Gastbeitrag
11.03.2022, 07:30 Uhr
Rechtliche Fragen bei Lösegeldzahlung
Bei Ransomware-Attacken wird den Opfern von der Bezahlung von Lösegeld (Ransom) meist aus grundsätzlichen Überlegungen abgeraten. Oft haben die betroffenen Unternehmen aber kaum eine andere Wahl. Welche rechtlichen Fragen stellen sich hierbei?
Ransomware stellt die verbreitetste Kategorie von Cyberattacken dar. Hierbei werden Daten und IT-Systeme des Opfers durch die Angreifer verschlüsselt. Für die Entschlüsselung wird ein Lösegeld (Ransom) verlangt. Bei der Frage, ob dieses bezahlt werden soll, spielen neben generellen auch rechtliche Überlegungen eine wichtige Rolle. Hierauf wird im Folgenden eingegangen.
Das Nationale Zentrum für Cybersicherheit sowie Strafverfolgungsbehörden raten von der Bezahlung von Lösegeld bei Ransomware-Attacken grundsätzlich ab. Begründet wird dies mit drei Überlegungen: Zunächst biete die Zahlung von Ransom keine Gewähr für den Erhalt der Mittel zur Datenentschlüsselung; Erfahrungswerte zeigen jedoch, dass in etwa 90 Prozent der Fälle die Schlüssel effektiv ausgehändigt werden, womit dieses Argument nicht greift. Stichhaltiger ist die Begründung, dass mit einer Lösegeldzahlung das von den Cyberkriminellen betriebene System finanziell unterhalten und gefördert werde. Auch das Argument, durch Zahlung von Ransom zu einem attraktiven Zielobjekt für Wiederholungstäter und Nachahmer zu werden, muss ernst genommen werden, jedenfalls dann, wenn die Namen der zahlungswilligen Unternehmen (zum Beispiel im Darknet) herumgereicht werden.
Die Qual der fehlenden Wahl
Trotz dieser Bedenken haben die von Ransomware-Attacken betroffenen Unternehmen oftmals kaum eine andere Wahl, als auf die Lösegeldforderung einzugehen. Dies trifft dann zu, wenn nicht nur produktive Daten, sondern auch Backups verschlüsselt wurden. Sofern in solchen Situationen eine Datenrekonstruktion überhaupt möglich wäre, wird sie häufig aufwendiger und damit teurer sein als eine Lösegeldzahlung. Selbst Firmen mit aktuellem und unverschlüsseltem Backup werden dann eine Zahlung von Ransom erwägen, wenn ihre Daten von den Angreifern nicht nur verschlüsselt, sondern auch exfiltriert wurden und wenn deren Veröffentlichung angedroht wird.
Zahlung ist rechtlich meist zulässig
Wird eine Lösegeldzahlung in Betracht gezogen, fragt sich, ob aus rechtlicher Sicht etwas gegen eine Zahlung spricht, also ob eine Zahlung unzulässig oder gar strafbar ist.
Eine Lösegeldzahlung kann zunächst einen Tatbestand aus dem Strafgesetzbuch erfüllen. Infrage kommen hierbei vorab die Tatbestände der Unterstützung einer kriminellen oder terroristischen Organisation, der Terrorismusfinanzierung, der Begünstigung oder der Geldwäscherei. Obwohl eine Ransom-Zahlung eine finanzielle Unterstützung darstellt, ist eine Zahlung durch das Opfer einer Cyberattacke (oder zu dessen Gunsten) nicht strafbar. Für eine Terrorismusfinanzierung fehlt es an der hierfür erforderlichen Absicht. Auch eine Begünstigung liegt nicht vor, wird durch die Zahlung die Strafverfolgung doch nicht vereitelt oder erschwert – im Gegenteil kann die Spur einer Lösegeldzahlung in Kryptowährung zu den Angreifern führen. Für Geldwäscherei schliesslich müssen die Vermögenswerte aus krimineller Tätigkeit stammen, was in Bezug auf das Opfer der Cyberattacke kaum der Fall sein wird.
Demgegenüber kann die Zahlung von Lösegeld an Cyberkriminelle durch Sanktions- und Embargovorschriften untersagt sein. In den meisten Fällen bleiben die Angreifer anonym, womit ein Verstoss gegen solche Vorschriften kaum dargetan werden kann. Ist die Identität der Cyberkriminellen (respektive von deren Organisation oder des dahinterstehenden Staats) jedoch bekannt, sollte geprüft werden, ob der Empfänger der Ransom-Zahlung auf einer Sanktionsliste aufgeführt ist. In jedem Fall empfiehlt sich in solchen Fällen eine vorgängige Absprache mit den hierfür zuständigen Behörden, um eine Sanktionierung durch die Embargo-Gesetzgebung zu vermeiden.
Der Autor
Roland Mathys ist Co-Leiter der Rechtskommission von swissICT. Der Rechtsanwalt und Wirtschaftsinformatiker leitet als Partner das Technologie- und Datenrechtsteam von Schellenberg Wittmer Rechtsanwälte in Zürich. Die Rechtskommission von swissICT berichtet in der Kolumne «Recht & IT» über aktuelle juristische Themen im digitalen Bereich. www.swissict.ch