Lösegeldzahlung bei Ransomware-Attacke: Cyberkriminalität trifft auf unvorbereitetes Strafrecht

von JONATHAN EGGEN und LORENZ BODE

Cyberkriminalität nimmt immer weiter zu. Besonders Erpressungsversuche mit sogenannter Ransomware – also Trojanern, die auf fremden Rechnern eingeschleust werden, dort den Zugriff auf Daten und Systeme verschlüsseln und diese nur gegen die Zahlung von Lösegeld wieder freigeben – spielen eine große Rolle. Natürlich auch im Strafrecht, das auf die Zunahme und Ausbreitung dieser Form der Cyberkriminalität reagieren muss.

Ransomware-Attacken sind strafrechtlich unter mehreren Gesichtspunkten relevant. Die Hacker hinter einer Attacke können im Rahmen üblicher Straftaten wie der Erpressung nach § 253 StGB belangt werden. Auch das sogenannte Computerstrafrecht nach §§ 202a ff. StGB kann zur Anwendung kommen. Die deutsche Rechtsordnung enthält allerdings keinen allgemeingültigen Rechtssatz, nach dem die Zahlung von Lösegeld im Kontext einer Ransomware-Attacke eine strafbare Handlung darstellt. Das ist auch nicht überraschend, denn: sich erpressen oder nötigen zu lassen, ist im Grundsatz nicht illegal.

Lösegeld für die kriminelle Vereinigung

Anders ist die Situation indes, wenn mit der Lösegeldzahlung den Straftaten anderer Vorschub geleistet wird – etwa dann, wenn eine Lösegeldzahlung kriminellen Hackern zugute kommt und für weitere Attacken verwendet wird. Hier erkennt der Gesetzgeber vor allem im Bereich der organisierten Kriminalität Straftaten. Gegenstand der vorliegenden Betrachtungen ist die Unterstützung einer kriminellen Vereinigung nach § 129 Abs. 1 S. 2 Var. 1 StGB.

Nähert man sich dem Tatbestand des § 129 Abs. 1 S. 2 Var. 1 StGB auf dogmatischem Wege, kann die Zahlung an Hackerbanden tatsächlich das Unterstützen einer kriminellen Vereinigung darstellen. Eine kriminelle Vereinigung setzt ein organisatorisches, ein personelles, ein zeitliches und ein interessenbezogenes Element voraus. In objektiver Hinsicht liegt der Zusammenschluss mehrerer Hacker zu einer kriminellen Vereinigung also nicht fern und die entsprechende Lösegeldzahlung stellt eine Unterstützungsleistung zukünftiger Bestrebungen der Organisation dar. Subjektiv nimmt der Zahlende zumindest billigend in Kauf, dass das Geld einer Vereinigung zugutekommt, zumal die Erpresser in der Regel unbekannt bleiben und er nicht ausschließen kann, dass die Zahlung nicht an eine kriminelle Vereinigung fließt. Denn Ransomware-Attacken sowie einzelne Bestandteile einer für die Attacke erforderlichen Infrastruktur können mittlerweile auch als Serviceleistung mühelos und anonym im Darknet eingekauft werden („Ransomware-as-a-Service“). Sie sind also nicht mehr nur technisch versierten Hackergruppierungen vorbehalten, sondern auch Einzelakteuren, die nicht über die Fertigkeiten verfügen, die Schadsoftware selbst zu programmieren. Der Zahlende kann also nicht darauf vertrauen, dass der tatbestandliche Erfolg, die Unterstützung einer kriminellen Vereinigung, ausbleibt.

Vor diesem Hintergrund erscheint es allerdings wenig nachvollziehbar, warum es strafbar sein kann, wenn das Lösegeld an eine kriminelle Vereinigung gezahlt wird, aber straffrei bleibt, wenn das Geld an einen Einzeltäter geht – kurzum: Es besteht ein Wertungswiderspruch. Während der Gesetzgeber § 129 StGB eingeführt hat, um zu verhindern, dass der Begehung weiterer Straftaten durch die Begünstigung krimineller Strukturen Vorschub geleistet wird, so scheint er dieses Risiko bei der Zahlung an Einzeltäter zu ignorieren – und das, obwohl der Erpressungskriminalität hierbei ebenfalls Vorschub geleistet wird.

34 StGB als Ausweg aus der Strafbarkeit

Soweit die Attacke von einer Vereinigung stammt, kann die Zahlung von Lösegeld den Straftatbestand des § 129 Abs. 1 S. 2 Var. 1 StGB erfüllen. Liegen die Tatbestandsvoraussetzungen erst einmal vor, stellt sich für denjenigen, der eine Zahlung leistet die Frage, ob sein Handeln wegen eines einschlägigen Rechtfertigungsgrunds ohne Strafe bleibt – schließlich wird das Lösegeld nicht aus freien Stücken gezahlt.

Dabei rückt insbesondere der rechtfertigende Notstand nach § 34 StGB in den Blick. Der rechtfertigende Notstand setzt eine Güterabwägung zwischen dem Erhaltungs- und Eingriffsgut sowie der daraus folgenden solidarischen Duldungspflicht voraus. Übertragen auf Lösegeldzahlungen führt das zu einer Abwägung der Interessen der Betroffenen an der Rückerlangung der Daten einerseits und der Unterstützungsleistung einer kriminellen Vereinigung andererseits.

Indes ist zu beachten, dass die Abwägung in Lösegeldkonstellationen im Kontext eines Nötigungsnotstands stattfinden würde. Von einem Nötigungsnotstand spricht man, wenn im Fall eines Notstands die Notstandslage auf der Nötigung eines Dritten beruht und der Täter damit zur Begehung einer Straftat genötigt wird. Dies trifft auch auf eine Ransomware-Attacke zu: Einerseits beruht die Notstandslage auf der Erpressung durch die kriminelle Vereinigung. Andererseits greift der Erpresste durch die Lösegeldzahlung in die Rechtsgüter Dritter ein – hier in die von § 129 Abs. 1 StGB geschützten Allgemeinrechtsgüter der inneren öffentlichen Sicherheit, der staatlichen Ordnung sowie des öffentlichen Friedens.

Machen sich die Erpressungsopfer also tatsächlich strafbar?

Die Güterabwägung hat in Situationen des Nötigungsnotstands üblicherweise wenige Befürworter. Das ist nachvollziehbar, da von der Rechtsordnung kaum Verhaltensweisen hingenommen werden können, durch die sich der Genötigte als Werkzeug rechtswidrig handelnder Hacker einsetzen lässt, selbst auf die Seite des Unrechts tritt und schlussendlich straffrei bleibt.

Gleichwohl definiert der Wortlaut des § 34 StGB die Notstandslage nicht abschließend. Mit Blick auf § 103 Abs. 2 GG wollte der Gesetzgeber hier offensichtlich keine Eingrenzung des Anwendungsbereichs auf Fälle außerhalb des Nötigungsnotstands. Es scheint dementsprechend keine Grundlage dafür zu geben, Handlungen des Nötigungsopfers im Nötigungsnotstand anders zu behandeln als solche, die in ständiger Rechtsprechung anerkannt werden. Eine vollständige Gleichbehandlung des Nötigungsnotstands mit anderen Notstandssituationen des § 34 StGB kann nicht überzeugen.

Vermittelnde Lösung

Wie so oft im Strafrecht scheint eine vermittelnde Lösung nötig, nach der einerseits eine Rechtfertigung über § 34 StGB nicht von vorneherein ausgeschlossen wird und andererseits das unrechtmäßige Handeln des Genötigten ausreichend Berücksichtigung findet. Mit Blick auf die Abwägungsentscheidung des rechtfertigenden Notstands wäre im Rahmen einer Art „Je-desto-Lösung“ vorzugehen: Das Interesse des Genötigten dürfte in solchen Fällen überwiegen, in denen er nur ein niedrigschwelliges Maß an strafrechtlich relevanter Energie aufbringt und es um geringe Schäden geht. Bei Ausübung von erheblicher krimineller Energie (etwa die Zahlung eines außerordentlich hohen Lösegeldes in Relation zur Freigabe lediglich geringwertiger Daten) durch den Genötigten dürften hingegen die Interessen der Rechtsordnung aufrechtzuerhalten sein – die Interessen des Genötigten können dann nicht überwiegen.

Möchte man einen einheitlichen Bewertungsmaßstab bilden, so kommt eine Rechtfertigung nach § 34 StGB infrage, wenn das Gefälle zwischen den geschützten Interessen der Allgemeinheit und den Interessen des Genötigten – trotz seines Handelns im Unrecht – nicht nur einfach, sondern „besonders wesentlich“ zu seinen Gunsten ausfällt.

Überträgt man diesen Gedanken nun auf Lösegeldzahlungen im Zuge einer Ransomware-Attacke (dazu bereits König, NZWiSt 2023, 167, 169f), stehen auf der einen Seite der Interessenabwägung die von § 129 Abs. 1 S. 2 Var. 1 StGB geschützten Allgemeinrechtsgüter. Auf der anderen Seite befinden sich die Interessen der Betroffenen am Erhalt ihrer gefährdeten Rechtsgüter. Ein Beispiel: Die Software eines mittelständischen Unternehmens wird Opfer einer Ransomware-Attacke. Dann stehen hier auf der einen Seite die Interessen des Unternehmensinhabers, seine gefährdeten Rechtgüter zu erhalten, also eine Entschädigung für den erlittenen Schaden durch Lösegeldzahlung und etwaige Verluste im Firmengeschäft. Auf der anderen Seite stehen aber die Allgemeinrechtsgüter, die durch die Unterstützung der kriminellen Hacker zukünftig gegebenenfalls häufiger von Ransomware-Attacken beeinträchtigt werden können.

Darüber hinaus dürfte der Fall eines großen Konzerns, dessen elektronische Akten und Anträge auf einem von Ransomware befallenen Server gespeichert sind, anders zu bewerten sein als die Situation einer Privatperson, die durch eine Lösegeldzahlung den Zugang zu Urlaubsfotos und Musikdateien zurückerlangen möchte. Deutlicher zugunsten einer Rechtfertigung dürfte das Abwägungsergebnis in den Fällen ausfallen, in denen auf der Seite der Betroffenen besonders sensible Interessen bedroht sind. Und nicht nur des Betroffenen, sondern gegebenenfalls auch Interessen Dritter, Geschäftspartner, Kunden, Patienten – man denke auch an kritische Infrastruktur im Energie-, Telekommunikations- oder Verkehrssektor, deren Ausfall erhebliche Probleme und Rechtsgutsgefährdungen bedeuten könnte.

Grundsätzlich gilt: Je höher eine Lösegeldzahlung ausfällt, desto unwahrscheinlicher ist ein „besonders wesentliches Überwiegen“ der gefährdeten Rechtsgüter. Und: Je höherwertiger die gefährdeten Rechtsgüter sind, desto eher fällt die Abwägung zugunsten des Zahlenden aus.

Beispiel: Hackerattacke auf Düsseldorfer Klinik

Dass Ransomware geeignet ist, sogar überragend wichtige Rechtsgüter zu gefährden, verdeutlicht ein Fall vom September 2020: Eine Ransomware-Attacke verschlüsselte an der Düsseldorfer Uniklinik mehrere Server und setzte die Klinik damit weitgehend außer Betrieb. Lösegeld wurde – soweit bekannt – nicht gezahlt. Operationen und Behandlungen mussten verschoben werden und Rettungswagen konnten die Klinik nicht mehr anfahren. Eine 78-jährige Notfallpatientin musste daraufhin in ein anderes Krankenhaus gebracht werden und verstarb nach dem Transport. Wäre es zu einer Lösegeldzahlung gekommen, hätte das Abwägungsergebnis unter Berücksichtigung des hier angelegten Maßstabes zugunsten einer gerechtfertigten Lösegeldzahlung ausfallen müssen.

Tatsächlich jedoch wird die Rechtfertigung im Rahmen des Nötigungsnotstands oft abgelehnt. Sollte sich der Fall des Düsseldorfer Uniklinikums wiederholen, würde dies bedeuten, dass sich die Krankenhausleitung zwischen einer Strafbarkeit wegen § 129 Abs. 1 S. 2 Var. 1 StGB und einer möglichen fahrlässigen Tötung entscheiden müsste.

Fazit

Das StGB ist in Sachen Ransomware veraltet. Der Gesetzgeber hat sich bisher nicht mit der aktuellen Lösegeldproblematik auseinandergesetzt. Dies führt in der Konsequenz dazu, dass zwar die Zahlung an eine kriminelle Hackervereinigung strafbar sein kann, während die Zahlung an Einzeltäter jedoch straffrei bleibt. Gerade im Zeitalter von „Ransomware-as-a-Service“ stellt dies einen Wertungswiderspruch dar. Um diesen Wertungswiderspruch zu vermeiden, könnte man – wie vorgeschlagen – bei § 129 Abs. 1 S. 2 Var. 1 StGB auf der Rechtfertigungsebene eine vermittelnde Lösung wählen.

Zitiervorschlag: Eggen, Jonathan und Bode, Lorenz, Lösegeldzahlung bei Ransomware-Attacke: Cyberkriminalität trifft auf unvorbereitetes Strafrecht, JuWissBlog Nr. 30/2023 v. 01.06.2023, https://www.juwiss.de/30-2023/.

Creative Commons Lizenzvertrag
Dieses Werk ist lizenziert unter einer Creative Commons Namensnennung – Nicht kommerziell – Keine Bearbeitungen 4.0 International Lizenz.

Cyberkriminalität, Kriminelle Vereinigung, Lösegeldzahlung, Nötigungsnotstand, Ransomware-Attacke
Nächster Beitrag
Die Digitalisierung der Bauleitplanung – ändert sich überhaupt was?
Vorheriger Beitrag
Ein Gesetz gegen digitale Gewalt – ausreichende Stärkung des Rechtsschutzes im digitalen Raum?

Ähnliche Beiträge

von TJORBEN STUDT Nachdem am 24.05.2023 im Rahmen eines bundesweiten Polizeieinsatzes 15 Wohnungen und Geschäftsräume in sieben Bundesländern auf Veranlassung der Generalstaatsanwaltschaft München und des Bayrischen Landeskriminalamtes wegen des Verdachts gegenüber Mitglieder der „Letzten Generation“ (im Folgenden LG) in Bezug auf die Bildung und Unterstützung einer kriminellen Vereinigung gem. §…
Weiterlesen
von NEIL GOERGE Die strafrechtlichen Debatten um die „Letzte Generation“ (LG) reißen nicht ab. Angefangen bei der Diskussion um die Strafbarkeit blockierender Personen gem. § 240 I StGB, über die Einordnung dieser als kriminelle Vereinigung gem. § 129 StGB, vermeldete die Süddeutsche Zeitung kürzlich den nächsten Paukenschlag: Bayrische Ermittlungsbehörden haben…
Weiterlesen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Bitte füllen Sie dieses Feld aus.
Bitte füllen Sie dieses Feld aus.
Bitte gib eine gültige E-Mail-Adresse ein.