Welche strafrechtlichen Risiken drohen bei Lösegeldzahlungen nach Ransomware-Angriffen?

18.03.2024

Ransomware-Angriffe werden immer häufiger. Sowohl das BKA als auch das BSI warnen vor der erhöhten Bedrohungslage. Dabei wird meist davon abgeraten, das Lösegeld zu zahlen. Das Worst-Case-Szenario bei Verweigerung der Zahlung ist jedoch der dauerhafte Verlust aller Daten, was einen enormen Schaden verursacht und einer drohenden Einstellung des Geschäftsbetriebes gleichkommen kann.
Zahlt man wiederum als Unternehmensverantwortlicher das Lösegeld, wird man nicht nur zum Opfer einer Straftat (meist der Erpressung), sondern es besteht darüber hinaus das Risiko, sich selbst strafbar zu machen.  

 

Bei Lösegeldzahlungen kommt insbesondere eine Strafbarkeit wegen Unterstützung einer kriminellen Vereinigung gem. § 129 I 2 Var. 1 StGB in Betracht (oder § 129b I 1,2 StGB, wenn sich die kriminelle Vereinigung im Ausland befindet).
Dafür müssen zunächst zwei objektive Tatbestandsmerkmale verwirklicht sein. Zum einen muss eine kriminelle Vereinigung Empfängerin der Lösegeldzahlung sein.  Bei einem Ransomware-Angriff kann man regelmäßig davon ausgehen, dass die Hacker im Rahmen einer kriminellen Vereinigung handeln. Dies ist in der Praxis allerdings schwer nachweisbar. Es gilt im Zweifel für den Angeklagten, dass es sich nicht um eine kriminelle Vereinigung handelt. Des Weiteren muss eine taugliche Unterstützungshandlung vorliegen. Auch hier kann man regelmäßig davon ausgehen, dass die Lösegeldzahlung die kriminelle Vereinigung in ihrem Zwecke Straftaten zu begehen zumindest fördert.

Auf der subjektiven Ebene müssten Verantwortliche zumindest mit Eventualvorsatz gehandelt haben. Durch die steigende Bedrohungslage ist davon auszugehen, dass Unternehmensverantwortliche sich bewusst sein müssten, dass hinter diesen Angriffen organisierte Kriminalität steckt und sie mit der Lösegeldzahlung weitere Straftaten fördern könnten, auch wenn dies nicht gewollt ist.
Der Tatbestand des § 129 I 2 Var. 1 StGB könnte also erfüllt sein, sofern den Ermittlungsbehörden der Nachweis einer kriminellen Vereinigung gelingt.  

Es liegt keine Strafbarkeit vor, wenn die Lösegeldzahlung gerechtfertigt war nach § 34 StGB. Hier liegt ein sogenannter Nötigungsnotstand vor, da der Unternehmer durch die Erpressung dazu genötigt wird, in die Schutzgüter des § 129 StGB (öffentliche Sicherheit oder staatliche Ordnung) einzugreifen. Gegen die Rechtfertigung bei einem Nötigungsnotstand wird argumentiert, dass sich der Unternehmer zum Werkzeug einer rechtswidrig handelnden Vereinigung mache und damit auf die Seite des Unrechts trete.

Dann käme allenfalls ein entschuldigender Notstand nach § 35 in Betracht, der aber auch in der Regel nicht einschlägig ist, da er nicht das Eigentum schützt. Die Gegenmeinung hingegen vertritt eine Rechtfertigung, wenn bei der Interessenabwägung zu Lasten des Unternehmens ein extremes Missverhältnis zwischen den Interessen des Unternehmens und den allgemein geschützten Rechtsgütern des § 129 StGB festgestellt wird. Hierbei muss besonders berücksichtigt werden, ob dem Unternehmer mildere Mittel zu Verfügung standen, wie zum Beispiel die Verwendung von Backups, Entschlüsselungssoftware oder staatliche Hilfe. Es käme aber letztendlich auf den Einzelfall an.  

Sollte der Tatbestand erfüllt und nicht gerechtfertigt sein, gibt es strafprozessrechtlich noch Handlungsspielraum. Befindet sich die Vereinigung im Ausland, kann die Staatsanwaltschaft von einer Verfolgung nach § 153c I 1 Nr. 3 StPO absehen. Weiterhin kann das Gericht von einer Bestrafung nach der sogenannten Mitläuferklausel des § 129 VI StGB oder die Staatsanwaltschaft von einer Verfolgung nach § 129 VI i.V.m. § 153b I StPO absehen.

Allerdings ist auch schon ein Anfangsverdacht relevant für das betroffene Unternehmen, da Cyberversicherungen strafrechtliche Handlungen nicht abdecken. Der Unternehmensverantwortliche kann damit auch gegen seine Legalitätspflicht oder die Business Judgment Rule im Innenverhältnis einer Gesellschaft verstoßen, die aus § 93 I 2 AktG folgt.

Eine Strafbarkeit wegen Untreue des Vermögens des Unternehmens gem. § 266 ist jedoch ausgeschlossen, sofern das Lösegeld nicht außer Verhältnis zum erwartenden Schaden ist.

Zuletzt ist zu bedenken, ob man sich wegen Terrorismusfinanzierung gem. § 89c I StGB oder Geldwäsche gem. § 261 StGB strafbar macht. Allerdings bedarf es bei ersterem positivem Wissen, dass das Geld terroristischen Zwecken dient, was allein durch die Anonymität der Angreifer schon nicht gegeben ist und bei letzterem würden Erpressungsopfer aus dem Schutzzweck der Norm fallen.  

Bisher ist kein Fall bekannt, in dem es zur Anklage gekommen ist. Es bleibt das Restrisiko einer strafrechtlichen Verfolgung und Verurteilung.  Gerade weil viele komplexe Rechtsfragen aufgeworfen werden, sollten Sie sich in einem solch prekären Fall also unbedingt rechtlichen Beistand zurate ziehen.

Von stud. iur. Marie Gogolin und Rechtsanwalt Martin Figatowski, LL.M. (Tax)