Ransomware-Attacken

Die rechtliche Zulässigkeit von Lösegeldzahlungen

04.03.2024
Von    und
Christian Kuss ist Rechtsanwalt der Luther Rechtsanwaltsgesellschaft mbH in Köln. Sein Tätigkeitsschwerpunkt liegt auf IT- und Datenschutzrecht.
Weitere Artikel des Autors
Franziska Neugebauer studierte Rechtswissenschaften an der Universität Passau. Während ihrer Referendarsausbildung absolvierte sie unter anderem eine Ausbildungsstation in der Rechtsabteilung eines Medienkonzerns in Unterföhring. Im Anschluss war Franziska Neugebauer als Rechtsanwältin in einer Wirtschaftskanzlei im Bereich IP/ IT tätig, bevor sie 2021 ihre Tätigkeit bei Luther aufnahm.
Weitere Artikel des Autors
Betroffene eines Ransomware-Angriffs sollen zahlen, um wieder Zugriff auf ihre verschlüsselten Daten zu erlangen. Doch dürfen sie das überhaupt?
Dass sie Ziel einer Ransomware-Attacke geworden sind, merken Betroffene meist erst, wenn es zu spät ist. Dann ist guter Rat teuer.
Dass sie Ziel einer Ransomware-Attacke geworden sind, merken Betroffene meist erst, wenn es zu spät ist. Dann ist guter Rat teuer.
Foto: Andrey_Popov - shutterstock.com

Mit der steigenden Zahl von Ransomware-Angriffen auf Unternehmen und öffentliche Einrichtungen gewinnt die Frage an Bedeutung, ob Lösegeldzahlungen an Cyberkriminelle zur Wiederherstellung des Zugriffs auf verschlüsselte Daten rechtlich zulässig sind. Die aktuelle Studie "Ransomware 2024" von CIO, CSO und COMPUTERWOCHE in Zusammenarbeit mit Fortinet und Logicalis zeigt auf: Knapp 90 Prozent aller befragten Unternehmen würden es begrüßen, wenn solche Zahlungen gesetzlich unter Strafe gestellt werden. So erhoffen sie sich, dass dem Geschäft mit der Cybererpressung der Nährboden entzogen wird.

Was ist Ransomware?

In einem typischen Angriff mit Ransomware-Schadsoftware infiltriert ein Angreifer das Netzwerk eines Opfers, um den Zugriff auf wichtige Systeme oder Daten zu blockieren oder sie zu verschlüsseln. Häufig leiten die Angreifer die betreffenden Daten vor der Verschlüsselung zudem aus. Anschließend fordert der Angreifer ein Lösegeld (engl. "ransom") - üblicherweise in Kryptowährung - von dem Opfer, um den Zugang zu den Daten wiederherzustellen.

Durch kurze Zahlungsfristen wird zusätzlich Druck auf die Opfer von Ransomware-Attacken ausgeübt: kommt das Opfer der Lösegeldforderung nicht nach, wird mit der Veröffentlichung bzw. dem Verkauf sensibler Daten im Darknet gedroht. Teilweise setzen die Angreifer auch zusätzliche DDoS-Angriffe zum Aufbau weiteren Drucks auf das Opfer ein. Als typische Einfallstore für Ransomware-Angriffe gelten infizierte E-Mail-Anhänge, Downloads von gefälschten Webseiten oder schlecht gesicherte Systemzugänge ohne Multi-Faktor-Authentifizierung.

Während eines Ransomware-Angriffs wird enormer Druck auf die Opfer aufgebaut. Sind wichtige Unternehmensdaten nicht verfügbar, kann dies zum Stillstand der gesamten Geschäftstätigkeit eines Unternehmens führen. Insbesondere bei einer Veröffentlichung von Daten drohen zudem Schadensersatzansprüche betroffener Personen und damit einhergehend Reputationsverluste des betroffenen Unternehmens.

Da Opfer die geforderte Lösegeld-Summe aufgrund des Leidensdrucks häufig zahlen, sind Ransomware-Angriffe für Cyberkriminelle äußerst lukrativ. Im Gegensatz zu anderen Arten von Cyberangriffen, wie zum Beispiel dem Diebstahl von Kreditkarteninformationen, können Ransomware-Erpresser schnell und direkt, aber doch mit der für die Täter wichtigen Distanz auf das Opfer einwirken.

Zudem trägt die Anonymität von Kryptowährungen wie BitcoinBitcoin dazu bei, dass Lösegeldzahlungen schwer nachverfolgbar sind. So ist es den Strafverfolgungsbehörden nur selten möglich, die Angreifer zu identifizieren und zur Rechenschaft zu ziehen. Selbst wenn eine Tätergruppe identifiziert wird, stehen die Strafverfolgungsbehörden vor dem Problem, die Täter international verfolgen zu müssen. Auch das arbeitsteilige Vorgehen von Angreifergruppierungen und die hohe Professionalisierung der Cyberkriminellen erschwert die Strafverfolgung. Dadurch ist es für Cyberkriminelle relativ risikoarm, Ransomware-Angriffe durchzuführen und Lösegeld zu erpressen. Alles zu Bitcoin auf CIO.de

Zur Studie 'Ransomware 2024' im Aboshop

Rechtliche Aspekte

In Deutschland gibt es kein Gesetz, welches die Zahlung von Lösegeldern per se verbietet. Insbesondere im Kontext von Ransomware-Angriffen kann die Zahlung eines Lösegeldes aber dann strafbar sein, wenn die Zahlung dazu beitragen kann, kriminelle Aktivitäten zu unterstützen und zu finanzieren. In Betracht kommen dabei - je nach Einzelfall - unter anderem die Unterstützung einer kriminellen Vereinigung (§§ 129, 129a StGB), Verstöße gegen Finanzsanktionsregelungen (§ 18 AWG in Verbindung mit den EU-Sanktionslistenverordnungen), Terrorismusfinanzierung (§ 89c StGB) oder Geldwäsche (§ 261 StGB).

Das größte Strafbarkeitsrisiko für die Betroffenen bergen Lösegeldzahlungen in Bezug auf die Unterstützung krimineller Vereinigungen. Da Ransomware-Angriffe in der Regel nicht von einzelnen Hackern durchgeführt werden, sondern dahinter häufig ganze Angreifergruppierungen oder -organisationen stehen, sind die Angreifer in der Regel als kriminelle Vereinigung nach § 129 beziehungsweise § 129a StGB einzuordnen. Die Unterstützung krimineller Vereinigungen steht in Deutschland unter Strafe.

Die Zahlung von Geldern an eine kriminelle Vereinigung ist zudem als strafbare Unterstützungshandlung anzusehen; dies gilt auch, wenn es sich dabei um ein Lösegeld handelt, welches nicht mit der Absicht gezahlt wird, die Ziele der Angreifergruppierung zu befürworten oder weitere Straftaten zu ermöglichen. Denn es ist ausreichend, wenn die zahlende Geschäftsleitung es zumindest für möglich hält und billigend in Kauf nimmt, dass die Zahlung eine solche Organisation unterstützt. Dies wird regelmäßig der Fall sein. Daher kann eine Lösegeldzahlung den Straftatbestand grundsätzlich erfüllen.

Zu berücksichtigen ist dabei allerdings, dass sich die betroffenen Unternehmen in einer großen Drucksituation befinden und bei einer Nichtzahlung des geforderten Lösegelds auch schwerwiegende Folgen für das Opfer, aber auch Dritte (zum Beispiel Personen, deren personenbezogene Daten veröffentlicht würden) im Raum stehen. Insoweit liegt eine sogenannte Notstandslage vor. Das Opfer des Ransomware-Angriffs hat gewissermaßen keine Wahl, ist möglicherweise aufgrund von Management- oder Sorgfaltspflichten sogar zur Lösegeldzahlung angehalten, um weiteren Schaden von dem Unternehmen abzuwenden.

Interessenabwägung notwendig

Rechtstheoretisch ist umstritten, ob ein solcher Nötigungsnotstand die Schuld des Handelnden entfallen lässt oder das Handeln sogar rechtfertigt - beide Theorien haben jedoch gemein, dass im Einzelfall eine Interessenabwägung zwischen dem bedrohten Rechtsgut des Opfers und dem Rechtsgut, in das bei einer Lösegeldzahlung eingegriffen wird, vorzunehmen ist.

§ 129 StGB schützt die Rechtsgüter der inneren öffentlichen Sicherheit und staatlichen Ordnung einschließlich des öffentlichen Friedens. Diese wären bei einer Zahlung des geforderten Lösegelds aber nur abstrakt und in eher geringem Maße betroffen. Dem gegenüber stehen als Rechtsgüter des Erpressungsopfers bzw. der weiteren möglicherweise betroffenen Personen Eigentum, die Freiheit der Berufsausübung und auch die informationelle Selbstbestimmung, sowie je nach Branche gegebenenfalls weitere Rechtsgüter wie beispielsweise die Gesundheit von Personen.

Angesichts der schweren Auswirkungen, die ein Ransomware-Angriff auf ein Unternehmen, seine Beschäftigten und Kunden haben kann und die sogar existenzbedrohend sein können, wird die Interessenabwägung regelmäßig zugunsten des Zahlenden ausfallen. Im Ergebnis bestehen daher häufig gute Gründe, die dafür sprechen, dass am Ende keine Strafe verhängt wird. Dies ist auch auf die oben genannten weiteren möglichen Straftatbestände für Lösegeldzahlungen anwendbar.

Ermittlungsschwerpunkt liegt auf dem Angriff

Anzumerken ist dabei, dass in Deutschland bisher keine öffentlichkeitswirksamen Ermittlungen respektive Verurteilungen gegen Geschäftsleitungen, die Lösegeldzahlungen nach Ransomware-Angriffen geleistet haben, bekannt sind. Es ist daher nicht zu erwarten, dass die Strafverfolgungsbehörden zukünftig einen Schwerpunkt auf die Lösegeldzahlungen an sich legen werden, sondern weiterhin die Verfolgung der Angreifer fokussieren.

Zu beachten ist dabei, dass sich mit der International Counter Ransomware Initiative (ICRI) 50 Staaten - darunter auch Deutschland - zusammengeschlossen haben, um sich im Kampf gegen Ransomware zu stärken und gegenseitig zu unterstützen. Zu den Zielen der Initiative gehören nicht nur die Abstimmung bei der Verfolgung der Angreifer und die Stärkung der Abwehr gegen Ransomware-Angriffe, sondern auch die Bekämpfung der Finanzierung der Ransomware-Kriminalität.

So haben die teilnehmenden Staaten erklärt, dass jedenfalls Regierungsbehörden bzw. diesen unterstehende Behörden keine Lösegelder bei Ransomware-Angriffen bezahlen sollen. Angesichts der geplanten Gesetzesinitiativen in den USA in Bezug auf ein Verbot von Lösegeldzahlungen ist daher nicht auszuschließen, dass auch Deutschland die Regeln für Lösegeldzahlungen verschärfen wird. Daher sollten Unternehmen die rechtliche Entwicklung in Bezug auf Lösegeldzahlungen aufmerksam verfolgen.

Handlungsempfehlungen

Unternehmen sollten sich jedoch darüber im Klaren sein, dass die Zahlung von Lösegeldern nicht ohne Weiteres alle Probleme und Risiken aus einem Ransomware-Angriff beseitigt. Da IT-Systeme auch nach einer Lösegeldzahlung weiterhin infiltriert sein können, dürfen erforderliche Untersuchungen, Beseitigungs- und Härtungsmaßnahmen keinesfalls vernachlässigt werden. Ansonsten besteht die Gefahr, dass es schon nach kurzer Zeit erneut zur erfolgreichen Verschlüsselung von Daten kommt.

Zudem gibt es mit der Bezahlung einer Lösegeldforderung keinerlei Garantie, dass Daten nicht doch veröffentlicht bzw. weiterverkauft werden oder eine Entschlüsselung der Daten ohne Weiteres möglich ist. Sind die Daten beispielsweise bereits unwiderruflich zerstört worden, hilft auch die Herausgabe dieser Daten dem Opfer nicht weiter.Für betroffene Unternehmen ist es unmöglich, abzusehen, ob die Lösegeldzahlung tatsächlich zum gewünschten Erfolg führt.

Daher sollten Unternehmen einen Schwerpunkt auf die Ergreifung wirksamer Maßnahmen zur Verhinderung von Ransomware-Angriffen legen. Im Rahmen der Prävention sind nicht nur angemessene technische Schutzmaßnahmen zu ergreifen. Insbesondere sind auch die Beschäftigten einzubeziehen und für mögliche Angriffsvektoren zu sensibilisieren. Zudem gilt: Wer möglichst tagesaktuelle (Offline-)Backups zur Verfügung hat, ist möglicherweise gar nicht auf die Zahlung von Lösegeldern angewiesen. Denn wenn die betroffenen Daten ohne Zutun der Cyberkriminellen schnell wiederhergestellt werden können, wird ihnen bereits kein Anknüpfungspunkt für etwaige Lösegelderpressungen gegeben.

Es ist darüber hinaus ratsam, im Vorfeld klare Strategien und Richtlinien zur Bewältigung von Ransomware-Angriffen zu definieren, um in einem solchen Fall schnell, effektiv und vorausschauend handeln zu können. Entscheidungshierarchien und Notfallpläne sollten daher ebenso bereits vor einer möglichen Cyberattacke feststehen wie kommunikationsstrategische Grundsätze. Teil dieser Maßnahmen sollte auch stets die rechtliche Begleitung des Angriffs sein, um Strafbarkeitsrisiken zu vermeiden, Meldepflichten zu erfüllen und eine Haftung gegenüber Vertragspartnern und natürlichen Personen beim Verlust von personenbezogenen Daten bestmöglich zu vermeiden.

Fazit: Es bleibt eine rechtliche Grauzone

Zusammenfassend lässt sich sagen, dass Lösegeldzahlungen bei Ransomware-Angriffen in Deutschland rechtlich gesehen eine Grauzone darstellen. Es gibt legitime Gründe dafür, eine solche Zahlung zu leisten, jedoch sollte dies immer im Einzelfall geprüft werden. Bestenfalls bereiten sich Unternehmen auf einen Ransomware-Angriff so gut vor, dass eine Lösegeldzahlung zur Entschlüsselung schon nicht erforderlich ist und sie daher von vornherein nicht vom Wohlwollen der Cyberkriminellen abhängig sind.

Die Studie "Ransomware 2024" ist jetzt im CIO Shop erhältlich.
Die Studie "Ransomware 2024" ist jetzt im CIO Shop erhältlich.
Foto: shutterstock.com - BeeBright / Research Services

Zur Studie 'Ransomware 2024' im Aboshop

Zur Startseite