US-Sicherheitsdirektive soll Pipeline-Betreibern Meldepflicht für Ransomware-Attacken auferlegen

Marcin Kleczynski sieht DSGVO im Kontext der Meldung von Ransomware-Angriffen als Vorbild für USA

[datensicherheit.de, 28.05.2021] Laut Medienberichten hat vor Kurzem eine Ransomware-Attacke die Treibstoffversorgung in weiten Teilen der USA beeinträchtigt – von Texas im Südwesten bis nach New Jersey im Osten. Dies habe unter anderem dazu geführt, dass das Ministerium für Innere Sicherheit der Vereinigten Staaten von Amerika eine Sicherheitsdirektive plant, „die Pipeline-Betreibern eine Meldepflicht für Ransomware-Attacken auferlegt“. In seiner Stellungnahme zur geplanten Direktive geht Marcin Kleczynski, „CEO“ von Malwarebytes, auf die Bedeutung der EU-Datenschutz-Grundverordnung (DSGVO) ein, „die den USA als leuchtendes Beispiel dienen sollte“.

Ransomware-Angriffe und andere Datenschutz-Verletzungen: Bisher 50 verschiedene einzelstaatliche Gesetze in den USA

Kleczynski betont: „Seit Jahrzehnten besteht die Gesetzgebung zum Schutz unserer wichtigsten Daten aus Stückwerk. Das reicht nicht aus.“
Die EU-Datenschutz-Grundverordnung (General Data Protection Regulation: GDPR) hingegen beinhalte die Verpflichtung, bestimmte Datenschutzverletzungen innerhalb weniger Tage zu melden – und es sei inakzeptabel, dass in den USA bislang kein entsprechendes Bundesgesetz existiere.
„Stattdessen haben wir 50 verschiedene einzelstaatliche Gesetze. Das bietet zu viel Raum für Fehler und ist inkonsistent“, kritisiert Kleczynski und fordert: „Wir müssen systemische Änderungen vornehmen, um Cyber-Kriminalität und Datenschutz auf nationaler Ebene anzugehen.“

US-Arbeitsgruppe empfiehlt nun Meldepflicht u.a. für Ransomware-Zahlungen

Der jüngste Bericht der Ransomware-Arbeitsgruppe empfiehlt demnach eine Meldepflicht für Ransomware-Zahlungen und einen generellen Aufruf an Organisationen, Cyber-Angriffe zu melden. Kleczynski: „Wir erwarten, dass die Biden-Regierung diese Empfehlung ernstnimmt, aber sie geht nicht weit genug.“ Eine effektive Reaktion auf die „Ransomware-Epidemie“ erfordere gute, zuverlässige Daten.
Dafür sei eine Meldepflicht für Angriffe erforderlich. „Ohne eine solche können wir nicht einmal die grundlegendsten Fragen dazu beantworten, wer angegriffen wurde und wie weit das Problem verbreitet ist.“ Ohne eine Meldepflicht lieferten tatsächlich die Ransomware-Gangs selbst das deutlichste Bild vom Ausmaß des Problems – nämlich durch die Aktivitäten auf ihren Leak-Webseiten, warnt Kleczynski.
Die Pipeline-Sicherheitsdirektive sei ein guter erster Schritt in die richtige Richtung, aber sie müsse ergänzt und auf andere Kritische Infrastrukturbereiche ausgeweitet werden, um wirklich erfolgreich zu sein.

Weitere Informationen zum Thema:

datensicherheit.de, 12.05.2021
DarkSide: RaaS-Attacke gegen Colonial Pipeline / Junge Ransomware-Familie DarkSide erstmals im August 2020 aufgetreten

datensicherheit.de, 12.05.2021
Ransomware-Angriff auf Colonial Pipeline nur Teil einer neuen Welle / Betreiber einer der größten Treibstoff-Pipelines der USA musste Betrieb nach Attacke mit DarkSide-Ransomware vorübergehend einstellen

datensicherheit.de, 12.05.2021
Lehren aus dem Ransomware-Angriff auf Colonial Pipeline für KRITIS-Betreiber / Edgard Capdevielle erläutert in seiner Stellungnahme, wie sich Kritis-Betreiber absichern können