Stuttgart: GandCrab-Ransomware-Erpresser verurteilt

Was in Stuttgart rund um den Angriff auf die dortigen Staatstheater vor dem Landgericht verhandelt wird, ist mehr als eine typische Cybercrime-Geschichte. Der Fall erzählt, wie schwierig Ransomware-Fälle vor Gericht sind … für Staat, Wirtschaft und Verteidiger zugleich. Dabei sieht man hier durchaus aus Sicht der Strafverfolger eine Erfolgsgeschichte, denn es ist einer der ganz wenigen Fälle in denen ein im Ausland lebender Ransomware-Erpresser von der deutschen Justiz verurteilt wurde, zu immerhin sieben Jahren Haft.

Bühnenvorhang auf: Cyberangriff

Ende März 2019 stehen mehrere Premieren an, als die IT der Stuttgarter Theater abrupt zum Erliegen kommt: Arbeitsplätze starten in den Stillstand, Login-Versuche enden in Erpressungsbildschirmen, der Geschäftsbetrieb hängt plötzlich an einer Handvoll analogen Notlösungen. Hinter dem Angriff steht nach Überzeugung der Strafverfolgungsbehörden eine international operierende Gruppe, die die Erpressungssoftware einsetzt, die in zahlreichen Fällen deutsche Unternehmen und Einrichtungen lahmgelegt haben soll. Der wirtschaftliche Schaden summiert sich laut Anklage auf einen hohen sechsstelligen Betrag allein für Wiederanlauf und Härtung der Systeme – plus ein Lösegeldbetrag im niedrigen fünfstelligen Bereich, der zum Kern der schwierigen gerichtlichen Rekonstruktion wird, wie ZEIT berichtet.

Im Strafverfahren geht es dabei nicht nur um einzelne kompromittierte Server, sondern um ein Muster: 22 betroffene Unternehmen und Institutionen, mehrere erfolgreiche Erpressungen, ein Schaden von mehreren Millionen Euro und ein Angeklagter, dem die Mitgliedschaft in einer global agierenden Cybercrime-Struktur zugeschrieben wird. Die Ransomware-Gruppe, mit der der Angriff in Verbindung gebracht wird, taucht seit Jahren in internationalen Ermittlungsakten auf; ihr werden Schäden im dreistelligen Millionenbereich zugerechnet.

Unsichtbarer Verhandler

Bemerkenswert ist weniger, dass ein Kulturbetrieb Opfer eines Ransomware-Angriffs wird – das ist inzwischen Alltag –, sondern wie die Situation entschärft wurde. Während die Premiere unter Notbedingungen gerettet wird, erscheint in der IT-Zentrale ein externer Dienstleister, über dessen Herkunft sich heute niemand so recht erinnern möchte. Er übernimmt die nächtliche Verhandlung mit den Erpressern im Darknet, die Forderung sinkt, und am nächsten Morgen liegen funktionierende Entschlüsselungsschlüssel bereit. Aus Sicht des Theaters ist das Problem damit gelöst, aus Sicht des Gerichts beginnt es hier erst: Der Vorgang ist Kerngeschehen der Beweisführung, weil Finanzspuren aus Lösegeldzahlungen die Zuordnung zwischen Angriffen und Tätern absichern sollen.

Die Zeugen aus dem Kulturbetrieb versichern laut Bericht der ZEIT gleichwohl, selbst kein Lösegeld überwiesen und auch keine Auslagen des Dienstleisters erstattet zu haben. Ob Ermittlungsbehörden die Zahlung angeregt, begleitet oder gar selbst abgewickelt haben, bleibt offiziell unbeantwortet – mit Hinweis auf ermittlungstaktische Gründe. Zurück bleibt ein Bild, in dem sich staatliche Stellen zwischen operativer Notwendigkeit, politischer Zumutbarkeit und strafrechtlichen Grenzen bewegen, ohne die Rollen transparent aufzulösen.

Hacking im Blog

• Hackangriff bzw. Cyberangriff – Was tun?
• Datenleck: Herausforderungen für Unternehmen
• NIS2-Umsetzung in Deutschland 2026
• Fake News als Gefahr für Unternehmen
• IT-Sicherheit im Arbeitsrecht
• Wie schütze ich mich vor einem Hackangriff?
• Was ist ein sicheres Passwort?
• Phishing-Seiten-Installation am Beispiel ZPhisher
• Bin ich von einem Hackangriff betroffen?
• Online-Betrug & Fake-Shops: Was tun?
• Glossar zum Cybercrime mit klassischen Angriffsszenarien
• Strafbarkeit der Suche nach Sicherheitslücken
• Unser Hacker-Guide: Russland, Iran, Nordkorea und China
• Unser Ransomware-Guide:
  • Verhandlungsstrategien
  • BSI-Maßnahmenkatalog
  • Bezahlen oder nicht?
  • Wie Unternehmen mit Ransomware erpresst werden
  • Haftung des Arbeitnehmers bei Ransomware

Strafbarkeit von Ransomware – und von Lösegeld

Strafrechtlich ist der Einsatz von Ransomware in Deutschland längst klar verortet. Der Bundesgerichtshof hat in seiner Grundsatzentscheidung (BGH, 1 StR 78/21) klargestellt, dass das Verschlüsseln von System- und Nutzerdaten durch Schadsoftware regelmäßig eine Computersabotage sowie eine Datenveränderung darstellt und damit unter anderem die Vorschriften der §§ 303a, 303b StGB erfüllt. Hinzu tritt im typischen Erpressungsszenario der Tatbestand der Erpressung, regelmäßig zumindest in der versuchten Form, wenn Lösegeld gefordert wird. Angesichts der arbeitsteiligen Strukturen moderner Ransomware-Gruppen kommen zudem Konstellationen organisierter Kriminalität in den Blick, einschließlich der Strafbarkeit wegen mitgliedschaftlicher Beteiligung an einer kriminellen Vereinigung.

Komplexer wird es bei der Frage, ob das Zahlen von Lösegeld selbst strafbar sein kann. Die gängige strafrechtliche Diskussion befasst sich vor allem mit drei Normkomplexen: Beteiligung an einer kriminellen Vereinigung, Terrorismusfinanzierung und Geldwäsche. Während eine Strafbarkeit wegen Unterstützung einer Vereinigung in der Praxis hohe Hürden hat, rückt die Geldwäsche zunehmend in den Fokus, weil Lösegeldzahlungen Vermögenswerte darstellen, die aus Erpressungstaten herrühren. Die Rechtsprechung legt das Merkmal des Herrührens weit aus, sodass schon ein lockerer Kausalzusammenhang zwischen Vortat und Vermögensgegenstand genügt, um das Geld als mögliches Geldwäscheobjekt zu qualifizieren.

In der Literatur wird deshalb diskutiert, ob und unter welchen Voraussetzungen Verantwortliche, die unter hohem Zeitdruck und erheblichem wirtschaftlichem Druck in einer Erpressungslage zahlen, sich wegen Geldwäsche strafbar machen können oder ob Rechtfertigungskonzepte wie der rechtfertigende Notstand eingreifen. Ein pauschaler Ausschluss einer Rechtfertigung wird abgelehnt, stattdessen kommt es auf die konkrete Abwägung zwischen Gefahrenlage, Alternativen, Schadensumfang und Bedeutung der unterstützen Strukturen an. Für staatliche Einrichtungen tritt hinzu, dass haushaltsrechtliche Vorgaben und politische Verantwortung jeden Zahlungsvorgang zu einer hochsensiblen Entscheidung machen.

Stille Statistik der Zahlungen

Offiziell betont fast jedes Unternehmen, es werde niemals zahlen. Die empirischen Daten zeichnen ein anderes Bild. Repräsentative Umfragen des Digitalverbands Bitkom zeigen, dass in Deutschland binnen eines Jahres rund 60 Prozent der Unternehmen von Ransomware betroffen waren; jedes achte dieser Unternehmen gab an, das geforderte Lösegeld gezahlt zu haben. Eine neuere Wirtschaftsschutzstudie des Verbandes kommt sogar zu dem Ergebnis, dass inzwischen jedes siebte Unternehmen bei Daten-Erpressungen zahlt, teils in Millionenhöhe. Ransomware hat sich damit zur dominierenden Cyberbedrohung entwickelt, mit massiv steigenden Schäden und einem wachsenden Segment professionalisierter Erpresserbanden.

International deuten Branchenstudien darauf hin, dass die durchschnittlichen Lösegeldbeträge erheblich steigen, während gleichzeitig weltweit nicht mehr, sondern eher weniger Unternehmen bereit sind, zu zahlen. Der Druck verschiebt sich insofern von der Häufigkeit der Zahlungen hin zu deren Volumen und zu den Folgekosten der Wiederherstellung, die vielfach deutlich über dem eigentlichen Lösegeld liegen. Ergänzende Auswertungen zeigen: Ein erheblicher Teil der betroffenen Unternehmen stellt Daten aus eigenen Backups wieder her oder erhält Daten ohne Zahlung zurück, auch wenn Angreifer versuchen, Sicherungen gezielt zu kompromittieren.

Zur Erfolgsquote bezahlter Erpressungen liefern die seriösen Studien ein gemischtes Bild. Ein signifikanter Anteil der Zahler erhält zwar funktionsfähige Schlüssel und damit eine Wiederherstellungsmöglichkeit, doch Vorfälle von nicht gelieferten Schlüsseln, defekten Entschlüsselungswerkzeugen oder zusätzlicher Datenveröffentlichung trotz Zahlung sind dokumentiert. Zugleich berichten viele Unternehmen von massiven Geschäftseinschränkungen ungeachtet der Frage, ob sie gezahlt haben; entscheidend sind Resilienz, Backup-Strategie und die Fähigkeit, Kernprozesse auch im Krisenmodus aufrechtzuerhalten.

Was der Stuttgarter Fall erzählt – und was nicht

Vor dem gesamten Hintergrund wirkt das Stuttgarter Verfahren wie ein seltenes Unicorn in einem ansonsten verdeckten, totgeschwiegenen Markt: Es macht sichtbar, dass Lösegeldzahlungen – oder zumindest ernsthaft erwogene Zahlungen – in der Praxis eine Rolle spielen, auch in öffentlichen Einrichtungen, und dass Ermittlungsbehörden diese Finanzströme durchaus strategisch nutzen, um Täter zu identifizieren. Zugleich führt der Fall vor Augen, wie stark die Rollen verschwimmen, wenn externe Verhandler, IT-Dienstleister und Strafverfolgung hinter verschlossenen Türen agieren und am Ende niemand so recht sagen möchte, wessen Geld wohin geflossen ist. Dabei wird zugleich deutlich, wie schnell Unternehmen oder Behörden, die durch schnelle Zahlung die Sache erledigen wollen sich plötzlich in einem öffentlichen Gerichtsverfahren wiederfinden können.

Für Unternehmen und öffentliche Einrichtungen ergibt sich daraus eine unbequeme Erkenntnis: Ransomware ist ein Governance-Thema, das Strafbarkeitsrisiken, Haftungsfragen, politische Verantwortung und operative Krisenbewältigung bündelt und plötzlich in der Öffentlichkeit landen kann.

Wer in einer akuten Erpressungslage Entscheidungen trifft, bewegt sich in einem Feld, in dem Strafrecht, Versicherungsbedingungen, Aufsichtsrecht und öffentliche Wahrnehmung ineinandergreifen – und in dem der reflexartige Ruf nach Zahlung genauso gefährlich sein kann wie die kategorische Weigerung ohne belastbare Notfallplanung. Und wer sich dann als Zeuge ohne anwaltliche Begleitung vor Gericht setzt, ist dann in der Position, grundsätzlich aussagen zu müssen – und vielleicht Dinge zu sagen, die eine eigene Strafverfolgung bedeuten, so sollte man nicht zu unbedarft mit diesen Punkten umgehen:

• Bis heute ungeklärt und umstritten ist, ob eine Zahlung auf eine Ransomware-Erpressug eine Straftat darstellt; es macht Sinn, an diesem Punkt – gleich ob selbst gezahlt oder in Auftrag gegeben – um eine Aussageverweigerung zu kämpfen.
• Sollte das Unternehmen in Insolvenz geraten sein, sind alle Fragen zur unterlassenen IT-Sicherheit und damit kausal ermöglichtem Ransomware-Angriff für die Geschäftsleitung zivil- und strafrechtlich relevant.
• Auch dass man unter der grundsätzlichen Aussagepflicht Erklärungen zu ergriffenen Sicherheitsmaßnahmen machen muss, ist ein Haftungsrisiko, etwa wenn im Publikum Menschen sitzen, die Ansprüche geltend machen wollen.

Der Stuttgarter Prozess zeigt mir damit vor allem eines: Die eigentliche Währung in Ransomware-Fällen ist nicht das Kryptowallet der Täter, sondern die Handlungsfähigkeit der Betroffenen. Wer diese erhalten will, muss weit vor dem Ernstfall klären, unter welchen Bedingungen er zahlt, wen er in der Krise an den Verhandlungstisch lässt und wie weit der Staat bei der Kooperation mit Erpressern tatsächlich gehen darf.

• Über
• Letzte Artikel

Rechtsanwalt Jens Ferner

Fachanwalt für Strafrecht & IT-Recht bei Anwaltskanzlei Ferner Alsdorf

Rechtsanwalt Jens Ferner ist renommierter Strafverteidiger im gesamten Strafrecht samt Managerhaftung (mit Schwerpunkt Wirtschaftskriminalität und Cybercrime) sowie Spezialist im IT-Recht mit Schwerpunkt Softwarerecht und digitale Beweismittel. Als Fachanwalt für Strafrecht + IT-Recht verteidigt er Mandanten in anspruchsvollen Strafverfahren, speziell an der Schnittstelle von Strafrecht & IT-Recht und berät in komplexen Softwareprojekten.

Rechtsanwalt Jens Ferner ist Lehrbeauftragter für Wirtschaftsstrafrecht und IT-Compliance (FH Aachen), Softwareentwickler, fortgebildet in Kommunikationspsychologie und publiziert fortlaufend.

Erreichbarkeit: Erstkontakt per Mail oder Rückruf.

Unsere Anwaltskanzlei im Raum Aachen ist hochspezialisiert auf Strafverteidigung, Cybercrime, Wirtschaftsstrafrecht samt Steuerstrafrecht. Zudem sind wir für Unternehmen im Softwarerecht und Cybersicherheitsrecht beratend tätig.

Letzte Artikel von Rechtsanwalt Jens Ferner (Alle anzeigen)

• Urheberrecht an KI-generierten Logos? - 14. Februar 2026
• Ransomware: Lösegeld an die Erpresser bezahlen? - 13. Februar 2026
• NPSG: Lachgas und GBL zukünftig erfasst (2026) - 13. Februar 2026