Rechtliche Fragen bei Lösegeldzahlung

Ransomware stellt die verbreitetste Kategorie von Cyberattacken dar. Hierbei werden Daten und IT-Systeme des Opfers durch die Angreifer verschlüsselt. Für die Entschlüsselung wird ein Lösegeld (Ransom) verlangt. Bei der Frage, ob dieses bezahlt werden soll, spielen neben generellen auch rechtliche Überlegungen eine wichtige Rolle. Hierauf wird im Folgenden eingegangen.

Das Nationale Zentrum für Cybersicherheit sowie Strafverfolgungsbehörden raten von der Bezahlung von Lösegeld bei Ransomware-Attacken grundsätzlich ab. Begründet wird dies mit drei Überlegungen: Zunächst biete die Zahlung von Ransom keine Gewähr für den Erhalt der Mittel zur Datenentschlüsselung; Erfahrungswerte zeigen jedoch, dass in etwa 90 Prozent der Fälle die Schlüssel effektiv ausgehändigt werden, womit dieses Argument nicht greift. Stichhaltiger ist die Begründung, dass mit einer Lösegeldzahlung das von den Cyberkriminellen betriebene System finanziell unterhalten und gefördert werde. Auch das Argument, durch Zahlung von Ransom zu einem ­attraktiven Zielobjekt für Wiederholungstäter und Nach­ahmer zu werden, muss ernst genommen werden, jedenfalls dann, wenn die Namen der zahlungswilligen Unternehmen (zum Beispiel im Darknet) herumgereicht werden.

Trotz dieser Bedenken haben die von Ransomware-Attacken betroffenen Unternehmen oftmals kaum eine andere Wahl, als auf die Lösegeldforderung einzugehen. Dies trifft dann zu, wenn nicht nur produktive Daten, sondern auch Backups verschlüsselt wurden. Sofern in solchen Situationen eine Datenrekonstruktion überhaupt möglich wäre, wird sie häufig aufwendiger und damit teurer sein als eine Lösegeldzahlung. Selbst Firmen mit aktuellem und unverschlüsseltem Backup werden dann eine Zahlung von Ransom erwägen, wenn ihre Daten von den Angreifern nicht nur verschlüsselt, sondern auch exfiltriert wurden und wenn deren Veröffentlichung angedroht wird.

Wird eine Lösegeldzahlung in Betracht gezogen, fragt sich, ob aus rechtlicher Sicht etwas gegen eine Zahlung spricht, also ob eine Zahlung unzulässig oder gar strafbar ist.

Eine Lösegeldzahlung kann zunächst einen Tatbestand aus dem Strafgesetzbuch erfüllen. Infrage kommen hierbei vorab die Tatbestände der Unterstützung einer kriminellen oder terroristischen Organisation, der Terrorismusfinanzierung, der Begünstigung oder der Geldwäscherei. Obwohl eine Ransom-Zahlung eine finanzielle Unter­stützung darstellt, ist eine Zahlung durch das Opfer einer ­Cyberattacke (oder zu dessen Gunsten) nicht strafbar. Für eine Terrorismusfinanzierung fehlt es an der hierfür erforderlichen Absicht. Auch eine Begünstigung liegt nicht vor, wird durch die Zahlung die Strafverfolgung doch nicht vereitelt oder erschwert – im Gegenteil kann die Spur einer Lösegeldzahlung in Kryptowährung zu den Angreifern führen. Für Geldwäscherei schliesslich müssen die Vermögens­werte aus krimineller Tätigkeit stammen, was in Bezug auf das Opfer der Cyberattacke kaum der Fall sein wird.

Demgegenüber kann die Zahlung von Lösegeld an Cyberkriminelle durch Sanktions- und Embargovorschriften untersagt sein. In den meisten Fällen bleiben die Angreifer anonym, womit ein Verstoss gegen solche Vorschriften kaum dargetan werden kann. Ist die Identität der ­Cyberkriminellen (respektive von deren Organisation oder des dahinterstehenden Staats) jedoch bekannt, sollte geprüft werden, ob der Empfänger der Ransom-Zahlung auf einer Sanktionsliste aufgeführt ist. In jedem Fall empfiehlt sich in solchen Fällen eine vorgängige Absprache mit den hierfür zuständigen Behörden, um eine Sanktionierung durch die Embargo-Gesetzgebung zu vermeiden.