Die Zahlung des Lösegeldes bei Cyberangriffen: Ist das strafbar?

Stellen Sie sich folgenden Sachverhalt vor: Unternehmen A hatte einen schwerwiegenden Cyberangriff in Form eines *Ransomware-Angriffes. Nun fordert der Hacker von dem Unternehmen A ein Lösegeld, welches in Form einer bestimmten Kryptowährung gezahlt werden soll. Ist die Zahlung dieses Lösegeldes für das Unternehmen strafbar?

Antwort:
Zunächst empfehlen Behörden stets der Lösegeldforderungen unter keinen Umständen nachzugehen. Aus strafrechtlicher Sicht kann in Deutschland die Zahlung des Lösegeldes die Unterstützung einer kriminellen Vereinigung darstellen.

Hintergrund:
Es gilt der Grundsatz, dass dem organisierten Verbrechen keine finanziellen Mittel zur Verfügung gestellt werden sollten. So ein Angriff muss gemeldet werden, dies gilt insbesondere dann, wenn das Unternehmen einen Bezug zu den USA hat. Denn das dortige Office of Foreign Assets Control (OFAC) empfiehlt in seinen Richtlinien dringend, bei Ransomware-Angriffen von Lösegeldzahlungen abzusehen, und kann bei Verstößen gegen diese Richtlinien auch empfindliche Sanktionen verhängen.

1. Welche „Straftatbestände“ kommen in Betracht?

Zunächst könnte sich der Betroffene durch die Zahlung des Lösegeldes gem. § 129 Abs. 1 S. 2 Strafgesetzbuch wegen Unterstützung einer kriminellen Vereinigung strafbar machen.

Bereits die Einleitung eines entsprechenden Ermittlungsverfahrens eröffnet den Strafverfolgungsbehörden die Möglichkeit, auf weitreichende strafprozessuale Zwangsmaßnahmen möglicherweise zurückzugreifen:

• Nach § 100a Abs. 1 S. 1, Abs. 2 S. 1 lit. d) StPO ist im Rahmen eines Ermittlungsverfahrens die Anordnung einer Telekommunikationsüberwachung je nach Einzelfall statthaft
• Onlinedurchsuchung gem. § 100b Abs. 1, 2 S. 1 lit. c) StPO
• Akustische Wohnraumüberwachung gem. § 100c Abs. 1 StPO
• Verkehrsdatenüberwachung nach § 100g Abs. 2 S. 1 lit. c) StPO
• Soweit Anklage erhoben bzw. ein Haftbefehl gegen den Beschuldigten erlassen wird – eine Vermögensbeschlagnahme iSd. § 443 Abs. 1 S. 1 Nr. 1 StPO

 2. Wie könnte Unternehmen A durch die Zahlung des Lösegeldes eine kriminelle Vereinigung unterstützen?

Es müsste somit zunächst eine kriminelle Vereinigung als Begünstigte der Lösegeldzahlung vorliegen, der der Lösegeldzahlende nicht als Mitglied angehört.
In §129 Abs. 2 StGB findet sich die Legaldefinition des Vorliegens einer solchen Vereinigung: Hiernach ist unter einer Vereinigung „ein auf längere Dauer angelegter, von einer Festlegung von Rollen der Mitglieder, der Kontinuität der Mitgliedschaft und der Ausprägung der Struktur unabhängiger organisierter Zusammenschluss von mehr als zwei Personen zur Verfolgung eines übergeordneten gemeinsamen Interesses“ zu verstehen. Verlangt wird somit lediglich die Verfolgung eines gemeinsamen Interesses, welches in der Verfolgung von politischen, ideologischen, religiösen oder rein wirtschaftlichen Zielen aufgrund dahingehend geteilter Überzeugungen liegen kann.

Zwischenfazit:
Mangelt es an einer solchen Vereinigung oder kann eine solche nicht sicher nachgewiesen werden, so ist eine Strafbarkeit zu verneinen.

• Im Falle eines Ransomware-Angriffes werden seitens der Angreifer Tatbestände der Datenveränderung und Computersabotage, strafbar gem. §§ 303a Abs.1, 303b Abs. 1 Nr. 1, 3 StGB, verwirklicht. In Betracht kommt zudem, je nach Einzelfall, die Verwirklichung des Regelbeispiels aus § 303b Abs. 2 StGB, nämlich dann, wenn die Datenverarbeitung für den Betroffenen von wesentlicher Bedeutung ist.

Zu beachten ist indes, dass ein bloßes Vorbehalten der Begehung von nicht näher definierten Straftaten nicht ausreichend ist. Insgesamt ist eine hinreichende Konkretisierung bezüglich der Begehung vorgenannter Straftaten erforderlich.

3. Weitere Voraussetzungen

• Weiterhin ist eine Unterstützungshandlung erforderlich. Im Falle einer Lösegeldzahlung an die Ransomware-Angreifer, welche den Angreifern erwünscht und objektiv nützlich ist, ist eine Unterstützungshandlung somit regelmäßig gegeben.
• kein Tatbestandsausschluss nach § 129 Abs. 3 StGB (Hauptziel der Vereinigung sind Straftaten, ansonsten greift der Tatbestandsausschluss nach §129 Abs. 3 StGB)
• Tatbestand: Vorsatz erforderlich ! Dies gilt auch, wenn der Lösegeldzahlende den Erfolgseintritt nur billigt, weil er seine Daten zurückbekommen möchte
• In den üblichen Fallkonstellationen einer Lösegeldzahlung im Rahmen eines Ransomware-Angriffes erfüllt der Betroffene mit der Zahlung des Lösegeldes regelmäßig den Tatbestand des § 129 Abs. 1 S. 2 StGB.

4. Ist die Tat eventuell durch den rechtfertigenden Notstand gerechtfertigt?

• 34 StGB keine Beschränkung hinsichtlich der Gefahrenquelle, sodass der Rechtfertigungsgrund nicht über seinen Wortlaut hinaus eingeschränkt werden darf, Art. 103 Abs. 2 GG.
• Maßgeblich für die Bewertung, ob die Tat nach § 34 StGB gerechtfertigt werden kann, ist somit die Interessenabwägung.
• Die Höhe des geforderten Lösegeldes muss in die Interessenabwägung miteinbezogen werden (je höher das Lösegeld, desto schwieriger die Rechtfertigung der Zahlung)

Fazit:
Ob eine Lösegeldzahlung gerechtfertigt werden kann, ist einzelfallabhängig und lässt sich mithin nicht pauschal beurteilen.

Weitere Straftaten, die durch Lösegeldzahlung begangen werden könnten:

• Terrorismusfinanzierung gem. § 89c Abs. 1 Nr. 3 StGB wegen des Bereitstellens von Vermögenswerten zur Begehung einer der dort genannten Straftaten
• Verstoß gegen ein Bereitstellungsverbot, strafbar gem. § 18 Abs. 1 Nr. 1 lit. a) AWG
• Geldwäsche gem. § 261 Abs. 1 Nr. 3 StGB
• Strafbarkeit wegen Begünstigung gem. § 257 Abs. 1 StGB
• Strafbarkeit wegen Beihilfe zur Steuerhinterziehung gem. §§ 370 Abs. 1 Nr. 2 AO, 27 StGB

Die Strafbarkeit nach § 129 Abs. 1 S. 2 StGB und § 18 Abs. 1 Nr.1 lit. a) AWG ist dadurch gekennzeichnet, dass sich im Rahmen der Strafverteidigung diverse Ausstiegsstellen darbieten, die eine Strafbarkeit im konkreten Einzelfall entfallen lassen können.

*Begriff Erläuterung: Ein Ransomware-Angriff ist eine Form von Malware, die den Zugriff auf Daten oder ganze Systeme blockiert, indem sie diese verschlüsselt. Die Angreifer fordern in der Regel ein Lösegeld (englisch „ransom“), um einen Entschlüsselungscode bereitzustellen.