Erpressungsmethoden im Cyber-Raum – welche Risiken bestehen für Unternehmen?

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat am 25.10.2022 seinen aktuellen Bericht zur Lage der IT-Sicherheit in Deutschland vorgestellt. Darin werden unter anderem aktuelle und anhaltende Cyber-Bedrohungen für Unternehmen aufgezeigt. Wir stellen dar, welche Folgerungen sich daraus für betroffene Unternehmen ergeben.

Was ist die Kernaussage des BSI-Berichts?

Nach Analyse des BSI spitzt sich die bereits zuvor angespannte IT-Sicherheitslage für Unternehmen weiter zu. Die Bedrohung im Cyber-Raum ist damit so hoch wie nie. Dies ist insbesondere auf eine zu beobachtende Ausweitung von Cybercrime zurückzuführen. Unter den Begriff „Cybercrime“ fallen all diejenigen Taten, bei denen die Informationstechnologie Tatmittel und/oder Tatobjekt ist. Die Hauptbedrohung für Unternehmen stellt dabei nach Einschätzung des BSI der Einsatz von Ransomware dar.

Was ist Ransomware?

„Ransomware“ ist eine Schadsoftware, die in ein infiziertes System eingreift, dieses verschlüsselt und auf diese Weise den Zugang (ganz oder teilweise) unterbindet. Der Betroffene wird sodann typischerweise über einen erscheinenden Sperrbildschirm aufgefordert, einen gewissen Geldbetrag unter Nutzung einer schwer nachverfolgbaren Online-Währung zu zahlen, um die Sperrung aufzuheben.

 

Regelmäßig wird eine solche Lösegeldforderung mit einer Schweigegeldforderung kombiniert (sog. „Double Extortion“). Dabei werden vor der Verschlüsselung des Systems sensible Daten des Betroffenen abgezogen. Anschließend wird mit deren Veröffentlichung gedroht, um der Zahlungsforderung weiteren Druck zu verleihen.

Welche strafrechtlichen Implikationen ergeben sich?

Der Einsatz von Ransomware und das damit einhergehenden Geschehen wird typischerweise unter den Gesichtspunkten der Erpressung (§ 253 StGB) und spezifischer Datendelikte (§§ 202a ff., 303a f. StGB) verfolgt.

 

Aus Sicht des betroffenen Unternehmens stellt sich zunächst die Frage, ob der geforderte Geldbetrag gezahlt werden soll. Das BSI rät hiervon grundsätzlich ab. Hintergrund ist unter anderem der Umstand, dass durch eine Zahlung möglicherweise weitere Angriffe auf Dritte finanziert werden. Dies wiederum könnte von den Strafverfolgungsbehörden – je nach Fallgestaltung – als Unterstützung einer kriminellen Vereinigung (§ 129 Abs. 1 StGB) aufgefasst werden.

 

Darüber hinaus sind Konstellationen denkbar, in denen der Angriff auf das System des Unternehmens erst dadurch möglich geworden ist, dass in gravierender Weise gegen Regelungen zur Cyber-Sicherheit verstoßen wurde. Insofern ist zu beachten, dass die Geschäftsleitung mit Blick auf Compliance-Pflichten gehalten ist, die Cyber-Sicherheit des Unternehmens durch geeignete Maßnahmen aufzubauen und zu erhalten. Unterbleibt dies, sind Ermittlungen gegen Unternehmens- und insbesondere IT-Verantwortliche unter dem Gesichtspunkt eines Unterlassens (§ 13 Abs. 1 StGB) nicht auszuschließen.

Was können Unternehmen tun?

In Hinblick auf die aufgezeigten Risiken ist es je nach konkretem Einzelfall angezeigt, bereits im Vorfeld möglicher Cyberangriffe unternehmensseitig ein spezielles Cyber-Risk-Management als Bestandteil der Compliance-Struktur zu etablieren. Insofern hält etwa das BSI einen „Maßnahmenkatalog Ransomware“ bereit, der der Vorbereitung auf eine entsprechende Bedrohungslage dient und damit erste Anhaltspunkte für die notwendigen präventiven Grundlagen bietet.

 

Im Laufe eines sich ereignenden Cyberangriffs wird es regelmäßig geboten sein, die Rechtsabteilung und/oder externe rechtliche Berater einzubinden, um etwaige strafrechtliche Risiken etwa einer Lösegeldzahlung zu prüfen. In diesem Zusammenhang ist eine enge Abstimmung mit den Strafverfolgungsbehörden von großer Bedeutung.

 

Schließlich stellt sich im Nachgang an einen Cyberangriff die Frage, ob die Erstattung einer Strafanzeige zweckmäßig ist. Bei der Prüfung dieser Frage sind insbesondere mögliche Mängel in der Cyber-Sicherheit des Unternehmens und damit einhergehende eigene Risiken für Unternehmensverantwortliche zu berücksichtigen.

 

Kontaktieren Sie uns gerne, wenn entsprechender Beratungsbedarf besteht oder Sie mehr über diese Themen erfahren wollen.