Ransomware-Angriffe gehören auch in aktuellen Studien zu den größten Bedrohungen für Unternehmen jeder Größe und Branche. Die Angriffe führen nicht nur zu operativen Stillständen und finanziellen Verlusten, sondern bergen auch erhebliche juristische Risiken – von strafrechtlichen Konsequenzen bis hin zu zivilrechtlichen Haftungsansprüchen. Für Führungskräfte ist es daher entscheidend, die rechtlichen Rahmenbedingungen zu verstehen, um im Ernstfall angemessen reagieren zu können. Dieser Beitrag fasst die zentralen Erkenntnisse aus der juristischen Diskussion zusammen und gibt einen Überblick über die wichtigsten Pflichten und Risiken.
Strafrechtliche Risiken bei Lösegeldzahlungen
Die Frage, ob die Zahlung von Lösegeld nach einem Ransomware-Angriff strafbar ist, wird kontrovers diskutiert. Im Mittelpunkt stehen dabei die Tatbestände der Unterstützung krimineller Vereinigungen (§ 129 StGB), der Terrorismusfinanzierung (§ 89c StGB) und der Untreue (§ 266 StGB).
Nach der Rechtsprechung des Bundesgerichtshofs (BGH) setzt die Annahme einer kriminellen Vereinigung voraus, dass die Tätergruppe über ein gemeinsames Interesse hinausgeht, das sich allein auf die Begehung von Straftaten beschränkt. Viele Ransomware-Gruppen agieren jedoch wie Unternehmen mit geschäftsähnlichen Strukturen, deren primäres Ziel die Erzielung finanzieller Vorteile ist. In solchen Fällen fehlt es oft an dem für § 129 StGB erforderlichen übergeordneten Gruppenwillen. Selbst wenn eine kriminelle Vereinigung vorliegen sollte, scheitert eine Strafbarkeit häufig am subjektiven Tatbestand, da die handelnden Personen in der Regel nicht wissen, ob die Täter die Voraussetzungen einer kriminellen Vereinigung erfüllen.
Auch eine Strafbarkeit wegen Terrorismusfinanzierung (§ 89c StGB) ist unwahrscheinlich, da hierfür der Vorsatz erforderlich ist, die gezahlten Gelder würden für terroristische Zwecke verwendet werden. Dies wird bei Ransomware-Angriffen regelmäßig nicht nachweisbar sein.
Untreue gemäß § 266 StGB kommt ebenfalls nur in Ausnahmefällen in Betracht. Entscheidend ist, ob die Lösegeldzahlung im Rahmen einer sorgfältigen Interessenabwägung erfolgt, um größere Schäden vom Unternehmen abzuwenden. In den meisten Fällen wird eine solche Abwägung zugunsten der Zahlung ausfallen, insbesondere wenn es um die Vermeidung von Betriebsunterbrechungen oder die Abwehr von Reputationsschäden geht. Weiterer zentraler Aspekt ist die Möglichkeit der Rechtfertigung nach § 34 StGB (rechtfertigender Notstand). Hier ist eine Interessenabwägung im Einzelfall erforderlich. Rechtsprechung und Literatur gehen davon aus, dass die Interessen des erpressten Unternehmens – wie die Vermeidung wirtschaftlicher Schäden oder die Aufrechterhaltung der Betriebsfähigkeit – regelmäßig überwiegen. Eine pauschale Ablehnung der Rechtfertigung würde den Betroffenen eine unzumutbare Duldungspflicht auferlegen.
Zivilrechtliche Haftung von Führungskräften und Unternehmen
Neben strafrechtlichen Risiken drohen Führungskräften auch zivilrechtliche Konsequenzen, wenn sie ihren Pflichten im Zusammenhang mit der IT-Sicherheit nicht nachkommen. Nach § 91 Abs. 2 AktG und § 43 GmbHG sind Vorstandsmitglieder und Geschäftsführer verpflichtet, ein angemessenes Risikomanagement zu etablieren, das auch Cyber-Risiken berücksichtigt. Dazu gehört die Implementierung technischer und organisatorischer Maßnahmen, die den Stand der Technik widerspiegeln.
Verletzen Führungskräfte diese Pflichten, können sie sich gegenüber dem Unternehmen schadensersatzpflichtig machen. Dies gilt insbesondere, wenn durch unzureichende Sicherheitsvorkehrungen ein Ransomware-Angriff ermöglicht wird, der zu erheblichen Schäden führt. Die Darlegungs- und Beweislast für die Einhaltung der Sorgfaltspflichten liegt dabei bei den Führungskräften. Eine sorgfältige Dokumentation der getroffenen Maßnahmen ist daher unerlässlich.
Auch das Unternehmen selbst kann von Dritten in Anspruch genommen werden, wenn es seine Pflichten verletzt. So können Kunden oder Geschäftspartner Schadensersatzansprüche geltend machen, wenn durch den Angriff vertragliche Pflichten nicht erfüllt werden oder personenbezogene Daten offengelegt werden. Besonders relevant sind hier die Vorschriften der Datenschutz-Grundverordnung (DSGVO), die bei Verstößen Bußgelder von bis zu 4 % des weltweiten Jahresumsatzes vorsehen.
Proaktives Handeln ist entscheidend
Ransomware-Angriffe sind eine reale und wachsende Bedrohung, die Unternehmen nicht ignorieren können. Führungskräfte müssen sich der rechtlichen Risiken bewusst sein und proaktiv handeln, um diese zu minimieren. Dazu gehört die Implementierung eines robusten IT-Sicherheitskonzepts, die regelmäßige Schulung der Mitarbeiter und die Erstellung eines klaren Incident-Response-Plans.
Im Ernstfall ist eine enge Abstimmung mit den Ermittlungsbehörden und eine sorgfältige Interessenabwägung entscheidend. Versicherungen können einen Teil des Risikos abfedern, ersetzen aber keine umfassende Compliance-Strategie. Letztlich ist es die Aufgabe der Führungsebene, die Weichen so zu stellen, dass das Unternehmen nicht nur technisch, sondern auch rechtlich auf Cyber-Angriffe vorbereitet ist.
Compliance-Pflichten vor, während und nach einem Angriff
Die Vorbereitung auf einen Ransomware-Angriff ist ein zentraler Bestandteil der Compliance. Unternehmen sollten nicht nur technische Schutzmaßnahmen ergreifen, sondern auch organisatorische und rechtliche Vorkehrungen treffen.
Vor einem Angriff sind regelmäßige Backups, Penetrationstests und Schulungen der Mitarbeiter essenziell. Besonders wichtig ist die Erstellung eines Incident-Response-Plans, der klare Handlungsanweisungen für den Ernstfall enthält. Dieser Plan sollte alle relevanten Bereiche abdecken, von der technischen Reaktion bis zur Kommunikation mit Behörden und Betroffenen.
Während eines Angriffs ist schnelles Handeln gefragt. Betroffene Systeme sollten umgehend vom Netz genommen werden, um eine weitere Ausbreitung der Schadsoftware zu verhindern. Gleichzeitig ist eine forensische Analyse notwendig, um den Umfang des Angriffs zu ermitteln und Beweise zu sichern. Die Einbindung externer Experten kann hier sinnvoll sein, insbesondere wenn interne Ressourcen nicht ausreichen.
Nach einem Angriff beginnt die Phase der Aufarbeitung. Dazu gehört nicht nur die technische Wiederherstellung der Systeme, sondern auch die juristische Bewertung des Vorfalls. Unternehmen müssen prüfen, ob Meldepflichten nach dem IT-Sicherheitsgesetz, der DSGVO oder anderen spezialgesetzlichen Vorschriften bestehen. Zudem sollten die getroffenen Maßnahmen evaluiert und der Incident-Response-Plan gegebenenfalls angepasst werden.
Die Cyberversicherung
Versicherungsschutz mit Grenzen
Cyber-Versicherungen können einen wichtigen Beitrag zur Risikominimierung leisten. Sie decken nicht nur die direkten Schäden eines Angriffs ab, sondern bieten oft auch Unterstützung bei der Krisenbewältigung, etwa durch die Vermittlung von Forensik-Experten oder Rechtsberatern. Viele Policen sehen zudem eine Erstattung von Lösegeldzahlungen vor, sofern diese im Einvernehmen mit dem Versicherer erfolgen.
Cyberversicherungen funktionieren nicht immer so wie erwartet – ich habe dazu inzwischen einen Fachaufsatz mit dem Titel „Das aktuelle Recht der Cyberversicherungen“ in der Zeitschrift Kommunikation & Recht veröffentlicht (Heft 6/2025, S.373)
Rechtsanwalt Jens Ferner – Kommunikationsexperte, Strafverteidiger & IT-Fachanwalt
Allerdings gibt es auch hier Grenzen. So verlangen Versicherer oft den Nachweis, dass die Zahlung notwendig war, um größere Schäden abzuwenden. Zudem können Obliegenheitsverletzungen, wie die Nichtbeachtung von Sicherheitsvorschriften, zur Leistungsfreiheit führen. Unternehmen sollten daher sicherstellen, dass sie die vertraglichen Anforderungen erfüllen und die Police geheim halten, um das Risiko weiterer Angriffe nicht zu erhöhen.
Ein besonderes Augenmerk ist auf das EU-Sanktionsrecht zu legen. Zahlungen an sanktionierte Personen oder Organisationen können nicht nur strafbar sein, sondern auch den Versicherungsschutz gefährden. Vor einer Lösegeldzahlung sollte daher immer ein Sanktionslistencheck durchgeführt werden.
Rechtsanwalt Jens Ferner ist Lehrbeauftragter für Wirtschaftsstrafrecht und IT-Compliance (FH Aachen), Softwareentwickler, fortgebildet in Kommunikationspsychologie und publiziert fortlaufend.
Erreichbarkeit: Erstkontakt per Mail oder Rückruf.
Unsere Anwaltskanzlei im Raum Aachen ist hochspezialisiert auf Strafverteidigung, Cybercrime, Wirtschaftsstrafrecht samt Steuerstrafrecht. Zudem sind wir für Unternehmen im Softwarerecht und Cybersicherheitsrecht beratend tätig.
- Subventionsbetrug: BGH zur Reichweite des Vermögensschadens nach § 264 StGB - 16. Februar 2026
- Reichweite eines Verjährungseinredeverzichts bei Haftung von Geschäftsführern nach § 64 GmbHG a.F. - 16. Februar 2026
- Sexueller Missbrauch an Schulen: Ideen für ein Schutzkonzept aus der Praxis - 15. Februar 2026
