Direkt zum Inhalt wechseln
Beitrag

Zwischen Lösegeld und Legalität: Der rechtliche Umgang mit Ransomware-Angriffen

Datenschutzrecht IT-Recht IT-Sicherheit

Wenn Unternehmen Opfer eines Ransomware‑Angriffs werden, stehen sie vor der schwierigen Frage: Sollte das geforderte Lösegeld bezahlt werden, um verschlüsselte Daten wiederherzustellen, oder soll abgelehnt werden, wie Schweizer Behörden empfehlen? Unsere Analyse zeigt, wie rechtlich verantwortbare Entscheidungen zu treffen sind, welche Risiken bestehen und wie Unternehmen zwischen Risiko und Rechtssicherheit abwägen können.

Ausgangslage: Ransomware-Angriffe in der Schweiz

Ransomware-Angriffe zählen zu den drängendsten Cyber-Risiken für Unternehmen in der Schweiz. Dabei verschlüsseln Täter geschäftskritische Daten und fordern ein Lösegeld für die Herausgabe der Entschlüsselungsschlüssel. Laut dem Bundesamt für Cybersicherheit (BACS) sind solche Angriffe weit verbreitet und gehen häufig mit der Exfiltration und der möglichen Veröffentlichung von sensiblen Daten einher.

Behörden wie das BACS sowie internationale Initiativen wie die Counter Ransomware Initiative (CRI) warnen eindringlich vor den Folgen solcher Angriffe und geben Handlungsempfehlungen für betroffene Unternehmen ab. Eine zentrale Empfehlung besteht darin, grundsätzlich keine Lösegeldzahlungen zu leisten, da diese den kriminellen Betrieb aufrechterhalten, weitere Angriffe finanzieren und keine Erfolgsgarantie bieten.

Die Herausforderung für Unternehmen

Betroffene Unternehmen stehen vor einer schwierigen strategischen Entscheidung. Die Behörden empfehlen eindeutig, keine Lösegeldzahlungen zu leisten. Gleichzeitig müssen Unternehmen alle verfügbaren Optionen prüfen, um Verluste zu minimieren, insbesondere wenn keine aktuellen oder vollständigen Backups verfügbar sind, die Daten für den Geschäftsbetrieb essenziell sind und ein längerer Ausfall existenzbedrohliche Folgen haben könnte.

In solchen Extremsituationen kann eine Lösegeldzahlung in Betracht gezogen werden, obwohl diese Entscheidung mit Risiken verbunden ist und durch hohe Unsicherheiten geprägt ist.

Rechtliche Bewertung in der Schweiz

A) Keine generelle Strafbarkeit

Als Grundsatz gilt: Gemäss dem Schweizer Strafgesetzbuch (SR 311.0) ist die Zahlung eines Lösegelds nicht per se strafbar. Es existiert keine explizite Strafnorm, die allein auf die Zahlung abstellt. Verschiedene Straftatbestände kommen aber trotzdem indirekt infrage, namentlich die Unterstützung einer kriminellen Organisation (Art. 260ter StGB), die Unterstützung einer terroristischen Organisation bzw. Terrorismusfinanzierung (Art. 260quinquies StGB), die Begünstigung (Art. 305 StGB) oder die Geldwäscherei (Art. 305bis StGB). In der Regel ist eine Zahlung durch das unmittelbar betroffene Opfer oder in dessen Interesse jedoch nicht strafbar.

Strafrechtlich entscheidend ist jedoch stets eine einzelfallbezogene Tatbestandsprüfung:

  • Insbesondere bei Art. 260ter StGB (Unterstützung einer kriminellen Organisation) ist zu prüfen, ob die Zahlung als „Unterstützungshandlung“ qualifiziert werden könnte. Die herrschende Lehre verlangt hierfür ein bewusstes Fördern der organisatorischen Struktur oder Tätigkeit der Organisation. Eine rein erzwungene Zahlung zur Schadensbegrenzung dürfte dieses Erfordernis regelmässig nicht erfüllen, da es am Förderungswillen fehlt.
  • Für eine Strafbarkeit wegen Terrorismusfinanzierung fehlt es ebenfalls an der erforderlichen Absicht, terroristische Aktivitäten gezielt zu fördern.
  • Auch eine Begünstigung liegt typischerweise in solchen Fallkonstellationen nicht vor, da die Strafverfolgung durch die Zahlung weder vereitelt noch erschwert wird; vielmehr können Zahlungsströme, insbesondere bei Kryptowährungen, zur Identifikation der Täter beitragen.
  • Geldwäscherei scheidet in der Regel ebenfalls aus, da das Lösegeld aus legalem Vermögen des betroffenen Unternehmens oder der zahlenden Person stammt. Dogmatisch setzt Geldwäscherei nach Art. 305bis StGB voraus, dass Vermögenswerte aus einem Verbrechen herrühren. Bei einer Lösegeldzahlung fehlt es jedoch an einer vorgängigen Vortat des zahlenden Unternehmens. Kritisch diskutiert wird allerdings, ob eine bewusste Mitwirkung an der Verschleierung von Zahlungsflüssen (z.B. durch strukturierte Kryptowährungstransaktionen) eine strafrechtlich relevante Beteiligung darstellen könnte. Entsprechende Konstellationen sind bislang höchstrichterlich nicht geklärt.

Erwähnenswert ist zudem, dass eine Lösegeldzahlung auch nationale und internationale Sanktionen und Massnahmen im Kampf gegen Terrorismusfinanzierung oder verhängte Embargos verletzen könnte. Rechtlich besonders relevant sind hier das Schweizer Embargogesetz (Bundesgesetz über die Durchführung von internationalen Sanktionen, Embargogesetz [EmbG], SR 946.231) sowie darauf gestützte Verordnungen des Bundesrates, insbesondere bei sanktionierten Staaten, Organisationen oder Personen. Wird ein Lösegeld an eine sanktionierte Gruppierung oder an eine auf einer Sanktionsliste geführte Person geleistet, kann dies strafrechtliche Konsequenzen nach sich ziehen. Unternehmen sind daher verpflichtet, vor einer Zahlung eine sorgfältige Sanktionsprüfung (Sanctions Screening) durchzuführen. Eine unterlassene Prüfung kann haftungs- und aufsichtsrechtliche Folgen haben.

B) Notstand als Rechtfertigung

Es wird diskutiert, ob eine Lösegeldzahlung im Rahmen eines Notstands (Art. 17 StGB) bzw. eines entschuldbaren Notstands (Art. 18 StGB) gerechtfertigt sein kann, beispielsweise zur Abwehr einer unmittelbaren, nicht anders abwendbaren Gefahr für höherwertige Rechtsgüter wie die Existenz des Unternehmens oder die Aufrechterhaltung kritischer Infrastrukturen.

Art. 17 StGB setzt voraus, dass eine unmittelbare und nicht anders abwendbare Gefahr für ein Individualrechtsgut besteht und dass das geschützte Interesse das beeinträchtigte wesentlich überwiegt. Es bedarf somit einer konkreten, einzelfallbezogenen Interessenabwägung. Rein wirtschaftliche Nachteile, Umsatzverluste oder Reputationsschäden genügen hierfür grundsätzlich nicht. Auch die blosse Gefährdung der Marktstellung eines Unternehmens erreicht regelmässig nicht das erforderliche Gewicht. Stehen zumutbare Alternativen – insbesondere funktionierende Backup‑Wiederherstellungen oder technische Wiederaufbaumassnahmen – zur Verfügung, sind diese vorrangig zu nutzen, auch wenn dadurch unter Umständen vielleicht nicht alle Daten komplett wiederhergestellt werden können.

Anders kann die Lage zu beurteilen sein, wenn durch den Angriff elementare Rechtsgüter wie Leib und Leben gefährdet sind oder wenn kritische Infrastrukturen betroffen sind, deren Ausfall erhebliche Gefahren für die öffentliche Sicherheit nach sich ziehen würde. In solchen Konstellationen kann das geschützte Interesse im Rahmen der Interessenabwägung ein deutlich höheres Gewicht erlangen.

Art. 18 StGB betrifft demgegenüber den entschuldbaren Notstand. Hier wird die Tat nicht gerechtfertigt, sondern die Schuld des Täters entfällt oder wird gemildert, wenn ihm nach den Umständen nicht zugemutet werden konnte, die Gefahr anders abzuwenden. Massgeblich ist nicht primär eine objektive Interessenabwägung, sondern die Zumutbarkeit des rechtmässigen Alternativverhaltens. Selbst wenn die Voraussetzungen von Art. 17 StGB nicht vollständig erfüllt sind, kann daher in extremen Drucksituationen – etwa bei existenzbedrohenden Szenarien ohne realistische Ausweichmöglichkeiten – eine strafmildernde oder schuldausschliessende Wirkung nach Art. 18 StGB in Betracht kommen.

Zu betonen ist jedoch, dass beide Bestimmungen restriktiv auszulegen sind. Sie bieten keine generelle „Rechtsgrundlage“ für Lösegeldzahlungen, sondern kommen nur in aussergewöhnlichen und eng begrenzten Ausnahmefällen zur Anwendung. Eine pauschale Berufung auf wirtschaftlichen Notstand genügt regelmässig nicht. Zu beachten ist zudem, dass sich juristische Personen nicht in gleicher Weise wie natürliche Personen auf schuldbezogene Entschuldigungsgründe berufen können, sodass die praktische Bedeutung von Art. 17 und 18 StGB im Unternehmenskontext differenziert zu beurteilen ist.

Datenschutzrechtliche Pflichten

Ransomware-Angriffe beschränken sich in der Praxis häufig nicht auf eine blosse Verschlüsselung von Daten, sondern gehen mit einer vorgängigen oder begleitenden Exfiltration personenbezogener Daten einher („Double Extortion“). Damit stellen sich unmittelbar datenschutzrechtliche Pflichten nach dem Schweizer Datenschutzgesetz (Bundesgesetz über den Datenschutz, Datenschutzgesetz [DSG], SR 235.1).

A) Meldepflicht an den EDÖB

Nach Art. 24 Abs. 1 DSG muss der Verantwortliche dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) eine Verletzung der Datensicherheit melden, wenn diese voraussichtlich zu einem hohen Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Personen führt. Ein solches Risiko kann insbesondere bestehen, wenn:

  • besonders schützenswerte Personendaten (Art. 5 lit. c DSG) betroffen sind,
  • umfangreiche Datenbestände kompromittiert wurden,
  • Identitätsdiebstahl, Diskriminierung oder finanzielle Schäden drohen,
  • oder sensible Geschäfts- oder Mitarbeiterdaten betroffen sind.

Die Meldung hat „so rasch als möglich“ zu erfolgen, wobei das Gesetz keine explizite Frist normiert. Eine schuldhafte Verzögerung kann aufsichtsrechtliche Konsequenzen nach sich ziehen.

B) Informationspflicht gegenüber betroffenen Personen

Erforderlichenfalls sind auch die betroffenen Personen zu informieren (Art. 24 Abs. 4 DSG), insbesondere wenn dies zu ihrem Schutz notwendig ist oder der EDÖB dies verlangt. Dabei ist eine sachliche, transparente und verhältnismässige Kommunikation entscheidend. Eine unkoordinierte oder vorschnelle Information kann jedoch zusätzliche Reputations- oder Haftungsrisiken auslösen, weshalb eine rechtlich abgestimmte Kommunikationsstrategie angezeigt ist.

C) Strafrechtliche und aufsichtsrechtliche Risiken

Das revidierte Datenschutzgesetz sieht Strafbestimmungen vor (Art. 60 ff. DSG), die sich primär gegen natürliche Personen richten, insbesondere bei vorsätzlichen Verletzungen von Informations-, Auskunfts- oder Sorgfaltspflichten. Eine unterlassene Meldung an den EDÖB nach Art. 24 DSG ist jedoch nicht ausdrücklich als eigenständiger Straftatbestand ausgestaltet. Gleichwohl kann eine verspätete oder unterlassene Meldung aufsichtsrechtliche Konsequenzen nach sich ziehen. Der EDÖB verfügt nach Art. 51 ff. DSG über weitreichende Untersuchungs- und Verfügungskompetenzen und kann etwa die Anpassung von organisatorischen oder technischen Massnahmen anordnen. Eine fehlende oder unzureichende Meldung kann im Rahmen einer Untersuchung negativ gewürdigt werden und als Indiz für mangelhafte Compliance-Strukturen gelten.

Hinzu kommen mögliche haftungsrechtliche Risiken: Wird eine Datenschutzverletzung nicht ordnungsgemäss behandelt oder dokumentiert, kann dies im Schadenfall als Verletzung der organisatorischen Sorgfaltspflichten gewertet werden. Für die verantwortlichen Entscheidungsträger können sich daraus zivilrechtliche Verantwortlichkeitsrisiken ergeben.

D) Technische und organisatorische Massnahmen

Art. 8 DSG verpflichtet Verantwortliche und Auftragsbearbeiter, angemessene technische und organisatorische Massnahmen (TOMs) zum Schutz personenbezogener Daten zu treffen. Im Kontext von Ransomware umfasst dies insbesondere:

  • regelmässige und getestete Backups,
  • Netzwerksegmentierung,
  • Multi-Faktor-Authentifizierung,
  • Zugriffsbeschränkungen,
  • Protokollierung und Monitoring,
  • Notfall- und Wiederanlaufpläne.

Fehlen solche Massnahmen oder sind sie offensichtlich unzureichend, kann dies nicht nur datenschutzrechtliche, sondern auch haftungsrechtliche Konsequenzen nach sich ziehen.

E) Dokumentationspflicht

Zudem sollte eine Datenschutzverletzung immer strukturiert dokumentiert werden.  Art. 24 Abs. 1 DSG verlangt im Zusammenhang mit der Meldepflicht eine nachvollziehbare Beurteilung, ob ein „hohes Risiko“ vorliegt. Unternehmen sollten daher festhalten, welche Daten betroffen waren, welche Risiken geprüft wurden und weshalb gegebenenfalls auf eine Meldung verzichtet wurde. Eine solche Dokumentation dient der Rechenschaft gegenüber dem EDÖB und kann im Rahmen einer späteren Untersuchung entscheidend sein. Zwar ist die unterlassene Dokumentation nicht ausdrücklich als eigenständiger Sanktionstatbestand ausgestaltet, sie kann jedoch als Indiz für mangelhafte Datenschutzorganisation gewertet werden.

Praktische Aspekte der Entscheidung

A) Erfolgsaussichten

Eine Zahlung garantiert nicht, dass Täter den Entschlüsselungsschlüssel liefern oder von der Veröffentlichung der Daten absehen. Viele Tätergruppen handeln unzuverlässig oder nutzen die Zahlung als weiteres Druckmittel, um noch mehr Geld zu erpressen. Eine allein auf Zahlung basierende Strategie ist daher rechtlich wie praktisch hochriskant.

B) Alternative Datenwiederherstellung

Vor jeder Zahlung ist unbedingt zu prüfen, ob eine Wiederherstellung über Backups oder andere technische Mittel möglich ist. Diese Option hat aus rechtlicher und wirtschaftlicher Sicht Priorität und sollte Bestandteil eines vordefinierten Notfallplans sein.

C) Cyberversicherungen

Viele Unternehmen verfügen über Cyberversicherungen, die im Ernstfall professionelle Unterstützung bieten. In Einzelfällen beinhalten Policen auch Kostenübernahmen für Lösegeldzahlungen, meist jedoch unter engen vertraglichen Bedingungen. Der Versicherungsschutz entfällt beispielsweise bei Verstössen gegen internationale Sanktionen oder gesetzliche Pflichten.

D) Verhandlungsmöglichkeiten

Berichte aus der Praxis zeigen, dass eine gezielte und professionelle Verhandlung die ursprünglich geforderte Summe senken kann. Dies verdeutlicht, dass Verhandlungsstrategien ein wichtiges Instrument zur Schadensminimierung sein können, vorausgesetzt, sie erfolgen strukturiert und mit entsprechender Expertise. Auch verschafft eine solche Vorgehensweise zusätzliche wertvolle Zeit, um den Strafverfolgungsbehörden einen Vorsprung bei den Ermittlungen der Täterschaft zu geben.

Empfehlungen für Unternehmen

Unmittelbar nach der Entdeckung eines Angriffs sind schnelle Sofortmassnahmen erforderlich:

  • Schadensbegrenzung: Infizierte Systeme sollten umgehend vom Netz entfernt werden.
  • Identifikation der infizierten Systeme: Logdateien und Metadaten können dabei helfen, infizierte Systeme zu identifizieren.
  • Detektion: Durch die Auswertung von Logs aus E‑Mail‑Servern, Proxyservern, Firewalls und weiterer Sicherheitssoftware lässt sich das Ausmass der Infektion bestimmen. Dabei können auch URL‑ und IP‑Adressen der Angreifer identifiziert und auf den entsprechenden Sicherheitssystemen blockiert werden.
  • Strafanzeige: Die Einreichung einer Strafanzeige bei der zuständigen Kantonspolizei wird empfohlen. Eine frühzeitige Kontaktaufnahme mit juristischen Experten ermöglicht zudem eine fachliche Beratung zum weiteren Vorgehen und zur Kommunikation mit der Täterschaft. Eine Anzeige kann zudem haftungsrechtlich entlastend wirken, da sie dokumentiert, dass das Unternehmen kooperativ handelt und strafbare Handlungen nicht toleriert. In regulierten Branchen (z.B. Finanzmarkt) kann eine unterlassene Meldung zudem aufsichtsrechtliche Relevanz haben.
  • Sicherung der verschlüsselten Daten: Verschlüsselte Daten sollten gesichert und aufbewahrt werden, auch wenn eine Wiederherstellung zunächst nicht möglich ist. Dies kann eine spätere Entschlüsselung ermöglichen, falls entsprechende Schlüssel oder Werkzeuge verfügbar werden.
  • Neuinstallation der betroffenen Systeme: Vor der Wiederherstellung von Daten ist eine vollständige Neuinstallation der infizierten Systeme erforderlich. Das Betriebssystem sollte dabei ausschliesslich aus einer vertrauenswürdigen Quelle installiert werden.

Nicht nur nach, sondern auch vor einem möglichen Angriff sollten Unternehmen vorbereitet sein und frühzeitig Cybersicherheits-Notfallpläne entwickeln, die klare Entscheidungsprozesse auch für den Umgang mit Lösegeldforderungen enthalten. Vor einer Entscheidung zeichnet es sich als sinnvoll ab, spezialisierte Rechtsberatung einzubeziehen.

Aus gesellschaftsrechtlicher Sicht trifft die Geschäftsleitung eine nicht delegierbare Oberleitungspflicht (Art. 716a OR). Entscheidungen über Lösegeldzahlungen können erhebliche finanzielle und rechtliche Auswirkungen haben und unterliegen daher der Sorgfaltspflicht der Organmitglieder. Eine unzureichend dokumentierte oder nicht sorgfältig geprüfte Entscheidung kann haftungsrechtliche Konsequenzen nach sich ziehen. Eine strukturierte Entscheidungsdokumentation ist daher unerlässlich.

Fazit

Ransomware‑Angriffe stellen Unternehmen in der Schweiz vor erhebliche rechtliche, wirtschaftliche und strategische Herausforderungen. Obwohl Behörden eindringlich von Lösegeldzahlungen abraten, geraten betroffene Unternehmen in Ausnahmesituationen unter erheblichen Handlungsdruck.

Die rechtliche Bewertung zeigt, dass eine Zahlung nicht grundsätzlich strafbar, aber dennoch mit erheblichen Risiken verbunden ist.

Ein strukturierter, rechtssicherer Entscheidungsprozess, fundierte Vorbereitung, robuste Backups und die Einbindung von Fachpersonen sind entscheidend, um in Krisenlagen angemessen und gesetzeskonform handeln zu können. Ziel muss es sein, Risiken zu minimieren und legale Handlungsspielräume zur Sicherung der Unternehmenswerte verantwortungsvoll zu nutzen.

 

Quellen