Ja, auch ich habe es getan. Den offenen Brief unterzeichnet, mit dem über 30 Professor:innen seit gestern versuchen, die Politik in Richtung einer Ächtung nicht von Ransomware, sondern der Zahlung von Cyber-Lösegeldern zu bewegen (Tagesspiegel Background berichtete). Und das, obwohl ich in einem Unternehmen arbeite, das einen nicht unerheblichen und vor allem stark wachsenden Anteil seines Umsatzes mit Incident Response macht, also mit der Bewältigung insbesondere von Ransomware-Attacken.
Warum sollten ich oder andere Vertreter:innen der Security-Zunft für Vorschläge lobbyieren, die Sand ins Getriebe dieser multilateralen Gelddruckmaschine streuen wollen? Etwas „Blue Washing“, also die eigene mediale Platzierung als verantwortlicher Teil der Gemeinschaft der Verteidiger:innen, hätte doch marketingtechnisch auch etwas für sich?
In der Vergangenheit waren es nicht immer praxisnahe Eingaben, die aus der Wissenschaft auf die politische Sphäre abzielten. Auch wenn die sprichwörtlichen Elfenbeintürme heute in vielen Fällen ein Klischee sind: Ideen wie beweisbare Sicherheit, KI-basierte Anomalieerkennung oder Verbot von Kryptowährungen sind es zwar wert, bedacht und diskutiert zu werden – taugen aber aus unterschiedlichen Gründen nicht, entscheidende Hebel umzulegen im Kampf gegen die organisierte Cyberkriminalität. Nun also der offene „Ransom Letter“. In kurz: Unterbinden von Lösegeldzahlungen gerade auch durch Versicherungen, Meldepflicht, Unterstützung für die, dies es trifft.
Wohlgemerkt, es ist im gesamten Brief keine Rede von Verboten, wobei man das „Unterbinden von Versicherungen“ durchaus so interpretieren darf, sondern vom Setzen anderer Anreize. Das ist so, wie wir andere regulatorische Probleme heute anzugehen versuchen. Nicht einzelne Unternehmen können uns aus der Gasabhängigkeit befreien, Individuen ohne Vorgaben sind mit Corona überfordert und das Problem der Erderwärmung werden wir, wenn überhaupt, nur durch ein äußerst aktives Einpreisen der Externalitäten lösen können.
Der Trittbrettfahrer-Effekt
Wie der Titel des Brandbriefes –„geostrategisches Risiko“ – andeutet, geht es darum, die Perspektive zu wechseln vom kurzfristigen Shareholder Value einzelner Unternehmen
hin zum großen Ganzen. Das ist notwendig. In der Spieltheorie beschreibt der Trittbrettfahrer-Effekt das Phänomen,
dass einzelne nicht motiviert sind, ihren kleinen Beitrag zu leisten, solange
sie sich auf andere verlassen können. Hier tritt das Phänomen quasi umgekehrt
auf: Warum soll ich als Unternehmer:in oder als Versicherung nicht zahlen, wenn ich damit
kostengünstiger wegkomme? Nach mir die Sintflut – die nächste Angriffswelle ist
jetzt sponsored by me. Darüber kann die Organisierte Cyber-Kriminalität mit Big-Data-Methoden wunderbar optimieren und gedeihen.
Wenn aber die Verfolgung der Zahlungsströme zuerst in dezentralen Blockchains und dann in Jurisdiktionen mit begrenzter Rechtstaatlichkeit versandet, muss notwendigerweise der Blick zurück gehen: Wo kommen die Zahlungen her, und wie können wir diese Quellen begrenzen, um den Sumpf am anderen Ende auszutrocknen? Einen ähnlichen Erkenntnisprozess haben wir beim Klima gemacht. Erst nachdem im zweiten Bericht des Club of Rome klar wurde, dass die weltweiten Senken begrenzt sind, konnten wir anfangen zu verstehen, warum wir die Quellen drosseln, also Fossiles im Boden lassen müssen.
Umsetzung des Briefs würde Ransomware nicht verhindern
Im Wesentlichen sprechen wir hier also von Sanktionen.
Klingt eher klassisch als woke, ist
aber beides. Natürlich darf ich als CEO den Aktionär:innen von Siemens,
Armani oder BMW gegenüber nicht leichtfertig den Export nach Russland
einstellen. Eingebettet in ein internationales Sanktionsregime hingegen mussten
viele Konzerne nicht lange überlegen.
Würde die Umsetzung der im offenen Brief geforderten Maßnahmen das Geschäft mit Ransoms komplett unterbinden? Nein. Würden Unternehmen trotzdem Mittel und Wege finden, ihre heiligen Daten wieder freizukaufen? Selbstverständlich, aber zu hohen Kosten, und das ist ein Feature, kein Bug. Müsste man das Ganze nicht international, wenigstens aber europäisch angehen? Aber hallo! Und gerne, jederzeit.
Bei jeder neuen Seuche kommt es darauf an, dass wir uns über die gesamten Folgen klarwerden, die sie der Gesellschaft insgesamt aufbürdet. Und dann unsere Strategie daran ausrichten, diese Krankheitslast auf ein akzeptables Niveau zu senken, indem wir an den uns zur Verfügung stehenden Parametern drehen. Auch wenn uns das mittelfristig erst einmal mehr kostet. Und um die Krankheitslast messen zu können, braucht es die Meldepflicht, wenigstens das haben wir in der Pandemie (halbwegs) gelernt.
Ein schmerzhafter, aber notwendiger Prozess
Verbänden sind an dieser Stelle übrigens die Hände gebunden; ihre Vertreterinnen und Vertreter können einen derart die Regulierung heraus- und einfordernden Vorschlag nicht unterschreiben, auch wenn ich in Diskussionen mitbekomme, dass persönlich viele die Initiative unterstützen. Achten Sie in den nächsten Tagen also verstärkt auf individuelle Stimmen und Diskussionen! Umgekehrt zeigt das natürlich auch, dass unsere althergebrachten Lobbystrukturen nicht geeignet sind, die Nachhaltigkeit einzufordern, die am Ende auch der Wirtschaft am meisten nützt.
Ich unterstütze den Ransom Letter als wohldurchdachten und wichtigen Regulierungsimpuls, damit wir anfangen, in Bezug auf die Geißel der Digitalisierung, die digitale Geiselnahme, umzusteuern, auch wenn das ein schmerzhafter Prozess wird. Wenn es so sein und noch mehr so werden soll, dass der Markt regelt, dann doch bitte nicht ausschließlich vertreten durch seine kriminellen Akteur:innen.