Cyberattacken auf Unternehmen – Plan A, wenn es um Lösegeld geht!

Die fortschreitende Digitalisierung bringt auch eine fortschreitende Verlagerung von Kriminalität in den digitalen Raum mit sich. Im Jahr 2021 erreichte die Anzahl erfasster Cyber-Straftaten einen neuen Höchstwert. Hierzu veröffentlichte das BKA im Mai 2022 das Bundeslagebild Cybercrime 2021. Einen  BLOG Beitrag hierzu veröffentlichten wir bereits im Juli.

Die Aufklärungsquote von Cyber-Straftaten lag zuletzt bei 29,3 % und damit auf einem äußerst niedrigen Niveau. Cybercrime gilt als das Gebiet mit dem höchsten Schadenspotenzial in Deutschland. So beliefen sich die Schäden im Jahr 2021 laut Wirtschaftsschutzbericht auf 223,5 Mrd. Euro jährlich

Wie finden solche Cyber-Attacken statt?

Bei Cyber-Attacken attackieren Hacker die  IT-Systeme eines Unternehmens anhand  eines Verschlüsselungs-Trojaners, die die Unternehmen durch E-Mail Anhängen unter falschem Namen erhalten. Sobald die Hacker Zugriff auf die Rechner erhalten, sperren sie diese für das Unternehmen und fordern für die Freigabe ein Lösegeld ein. Strafrechtlich relevant sind hier Betrug (§ 263 StGB), Ausspähen von Daten (§202a StGB) sowie Erpressung (§ 253 StGB). Die Hacker bauen Druck auf, indem sie mit dem Verlust sämtlicher Daten sowie mit einer Veröffentlichung einer Kopie dieser Daten drohen, sofern das Lösegeld nicht gezahlt werden sollte.

Gefordertes Lösegeld sollte keinesfalls gezahlt werden.

Zunächst ist festzuhalten, dass die Zahlung des Lösegeldes keinesfalls eine Garantie für die Abwehr der Cyber-Attacke bietet. Die Zahlung bedeutet nicht, dass die Hacker die Daten wieder freigeben und/oder keine Kopien dieser Daten für eventuelle weitere Erpressungen behalten werden.

Auf solch gelagerte Zahlungsaufforderungen sollte man als Unternehmen grundsätzlich nicht eingehen. Durch die Zahlung der geforderten Lösegelder kommt eine Unterstützung krimineller Vereinigungen nach § 129 Abs. 1 S. 2 StGB in Betracht. Dadurch würde man diesen Raum für weitere Straftaten geben und diese sogar finanzieren. Weiterhin signalisieren Unternehmer durch die Zahlungsbereitschaft, dass sie auch in Zukunft für Zahlungen bereit wären. Man wird zur Zielscheibe von Cyber-Straftätern.

Aber was tun bei einem Cyber-Angriff?

Es erscheint wenig sinnvoll einen Angriff abzuwarten und erst dann zu agieren. Vielmehr sollten Unternehmen sich vorab absichern. Das bedeutet, die Sicherheitsvorkehrungen sollten angepasst und immer auf dem neuesten Stand gehalten werden. Auch die Entwicklung eines Plans bezüglich einer Reaktion im Falle einer Cyber-Attacke, der allen Mitarbeitenden gegenüber kommuniziert wird, stellt sich als wesentlich heraus, um einen Schaden abzuwehren und zu minimieren.

Im Falle einer Cyber-Attacke gilt es auf jeden Fall, die vorhandenen Spuren zu sichern. Zudem sollte ein juristisches Team vorhanden sein, das eine Entscheidung über mögliche Pressestatements trifft und gegebenenfalls weitere Maßnahmen zur Strafverfolgung ergreift.

Plan A, wenn es um Lösegeld geht!

Das Team von Plan A ist geschult, im Bereich Cybercrime präventive Compliance-Untersuchungen vorzunehmen. Dadurch können Schwachstellen gefunden und behoben werden. Unser Team verfügt über umfangreiche Erfahrung. Wir unterstützen Sie gerne und stehen Ihnen mit Rat und Tat zur Seite. #wennmalwasist.

Autoren und Ansprechpartner:

  • Rechtsanwältin Maren Lutz
  • Rechtsreferendarin Anne Marie Lamers

MAREN LUTZ
ANGESTELLTE ANWÄLTIN | ASSOCIATE

Plan A – Kanzlei für Strafrecht

Anne Marie Lamers
Rechtsreferendarin

Plan A – Kanzlei für Strafrecht