-
» Herausragend «
Ransomware stellt gegenwärtig die wohl gravierendste Cyberbedrohung Europas dar. Sie verschlüsselt nicht nur Systeme und entwendet Daten, sondern nimmt Staaten, Unternehmen und Bürger gleichermaßen in Geiselhaft. Analysiert werden die typischen Angriffsformen, die rechtliche Einordnung im europäischen Straf- und Aufsichtsrecht, die Schwierigkeiten internationaler Strafverfolgung sowie präventive Maßnahmen. Ergänzt wird dies durch Fallstudien und einen Ausblick auf mögliche Rechtsentwicklungen.
Die Entwicklung von Ransomware hat von einfachen Blockaden des Computerzugangs zu hochentwickelten Kryptoverfahren mit Mehrfach-Erpressung geführt. Typisch ist heute die Kombination aus Datenexfiltration, anschließender Verschlüsselung und der Drohung mit Veröffentlichung oder weiteren Angriffen. Opfer sind dadurch nicht nur von Verfügbarkeitsverlusten betroffen, sondern auch von Datenschutzverletzungen und Reputationsschäden.
Eine zentrale Rolle spielt das Geschäftsmodell Ransomware-as-a-Service. Entwickler stellen Schadsoftware und Infrastruktur bereit, während Affiliates die Angriffe durchführen. Einnahmen werden prozentual geteilt. Daneben existieren spezialisierte Akteure wie Initial Access Broker, die Zugänge zu Unternehmensnetzwerken verkaufen, oder Dienstleister, die Geldwäsche und Erpressungshotlines organisieren. Dieses Ökosystem macht Ransomware zu einem skalierbaren Geschäftsmodell.
Juristisch handelt es sich bei Ransomware um ein Bündel klassischer Straftatbestände: unbefugter Systemzugang, Datenveränderung, Computersabotage und Erpressung. Die EU-Richtlinie 2013/40/EU verpflichtet Mitgliedstaaten, all diese Handlungen unter Strafe zu stellen. In Deutschland greifen §§ 202a, 253 und 303b StGB ineinander. Daneben sind Verstöße gegen Datenschutzrecht relevant.
Ein erhebliches Problem stellen die grenzüberschreitenden Dimensionen dar. Täter, Opfer, Server und Zahlungsketten liegen häufig in unterschiedlichen Staaten. Zwar existieren mit der EU-Richtlinie 2013/40/EU und der Budapest-Konvention rechtliche Grundlagen, doch fehlen oft Auslieferungsabkommen oder Kooperationsbereitschaft, insbesondere gegenüber Russland oder Staaten der GUS. Erfolgreiche Operationen wie „GoldDust“ gegen die Gruppe REvil zeigen die Möglichkeiten internationaler Taskforces, doch zentrale Akteure bleiben regelmäßig ungreifbar.
Neben dem Strafrecht gewinnen präventive Regulierungen an Bedeutung. Die NIS-2-Richtlinie verpflichtet Betreiber kritischer und wichtiger Einrichtungen, umfassende Sicherheitsmaßnahmen einzuführen, Vorfälle binnen 24 Stunden zu melden und die Verantwortung auf Managementebene sicherzustellen. Verstöße können zu erheblichen Bußgeldern führen. Für den Finanzsektor gilt zusätzlich die DORA-Verordnung, für Gesundheits- und Infrastrukturbetriebe spezielle Sektorgesetze.
Auch die DSGVO entfaltet Wirkung. Jeder Ransomware-Vorfall mit personenbezogenen Daten ist meldepflichtig. Selbst bei Lösegeldzahlungen bleibt die Pflicht bestehen, da die Daten kompromittiert sind. Datenschutzbehörden haben bereits Bußgelder verhängt, wenn Unternehmen unzureichende Schutzmaßnahmen nachweisen konnten. IT-Sicherheit wird damit zu einer rechtlichen Compliance-Aufgabe.
Unternehmen reagieren häufig mit Cyber-Versicherungen, die Kosten für Forensik, Krisenkommunikation und teilweise auch Lösegeld abdecken. Dies birgt jedoch die Gefahr eines Moral Hazard, da Versicherungsschutz Präventionsanreize schwächen kann. Einige Anbieter haben daher die Erstattung von Lösegeldern ausgeschlossen. Positiv ist, dass Versicherer erhöhte Sicherheitsstandards wie Multi-Faktor-Authentifizierung oder Offline-Backups verlangen.
Branchenstandards wie ISO/IEC 27001 oder ISA/IEC 62443 gewinnen an Bedeutung. Auch die Leitlinien der EU-Agentur ENISA tragen zur Abwehr bei. Diese Standards sind rechtlich freiwillig, werden aber zunehmend vertraglich gefordert und können im Streitfall als Maßstab herangezogen werden.
Besonders umstritten bleibt die Frage von Lösegeldzahlungen. Grundsätzlich ist die Zahlung in Europa nicht strafbar, solange sie unter Zwang erfolgt. Rechtliche Risiken bestehen jedoch, wenn Zahlungen an sanktionierte Gruppen erfolgen. Einige Staaten erwägen Verbote oder strenge Meldepflichten. Ethisch bleibt das Dilemma bestehen: Wer zahlt, finanziert Kriminalität und fördert weitere Angriffe, wer nicht zahlt, riskiert langwierige Ausfälle. Die Tendenz geht dahin, Zahlungen zu entmutigen und Transparenz zu schaffen.
Politische und operative Initiativen zeigen, dass Fortschritte möglich sind. Europol koordiniert über die Joint Cybercrime Action Taskforce internationale Ermittlungen. Die Initiative „No More Ransom“ stellt kostenlose Entschlüsselungstools bereit und hat bereits Milliarden an möglichen Lösegeldern eingespart. Große Operationen gegen Gruppen wie LockerGoga, Hive oder REvil unterstreichen, dass Durchbrüche erreichbar sind, auch wenn sich Täterstrukturen rasch anpassen.
Fallstudien verdeutlichen die Folgen. Im Landkreis Anhalt-Bitterfeld war 2021 die Verwaltung über Monate handlungsunfähig. In Irland führte der Angriff auf den Gesundheitsdienst HSE 2021 zur Lähmung des gesamten Systems, die Regierung verweigerte eine Zahlung trotz enormer Kosten. Norsk Hydro in Norwegen lehnte 2019 ebenfalls eine Zahlung ab und setzte auf Backups und Transparenz – der Vorfall verursachte Millionenverluste, stärkte jedoch das Vertrauen in die Unternehmensintegrität.
Für die Zukunft ist zu erwarten, dass Ransomware weiterhin florieren wird, solange Kryptowährungen schwer nachverfolgbar sind. Die neue EU-Verordnung MiCA und die überarbeitete Transfer-of-Funds-Regulation könnten die Anonymität einschränken. Parallel werden Sanktionsregime und mögliche Zahlungsverbote ausgeweitet werden.
Langfristig bedarf es einer interdisziplinären Strategie. Strafrechtliche Verfolgung, technische Resilienz, ökonomische Steuerung durch Versicherungs- und Marktmechanismen, ethische Normen gegen Lösegeldzahlungen und politische Diplomatie müssen ineinandergreifen. Nur so kann das Geschäftsmodell Ransomware unattraktiver gemacht werden. Ransomware ist kein reines IT-Problem, sondern ein gesamtgesellschaftliches Phänomen, das Prävention, Durchsetzung und Resilienz gleichermaßen erfordert.