Plan A im Cyberstrafrecht: Ransomware – die neue Art der Interneterpressung

Unsere Gesellschaft befindet sich in einem ständigen Wandel, bei dem das Internet und die digitale Kommunikation sowohl für Unternehmen als auch für Privatpersonen immer mehr an Bedeutung gewinnt. Dieser Wandel wurde durch die Corona-Pandemie erheblich beschleunigt und bring viele Vorteile mit sich, auf die kaum noch einer verzichten möchte. Gleichzeitig bietet die zunehmende Digitalisierung auch immer mehr Handlungsspielraum für Kriminelle, die mit Hilfe von Schadprogrammen (sog. Malware) Zugang zu sensiblen Daten oder Netzwerken erlangen und erhebliche Lösegeldsummen erpressen. Diese Art der Erpressung nimmt einen immer breiteren Raum ein und stellt das Strafrecht und die Justiz vor neue Herausforderungen.

Der Hintergrund: Immer komplexere Schadsoftware stellt Unternehmen vor Herausforderungen   

Viele Delikte, die durch Cyber-Angriffe begangen werden, gab es auch schon vor der Digitalisierung, zum Beispiel die Sachbeschädigung (§ 303 StGB) oder den Betrug (§ 263 StGB). Im Laufe der Zeit mussten diese Tatbestände adaptiert werden, sodass die Straftatbestände des Computerbetrugs (§ 263 a StGB), des Ausspähens von Daten (§ 202 a StGB) sowie der Datenveränderung (§ 303 a StGB) entstanden.

Ransomware stellt eine Unterkategorie der Trojaner dar. Diese Programme sind gezielt mit infizierten Anhängen versehen und gelangen durch E-Mails oder durch das Aufrufen von Webseiten (sog. Drive-by-Installation) auf den Computer, um dort unerwünschten Schaden anzurichten. Eine genaue Definition für „Ransomware“ gibt es nicht. Es kann aber eine Differenzierung zwischen zwei Arten von Ransomware vorgenommen werden, der Zugangssperre und der Verschlüsselung. Bei der sog. Zugriffssperre wird der Zugriff auf die Daten unmöglich gemacht. Dabei handelt es sich um einen weniger komplexen Erpressungsversuch, der durch IT-Spezialisten oftmals verhindert werden kann. Eine komplexere Variante stellt die Verschlüsselung von Daten in dem betroffenen Netzwerk dar, da eine Entschlüsselung in der Regel nur durch Zahlung der Lösegeldsumme erfolgen kann, andernfalls sind die Daten verloren. 

Die Geschädigten: Wer ist betroffen?

Im Visier der Täter stehen vermehrt größere Wirtschaftsunternehmen aber auch Einrichtungen der Daseinsvorsorge, etwa Krankenhäuser. Das primäre Ziel der Täter ist es unter dem Deckmantel der Anonymität des Internets utopische Summen an Lösegeld zu erpressen und an höchstpersönliche Daten und Firmengeheimnisse zu gelangen, um diese für sich zu nutzen. Nicht immer sind technischen Mängel im Sicherheitssystem der Auslöser für einen Cyberangriff, sondern die eigenen Mitarbeiter des Unternehmens, die aufgrund fahrlässigen Verhaltens sensible Daten nicht ausreichend sichern. Homeoffice und die dortige Nutzung privater IT-Geräte hat hier das Risiko nochmals erhöht.

Dass auch vermehrt öffentliche Verwaltungen oder ganze Landkreise ins Visier der Erpresser geraten, zeigt der Hackerangriff auf den Landkreis Anhalt-Bitterfeld im Juli 2021, bei dem die Täter das Computersystem des Kreises attackierten und so rund 63 GByte Daten kopierten und etwa 200 Mbyte an Protokolle veröffentlichten. Nach jüngsten Erkenntnissen beläuft sich die Schadensbilanz auf 2 Millionen Euro und damit deutlich mehr als die geforderte Lösegeldsumme von 500.000 Euro in digitaler Währung. Einen ähnlichen Fall betraf auch die Uniklinik Düsseldorf, bei der im September 2020 über mehrere Stunden 30 Server lahmgelegt wurden, was zur Folge hatte, dass der Tagesbetrieb in der Klinik erheblich eingeschränkt wurde und einige Patienten verlegt werden mussten, da die medizinischen Geräte nicht mehr funktionsfähig waren.

Nach der Cyberattacke: Was folgt typischerweise?

Nach der Infektion eines Geräts wird der Nutzer über den Bildschirm meist aufgefordert, einen bestimmten Geldbetrag – unter Nutzung von schwer nachverfolgbaren Kryptowährungen, wie zum Beispiel Bitcoins – zu zahlen, um wieder Zugriff auf die Daten zu bekommen. Eine Garantie für die Wiederherstellung oder Entsperrung der Daten gibt es auch nach erfolgter Lösegeldzahlung nicht. Aufgrund dessen rät auch das Bundesamt für Sicherheit in der Informationstechnik, von Zahlungen an die Erpresser ab. Allerdings bewirkt eine Lösegeldzahlung, die mit einem geringen Zeitaufwand verbunden ist oft doch die Freigabe der Daten, da hierauf das Geschäftsmodell der Erpresser beruht. Ransomware-Attacken weisen aufgrund ihrer Häufigkeit eine hohe Gewinnerwartung auf und sind damit auch in Deutschland kein Einzelfall mehr. 

Wird der Zugriff auf die Daten, egal ob Bildmaterial von Privatleuten oder gespeicherte Kundendaten in Unternehmen oder digitalisierte Akten in der Verwaltung verwehrt, erstrecken sich die Auswirkungen meist von Ärgerlichkeit über Wut, bis hin zur Bedrohung der unternehmerischen Existenzen. Besonders perfide ist, dass die Täter oft aus „Rache“ bzw. um glaubwürdig zu bleiben, sensible Daten online veröffentlichen, wenn die Lösegeldzahlung ausbleibt. Hierdurch kann es zu massiven Reputationsschäden bis hin zum Verlust von Kunden oder Geschäftspartnern kommen.

Der Plan A im Cyberstrafrecht: Wie gehe ich mit der Situation um?

Von einer Zahlung des geforderten Lösegeldes ist regelmäßig abzuraten.  Zum einen handelt es sich um professionelle Täter, die durch die Zahlung oftmals zum „Weitermachen“ motiviert werden und immer höhere Summen fordern. Zum anderen gibt es keine Garantie, dass die Daten überhaupt jemals nach Erhalt der Zahlung wieder zurückgegeben oder gelöscht werden.  Das betroffene Unternehmen sollte in jedem Fall anwaltlich begleitet eine Strafanzeige erstatten und die Landesdatenschutzbehörden informieren.  Das Risiko einer Verurteilung für die Täter, die häufig im (außereuropäischen) Ausland sitzen, ist zwar sehr überschaubar. Die Kooperation mit den (Strafverfolgungs-)Behörden ist jedoch regelmäßig unabdingbar, um Vorwürfen gegen das eigene Unternehmen entgegenzutreten.  

In präventiver Hinsicht bieten sich Schulungen des Personals an, um die Betroffenen zu sensibilisieren, damit Ransomware-Attacken verhindert oder jedenfalls frühzeitig erkannt werden. Relevante Daten sollten, idealerweise auf getrennten physischen Speichermedien, gesichert werden, um im Notfall auf Kopien, etwa von Kundendaten, zugreifen zu können. 

Plan A – Kanzlei für Strafrecht berät und begleitet Unternehmen, in allen Situationen. Werden Sie oder Ihr Unternehmen Opfer von Hackerangriffen unterstützen wir Sie – als Kanzlei mit viel Erfahrung auf diesem Gebiet – bei der Kommunikation/ Kooperation mit Strafverfolgungsbehörden, mit Ihren Mitarbeitern und wenn erforderlich Geschäftspartnern und untersuchen im Rahmen von International Investigation mögliche Verstöße im Unternehmen selbst. Wir sind für Sie da, #wennmalwasist.

Autor: 

  • Rechtsanwalt Dr. Joshua Christmann
  • Stud. iur. Sebastian Schmitz

Dr. Joshua Christmann
Rechtsanwalt / Associate

Plan A – Kanzlei für Strafrecht