Die niederländische Regierung hat laut einem Schreiben des Justizministeriums erklärt, dass sie ein gesetzliches Verbot der Zahlung von Lösegeldzahlungen an Cyberkriminelle nach Ransomware-Angriffen nicht unterstützt.
Justiz- und Sicherheitsminister David van Weel sagte, die Regierung wolle keine Organisationen kriminalisieren, die Opfer von Ransomware-Vorfällen werden. Er erklärte, dass Ransomware-Angriffe zwar erhebliche Störungen und finanziellen Schaden verursachen können, die Entscheidung, ob ein Lösegeld gezahlt wird, jedoch bei der betroffenen Organisation bleiben sollte.
Der Minister wies darauf hin, dass die Regierung weiterhin davon abrät, Lösegeldzahlungen zu zahlen. Laut der Erklärung garantiert zahlende Angreifer nicht, dass Systeme wiederhergestellt, gestohlene Daten gelöscht werden oder dass sie nicht geteilt oder verkauft werden. Die Leitlinien besagen außerdem, dass Lösegeldzahlungen zur Fortsetzung cyberkrimineller Aktivitäten beitragen.
Die Position wurde als Antwort auf parlamentarische Fragen im Zusammenhang mit einem kürzlichen Cyberangriff auf den niederländischen Telekommunikationsanbieter Odido dargelegt. In diesem Vorfall behaupteten Angreifer, die mit der ShinyHunters-Gruppe verbunden sind, persönliche Daten von mehr als sechs Millionen Personen gestohlen zu haben und drohten, diese Informationen online zu veröffentlichen.
Trotz Bedenken hinsichtlich der weitreichenden Auswirkungen von Ransomware erklärte die Regierung, dass es eine anhaltende Spannung zwischen den Interessen einzelner Opfer und den umfassenderen Bemühungen zur Reduzierung der Cyberkriminalität gebe. Beamte deuteten darauf hin, dass Organisationen sofortigen operativen und finanziellen Druck ausgesetzt sein könnten, der ihre Entscheidungsfindung während eines Angriffs beeinflusst.
Der Minister erklärte, dass die Regierung ihren aktuellen Ansatz beibehalten werde, solange diese konkurrierenden Überlegungen nicht klar gelöst werden können. Dieser Ansatz entspricht den Politiken mehrerer anderer EU-Länder, in denen die Zahlung von Lösegeld zwar entmutigt, aber gesetzlich nicht verboten ist.
Die Erklärung spiegelt eine laufende politische Diskussion wider, wie Regierungen auf Ransomware-Vorfälle reagieren sollten und ob gesetzliche Beschränkungen bei Zahlungen cyberkriminelle Aktivitäten verringern oder verschieben würden. Es wurde kein Zeitplan für Änderungen am aktuellen Rahmen bereitgestellt, und die bestehenden Leitlinien bleiben bestehen.