Einleitung
Am 30. Mai 2025 trat in Australien ein neues Gesetz in Kraft, das große Unternehmen verpflichtet, Lösegeldzahlungen an Cyberkriminelle zu melden. Diese Regelung, die im Cyber Security Bill 2024 festgelegt ist, könnte weitreichende Auswirkungen auf die Cyber-Sicherheitslandschaft nicht nur in Australien, sondern auch in Europa und Deutschland haben. Ziel des Gesetzes ist es, ein besseres Verständnis über die Art und Häufigkeit von Ransomware-Angriffen zu gewinnen und gegebenenfalls neue Gesetzgebungen zu erlassen.
Hintergrund des Gesetzes
Das Gesetz verlangt von Unternehmen mit einem Umsatz von mehr als 3 Millionen AUD (rund 1,92 Millionen USD), Lösegeldzahlungen innerhalb von 72 Stunden an das Australian Signals Directorate (ASD) zu melden. Obwohl es nicht illegal ist, Lösegelder zu zahlen, rät das ASD davon ab. In ihrem letzten Jahresbericht gab die Behörde an, 121 Fälle untersucht zu haben, was darauf hindeutet, dass nur wenige Unternehmen solche Vorfälle melden. Mit der neuen Gesetzgebung soll sich dies ändern.
Details der Meldung
Unternehmen müssen folgende Informationen bereitstellen:
- Australische Unternehmensnummer
- Datum des Angriffs
- Ob Daten gestohlen oder verschlüsselt wurden
- Ausgenutzte Schwachstellen
- Geschätzte Kosten für das Unternehmen
- Höhe des gezahlten Lösegeldes und die verwendete Währung
Die Regierung möchte durch diese Daten herausfinden, welche Ransomware-Typen am häufigsten Unternehmen angreifen und in welchem Umfang das Problem besteht. Ab 2026 wird die Meldung für die betroffenen Unternehmen obligatorisch sein, und Versäumnisse können mit Geldstrafen in Höhe von bis zu 19.800 AUD geahndet werden, was in Zukunft wahrscheinlich steigen wird.
Internationale Perspektiven
Die australische Regelung hat Vorbilder in anderen Ländern. In den USA wurde unter der Biden-Administration ein Gesetz verabschiedet, das die Cybersecurity and Infrastructure Agency (CISA) verpflichtet, Richtlinien zur Meldung von Lösegeldzahlungen zu entwickeln, wobei diese Regeln voraussichtlich im Oktober 2025 in Kraft treten werden. Auch das Vereinigte Königreich denkt über ähnliche Gesetzgebungen nach, die unter anderem ein Verbot von Lösegeldzahlungen für den öffentlichen Sektor und eine obligatorische Meldung für größere Unternehmen umfassen könnten.
Auswirkungen auf deutsche Unternehmen
Die Einführung solcher Regelungen in Australien könnte auch für Deutschland und andere europäische Länder von Bedeutung sein. Da Cyberkriminalität global ist, müssen Unternehmen in Deutschland möglicherweise ähnliche Maßnahmen in Betracht ziehen, um ihre Sicherheitsstandards zu erhöhen und gesetzliche Anforderungen zu erfüllen. Der Druck auf Unternehmen, transparent über Cyberangriffe zu kommunizieren, könnte in Zukunft steigen.
In Deutschland gibt es bereits Bestrebungen, die Cyber-Sicherheitsstrategie zu stärken, jedoch sind spezifische Melderegelungen für Lösegeldzahlungen bislang nicht implementiert. Die Entwicklungen in Australien könnten als Katalysator für ähnliche Initiativen in Europa dienen.
Schlussfolgerung
Die neue Gesetzgebung in Australien stellt einen bedeutenden Schritt im Kampf gegen Cyberkriminalität dar. Sie zeigt, wie Regierungen proaktiv mit den Herausforderungen der digitalen Welt umgehen können. Während die Unternehmen in Australien sich auf diese Anforderungen einstellen, könnte dies auch für deutsche und europäische Märkte eine wichtige Lektion sein. Die Notwendigkeit, Cyberangriffe transparent zu machen und darauf zu reagieren, wird zunehmend klarer, und Unternehmen müssen sich auf mögliche Änderungen in der Gesetzgebung vorbereiten.
Quellen
- Aussie law makes big firms report ransom payments [1]
- Cybersecurity: Ransom payments will now have to be disclosed via a ... [2]
- Aussie businesses now have to fess up when they pay off ransomware ... [3]
- New ransomware rules for businesses: Are you prepared for an attack ... [4]
- New reporting rules for ransomware payments | HRD Australia [5]
Über den Autor
Der Autor dieses Artikels ist Lukas Schneider, ein erfahrener Wirtschaftsjournalist mit Schwerpunkt auf internationaler Handelspolitik und Technologiemärkten.
