Rechtsfragen zu Ransomware-Attacken

Die Frage, welche juristischen Erwägungen ein erpresstes Unternehmen im Fall einer Ransomware-Attacke anstellen muss, ist ungleich schwieriger zu beantworten als die nach der juristischen Verantwortung der Täter (siehe Kasten). Hinzu kommt, dass die Auswirkungen solcher Angriffe oft so erheblich sind, dass schnelles Reagieren zwingend scheint. Manche Täter „belohnen“ ihre Opfer auch für schnelles Handeln, indem sie ihre Lösegeldforderungen über die Zeit erhöhen. Das geforderte Lösegeld zu bezahlen, fällt leicht, wenn etwa eine Versicherung dafür einsteht.

Das Dilemma mit den Versicherungen

Ein Beispiel: Die Betreiber der Benzinpipeline Colonial in den USA haben im Mai 2021 etwa 4,4 Millionen Dollar Lösegeld bezahlt, nachdem diese zentrale Infrastruktureinrichtung Opfer eines Ransomware-Angriffs geworden war. Weder das FBI noch die US-Cybersicherheitsbehörde CISA hatten eine andere Lösung anzubieten. Allerdings war das Opfer gegen Cyberangriffe versichert. Wenn Täter von einer solchen Versicherung ihrer Opfer wissen, motiviert sie das unter Umständen erst recht, gegen Unternehmen vorzugehen. Denn mutmaßlich sind die Erpressten eher zu Lösegeldzahlungen bereit, wenn sie wissen, dass ihre Versicherungen diese voraussichtlich erstatten. In Deutschland werden solche Versicherungen (noch) von Ergo oder Axa angeboten.