Ransomware: Lösegeldzahlung kann rechtswidrig sein

Wenn aufgrund eines Verschlüsselungstrojaners (oder auch: „Ransomware“), wie z. B. „WannaCry“, die Unternehmensdaten verschlüsselt werden, steht man vor der Wahl, auf die Erpressung einzugehen und Lösegeld zu bezahlen oder die verschlüsselten Daten aus eigener Kraft über Backups wiederherzustellen oder sonst wie zu rekonstruieren. Oftmals ist die Bezahlung an die Ransomware-Gang wirtschaftlich attraktiver als die Rekonstruktion. Dies gilt umso mehr, wenn die Ransomware-Gang zusätzlich damit droht, Daten zu veröffentlichen. Wenig beleuchtet in diesem Kontext ist bislang die Frage, ob eine Zahlung an die Ransomware-Gang rechtswidrig ist.

Allgemeine Vorteile einer Bezahlung

Vorausgesetzt, die Ransomware-Gang verhält sich nach einer Bezahlung wie angekündigt, könnte ein Unternehmen die folgenden Vorteile einer Bezahlung erwägen:
  • Die Bezahlung kann die wirtschaftlich günstigste Lösung sein.
  • Es dürfte die schnellste Lösung sein.
  • Geheimes Know-how des Unternehmens bleibt geheim (wenn auch eine Veröffentlichung angedroht wird).
  • Der Vorgang kann insgesamt vielleicht „geheim“ gehalten werden.
  • Es entsteht kein zusätzliches Risiko hinsichtlich personenbezogener Daten (wenn für den Fall einer ausbleibenden Zahlung eine Veröffentlichung angedroht wird).
  • Möglicherweise sind verschiedene Meldepflichten nicht oder nur in geringerem Maße zu erfüllen. Es kann z. B. überlegt werden, ob Betroffene nach der DSGVO zu informieren sind, wenn die Daten Dritten nicht bekannt geworden sind und die Daten nur für einen verhältnismäßig kurzen Zeitraum nicht zur Verfügung standen. Dies ist unabhängig von der etwaigen Verpflichtung zur Meldung einer Datenpanne gegenüber der Datenschutz-Aufsichtsbehörde. Entsprechendes kann hinsichtlich der Informationspflichten als Betreiber einer kritischen Infrastruktur (IT-KRITIS) gelten und hinsichtlich der generellen Meldepflicht für Dienstleister gemäß § 15a Telemediengesetz sowie weiterer, spezialgesetzlicher Meldepflichten.
  • Falls eine Veröffentlichung angedroht wird, könnten Vertragsstrafen aus Geheimhaltungsvereinbarungen (NDA) verwirkt werden oder sich bereits verwirkte Vertragsstrafen erhöhen.

Allgemeine Nachteile einer Bezahlung

Neben den Nachteilen, die sich aus der bloßen Negation der oben dargestellten Vorteile ergeben, kann an die folgenden Nachteile zu denken sein:
  • Es besteht keine Gewissheit, dass sich die Ransomware-Gang wie angekündigt verhält und den Schlüssel zur Entschlüsselung der Daten herausgibt. Denkbar ist weiter, dass nachträgliche Forderungen gestellt werden und ansonsten z. B. eine Veröffentlichung der Daten angedroht wird.
  • Eine Bezahlung würde das kriminelle Verhalten der Ransomware-Gang generell fördern und insgesamt derartige Angriffe für das eigene sowie für andere Unternehmen auch in Zukunft wahrscheinlicher machen. Denkbar ist auch, dass dieselbe Gang in Zukunft versucht, weitere Sicherheitslücken des eigenen Unternehmens aufzufinden und auszunutzen, da das eigene Unternehmen im Falle einer Bezahlung dann als „einfacher Zahler“ bekannt ist.
  • Eine Bezahlung, wenn sie öffentlich bekannt wird, kann sich negativ auf das Image des Unternehmens auswirken.
  • Oftmals wird eine Bezahlung in einer Kryptowährung verlangt, z. B. Bitcoins. Die meisten Unternehmen werden über keine Beträge in Kryptowährung verfügen und müssen diese erst erwerben. Hierbei können sich gesonderte Risiken ergeben.

Lösegeldzahlung kann gegen Embargo verstoßen

Das US-Finanzministerium weist aktuell darauf hin, dass die Zahlung von Lösegeld rechtswidrig sein kann und – je nach betroffener Rechtsordnung – auch strafbar sein kann. Denn ein Eingehen auf die Lösegeldforderung kann eine Zahlung an Personen bedeuten, die über eine Sanktionenliste erfasst sind. Es kann also gegen ein Embargo verstoßen werden. Auf der Sanktionenliste sind zum einen bestimmte Länder aufgeführt. Zum anderen sind aber auch bestimmte Personen aufgeführt, die hinter Ransomwareangriffen stehen, z. B.: WannaCry, Cryptolocker, BitPaymer, Dridex und SamSam.

Von solchen Sanktionen erfasst sind nicht nur die Opfer, sondern auch sämtliche an einer Zahlung beteiligten Dienstleister.

Die Warnung des US-Finanzministeriums bezieht sich unmittelbar nur auf US-Recht. Dies kann sich auch auf Unternehmen in Deutschland direkt auswirken, z. B. wenn ein Tochterunternehmen in den USA besteht oder Vermögen in den USA vorliegt. Zum anderen kann sich ein Verstoß indirekt auswirken, wenn man irgendwie am US-Markt beteiligt ist, z. B. durch die Inanspruchnahme von US-Zulieferern oder -Dienstleistern oder einen dortigen Absatz von Waren und Dienstleistungen.

Soweit bekannt, ist die Warnung des US-Finanzministeriums die deutlichste, behördliche Warnung speziell in Bezug auf Ransomware. Auch auf Ebene der Bundesrepublik, der EU und der UN bestehen jedoch Embargos, die bei Zahlungen im Zusammenhang mit Ransomware-Lösegeldforderungen zu beachten sein können. Die Embargos können auch hier insbesondere länderbezogen und personenbezogen sein. So können etwa aufgrund von Art. 21 Abs. 1 EU-Verordnung 2017/1509 Zahlungen in die Demokratische Volksrepublik Korea (Nordkorea) problematisch sein. Dass die Identität oder der Aufenthaltsort der hinter dem Ransomwareangriff stehenden Personen und das Land, in das eine Zahlung per Kryptowährung erfolgt, in der Regel nicht bekannt sind, vereinfacht die Bewertung selbstverständlich nicht.

Das rechtliche Risiko eines Verstoßes gegen ein Embargo und die Frage, wie wahrscheinlich dies, ausgehend von den zur Verfügung stehenden Informationen ist, sollte jedoch in jedem Fall auf die Nachteilsliste aufgenommen und vor einer Zahlung sorgfältig geprüft werden.

Vertragsverstöße bei Lösegeldzahlung

Neben dem Verstoß gegen ein Embargo kommen im Falle von Lösegeldzahlungen weitere Verstöße in Betracht. Zu überprüfen ist z. B., ob gegen vertrgliche Regelungen verstoßen wird. Denn oftmals erfolgen gerade im Zusammenhang mit dem Abschluss von Rahmenvereinbarungen mit Zulieferern und Abnehmern Zusagen dahin, bestimmte Compliance-Maßnahmen einzuhalten, worunter regelmäßig bestimmte Zahlungen fallen oder Vorgänge im Bereich der Geldwäsche.

Spezielle polizeiliche Ansprechstellen und weitere Informationen

Für den Fall eines Cyberangriffs sei auf die folgenden polizeilichen Stellen hingewiesen, die auf die sofortige Behandlung von Cyberangriffen spezialisiert sind:

Bitte beachten Sie auch unseren Beitrag zu Schadensersatz im Falle von Kryptotrojanern / Verschlüsselungstrojanern / Ransomware.