Auch bekannt als: Erpressungstrojaner, Verschlüsselungstrojaner
- § 303a StGB Datenveränderung
- § 303b StGB Computersabotage
- § 253 StGB Erpressung
- Art. 33, 34 DSGVO Meldepflichten
Was ist Ransomware
Ransomware ist eine Form von Schadsoftware, deren Geschäftsmodell auf Erpressung beruht. Nach der Infektion verschlüsselt sie Dateien, Datenbanken oder ganze Systeme und macht sie damit unbrauchbar. Für die Entschlüsselung verlangen die Angreifer ein Lösegeld, meist in Kryptowährungen wie Bitcoin oder Monero. Moderne Ransomware-Gruppen arbeiten arbeitsteilig und professionell, viele bieten ihre Schadsoftware als Dienstleistung an, sogenannte Ransomware as a Service.
Seit etwa 2019 hat sich die sogenannte Double Extortion etabliert. Vor der Verschlüsselung kopieren die Angreifer Daten aus dem Netzwerk und drohen mit deren Veröffentlichung, falls nicht gezahlt wird. Damit greift das Druckmittel selbst dann, wenn das Opfer über funktionierende Backups verfügt. Bei der Triple Extortion kommen weitere Hebel hinzu, etwa Erpressung einzelner betroffener Personen oder DDoS-Angriffe parallel zur Verhandlung.
Typischer Angriffsablauf
Der Einstieg erfolgt meist über Phishing-Mails mit präparierten Anhängen, über kompromittierte Zugangsdaten zu Fernzugängen oder über Schwachstellen in öffentlich erreichbaren Diensten wie VPN-Gateways. Nach dem ersten Zugang bewegen sich die Angreifer oft tagelang oder wochenlang unbemerkt im Netzwerk, weiten Rechte aus, identifizieren sensible Daten und deaktivieren Sicherheitsfunktionen sowie Backups.
Erst wenn das Opfer maximal verwundbar ist, wird die Verschlüsselung ausgelöst, meist nachts oder am Wochenende. Parallel werden die zuvor entwendeten Daten auf Server der Täter geladen. Die Lösegeldforderung erscheint typischerweise als Textdatei auf den Systemen oder als Nachricht auf einer Tor-basierten Verhandlungsseite der Gruppe.
Rechtliche Pflichten nach einem Angriff
Sind personenbezogene Daten betroffen, was bei Ransomware fast immer der Fall ist, greift die Meldepflicht aus Art. 33 DSGVO. Der Vorfall ist innerhalb von 72 Stunden nach Kenntnis bei der zuständigen Aufsichtsbehörde zu melden. Bei hohem Risiko für die Rechte der Betroffenen tritt die Benachrichtigungspflicht aus Art. 34 DSGVO hinzu.
Für Einrichtungen, die unter das NIS2-Umsetzungsgesetz fallen, kommen die Sicherheitsvorfall-Meldungen an das Bundesamt für Sicherheit in der Informationstechnik hinzu, mit einer Erstmeldung innerhalb von 24 Stunden, einer ausführlicheren Meldung nach 72 Stunden und einem Abschlussbericht.
Strafrechtlich erfüllen die Täter Tatbestände der §§ 303a, 303b, 253 und 202a StGB. Eine Strafanzeige sichert spätere Ermittlungen und Ansprüche gegen Mitverantwortliche.
Ist die Zahlung von Lösegeld erlaubt
Es gibt kein generelles Verbot. Wer als Opfer einer Erpressung zahlt, macht sich nicht allein dadurch strafbar. Im Einzelfall können aber Tatbestände wie die Unterstützung einer kriminellen Vereinigung nach § 129 StGB oder Verstöße gegen Sanktionslisten berührt sein. BKA und BSI raten generell von Zahlungen ab. Vor jeder Zahlung ist eine anwaltliche Prüfung dringend zu empfehlen.
Häufige Fragen
Häufige Fragen
- Hilft eine Cyberversicherung im Ransomware-Fall
- In der Regel ja, sofern eine entsprechende Police besteht und Obliegenheiten wie Patch-Management und Backups eingehalten wurden. Viele Policen übernehmen Forensik, Wiederherstellung und Verhandlung, in vielen Fällen auch das Lösegeld, sofern keine Sanktionen entgegenstehen.
- Sollten betroffene Systeme sofort abgeschaltet werden
- Vom Netzwerk trennen, ja. Hartes Abschalten kann für die spätere Forensik wichtige Spuren im Arbeitsspeicher vernichten. Die richtige Reihenfolge stimmen Sie idealerweise mit einem Forensik-Dienstleister ab.
Dieser Beitrag gibt den Rechtsstand Stand: Juni 2026 wieder und ersetzt keine Beratung im Einzelfall.
