So (wenig) will der Bundesrat Ransomware an den Kragen

Die Schweiz tut bereits einiges zum Schutz vor Ransomware. Zu diesem Schluss kommt der Bundesrat in einem unlängst veröffentlichten Bericht (PDF). Mit der Untersuchung beantwortete die Exekutive ein im Dezember 2021 vom Parlament überwiesenes Postulat mit dem Auftrag darzulegen, mit welchen Massnahmen der Schutz vor Ransomware gestärkt werden könne.

Anleitungen, Richtlinien und rechtliche Vorgaben

In der Einleitung zum Bericht stellt der Bundesrat klar, dass Ransomware ein ernstzunehmendes Problem darstellt: Grundsätzlich könnten alle Organisationen und Unternehmen Ziel eines Ransomware-Angriffs werden, wobei – "entgegen der weit verbreiteten Annahme" – Cyberkriminelle ihre Opfer meist nicht gezielt auswählten, sondern dort angriffen, wo sie ausnutzbare Schwachstellen vorfänden.

"In praktisch allen durch das Bundesamt für Cybersicherheit (BACS) begleiteten Ransomware-Vorfällen gingen die Cyberkriminellen opportunistisch vor und griffen dort an, wo sie mit möglichst wenig Aufwand einen möglichst hohen Ertrag in möglichst kurzer Zeit erzielen konnten", heisst es im einleitenden Kapitel weiter.

Der Schutz vor Ransomware ist laut dem Bundesrat in dreierlei Hinsicht herausfordernd: auf der technischen Seite entwickeln Cyberkriminelle ihre Schadsoftware laufend weiter, während Behörden und Unternehmen ebenso kontinuierlich in aktuelle Schutzlösungen investieren müssen. Die Implementierung umfassender Sicherheitslösungen könne hohe Kosten verursachen, sei also auch eine wirtschaftliche Herausforderung. Und weil es oft an Bewusstsein für die Bedeutung der Cybersicherheit mangle, sei auch eine gesellschaftliche Herausforderung gegeben.

Untätig ist die Schweiz wie erwähnt nicht bezüglich Schutzmassnahmen vor Ransomware-Angriffen: So "bestehen bereits heute zahlreiche behördliche Informationen, Anleitungen sowie Richtlinien zu IT-Grundschutzmassnahmen und rechtliche Vorgaben zur Cybersicherheit", schreibt der Bundesrat. Namentlich nennt er etwa die vom Bundesamt für Cybersicherheit (BACS) veröffentlichten Informationen oder den vom Bundesamt für wirtschaftliche Landesversorgung (BWL) ausgearbeiteten "Minimalstandard zur Verbesserung der Informations-und Kommunikationstechnik-Resilienz" (IKT-Minimalstandard), in dem 108 Massnahmen aufgeführt sind, "um die allgemeine Widerstandsfähigkeit gegenüber Cyberangriffen zu erhöhen".

Rechtliche Cybersicherheitsvorgaben gibt es unter anderem für Energieversorgungsunternehmen, für Betreiber von Rohrleitungsanlagen oder für den Finanzmarkt. Der Bundesrat erinnert aber auch daran, dass er keine Möglichkeit habe, rechtlich verbindliche Cyberschutzmassnahmen für kantonale oder kommunale Organisationen zu erlassen. Die Ausnahme dazu sind jene Behörden, die dem Datenschutz- oder dem Informationssicherheitsgesetz (DSG und ISG) unterstellt sind.

Keine neuen Gesetze

Der Bund selbst mache bereits viel für eine Resilienz gegenüber Cyberangriffen und damit auch Ransomwareangriffen, findet der Bundesrat. "Er wirkt in diesem Bereich unterstützend, informiert transparent, setzt Anreize oder greift im Rahmen der in der Bundesverfassung festgehaltenen Kompetenzordnung sowie der bundesrechtlichen Rechtsgrundlagen regulativ ein." Die Einführung von flächendeckenden, rechtlich verbindlichen Vorgaben für Organisationen mit öffentlichem Auftrag für den grundlegenden Schutz vor Ransomware-Angriffen hält die Exekutive darum für nicht sinnvoll.

Auch ablehnend – aber weniger deutlich – fällt das bundesrätliche Urteil zur Einführung einer Meldepflicht von Lösegeldzahlungen aus. Die Massnahme schlug das Parlament im Postulat an den Bundesrat konkret vor, wie auch eine Verpflichtung für den Einbezug von Behörden bei Ransomwareangriffen. Die Exekutive erinnert an eine Reihe bereits bestehender gesetzlicher Meldepflichten im Bereich der Cybersecurity. So müssen der Finanzmarktaufsicht unterliegende Unternehmen oder Betreiber kritischer Infrastrukturen etwa Cybervorfälle melden und auch Verstösse gegen das Datenschutzgesetz seien teils meldepflichtig. In einem Ländervergleich arbeitet der Bundesrat ausserdem heraus, dass auch in den USA, Deutschland oder Grossbritannien "weder Verbote von Ransomware-Lösegeldzahlung noch spezifische Meldepflichten gegenüber von Behörden vorgesehen werden", allerdings werde eine Meldung und Zusammenarbeit mit den Behörden empfohlen.

Schlussendlich kommt der Bundesrat zum Schluss, die Beibehaltung und Optimierung der aktuellen Regelungen sei der aktuell zielführendste Ansatz. "Dies ermöglicht eine Balance zwischen effektiver Bedrohungsabwehr, Flexibilität in der Reaktion auf Angriffe und der Förderung proaktiver Sicherheitsmassnahmen." Allerdings wolle er diese Strategie kontinuierlich evaluieren und gegebenenfalls anpassen.

Fördern statt fordern

Anstatt "eine weitere Meldepflicht" einzuführen, spricht sich der Bundesrat im Bericht dafür aus, den (freiwilligen) Informationsaustausch zu fördern. Damit, findet die Exekutive, würden die Ziele einer erhöhten Transparenz und einer besseren Übersicht über die Schäden durch Ransomwareangriffe besser erreicht.

Durch die Verbesserung des Informationsaustauschs könnten technische und organisatorische Massnahmen getroffen werden, welche die Resilienz gegenüber Ransomware-Angriffen erhöhen und die digitale Infrastruktur langfristig stärken würden, zeigt sich der Bundesrat zuversichtlich. Der Bund unterstütze diesen Austausch und eine koordinierende Rolle übernehmen, um so die gemeinsame Abwehr von Ransomware-Angriffen zu stärken.

Doch auch in diesem Punkt hält sich der Bundesrat einen Spielraum offen. Im letzten Kapitel merkt er an: "Falls die Wirksamkeit des freiwilligen Informationsaustausches nicht die gewünschten Ergebnisse liefert, könnten verbindlichere Massnahmen wie eine anonyme Meldepflicht für Versicherer, andere Finanzintermediäre sowie Sicherheitsdienstleister in Betracht gezogen werden. Diese Vorgehensweise ist nach Ansicht des Bundesrats zielführender als neue Vorgaben spezifisch für Ransomwareangriffe."

24'000 Schweizer KMUs sind in den vergangenen drei Jahren Opfer einer Cyberattacke geworden, wie aus der Cyberstudie 2024 hervorgeht. Die Bevölkerung nimmt Cyberkriminalität als Bedrohung wahr - vernachlässigt jedoch Schutzmassnahmen, wie Sie hier lesen können.

Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal gibt es täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.