Skip to content
Geschäftsmann mit Laptop in einer Hotellounge

Ransomware-Attacke: Zahlen oder nicht?

Porträtfoto von Bodo Meseke
Bodo Meseke

EY Global Forensics Cyber Response Leader, EY GmbH & Co. KG Wirtschaftsprüfungsgesellschaft | Deutschland

5 Minuten Lesezeit 02 Apr. 2024

Wenn nach Cyberangriffen nichts mehr geht und die Unternehmen vor Lösegeldforderungen stehen, bringt das auch rechtliche Probleme mit sich.

Überblick

  • Nahezu alle deutschen Unternehmen sind potenzielle Ziele für Ransomware-Angriffe.
  • Oft geht es bei der Frage, das Lösegeld zu zahlen oder nicht, um die Weiterexistenz.
  • Im Ernstfall sollten Sie sich rechtlich beraten lassen und sich mit den Behörden abstimmen, vor allem bei Bezug zu den USA.

So unterstützen wir Sie

Erpressung samt Lösegeldforderung ist ein seit Langem bewährtes Geschäftsmodell. Schon Julius Cäsar musste einst von Piraten freigekauft werden, der englische König Richard Löwenherz aus österreichischer Haft, und für die Freiheit Tausender politischer Gefangener flossen in großem Umfang harte D-Mark in die DDR. Doch das Geschäft ist nicht nur äußerst beständig, es zeigt sich auch im Einklang mit sich verändernden technischen und rechtlichen Rahmenbedingungen sehr anpassungsfähig. Seit einigen Jahren hat es sich ins Internet verlagert und bedroht von dort aus immer mehr Unternehmen und Organisationen. Dort herrscht das Prinzip „Daten gegen Geld“. 

Neben ihren vielen Vorteilen bringt die Digitalisierung für die Unternehmen manch offene Flanke mit sich. Jedes Unternehmen ist ein potenzielles Angriffsziel, während sich die Lösegeldzahlungen bequem per Kryptowährungen wie Bitcoin abwickeln lassen. Diese Kombination macht die sogenannten Ransomware-Attacken attraktiv: in den meisten Fällen genügt es den Angreifern nämlich schon, Mails mit einem mit Schadsoftware präparierten Anhang an das Opfer zu schicken, damit sich die Angreifer Zugang zu den Kronjuwelen des Unternehmens verschaffen, diese ausleiten, verschlüsseln und Backups vernichten können. Dieser eine unvorsichtige Klick auf einen verseuchten Anhang - und das Unternehmen verliert den Zugriff auf unternehmenskritische Daten und IT-Infrastruktur. Das Einzige, was die Bildschirme noch anzeigen, ist in diesen Fällen die Lösegeldforderung: Daten zurück gegen Zahlung eines Lösegeldes. Die Lösegeldforderung wiederum detailliert die gewünschte Kryptowährung sowie die Adresse des Zielwallets und enthält nicht selten präzise technische Hinweise zum Abwicklungsvorgang und das ‚Angebot‘ eines Austauschs per anonymem Chat, in welchem Fragen geklärt werden können.

Gewissermaßen machen die Angreifer es den Opfern recht einfach, die Lösegeldzahlung in die Wege zu leiten.

EY Forensics Datenklaustudie 2023

Cybercrime und Datenklau sind Bedrohungen, die deutsche Unternehmen zwar akzeptieren, aber nicht tatenlos hinnehmen müssen.

Mehr erfahren

Ransomware: ein professionelles Geschäft mit hohem Schadenspotenzial

Hinter den Angriffen steckt in den meisten Fällen die organisierte Kriminalität. Technisch kompetent und streng organisiert stehen die Cyberkriminellen in einem regelrechten Konkurrenzkampf zueinander und bieten sich ihren Auftraggebern an. Man spricht in diesem Zusammenhang in Anlehnung an legitime Geschäftsmodelle von „Ransomware as a Service“. 

Hoher Schaden
US-Dollar Lösegeld wurden 2023 an Cyberkriminelle gezahlt. (Quelle: Chainalysis, The 2024 Crypto Crime Report)

Wie hoch der tatsächliche Schaden ist, lässt sich nur schwer abschätzen, da viele Unternehmen Angriffe und eventuelle Zahlungen gar nicht erst melden. Eine aktuelle Analyse der über Kryptowährungen abgewickelten Zahlungsströme zeigt, dass 2023 weltweit mehr als 1 Mrd. US-Dollar Lösegeld an Cyberkriminelle gezahlt wurden. 

Das ist eine erhebliche Steigerung, nachdem die Zahlungen im Jahr 2022 erstmals rückläufig gewesen waren, und spiegelt einen Trend wider, der als „Big Game Hunting“ (zu Deutsch: Großwildjagd) bekannt ist: Angriffe werden gezielt auf zahlungskräftige, große Unternehmen ausgeführt. Nicht selten erreichen initiale Lösegeldforderungen daher zweistellige Millionenhöhen, in Extremfällen lagen sie auch schon mal darüber.

„Zahlen oder nicht?“ ist eine Frage von Ethik, Recht und Überleben

Die Empfehlung von Behörden und Fachleuten ist eigentlich eindeutig: Lösegeldforderungen sollten unter keinen Umständen bedient werden. Es gilt der Grundsatz, dass dem organisierten Verbrechen keine finanziellen Mittel zur Verfügung gestellt werden sollten. Aber halten sich alle an diesen Grundsatz? Nach Erkenntnissen des Branchenverbandes Bitkom zahlte in Deutschland immerhin 1 von 9 betroffenen Unternehmen das geforderte Lösegeld.

Die rechtliche Verbindlichkeit und Auslegung solcher Grundsätze sind zudem von Land zu Land sehr unterschiedlich. Zum Beispiel hat die US-Börsenaufsicht SEC für börsennotierte Unternehmen geregelt, dass ihr relevante Cyberereignisse, zu denen Ransomware-Attacken zählen, gemeldet werden müssen.

Dies führte bereits zur absurd anmutenden Situation, dass die Cyberkriminellen im Verlauf eines Angriffs drohten, Unternehmen bei der SEC anzuschwärzen, und so den Verhandlungsdruck erhöhen wollten. 

Oft ist es übrigens mit einer einzigen Zahlung nicht mehr getan, Stichwort Multi-Extortion: Unternehmen werden erstmal für die Entschlüsselung ihrer Daten zur Kasse gebeten, und dann nochmal, um deren Weitergabe zu verhindern. Ein dritter Erpressungsansatz zielt schließlich auf Geschäftspartner des Unternehmens ab. Sich von einem Opfer zum nächsten zu hangeln ist ohnehin eine probate Vorgehensweise der Kriminellen.

Lieber mit gutem Gewissen untergehen oder das Unternehmen retten?

Mehr noch als in den USA ist der Grundsatz, nicht zu zahlen, in Deutschland eher ein ethisches Gebot denn eine harte Regel. Rechtlich sind die Lösegeldzahlungen hierzulande nicht eindeutig geklärt, eine Anpassung des Strafrechts lässt auf sich warten. Gerade deshalb sollten sich Unternehmen im Vorfeld juristisch beraten lassen und sich idealerweise mit den Strafverfolgungsbehörden abstimmen. Dies gilt insbesondere dann, wenn das Unternehmen einen Bezug zu den USA hat. Denn das dortige Office of Foreign Assets Control (OFAC) empfiehlt in seinen Richtlinien dringend, bei Ransomware-Angriffen von Lösegeldzahlungen abzusehen, und kann bei Verstößen gegen diese Richtlinien auch empfindliche Sanktionen verhängen.

Aus strafrechtlicher Sicht kann in Deutschland die Zahlung des Lösegeldes die Unterstützung einer kriminellen Vereinigung darstellen. Gerade deshalb sollten sich Unternehmen im Vorfeld juristisch beraten lassen und sich idealerweise mit den Strafverfolgungsbehörden abstimmen.

Wenn sich Opfer von Angriffen hierzulande für eine Zahlung entscheiden, dann kann das aus Sicht der Unternehmen durchaus objektiv nachvollziehbare Gründe haben, denn einige befinden sich nach einem Ransomware-Angriff in einer äußerst prekären Lage. Entweder ist überhaupt kein Backup vorhanden oder es befand sich ebenfalls in der angegriffenen IT-Struktur und wurde auch verschlüsselt. Wenn deshalb die Produktion stillsteht, die Buchhaltung klemmt und selbst Mails nicht mehr funktionieren, scheint die Lösegeldzahlung die Antwort auf die Frage zu sein, ob man ethisch sauber untergehen oder doch lieber das Unternehmen retten will. So lauten häufig die Argumente, mit denen sich Führungskräfte später vor ihren Aufsichtsgremien rechtfertigen. Immerhin ist das Management eines angegriffenen Unternehmens auch ihnen verpflichtet - neben Behörden, Investoren, Geschäftspartnern und Kunden, die allesamt mehr oder minder direkt von einem solchen Cybervorfall betroffen sind.

Gute Vorarbeit kann in gewissem Umfang schützen

Doch bevor es zum Dilemma „Zahlen oder nicht?“ kommt, können Unternehmen Vorarbeit leisten. Da ist zum einen die solide technische Absicherung, die – nunmehr auch unterstützt durch künstliche Intelligenz (KI) – für einen Basisschutz sorgt. Die beste Sicherheitstechnik nutzt aber nichts, wenn unvorsichtige Mitarbeitende auf eine Phishing-Mail hereinfallen. Awareness-Schulungen und regelmäßige Krisensimulationen zählen daher zu den besonders wirksamen nicht-technischen Maßnahmen, um die Sicherheit im Unternehmen zu steigern und den angemessenen Umgang mit einem Cyberzwischenfall zu trainieren.

Cyber Game – eine Schulungsmaßnahme der besonderen Art

Bei einem geleiteten Ausflug in das Darknet lernt man, wie Cyberkriminelle arbeiten und wo sie sich austauschen.  Versetzen Sie sich in deren Rolle und erfahren Sie dabei mehr über die unterschiedlichen Angreifertypen und die Methodologie eines echten Angriffs anhand der Cyber Kill Chain!

Mehr erfahren

Vorsorgemaßnahmen in der Lieferkette sind ebenfalls relevant: Auch Geschäftspartner sollten sich um ihre IT-Sicherheit kümmern, am besten ausgewiesen durch Zertifikate und Audits, die sich Unternehmen vor Aufnahme einer Geschäftsbeziehung vorlegen lassen sollten. Die Erfahrungen der letzten Jahre zeigen, dass ein Zwischenfall bei einem einzigen zentralen Dienstleister erhebliche Folgen für ganze Branchen haben kann.

Und schließlich sollten für den Ernstfall Krisen- und Kommunikationspläne gut vorbereitet in der Schublade liegen – und nicht auf dem verschlüsselten Datenlaufwerk. Zwar gewährleistet keine dieser Maßnahmen einen vollständigen Schutz vor einem Angriff, sie tragen aber dazu bei, die Folgen erheblich abzumildern.

Fazit

Immer häufiger werden Unternehmen Opfer von Ransomware-Attacken, bei denen ihre Daten böswillig verschlüsselt werden. Oft stehen sie dann vor dem Dilemma, dass eine Lösegeldzahlung rechtlich problematisch sein kann, andernfalls aber das Unternehmen in seiner Existenz gefährdet ist. Führungskräfte sollten sich in jedem Fall rechtlich beraten lassen und sich mit den Behörden abstimmen, insbesondere dann, wenn das Unternehmen einen Bezug zu den USA hat. 

Mehr zum Thema

Mit RISE with SAP in die Cloud: Wie die Transition gelingt

Gute Vorbereitung ist alles – lesen Sie hier, wie Unternehmen den Schritt in die Cloud planen und umsetzen können.

28 Mai 2025 Florian Ascherl +1

Wie Technologie den Durchbruch in der Unternehmenssteuerung ermöglicht

Erfahren Sie, wie Unternehmen durch Technologie in der Unternehmenssteuerung in dynamischen Märkten fundierte Entscheidungen treffen.

21 Mai 2025 Oliver Precht +3

Warum Nachhaltigkeit ein zentraler Erfolgsfaktor für Unternehmen ist

Nachhaltigkeit als Erfolgsfaktor: Wie eine strategische Integration Ihr Unternehmen wettbewerbsfähiger, effizienter und stärker macht. Jetzt mehr erfahren!

20 Mai 2025 Simon Fahrenholz +1

Wie Unternehmen aktuellen Trends im Gesundheitsbereich begegnen können

Erfahren Sie hier, wie neue Technologien, ESG-Vorgaben und personalisierte Medizin die Pharmaindustrie verändern.

13 Mai 2025 Oliver Precht +1

Wie Unternehmen mit KI-Integration ihr Risikomanagement boostern

Heben Sie Ihr Risikomanagement auf die nächste Stufe mit der KI-gestützten GRC-Plattform von ServiceNow. Mehr dazu erfahren Sie hier!

13 Mai 2025 Dominik Loerts

IT Procurement Readiness als Schlüssel zur Kostenkontrolle

Lesen Sie hier, wie Unternehmen mit einer effizienten Organisation ihrer Lizenzen die Softwarekosten in Grenzen halten können.

13 Mai 2025 Darius Kristen +1

IT-Assets in M&A-Transaktionen: Kennen Sie Ihre Chancen und Risiken?

Transparenz, Erfahrung und gute Planung – lesen Sie hier, warum Sie die Transformation Ihrer IT-Verträge bei M&A-Aktivitäten strukturiert umsetzen sollten.

13 Mai 2025 Frederic Zapf +1

Warum sind KI-optimierte Daten der Schlüssel zum Erfolg?

Wie Sie Ihre Datenstrategie für erfolgreiche KI- und GenAI-Implementierungen optimieren können, erfahren Sie hier!

25 Apr. 2025 Rudraksh Bhawalkar

Space Race 2.0 – wer gewinnt das Rennen um die Zukunft der Industrie?

Der Weltraummarkt boomt – mit KI, Robotik und nachhaltiger Technologie. Erfahren Sie, warum deutsche Unternehmen jetzt handeln müssen.

14 Apr. 2025 Dr. Adrian Reisch +1

Einsatz von Open-Source-Software: Kennen Sie die Chancen und Risiken?

Open-Source-Software bietet Unternehmen zahlreiche Vorteile. Lesen Sie hier, warum Sie ihren Einsatz trotzdem streng kontrollieren sollten.

14 Apr. 2025 Marcel Roan +1

Risk Newsletter

Der Risk-Newsletter – in neuem Look, aber mit bewährter Themenvielfalt.

10 Apr. 2025

Spaß und Convenience – was Kunden sich beim Einkaufen wünschen

Warum im Retail Performance Ranking 2024 von EY-Parthenon Verbraucher die Händler schlechter bewerten als im Vorjahr, erfahren Sie hier.

28 März 2025 Dr. Martin Paletzki +1

Wie globale Teams von kultureller Vielfalt profitieren

Interkulturelles Coaching nutzt kulturelle Vielfalt in internationalen Projekten, vermeidet Missverständnisse und optimiert Teamleistung. Erfahren Sie mehr!

28 März 2025 Stephan Biallas +1

Finanzbranche: Warum Sustainable Literacy der Schlüssel zum Erfolg ist

Lesen Sie hier, wie Finanzinstitute ESG-Kriterien umsetzen, Klimarisiken managen und durch ESG-Weiterbildung zukunftssicher werden.

27 März 2025 Dr. Max Weber +1

Welche Bedeutung haben geopolitische Umbrüche und ESG für Banken?

Geopolitische Risiken zwingen Banken, ESG-Risikomanagement und Compliance zu optimieren. Erfahren Sie, wie nachhaltiges Risikomanagement gelingt.

26 März 2025 Robert Bopp

REMIT II – (k)eine Zeit für Veränderungen

Neue REMIT-Vorschriften stellen Energiehändler und -versorger vor Herausforderungen. Unternehmen sollten sich dringend auf die EU-Regeln vorbereiten.

21 März 2025 Jakob Müller +1

Was die Einführung der neuen GIA-Standards für Unternehmen bedeutet

Die neuen GIA-Standards bringen mehr Effizienz und Transparenz in die Interne Revision. Erfahren Sie jetzt, was das für Ihr Unternehmen bedeutet!

18 März 2025 Christopher Benz

Wie Risikomanagement effizient und zukunftsorientiert wird

Risikomanagement wird anspruchsvoller, doch nicht alle Aufgaben müssen intern erledigt werden – Risk Managed Services können sich lohnen. Mehr dazu hier.

05 März 2025 Benjamin Lüders +2

Der Einfluss von KI auf das M&A-Geschäft

Erfahren Sie hier, wie künstliche Intelligenz die Zukunft des M&A-Geschäfts prägen wird.

03 März 2025 Dr. Georg Beckmann

Wie ein integriertes Liquiditätsmanagement in Krisenzeiten schützt

Finden Sie heraus, warum Unternehmen nicht nur in Krisenzeiten ihren Cashflow und ihre Liquidität stets im Blick haben sollten.

12 Feb. 2025 Thomas Schmidt

    Über diesen Artikel

    Porträtfoto von Bodo Meseke
    Bodo Meseke
    EY Global Forensics Cyber Response Leader, EY GmbH & Co. KG Wirtschaftsprüfungsgesellschaft | Deutschland
    Zertifizierter Experte für Forensik-Technologie. Bekämpft weltweit Wirtschaftskriminalität und Cyberattacken. Hilft Kunden, ihr Firmenvermögen und geistiges Eigentum zu schützen.
    Verwandte Themen
    Forensic & Integrity Services
    Digitalisierung
    Cybersecurity
    Neue Technologien
    Consulting

    Die internationale EY-Organisation besteht aus den Mitgliedsunternehmen von Ernst & Young Global Limited (EYG). Jedes EYG-Mitgliedsunternehmen ist rechtlich selbstständig und unabhängig und haftet nicht für das Handeln und Unterlassen der jeweils anderen Mitgliedsunternehmen. Ernst & Young Global Limited ist eine Gesellschaft mit beschränkter Haftung nach englischem Recht und erbringt keine Leistungen für Mandanten.
    You are visiting EY deu-aut (de)
    deu-aut de