Fragen? Antworten! Siehe auch: Alternativlos
Ich fasse mal zusammen: Der Staat sollte verbieten, dass man Lösegeld an Ransomwaregangs zahlen darf, und auch verbieten, dass Versicherungen Lösegeld zahlen oder dass man das von der Steuer absetzen darf.
In erster Näherung klingt das erst mal nicht doof. Wenn du denen den Profit wegnimmst, bricht ihr Geschäftsmodell weg.
Zwei Probleme. Erstens: Nein, tut es nicht. Es gibt schon die ersten Ransomware-Gangs, die gar nicht mehr verschlüsseln. Die haben gemerkt, dass sie durch den Weiterverkauf von den geklauten Daten genug Kohle machen können.
Zweitens: Das ist bloß der Monetarisierungsweg. Das schließt nicht die Sicherheitslücken, über die Ransomware reinkommt. Die stehen noch offen für Leute mit anderen Motiven, wie z.B. ausländische Geheimdienste.
Solange wir die nicht zumachen, ist alles andere bloß performative Security. Fühlt sich an, als täte jemand was, aber ist bloß Theater.
Ich sehe nicht, wie wir jemals mehr Sicherheit kriegen werden. Die Branche hat versagt, die Regierung hat versagt, die Firmen haben versagt. Der letzte Hoffnungsträger ist, dass der Markt da vielleicht ausnahmsweise mal was in unserem Interesse regelt. Wenn wir das auch noch ausschließen, dann werden wir hier nur noch vor uns hinvegetieren, und alles bleibt ewig Scheiße, weil du dann ja nicht mal einen Vorteil am Markt hast, weil du billiger anbieten kannst als die Konkurrenten, die Versicherungen abschließen müssen.
Zumindest einige der Unterzeichner hätten es echt besser wissen müssen.
Update: Wenn euer Backup von einem Angreifer verschlüsselbar ist, war es kein Backup sondern bloß eine Kopie. Was ein Backup zu einem Backup macht, ist dass man sich darauf verlassen kann, damit seine Daten wieder einspielen zu können.
Update: Mein Kumpel Erdgeist findet, ich sollte auch noch darauf hinweisen, dass sie das Zahlen von Ransomware und das Absetzen von der Steuer nicht verbieten können. Dann nennt man das halt Beraterhonorar und macht es über eine Firma im Ausland, die vom Lösegeldverbot nicht betroffen ist. Außerdem muss man nur zum War on Drugs gucken, wie gut Prohibition hilft. Gar nicht.
Ich finde das ehrlich gesagt nicht so wichtig. Selbst wenn man es verbieten könnte, würde es das Problem nicht lösen. Meinetwegen können wir uns das sparen, dass der Staat und die Kriminellen sich jetzt 10 Jahre lang on-uppen, und am Ende kommt völlig überraschend heraus, dass wir die ganze Zeit recht hatten.
Update: Vielleicht sicherheitshalber nochmal explizit: Ransomware ist nicht wie Niederschlag. Etwas, mit dem man halt zu leben lernen muss. Wir könnten auch anfangen, sichere Software zu produzieren und einzusetzen. Das macht nur keiner, weil die alle glauben, das Investment lohnt sich nicht, weil man dann teurer wäre als die Konkurrenten.
Update: Diese Petition liegt in der Cloud von Microsoft, denen wir das Ransomware-Problem ja ursächlich zu verdanken haben. Genau mein Humor!
Bonus: Auch ihre Security entspricht den Erwartungen. Sie haben jemanden in meinem Namen unterzeichnen lassen. Einmal mit Profis! m(
Immerhin haben sie auch den Drachenlord unterschreiben lassen.