Sind Lösegeldzahlungen bei Angriffen tabu?

Wird ein Unternehmen Opfer einer Ransomware-Attacke, folgt meist eine Lösegeldforderung der Cyberkriminellen. Für das betroffene Unternehmen stellt sich dann die Frage, ob auf eine solche Forderung zur Wiederherstellung verschlüsselter Daten überhaupt eingegangen werden soll.

Von der Zahlung von Lösegeld wird seitens Straf- und Untersuchungsbehörden, aber auch durch das BACS mit Nachdruck abgeraten. Denn: Mit dem Erhalt von Lösegeld erreichen die Hacker ihr Ziel, was verhindert werden muss. Zudem wird dadurch der Kreislauf der Wirtschaftskriminalität finanziert und am Leben erhalten.

Dem ist nicht grundsätzlich zu widersprechen. Dennoch bleibt offen, wie ein betroffenes Unternehmen mit diesem Dogma umgehen soll: Sind Lösegeldzahlungen in jedem Fall ein Tabu? Also auch dann, wenn dies als einziger Ausweg bleibt, um innert nützlicher Frist wieder an geschäftskritische verschlüsselte Daten zu gelangen?

Bei einer erfolgreichen Cyberattacke muss ein Unternehmen alle Optionen prüfen, um Schaden vom Unternehmen abzuwenden oder möglichst zu minimieren. Steht kein Backup der verschlüsselten Daten zur Verfügung und können die betroffenen Daten nicht anderweitig entschlüsselt oder wiederhergestellt werden, muss aus unternehmerischer Sicht auch die Zahlung von Lösegeld als Möglichkeit zur Wiedererlangung der Daten in Betracht gezogen werden – jedenfalls dann, wenn es sich um geschäftskritische Daten handelt und das Risiko existenzbedrohender Betriebsausfälle droht.

Dies soll kein Plädoyer für Lösegeldzahlungen sein! Stereotype behördliche Ablehnung und Stigmatisierung solcher Zahlungen helfen einem betroffenen Unternehmen jedoch nicht weiter. Vielmehr muss sich das Unternehmen fragen, ob Lösegeldzahlungen rechtlich zulässig sind und wann sie im Einzelfall unter Abwägung aller auf dem Spiel stehender Güter eine Option darstellen können.

Die Zulässigkeit von Lösegeldzahlungen wird international nicht einheitlich beurteilt. In der Schweiz sind Lösegeldzahlungen meist nicht strafbar. In ­einem solchen Fall liegt keine Geldwäscherei vor und eine mit der Zahlung allfällig ­verbundene Unterstützung einer kriminellen Organisation lässt sich mit Notstand rechtfertigen.

Vorsicht ist dort geboten, wo konkrete Hinweise bestehen, dass die Erpresser einem sanktionierten Personenkreis angehören oder dass die Zahlungen einer sanktionierten Institution oder einem mit einem Embargo belegten Staat zu Gute kommen.

Wird von der Zulässigkeit ausgegangen, stellt sich die Frage, in welchen Situationen eine Lösegeldzahlung ein taugliches Mittel zur Wiedererlangung der Daten darstellen kann. Dabei sind verschiedene Kriterien zu berücksichtigen:

Erwägt ein Unternehmen die Zahlung von Lösegeld, empfiehlt sich der Beizug spezialisierter Verhandler, die versuchen, die Forderung möglichst zu reduzieren und dabei auch nützliche Informationen über die Erpresser zu gewinnen (z. B. Zugehörigkeit zu einer Bande, Herkunft, Verlässlichkeit).

Auch kann die Involvierung der Strafbehörden sinnvoll sein. Etwa um eine Lösegeldzahlung in Kryptowährung nachzuverfolgen und damit möglicherweise die Täter aufzuspüren. Ein vorgängiges informelles Gespräch mit Strafverfolgungsbehörden kann zudem Aufschluss über den (nach unseren Erfahrungen meist geringen) behördlichen «Appetit» geben, die Zahler von Lösegeld strafrechtlich zu belangen und damit die Opfer zu Tätern zu machen.

Vor Leistung der Lösegeldzahlung sollte die Tauglichkeit und Funktionsfähigkeit des Schlüssels an einem Teil der betroffenen Daten getestet werden. Bieten die Erpresser keinen Test an oder scheitert dieser, ist dies meist ein starkes Indiz, von der Zahlung abzusehen.

Fazit: Die Zahlung von Lösegeld bei einem Ransomware-Angriff soll wenn immer möglich vermieden werden. Fehlen wirksame Alternativen und sind die Erfolgsaussichten intakt, sollte sie als ultima ratio jedoch in die Erwägungen einbezogen statt kategorisch stigmatisiert werden.