Out-Law / Die wichtigsten Infos des Tages

Cyber-Angriffe: Wer Lösegeld zahlt, kann sich strafbar machen

Out-Law News | 30 Sep 2020 | 6:16 pm | Lesedauer: 2 Min.

Die Gefahr für Ransomware-Angriffe steigt, kürzlich fiel auch das Düsseldorfer Universitätsklinikum einem solchen Angriff zum Opfer. Experten raten davon ab, der Lösegeldforderung nachzukommen.

Erst kürzlich wurde die Uniklinik Düsseldorf Opfer eines sogenannten Ransomware-Angriffs. Ransomware-Angriffe sind eine Form von Cyber-Angriff, bei der Hacker eine Schad-Software im Computersystem einer Organisation installieren, die deren Mitarbeiter dann daran hindert, auf die Systeme zuzugreifen oder bestimmte Aufgaben auszuführen. Ziel dieser Angriffe ist meist, ein Lösegeld vom Opfer zu erpressen. Wie das Bundesamt für Sicherheit in der Informationstechnik (BSI) mitteilt, ist die Bedrohung durch Ransomware-Angriffe seit dem Jahr 2016 stark gestiegen.

Im Fall der Uniklinik Düsseldorf war das eigentliche Ziel der Erpresser Zeit Online zufolge die Heinrich-Heine-Universität. Auf einem Server sei ein Erpresserschreiben an die Hochschule hinterlassen worden. Im Schreiben haben die Erpresser zur Kontaktaufnahme aufgefordert – eine konkrete Summe nannten sie angeblich nicht.

Das BSI rät ausdrücklich davon ab, bei Cyber-Angriffen auf eine Lösegelderpressung hin zu zahlen. Dies begründet das BSI damit, dass die Zahlung den Erfolg des Angriffs zeige und dazu führe, dass die Schadsoftware weiterentwickelt und noch häufiger genutzt werde. Es bestehe zudem keine Garantie dafür, dass die Täter auf die Zahlung hin die Entschlüsselung tatsächlich ermöglichen oder das betroffene Unternehmen nicht zu einem späteren Zeitpunkt erneut angreifen.

„Neben diesen Gesichtspunkten müssen Unternehmen insbesondere auch beachten, dass die Lösegeldzahlung eine Strafbarkeit begründen kann“, so Ann-Malin Brune, Expertin für Unternehmensstrafrecht bei Pinsent-Masons, der Kanzlei hinter Out-Law. „Es besteht beispielsweise das Risiko einer Terrorismusfinanzierung oder der Unterstützung einer kriminellen Vereinigung – auch wenn der Zahlungsempfänger unbekannt ist.“ Daneben könne die Zahlung einen strafbewehrten Verstoß gegen Zahlungsverbote aufgrund von Embargos darstellen.

„Bisher ermitteln Strafverfolgungsbehörden im Falle einer Lösegeldzahlung zwar in aller Regel nicht gegen das Unternehmen “, so Dr. Jochen Pörtge, Experte für Wirtschaftsstrafrecht bei Pinsent Masons. „Trotzdem sollten Unternehmen, sofern sie erwägen, auf eine Lösegeldforderung einzugehen, die mit der Erpressung und Lösegeldzahlung einhergehenden Risiken bestimmen und gegeneinander abwägen. Im Falle des Cyber-Angriffs auf ein Krankenhaus würde jedenfalls die mögliche Abwendung einer Gefahr für Leib und Leben der Patienten durch eine Lösegeldzahlung stark ins Gewicht fallen.“

Das BSI empfiehlt, im Fall einer Erpressung mit Ransomware unverzüglich Anzeige bei der Polizei zu erstatten. Auch die Universitätsklinik Düsseldorf hatte sich an die Behörden gewandt. Auf ihrer Homepage heißt es:

„Nach Informationen der Staatsanwaltschaft und des Justizministeriums hat die Polizei in Zusammenarbeit mit externen Spezialisten und den IT-Fachleuten der Klinik inzwischen konkrete Anhaltspunkte für die Ursache ermittelt. Hintergrund des Ausfalls ist nach diesen Analysen ein Hackerangriff, der eine Schwachstelle in einer Anwendung ausnutzte. Die Sicherheitslücke befand sich in einer marktüblichen und weltweit verbreiteten kommerziellen Zusatzsoftware. Bis zur endgültigen Schließung dieser Lücke durch die Softwarefirma war ein ausreichendes Zeitfenster gegeben, um in die Systeme einzudringen. Als Folge des damit ermöglichten Sabotageakts fielen nach und nach Systeme aus, Zugriffe auf gespeicherte Daten waren nicht mehr möglich.“

Das BSI rät auch dazu, regelmäßig Sicherheitskopien anzulegen, damit Datensätze nicht vollständig verloren gehen. In seiner Publikation „Ransomware: Bedrohungslage, Prävention & Reaktion 2019” informiert das BSI sowohl über Vorbeugemaßnahmen als auch über Maßnahmen für den akuten Fall einer Ransomware-Attacke.