Ransomware gilt derzeit als die massivste digitale Bedrohung für Europa. Sie verschlüsselt nicht nur Systeme und entwendet Daten, sondern setzt ganze Staaten, Unternehmen und Bürger unter Druck. Im Fokus stehen die typischen Angriffsmuster, die rechtliche Einordnung im europäischen Recht, die Schwierigkeiten internationaler Strafverfolgung sowie Präventionsmaßnahmen. Ergänzend werden Beispiele aus der Praxis und mögliche rechtliche Entwicklungen betrachtet.
Ransomware hat sich von simplen Blockaden des Computerzugangs zu hochkomplexen Angriffen entwickelt, die Verschlüsselung, Datendiebstahl und Drohungen kombinieren. Heute ist es üblich, dass zunächst Daten exfiltriert, dann verschlüsselt und schließlich deren Veröffentlichung oder weitere Attacken angekündigt werden. Betroffene leiden daher nicht nur unter dem Verlust der Verfügbarkeit, sondern auch unter Datenschutzverstößen und Imageschäden.
Eine entscheidende Rolle spielt das Geschäftsmodell „Ransomware-as-a-Service“. Entwickler stellen Schadsoftware und Infrastruktur bereit, während Affiliates die Angriffe durchführen. Die Erlöse werden anteilig geteilt. Ergänzt wird dies durch Akteure wie „Initial Access Broker“, die Zugangsdaten zu Netzwerken verkaufen, sowie durch Dienstleister für Geldwäsche oder Erpressungshotlines. Dieses arbeitsteilige Ökosystem macht Ransomware zu einem skalierbaren Geschäftsmodell.
Juristisch setzt sich Ransomware aus mehreren Delikten zusammen: unbefugter Systemzugang, Datenveränderung, Computersabotage und Erpressung. Die EU-Richtlinie 2013/40/EU verpflichtet die Mitgliedstaaten, all diese Handlungen unter Strafe zu stellen. In Deutschland greifen §§ 202a, 253 und 303b StGB ineinander. Hinzu kommen mögliche Verstöße gegen Datenschutzgesetze.
Besonders problematisch sind die grenzüberschreitenden Dimensionen. Angreifer, Opfer, Server und Geldflüsse befinden sich oft in verschiedenen Ländern. Zwar existieren rechtliche Grundlagen wie die EU-Richtlinie 2013/40/EU oder die Budapest-Konvention, doch fehlen häufig Auslieferungsabkommen oder die Bereitschaft zur Kooperation – vor allem gegenüber Russland oder Staaten der GUS. Erfolgreiche Einsätze wie die „Operation GoldDust“ gegen REvil zeigen zwar, dass internationale Taskforces wirksam sein können, doch die Hauptakteure bleiben oft unerreichbar.
Neben der Strafverfolgung gewinnen präventive Vorgaben an Gewicht. Die NIS-2-Richtlinie verpflichtet Betreiber kritischer und wichtiger Dienste, umfassende Sicherheitsvorkehrungen einzuführen, Vorfälle binnen 24 Stunden zu melden und Verantwortung auf Führungsebene zu verankern. Verstöße können hohe Bußgelder nach sich ziehen. Für Finanzinstitute gilt zusätzlich die DORA-Verordnung, für andere Sektoren branchenspezifische Regelungen.
Auch die DSGVO entfaltet Wirkung: Jeder Angriff mit Bezug zu personenbezogenen Daten ist meldepflichtig, unabhängig davon, ob ein Lösegeld gezahlt wird. Behörden haben bereits Bußgelder verhängt, wenn Unternehmen unzureichende Schutzmaßnahmen nachweisen konnten. IT-Sicherheit wird dadurch zu einer festen Compliance-Pflicht.
Viele Unternehmen setzen auf Cyberversicherungen, die Kosten für Forensik, Öffentlichkeitsarbeit und teilweise auch Lösegeld abdecken. Dies birgt jedoch die Gefahr eines „Moral Hazard“: Mit Versicherungsschutz sinkt möglicherweise die Bereitschaft, in Prävention zu investieren. Einige Versicherer – wie AXA in Frankreich – haben deshalb die Übernahme von Lösegeldzahlungen ausgeschlossen. Positiv wirkt, dass Policen zunehmend hohe Sicherheitsstandards wie Multi-Faktor-Authentifizierung oder Offline-Backups voraussetzen.
Auch freiwillige Standards wie ISO/IEC 27001 oder ISA/IEC 62443 gewinnen an Bedeutung. Empfehlungen der EU-Agentur ENISA tragen ebenfalls zur Orientierung bei. Zwar sind diese Vorgaben rechtlich nicht verpflichtend, doch Auftraggeber verlangen sie zunehmend, und Gerichte können sie im Streitfall als Maßstab heranziehen.
Besonders kontrovers ist die Frage nach der Legalität und Legitimität von Lösegeldzahlungen. In Europa sind solche Zahlungen grundsätzlich nicht strafbar, solange sie unter Zwang erfolgen. Risiken bestehen jedoch, wenn Zahlungen an sanktionierte Gruppen gehen – dann wäre die Zahlung rechtswidrig. Zudem prüfen einzelne Staaten, Lösegeldzahlungen für öffentliche Einrichtungen zu verbieten oder zumindest meldepflichtig zu machen. Ethisch bleibt das Dilemma bestehen: Zahlungen fördern die Kriminalität, Nichtzahlungen können jedoch zu massiven Ausfällen führen.
Auf europäischer Ebene laufen verschiedene Initiativen. Europol koordiniert über die Joint Cybercrime Action Taskforce internationale Ermittlungen. Die Initiative „No More Ransom“ bietet kostenlose Entschlüsselungstools und hat bereits Milliarden an möglichen Lösegeldern eingespart. Große Operationen gegen Gruppen wie LockerGoga, Hive oder REvil belegen, dass Erfolge möglich sind – auch wenn sich Täterstrukturen rasch anpassen.
Fallbeispiele unterstreichen die Folgen. Im Landkreis Anhalt-Bitterfeld war die Verwaltung 2021 über Monate lahmgelegt. In Irland führte ein Angriff auf den Gesundheitsdienst HSE zur Lähmung des gesamten Systems, die Regierung verweigerte eine Zahlung trotz hoher Kosten. Der Aluminiumkonzern Norsk Hydro in Norwegen entschied sich 2019 bewusst gegen eine Zahlung und setzte auf Backups und Transparenz – das Unternehmen erlitt zwar Millionenschäden, gewann aber Vertrauen durch konsequentes Krisenmanagement.
Für die Zukunft ist zu erwarten, dass Ransomware florieren wird, solange Kryptowährungen schwer nachzuverfolgen sind. Die EU-Verordnung MiCA und die überarbeitete Transfer-of-Funds-Regulation sollen die Anonymität einschränken. Gleichzeitig werden Sanktionsregime und mögliche Zahlungsverbote ausgeweitet.
Langfristig braucht es eine interdisziplinäre Antwort: Strafverfolgung, technische Resilienz, ökonomische Anreize durch Versicherungs- und Marktmechanismen, ethische Leitlinien gegen Lösegeldzahlungen und politische Diplomatie müssen ineinandergreifen. Nur wenn all diese Ebenen zusammenspielen, verliert das Geschäftsmodell Ransomware an Attraktivität. Es handelt sich nicht um ein reines IT-Problem, sondern um ein gesamtgesellschaftliches Phänomen, das Prävention, Durchsetzung und Widerstandskraft gleichermaßen erfordert.