfälle melden, erhalten Sicherheitsteams Einblicke in neue Taktiken und Schwachstellen, wodurch sie schneller reagieren und größeren Schaden verhindern können.“
Sie fügte hinzu, dass Reputationsängste zwar verständlich seien, der vorgeschlagene Rahmen jedoch Schutzmechanismen enthalte, um die Offenlegung auf Ausnahmefälle zu beschränken. „Ein verpflichtendes, aber schamfreies Meldesystem trägt dieser Realität Rechnung.“
Abwehr von Ransomware-Angriffen
Ellis erklärte gegenüber ISMS.online, dass sie angesichts der Vorschläge nicht glaube, ein landesweites Zahlungsverbot würde Angriffe wesentlich verhindern. „Die meisten Opfer werden opportunistisch angegriffen, weil sie mit dem Internet verbunden sind. Infektionen passieren einfach.“
„Ich glaube nicht, dass ein Zahlungsverbot wirksam sein wird, solange es nicht global gilt“, sagte sie. „Angreifer werden sich anpassen.“
Zum Thema Berichterstattung sagte Ellis, der Schlüssel liege darin, die Offenlegung von Vorfällen zu normalisieren. „Wir müssen die Hemmschwelle für die Berichterstattung senken und unser Verständnis der Vorgänge verbessern. Das gelingt uns nicht, wenn die Menschen keine Vorfälle melden.“
„Die Berichterstattung wird das Problem nicht lösen, aber sie wird uns eine bessere Vorstellung von seinem wahren Ausmaß vermitteln.“
Auf die Frage, ob Unternehmen auch im Falle eines Verbots noch heimlich zahlen würden, sagte Ellis, dies sei schwer vorherzusagen. Sie habe mit Geschäftsinhabern gesprochen, die der Ansicht seien, dass ihnen im Falle einer existenziellen Bedrohung keine andere Wahl bliebe.
Sie hob auch die potenziellen Auswirkungen auf die Cyberversicherung hervor. „Wenn die Zahlung illegal ist, greift die Versicherung nicht. Stattdessen müssten die Versicherer die Wiederherstellungskosten tragen, was sie möglicherweise dazu veranlassen könnte, strengere Sicherheitsmaßnahmen zu fordern.“
Thomas' Gesetzesentwurf soll im Mai in zweiter Lesung behandelt werden, und beide Vorschläge zielen darauf ab, Lösegeldzahlungen einzuschränken. Für Unternehmen, für die die Zahlung die einzige Möglichkeit zu sein scheint, sind die Alternativen jedoch möglicherweise begrenzt.
Forschung aus Sophos Eine Studie aus dem Jahr 2025 ergab, dass fast 50 % der Unternehmen ein Lösegeld zahlten, um ihre Daten zurückzuerhalten. Angebot Ziel ist die Verbesserung der Resilienzstandards für britische Unternehmen.
Letztendlich scheinen die meisten Beteiligten die Meldepflichten zu befürworten, doch die Frage der Zahlung wird durch eine gesetzliche Verpflichtung komplexer. Organisationen müssen jetzt ihre Widerstandsfähigkeit stärken und entscheiden, ob sie ohne den Kauf von Schutzgeldern im Falle von Cyberkriminalität überleben können.
