Ransomware-Angriffe
Ransomware-Angriffe gehören zu den häufigsten Formen der Cyberkriminalität, bei denen Angreifer Schadsoftware nutzen, um IT-Systeme eines Unternehmens zu verschlüsseln und somit für diese unzugänglich zu machen. Die Freigabe der Daten erfolgt in der Regel erst nach Zahlung eines Lösegelds. Diese Lösegeldzahlungen stellen Unternehmen vor immense Herausforderungen, da sie nicht nur wirtschaftliche und strategische Überlegungen erfordern, sondern auch erhebliche rechtliche Risiken bergen.
Nicht nur die Täter selbst machen sich bei einem Ransomware-Angriff strafbar, auch die Opfer können im Falle einer Lösegeldzahlung erhebliche rechtliche Risiken eingehen. Im Mittelpunkt steht dabei das Handeln des Geschäftsführers, insbesondere im Hinblick auf die Einhaltung seiner Sorgfaltspflichten und die schwierige Abwägung zwischen der Begrenzung möglicher Schäden und den damit verbundenen rechtlichen Risiken. Häufig stellt sich auch die Frage, ob eine Lösegeldzahlung unter bestimmten Umständen als gerechtfertigte Maßnahme zur Abwendung eines größeren Schadens für das Unternehmen oder Dritte angesehen werden kann. Daraus ergibt sich regelmäßig die zentrale Überlegung, ob und inwieweit die Schadensminderung eine rechtliche Rechtfertigung für die Zahlung von Lösegeld bieten kann.
Unternehmen sind angehalten, für den Krisenfall klare Handlungspläne und Kommunikationsstrategien im Vorhinein auszuarbeiten, die nicht nur die rechtliche und wirtschaftliche Perspektive berücksichtigen, sondern auch mögliche negative Auswirkungen auf die Reputation des Unternehmens minimieren. Dabei sollten auch die Kontaktdaten vertrauenswürdiger Spezialisten vorab notiert werden. Schließlich ist es entscheidend, dass alle Entscheidungen im Falle einer Cyberattacke rasch und professionell durchgeführt werden können.
Mögliche Straftatbestände bei Zahlungen von Lösegeld
- Untreue (§ 153 StGB): Der Tatbestand der Untreue ist verwirklicht, wenn jemand seine Befugnis, über fremdes Vermögen zu verfügen oder einen anderen zu verpflichten, wissentlich missbraucht und dadurch den anderen am Vermögen schädigt. Untreue liegt demnach nicht vor, wenn die Zahlung des Lösegeldes nach Abwägung sämtlicher Vor- und Nachteile in einer Gesamtbetrachtung im Sinne des Unternehmenswohls erfolgt. Es liegt kein Befugnismissbrauch vor, wenn die Entscheidung auf einer nachvollziehbaren Nutzenabwägung basiert. Auch die Frage, ob eine Cyberversicherung die Lösegeldzahlung deckt, ist bei der Beurteilung mitzuberücksichtigen. Schließlich schließt auch die Einwilligung sämtlicher Gesellschafter vor der Lösegeldzahlung als „Einwilligung des Machtgebers“ einen Befugnismissbrauch aus, sodass in diesem Fall eine Strafbarkeit wegen Untreue ausscheidet. Derartiges Fachwissen sollte auf den konkreten Fall richtig angewendet werden, bevor eine Lösegeldforderung leichtfertig bezahlt wird.
- Kriminelle Vereinigung (§ 278 StGB): Der Tatbestand der kriminellen Vereinigung ist dann erfüllt, wenn jemand eine kriminelle Vereinigung gründet oder sich an einer solchen als Mitglied beteiligt. Eine kriminelle Vereinigung ist ein auf längere Zeit angelegter Zusammenschluss von mehr als zwei Personen, der darauf ausgelegt ist, dass von einem oder mehreren Mitgliedern bestimme Straftaten ausgeführt werden. Wenn Ransomware-Angriffe von einer kriminellen Vereinigung begangen werden, könnte bei entsprechendem Vorsatz im Falle einer Lösegeldzahlung eine „Beteiligung“ als finanzielle Zuwendung an die kriminelle Vereinigung bejaht werden.
- Terroristische Vereinigung (§ 278b StGB) und Terrorismusfinanzierung (§ 278d StGB): Für eine strafbare Beteiligung an einer derartigen Tat wird vorausgesetzt, dass das Opfer des Ransomware-Angriffs weiß, dass die Zahlung der Lösegeldforderung einer terroristischen Vereinigung zufließt oder die Lösegeldforderung der Begehung eines Terrorismusdeliktes gewidmet ist. Dies kann im Regelfall nur dann bejaht werden, wenn die Cyberangreifer einen entsprechenden Bezug zu erkennen geben.
Rechtfertigungs- und Entschuldigungsgründe
Ist bei der Zahlung eines Lösegeldes eines der oben genannten Delikte erfüllt, kann die Strafbarkeit durch Rechtfertigungs- oder Entschuldigungsgründe entfallen. Aus strafrechtlicher Sicht kann entweder der rechtfertigende Notstand oder der entschuldigende Notstand (§ 10 StGB) in Betracht kommen:
Der rechtfertigende Notstand erlaubt im Gegensatz zur Notwehr auch Eingriffe in Rechtsgüter unbeteiligter Dritter. Das Rechtsgut, das gerettet werden soll, muss gegenüber dem beeinträchtigten Rechtsgut eindeutig höherwertig sein. Außerdem darf nur das gelindeste Mittel zur Abwehr gewählt werden. Bei Lösegeldforderungen ist insbesondere der Wert der verschlüsselten oder von den Tätern erlangten Daten und andere Möglichkeit zur Wiedererlangung der Daten und das angedrohte Verhalten für den Fall der Nicht-Zahlung zu berücksichtigen.
Am praxisrelevantesten ist bei Lösegeldzahlungen der entschuldigende Notstand (§ 10 StGB). Damit eine strafbare Handlung die Voraussetzungen des entschuldigenden Notstands erfüllt, muss sie insbesondere zur Abwendung eines unmittelbar drohenden bedeutenden Nachteils begangen worden sein. Zudem greift die Entschuldigung nur, wenn der Schaden aus der Abwehrtat nicht unverhältnismäßig schwerer als der abzuwendende Nachteil wiegt und von einem maßgerechten, mit den rechtlichen Werten verbundenen Menschen (Maßfigur) in der Lage des Täters kein anderes Verhalten zu erwarten gewesen wäre.
Im Allgemeinen bedarf diese Einordnung eine qualifizierte und detaillierte rechtliche Beurteilung durch Experten.
Business Judgement Rule und Lösegeldzahlungen
Neben der strafrechtlichen Beurteilung von Lösegeldzahlungen stellt sich auch die haftungsrechtliche Frage, ob eine solche Zahlung im Interesse der Gesellschaft liegt und in welchem Umfang eine Geschäftsführerhaftung in Frage kommt. Hierbei ist die Business Judgement Rule von zentraler Bedeutung, da sie eine Bewertung des Entscheidungsverhaltens des Geschäftsführers ermöglicht. Entscheidend ist, ob der Geschäftsführer seine Sorgfaltspflichten erfüllt und im Einklang mit der Sorgfalt eines ordentlichen und gewissenhaften Geschäftsmannes gehandelt hat.
Ein Geschäftsführer bzw Vorstandsmitglied handelt jedenfalls im Einklang mit der Sorgfalt eines ordentlichen Geschäftsmannes, wenn er sich bei einer unternehmerischen Entscheidung nicht von sachfremden Interessen leiten lässt und auf der Grundlage angemessener Information annehmen darf, zum Wohle der Gesellschaft zu handeln (§ 25 Abs 1a GmbHG bzw § 84 Abs 1a AktG)
Insbesondere ist eine genaue Prüfung und Abwägung der Vor- und Nachteile einer Lösegeldzahlung vorzunehmen und entsprechend zu dokumentieren. Da die Business Judgement Rule einen erheblichen Ermessens- und Interpretationsspielraum bietet, sollte ihre Anwendung in Ausnahmefällen wie einem Cyberangriff sorgfältig durch Experten geprüft werden, um mögliche Risiken für den Geschäftsführer und das Unternehmen zu minimieren.
Die Rolle des Rechtsanwalts
Bei der Entscheidung, ob ein Unternehmen nach einem Cybercrime-Angriff Lösegeld zahlen soll, ist die Hinzuziehung eines erfahrenen Rechtsanwalts für Cybercrime empfehlenswert, da der oftmals als „Super-GAU“ empfundene Cyberangriff nicht nur unternehmensstrategische, sondern auch rechtliche Dimensionen aufweist, mit denen viele Unternehmen verständlicherweise überfordert sind.
Ein entsprechend spezialisierter Rechtsanwalt kann die strafrechtlichen und haftungsrechtlichen Risiken der Lösegeldzahlung einschätzen und hierzu eine Expertenmeinung abgeben, auf die sich das Unternehmen verlassen kann. Außerdem kann er dabei helfen, die langfristigen Folgen einer Lösegeldzahlung – wie potenzielle Haftungsrisiken oder Reputationsschäden – sorgfältig zu bewerten und in die Gesamtstrategie des Krisenmanagements einzubetten.
Strafanzeige gegen die Täter und Privatbeteiligtenanschluss
Ob ein Unternehmen einen Cyberangriff mit Lösegeldforderung zur Anzeige bringt, ist eine wichtige Entscheidung, die so früh wie möglich getroffen werden sollte. Zwar besteht grundsätzlich keine generelle Pflicht, als Opfer einer Straftat diese bei den Strafverfolgungsbehörden anzuzeigen. Eine Anzeigepflicht kann sich aber für die handelnden Organe des Unternehmens ergeben: Die Geschäftsleitung ist im Rahmen der Managerhaftung verpflichtet, Schaden vom Unternehmen abzuwenden und Ansprüche zu verfolgen. Die hierfür erforderliche Aufklärung des Sachverhalts kann ohne Einschaltung der Strafverfolgungsbehörden in der Regel nicht vollständig erfolgen. Zudem setzen viele Versicherungsbedingungen bei Cyberversicherungen voraus, dass der Sachverhalt zur Anzeige gebracht wird (Anzeigeobliegenheit).
Demgegenüber sind auch andere Aspekte zu berücksichtigen, wie etwa eine mögliche negative Reputation oder der Verlust von Kunden oder drohende weitere Angriffe im Falle einer Strafanzeige. Anhand dieser und weiterer Kriterien hat die Unternehmensleitung eine Abwägung vorzunehmen, die häufig einen starken Druck in Richtung Anzeige ergibt.
Die Anzeige erfolgt in der Praxis zumeist in Form einer Strafanzeige bei der Polizei oder Sachverhaltsdarstellung bei der zuständigen Staatsanwaltschaft. Um ein möglichst rasches Handeln der Ermittler sicherzustellen, sollte der Sachverhalt schriftlich, strukturiert und mit Vorlage der relevanten schriftlichen Beweismittel dargestellt werden. Im Rahmen eines damit verbundenen Privatbeteiligtenanschlusses können auch zivilrechtliche Ansprüche gegen die Täter geltend gemacht werden. Dabei spielen eine sorgfältige strategische Planung, der richtige Zeitpunkt und die Klärung wesentlicher rechtlicher Fragen eine entscheidende Rolle.
