Die US-amerikanische Börsenaufsicht SEC hat in diesem Sommer ihre Vorschriften in Bezug auf die Meldefristen von Cyber-Vorfällen überarbeitet. Für börsennotierte Unternehmen bedeutet das, dass sie innerhalb von vier Tagen melden müssen, wenn sich bei ihnen bestimmte sicherheitsrelevante Vorfälle ereignet haben. Die Börsenaufsicht präzisiert dabei auch, dass Unternehmen Art, Umfang und Zeitpunkt eines Cyber-Angriffs sowie dessen mögliche Auswirkungen offenlegen müssen. In Deutschland sind vor allem Betreiber kritischer Infrastrukturen dazu verpflichtet, einen Vorfall innerhalb einer Frist an das Bundesamt für Sicherheit in der Informationstechnik (BSI) zu melden. Zudem regelt die Datenschutz-Grundverordnung (DSGVO oder DS-GVO), dass Unternehmen und Organisationen den Verlust personenbezogener Daten innerhalb von 72 Stunden melden müssen.
Damit sich betroffene Organisationen informieren können, welche Informationen bis zu welchem Zeitpunkt übermittelt werden müssen, stellen die deutschen Behörden eine Vielzahl an Dokumenten und Informationen bereit. Der Druck, im Falle des Falles den Behörden gegenüber Mitteilung machen zu müssen, kommt dementsprechend direkt bei den Unternehmen an. Dies hat sich die Cyber-Crime-Gruppierung BlackCat (auch ALPHV genannt) zunutze gemacht, wie sich in einem kürzlich bekannt gewordenen Angriff auf US-amerikanische Unternehmen gezeigt hat. Die Ransomware-Gruppe behauptete, sensible Daten entwendet zu haben, und stellte für die Lösegeldzahlung ein 24-Stunden-Ultimatum. Um zusätzlichen Druck auf die Opfer auszuüben, drohten die Erpresser mit der Meldung an die Börsenaufsicht, die ja gemäß den SEC-Vorschriften bei Ablauf der Vier-Tages-Frist erforderlich sei.
Die Ransomware-Gruppe BlackCat ist bereits für ihre ausgeklügelten Erpressungsmethoden bekannt, die von Datendiebstahl über Verschlüsselungs- und DoS-Angriffe bis zur Androhung öffentlicher Bloßstellung reichen. „Die neu erdachte Methode, im Namen ihrer Opfer Berichte bei der SEC einzureichen, zeigt eine ganz neue Raffinesse in ihrem Repertoire der Erpressungstaktiken,“ erläutert der Security Awareness Advocate beim Anbieter von Sicherheitsschulungen KnowBe4, Martin Krämer. „Ransomware-Gruppen werden weiterhin Bemühungen anstellen, um an das Geld ihrer Opfer zu kommen“, so Krämer. „Eine Unze Prävention ist hier also mehr wert als ein Pfund Heilung. Daher sollten Unternehmen ihre Mitarbeiter entsprechend schulen und ihre Sicherheitsvorkehrungen verstärken.“