Lösegeldzahlungen bei Ransomware-Angriffen : Cyberkriminalität trifft auf unvorbereitetes Strafrecht

Für betroffene Unternehmen stellt sich in dieser Situation jedoch auch die Frage, ob die Zahlung eines geforderten Lösegeldes ebenfalls rechtliche Konsequenzen nach sich ziehen kann. Die Antwort lautet wie so oft im Recht: Es kommt darauf an.

Strafrechtliche Einordnung

Ransomware-Angriffe sind strafrechtlich unter mehreren Gesichtspunkten relevant: Die Täter hinter einer solchen Attacke machen sich regelmäßig wegen einer Erpressung gemäß § 253 Strafgesetzbuch (StGB) strafbar, ebenso kann das sogenannte Computerstrafrecht nach §§ 202a ff. StGB zur Anwendung kommen. Darüber hinaus kommt eine Strafbarkeit wegen Bildung einer kriminellen Vereinigung in Betracht (§ 129 StGB).

Anknüpfend an den letzten Tatbestand beginnt jedoch auch das Problem für Opfer von Ransomware-Angriffen, die Lösegeld bezahlen: Die deutsche Rechtsordnung enthält zwar keinen allgemeingültigen Rechtssatz, nach dem die Zahlung von Lösegeld im Kontext eines Ransomware-Angriffs eine strafbare Handlung darstellen würde. Dennoch bestehen nicht zu vernachlässigende Strafbarkeitsrisiken, wenn man solchen Lösegeldforderungen nachkommt: Denn die Vornahme der Zahlung selbst wird unter Umständen als Unterstützung einer kriminellen Vereinigung gemäß § 129 Abs. 1 Satz 2 Var. 1 StGB angesehen – und in Deutschland steht die Unterstützung solcher krimineller Vereinigungen unter Strafe.

In Betracht kommen weiterhin – je nach Einzelfall – unter anderem auch Verstöße gegen Finanzsanktionsregelungen (§ 18 AWG in Verbindung mit EU-Sanktionslistenverordnungen), Terrorismusfinanzierung (§ 89c StGB), Geldwäsche (§ 261 StGB) oder Untreue (§ 266 StGB).

Risiko für Unternehmensverantwortliche

Das größte strafrechtliche Risiko für Betroffene ergibt sich bei Lösegeldzahlungen im Hinblick auf den Tatbestand der Unterstützung krimineller Vereinigungen. Dafür müssen aus strafrechtlicher Perspektive zwei objektive Tatbestandsmerkmale verwirklicht sein: Zum einen muss tatsächlich eine kriminelle Vereinigung Empfängerin der Lösegeldzahlung sein. Da Ransomware-Angriff e regelmäßig nicht von einzelnen Tätern durchgeführt werden, sondern dahinter häufig ganze Angreifergruppierungen oder -organisationen stehen, sind diese jedoch in der Regel als kriminelle Vereinigung im Sinne des § 129 StGB einzuordnen.

Des Weiteren muss eine „taugliche Unterstützungshandlung“ vorliegen: Auch wenn es auf den ersten Blick nicht so scheinen mag, fällt eine erzwungene Zahlung durchaus unter den Begriff des „Unterstützens“, wenn man dessen Bedeutung und Zweck genauer betrachtet – die Zuwendung von finanziellen Mitteln ist sogar ein klassischer Fall des Unterstützens. Auf der subjektiven Ebene muss die zahlende Geschäftsleitung darüber hinaus zumindest mit bedingtem Vorsatz gehandelt haben – das heißt: zumindest billigend in Kauf genommen haben, dass ihre Zahlung an eine kriminelle Vereinigung fließt und diese unterstützt.

Durch die steigende Bedrohungslage im Cyberraum ist davon auszugehen, dass sich Unternehmensverantwortliche regelmäßig bewusst sein werden, dass hinter Ransomware-Angriff en organisierte Kriminalität steckt und sie mit der Lösegeldzahlung weitere Straftaten fördern könnten. Dies gilt auch, wenn das Lösegeld nicht mit der konkreten Absicht gezahlt wird, die Ziele der Angreifergruppierung zu befürworten oder weitere Straftaten zu ermöglichen. Es ist vielmehr ausreichend, wenn die Geschäftsleitung es zumindest für möglich hält und billigend in Kauf nimmt, dass die Zahlung eine solche Organisation unterstützt – und dies wird regelmäßig der Fall sein.

Gleichzeitig ist jedoch zu beachten, dass der Lösegeldforderung in der Regel nicht aus freien Stücken nachgekommen wird. Anknüpfend an diese Tatsache rückt ein Ausweg aus der Strafbarkeit in den Blick: Die Vornahme einer solchen Zahlung könnte strafrechtlich gerechtfertigt (§ 34 StGB) oder entschuldigt (§ 35 StGB) sein. Denn das erpresste Unternehmen steht unter erheblichem Druck, da eine Weigerung, das geforderte Lösegeld zu zahlen, nicht nur gravierende Folgen für es selbst, sondern auch für Dritte haben kann – etwa für Personen, deren personenbezogene Daten im Falle einer Veröffentlichung kompromittiert würden.

Insoweit befindet sich das betroffene Unternehmen aus rechtlicher Perspektive zweifellos in einer Notstandslage, da es gewissermaßen „keine Wahl“ hat und möglicherweise aufgrund von Management- oder Sorgfaltspflichten sogar zur Lösegeldzahlung angehalten ist, um weiteren Schaden von dem Unternehmen abzuwenden. Ob eine solche Lösegeldzahlung damit möglicherweise strafrechtlich gerechtfertigt oder entschuldigt sein könnte, wird indes nicht einheitlich beurteilt und ist – wie so oft – umstritten.

Interessenabwägung notwendig

Im Kontext von Ransomware-Angriff en handelt das zahlende Unternehmen in einem sogenannten Nötigungsnotstand – es wird zur Begehung einer Straftat nach § 129 Abs. 1 Satz 2 StGB genötigt. Rechtstheoretisch ist umstritten, ob ein solcher Nötigungsnotstand die Schuld des Handelnden entfallen lässt oder dieses Handeln sogar rechtfertigt. Gemeinsamer Ausgangspunkt beider Ansätze ist jedoch die Erforderlichkeit einer einzelfallbezogenen Interessenabwägung zwischen dem bedrohten Rechtsgut des Erpressungsopfers und dem Rechtsgut, das im Falle einer Lösegeldzahlung beeinträchtigt wird.

Entscheidend ist im Rahmen dieser Interessenabwägung, dass die Interessen des Genötigten gegenüber den Interessen möglicher Dritter beziehungsweise der Allgemeinheit (erheblich) überwiegen. § 129 StGB schützt die Rechtsgüter der inneren öffentlichen Sicherheit und staatlichen Ordnung einschließlich des öffentlichen Friedens. Diese Rechtsgüter wären im Falle einer Lösegeldzahlung jedoch lediglich abstrakt und in eher geringem Maße betroffen. Für die erpressten Unternehmen sprechen demgegenüber vor allem die Vermeidung erheblicher wirtschaftlicher Schäden, die Offenlegung sensibler Daten des Unternehmens, seiner Mitarbeiter und Kunden und die Abwehr eines drohenden Reputationsverlusts. Abhängig von der Branche können zudem weitere Rechtsgüter, wie etwa die Gesundheit von Menschen, maßgeblich betroffen sein.

Je größer die verschlüsselte Datenmenge, je zahlreicher die betroffenen Rechtsgutsträger (etwa Kunden großer Unternehmen) und je sensibler die kompromittierten Daten (wie Geschäftsgeheimnisse oder personenbezogene Informationen), desto höher ist das schutzwürdige Interesse des betroffenen Unternehmens einzustufen. Demgegenüber nimmt das Interesse der Allgemeinheit mit der Höhe des geforderten Lösegelds und dem damit verbundenen Unterstützungsbeitrag zur kriminellen Vereinigung zu – ebenso steigt es mit der Gefährlichkeit der unterstützten Gruppierung.

Angesichts von Lösegeldzahlungen, die mittlerweile beträchtliche Summen erreichen, dürfte die Abwägung daher regelmäßig nicht mehr zugunsten eines zahlenden Unternehmens ausfallen: Denn je höher die Zahlung ausfällt, desto stärker wird die kriminelle Vereinigung unmittelbar gefördert, was ihre Gefährlichkeit erheblich steigert.

Ist eine Lösegeldzahlung weder gerechtfertigt noch entschuldigt, verbleibt allerdings als Ausweg noch Handlungsspielraum auf strafprozessrechtlicher Ebene: So kann die Staatsanwaltschaft nach § 153c Abs. 1 Satz 1 Nr. 3 StPO von einer Verfolgung absehen, wenn sich die Vereinigung im Ausland befindet. Darüber hinaus ist nach der sogenannten „Mitläuferklausel“ des § 129 Abs. 6 StGB ein Absehen von Strafe bei geringer Schuld und Unterstützung von untergeordneter Bedeutung möglich. Dies ist hingegen lediglich dann naheliegend, wenn das Erpressungsopfer nur einen geringeren Geldbetrag bezahlt – wie bereits dargelegt, kann bei hohen Lösegeldsummen eine untergeordnete Bedeutung der Zahlung in der Regel nicht mehr angenommen werden.

Problematische Rechtsunsicherheit

Vor dem Hintergrund der eingangs dargestellten Bedrohungslage und der Feststellung, dass die Vornahme von Lösegeldzahlungen ein Strafbarkeitsrisiko darstellt, ist fraglich, ob das geltende Recht dieser Situation noch gerecht wird.

Solange die bisherigen gesetzlichen Rahmenbedingungen unverändert fortbestehen, verbleibt im Falle einer Lösegeldzahlung das nicht zu vernachlässigende Risiko eines Ermittlungsverfahrens gegen die Entscheidungsträger im Unternehmen. Die lösegeldzahlenden Erpressungsopfer werden aufgrund der unklaren Rechtslage somit dem – nicht hinnehmbaren – Risiko ausgesetzt, sich strafbar zu machen. Ransomware-Angriffe machen primär das angegriffene Unternehmen zum Opfer. Anstatt dieses als Opfer einer Straftat zu betrachten, das in einer Krise auf staatliche Unterstützung angewiesen ist, führt die bestehende Rechtsunsicherheit im Rahmen von § 129 StGB jedoch zu einer Verzerrung der Täter- und Opferrolle.

Offensichtlich ist, dass das kriminelle Geschäftsmodell mit Ransomware nicht mehr funktionieren würde, wenn „niemand“ mehr den Lösegeldforderungen nachkommen würde – dementsprechend wird die Vornahme einer Lösegeldzahlung grundsätzlich nicht empfohlen [4]. Vor diesem Hintergrund plant die britische Regierung derzeit ein Verbot von Lösegeldzahlungen durch öffentliche Einrichtungen, um die Cyberkriminalität einzudämmen. Diese Maßnahme soll die Geschäftsgrundlage der Cyberkriminellen treffen und die Sicherheit im öffentlichen Sektor stärken.

Ein generelles Verbot von Lösegeldzahlungen würde indessen zu unvertretbaren Härtefällen führen und wirft ebenso die Frage auf, ob dies Ransomware-Angriffe tatsächlich effektiv unterbinden könnte. Ebenfalls zu berücksichtigen ist hierbei, dass die Kriminalisierung von Lösegeldzahlungen unter Umständen mehr Schaden anrichten kann als sie verhindert, indem sie Unternehmen in unlösbare Konflikte zwischen Schadensbegrenzung und Strafvermeidung stürzt. Im Lichte der vorangegangenen Ausführungen wird somit deutlich, dass ein kontinuierlicher Teufelskreis von Angriffen, Zahlungen und Strafbarkeitsrisiken entsteht, der ohne gesetzliche Intervention stetig zunehmen könnte.

Des Weiteren besteht eine rechtliche Inkonsistenz: Während die Zahlung an eine organisierte Angreifergruppierung strafbar sein kann, bleibt die Zahlung an Einzeltäter unter Umständen straffrei. Besonders im Zeitalter von „Ransomware as a Service“ offenbart sich hierin ein erheblicher Wertungswiderspruch, der dringend einer gesetzlichen Klarstellung bedarf.

Neubewertung von Lösegeldzahlungen im Kontext des § 129 StGB

Derzeit ist das Risiko eines Schuldspruchs bei einer Lösegeldzahlung zwar als vergleichsweise gering anzusehen, sodass sich die Dringlichkeit einer Auflösung dieser rechtlichen „Grauzone“ (noch) nicht unmittelbar aufdrängen mag. Indes wird dieses Risiko mit der fortschreitenden Verbreitung von Ransomware unweigerlich steigen, zumal mehr als die Hälfte der angegriffenen Unternehmen den Lösegeldforderungen nachkommen [1] – dementsprechend dürfte in absehbarer Zeit das Strafrecht zwangsläufig als Steuerungsinstrument herangezogen werden.

Spätestens wenn sich das volle Ausmaß dieser Bedrohung durch Angriff e auf kritische Infrastrukturen und Einrichtungen der Daseinsvorsorge zeigt, wird eine gesetzliche Klarstellung aus Gründen der Rechtssicherheit erforderlich und unvermeidlich sein. Daher bedarf § 129 StGB einer umfassenden rechtlichen Neubewertung und Überarbeitung. Einer solchen gesetzlichen Klarstellung könnte man sich aus verschiedenen Blickwinkeln nähern:

• Ein Ansatz ist die restriktive Anwendung des geltenden Rechts, indem die Vorschrift des § 129 Abs. 1 Satz 2 StGB im objektiven („Unterstützen“) oder im subjektiven (Erhöhung der Vorsatzschwelle, d. h. höhere Anforderungen an die Absicht der handelnden Personen) Tatbestand restriktiver auszulegen ist.
• Ebenfalls möglich und sinnvoll wäre es, im Falle eines Nötigungsnotstands eine Rechtfertigung (§ 34 StGB) oder hilfsweise eine Entschuldigung (§ 35 StGB) in analoger Anwendung anzuerkennen.
• Ein weiterer Ansatz wäre die Schaffung eines Regel-Ausnahme-Verhältnisses: Zu denken ist etwa an die Einführung eines neuen Paragrafen oder Absatzes, der eine spezifische Ausnahmeregelung im Kontext von Lösegeldzahlungen enthält. Dieser könnte beispielsweise vorschreiben, dass Unternehmen, die sich zur Zahlung von Lösegeld entschließen, dies nur unter bestimmten Voraussetzungen tun dürfen – etwa nach vorheriger Meldung des Angriff s an die zuständigen Behörden und in Absprache mit diesen. Für die handelnden Personen, die mit den zuständigen Behörden kooperieren, wäre somit ermessensunabhängige Straffreiheit normiert. Dies würde nicht nur den rechtlichen Rahmen klären, sondern auch den Schutz der Betroffenen stärken und gleichzeitig verhindern, dass der Grundgedanke des § 129 StGB untergraben wird.

Fazit

Betrachtet man die vergangenen Monate, so wird deutlich: Ransomware-Angriff e wird es immer geben und ein Ende dieser Kriminalitätsform ist nicht in Sicht – das Geschäft mit den verschlüsselten Daten ist noch immer zu lukrativ. Das Strafgesetzbuch spiegelt die aktuellen Herausforderungen im Kontext von Ransomware-Angriff en jedoch nur unzureichend wider – bisher hat sich der Gesetzgeber mit der Lösegeldproblematik nicht auseinandergesetzt. Insofern bedarf das Strafrecht in Sachen Ransomware einer Überarbeitung.

Insgesamt ist daher festzuhalten, dass Lösegeldzahlungen bei Ransomware-Angriff en in Deutschland aus rechtlicher Perspektive eine Grauzone darstellen: Es können durchaus nachvollziehbare Gründe für eine Zahlung bestehen, jedoch sollte eine solche Entscheidung stets unter Berücksichtigung der strafrechtlichen und wirtschaftlichen Risiken sorgfältig geprüft werden!

Angesichts der damit verbundenen Rechtsunsicherheit und aufgrund der Bedrohungslage ist es natürlich von erheblicher Bedeutung, IT-Systeme gegen entsprechende Vorfälle abzusichern. Dennoch werden sich Ransomware-Angriff e auch zukünftig nicht gänzlich vermeiden lassen. Daher gilt es, nach Wegen zu suchen, wie im Umgang mit Lösegeldzahlungen Rechtssicherheit hergestellt werden kann.

Prof. Dr. Dennis-Kenji Kipker ist wissenschaftlicher Direktor des cyberintelligence.institute in Frankfurt am Main. Jaqueline Emmerich ist Doktorandin an der Albert-Ludwigs-Universität Freiburg im Bereich Cybersicherheitsrecht und wissenschaftliche Mitarbeiterin bei Bird & Bird LLP.

Literatur

_{[1] Sophos, Ransomware-Report 2024, Ergebnisse einer unabhängigen Befragung von 5000 IT-/Cybersecurity-Entscheidern aus 14 Ländern, Whitepaper, April 2024, www.sophos.com/de-de/content/state-ofransomware}

_{[2] Bitkom, Wirtschaftsschutz 2024, Vortragsfolien, August 2024, www.bitkom.org/sites/main/fi les/ 2024-08/240828-bitkom-charts-wirtschaftsschutzcybercrime.pdf}

_{[3] Bundeskriminalamt (BKA), Bundeslagebild Cybercrime 2023, Mai 2024, www.bka.de/SharedDocs/Downloads/DE/Publikationen/JahresberichteUndLagebilder/Cybercrime/cybercrimeBundeslagebild2023.Html} 

_{[4] Bundesamt für Sicherheit in der Informationstechnik (BSI), Lage der IT-Sicherheit 2024, November 2024, www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/Lageberichte/Lagebericht2024.html}