Akuter Cyberangriff? 24/7 Notfallnummer für Unternehmen — anwaltliche Soforthilfe.
Anrufen: +49 171 5160827
Cybernotfall
Pillar-Ratgeber Ransomware · Stand: Juni 2026

Strafanzeige nach Ransomware: Wann, wo, mit welchem Inhalt

Wer nach einem Ransomware-Vorfall Strafanzeige erstattet, sollte das nicht spontan tun. ZAC, Beweismittelübergabe, Inhalt und Folgen für Versicherung und DSGVO im strukturierten Überblick.

Warum die Anzeigeentscheidung in den Krisenstab gehört

Die Strafanzeige ist in der öffentlichen Wahrnehmung oft die Reflexreaktion auf einen Cyberangriff. In der Beratungspraxis ist sie eine bewusste Entscheidung, die im Krisenstab getroffen, dokumentiert und vorbereitet wird. Auf der einen Seite stehen gewichtige Gründe für eine Anzeige: Sie ermöglicht die Strafverfolgung der Täter, sie ist in den meisten Cyberversicherungen als Obliegenheit vorgesehen und sie kann die eigene Sorgfaltsdokumentation gegenüber Aufsichtsbehörden und Geschäftsführung stärken. Auf der anderen Seite stehen Risiken: Eine Anzeige führt zu einer Ermittlungsakte, in die später Beschuldigte (etwa interne Verdächtige) Einsicht nehmen können, sie kann zu Hausdurchsuchungen führen, und sie kann zu einer öffentlichen Verhandlung führen, falls die Tat aufgeklärt wird.

Diese Abwägung muss strukturiert getroffen werden. In unserer Beratungspraxis hat sich bewährt, im Krisenstab ein kurzes Pro-Contra-Protokoll zu führen, das die Anzeigeentscheidung trägt. Dieses Protokoll wird später ein wertvoller Baustein, wenn die Datenschutzaufsicht oder der Versicherer fragen, warum welche Entscheidung getroffen wurde.

ZAC, LKA, BKA: die richtige Stelle

Jedes Landeskriminalamt unterhält eine Zentrale Ansprechstelle Cybercrime (ZAC), die ausschließlich für die Bedürfnisse von Unternehmen und Behörden eingerichtet ist. Die ZAC ist auf Cyber-Sachverhalte spezialisiert, behandelt Anzeigen vertraulich und ist in der Lage, komplexe Beweismittel — Speicherabbilder, Logdateien, Erpresserschreiben — entgegenzunehmen. Eine Anzeige bei der örtlichen Polizei ist rechtlich möglich, in der Praxis aber ineffizient: Die Anzeige wird ohnehin weitergeleitet, und in der Zwischenzeit kann sensible Information unstrukturiert in eine Standardakte fließen.

Das Bundeskriminalamt wird relevant, wenn ein Vorfall länderübergreifende Dimension hat, eine kritische Infrastruktur betrifft oder eine Verbindung zu organisierten Tätergruppen erkennbar ist. In diesen Fällen erfolgt die Anzeige regelmäßig in Abstimmung zwischen ZAC und BKA. Die anwaltliche Begleitung sorgt dafür, dass die Schnittstellen zu Datenschutzaufsicht und gegebenenfalls BSI nicht durcheinander geraten.

Strafanzeige nach Ransomware in sechs Schritten

  1. Anzeigeentscheidung im Krisenstab dokumentieren
    Vor jeder Anzeige steht eine bewusste Entscheidung der Geschäftsleitung. Pro: Strafverfolgung, Versicherungsobliegenheit, mögliche Strafmilderung bei späteren Vorwürfen. Contra: Reputationsrisiko, Einblick in interne Vorgänge, mögliche Eigenoffenbarungen. Diese Abwägung wird protokolliert.
  2. Zuständige Stelle bestimmen
    Erste Wahl ist die Zentrale Ansprechstelle Cybercrime (ZAC) des LKA des Bundeslandes, in dem der Unternehmenssitz liegt. Bei länderübergreifenden oder besonders schweren Fällen kommt das BKA in Betracht. Eine Anzeige bei der örtlichen Polizei ist möglich, führt aber zu Reibungsverlusten in der Bearbeitung.
  3. Anzeigeinhalt anwaltlich vorbereiten
    Tatzeitraum, Tathergang, Beweismittel und mögliche Tatverdächtige (Ransomware-Gruppe) in einem strukturierten Schriftsatz aufbereiten. Keine vorschnellen rechtlichen Wertungen, keine Spekulationen über Mitarbeiter, keine Einlassungen zur Verhandlungsbereitschaft.
  4. Beweismittel sortiert übergeben
    Forensisch gesicherte Images, Erpresserschreiben, Verschlüsselungs-Sample, Logauszüge und die zeitliche Chronologie in einem Beweismittelverzeichnis übergeben. Ohne anwaltliche Begleitung besteht die Gefahr, dass interne Vorgänge ungesteuert in die Ermittlungsakte fließen.
  5. Veröffentlichungspflichten parallel klären
    Eine Strafanzeige ersetzt keine DSGVO-Meldung an die Aufsichtsbehörde und keine NIS2-Meldung. Sie ist auch keine Mitteilung an Betroffene nach Art. 34 DSGVO. Diese Pflichten laufen unabhängig weiter.
  6. Kommunikation mit der ZAC steuern
    Eine Person — typischerweise der anwaltliche Bevollmächtigte — fungiert als zentrale Schnittstelle zur ZAC. Rückfragen der Ermittlungsbehörden werden über diese Schnittstelle beantwortet, nicht aus dem Unternehmen heraus.

Inhalt der Anzeige: sachlich, vollständig, ohne Eigenoffenbarungen

Eine Strafanzeige nach einem Ransomware-Vorfall sollte aus einem strukturierten Schriftsatz und einem geordneten Beweismittelverzeichnis bestehen. Der Schriftsatz beschreibt nach Möglichkeit folgende Punkte: Anzeigender und Vertretung, betroffenes Unternehmen, Zeitpunkt und Art der Tatentdeckung, bekannter Tathergang nach forensischer Lagebewertung, Verschlüsselungsumfang und Datenbezug, vorliegendes Erpresserschreiben mit Lösegeldforderung sowie bisherige Maßnahmen. Was nicht in die Anzeige gehört, sind voreilige Wertungen — etwa eine Schuldzuweisung an einzelne Mitarbeiter — und Aussagen zur Verhandlungsbereitschaft.

Aus anwaltlicher Sicht ist die größte Falle die Eigenoffenbarung. In manchen Konstellationen sind interne Versäumnisse — fehlende Patches, ungetestete Backups — relevant für die Frage der Geschäftsführerhaftung oder eines Bußgeldes nach Art. 83 DSGVO. Werden solche Versäumnisse in der Strafanzeige beschrieben, gelangen sie in eine Behördenakte, auf die in Folgeverfahren zugegriffen werden kann. Wer eine Anzeige vorbereitet, sollte deshalb gleichzeitig die Wechselwirkung mit DSGVO-Meldung, Bußgeldverfahren und Versicherungsanmeldung mitdenken.

Verhältnis zu DSGVO-Meldung und NIS2-Meldekette

Eine Strafanzeige ist kein Ersatz für die Meldung nach Art. 33 DSGVO und kein Ersatz für die NIS2-Meldekette. Diese Pflichten laufen unabhängig weiter und richten sich an unterschiedliche Adressaten. In der Krisenstabspraxis sollte deshalb eine Meldematrix geführt werden, in der die Strafanzeige eine eigene Zeile bekommt, neben DSGVO-Meldung, NIS2-Meldung, Versicherungsmeldung und vertraglichen Kundenmeldungen. Eine fehlende Zeile in dieser Matrix ist im Nachhinein nur schwer zu erklären.

Folgen für die Cyberversicherung

Viele Cyberpolicen enthalten ausdrücklich die Obliegenheit, bei strafbaren Handlungen Anzeige zu erstatten. Wird diese Obliegenheit verletzt, droht der vollständige oder teilweise Verlust der Deckung. Daneben enthält fast jede Police eine Mitwirkungspflicht: Dem Versicherer sind alle Informationen, die für die Schadenregulierung erforderlich sind, zur Verfügung zu stellen. Wer eine Anzeige erstattet, sollte deshalb gleichzeitig den Versicherer informieren und ihm den Schriftsatz und das Beweismittelverzeichnis übermitteln.

Häufige Fragen

Sind wir verpflichtet, Strafanzeige zu erstatten?
Eine generelle Pflicht des Opfers zur Anzeige besteht nicht. Sie kann sich aber aus Versicherungsbedingungen (Obliegenheit zur Schadensminderung), aus einer Geschäftsführerpflicht zur ordnungsgemäßen Organisation oder bei bestimmten Branchen aus regulatorischen Anforderungen ergeben.
Welche Stelle ist die richtige?
Für Unternehmen sind die Zentralen Ansprechstellen Cybercrime (ZAC) der Landeskriminalämter eingerichtet. Sie sind auf Cybercrime spezialisiert, behandeln Anzeigen vertraulich und sind die richtige Adresse für komplexe Ransomware-Vorfälle.
Erfahren Kunden oder Wettbewerber von der Anzeige?
Eine Strafanzeige ist nicht öffentlich. Die ZAC behandelt sie vertraulich. Akteneinsicht steht regelmäßig nur Beschuldigten und Geschädigten zu, sodass eine Kenntnisnahme durch Dritte praktisch ausgeschlossen ist — anders aber, wenn die Tat in einem späteren Strafverfahren öffentlich verhandelt wird.
Können wir nachträglich anzeigen, etwa nach Wochen?
Ja. Bei den hier relevanten Straftatbeständen verjähren die Taten frühestens nach drei Jahren, regelmäßig später. Eine Anzeige bleibt also über lange Zeit möglich. Allerdings nimmt der Ermittlungserfolg mit jedem Tag ab, weil flüchtige Spuren verloren gehen.
Wirkt sich eine Anzeige auf den Versicherungsschutz aus?
Viele Cyberpolicen sehen eine Anzeigeobliegenheit vor. Wird die Anzeige nicht erstattet, droht der Verlust der Deckung. Im Zweifel die Police prüfen und mit dem Versicherer abstimmen, bevor die Anzeige eingereicht wird.

Akut betroffen? Unsere 24/7-Notfallnummer für Unternehmen: +49 171 5160827. Ergänzend können Sie über die Kontaktseite eine strukturierte Anfrage stellen.

Dieser Beitrag gibt den Rechtsstand Stand: Juni 2026 wieder und ersetzt keine Beratung im Einzelfall.

Google
4.7 ★★★★★
50 Bewertungen
ProvenExpert
4.78 ★★★★★
156 Bewertungen · 100% Empfehlungen
Der SpiegelTagesspiegelMannheimer MorgenAllgemeine ZeitungDarmstädter Echo
Thomas Kolb LL.M.
Über den Autor
Thomas Kolb LL.M.

Fachanwalt für Urheber- und Medienrecht, externer Datenschutzbeauftragter, CIPP/E. Partner bei Kolb Blickhan Partner Rechtsanwälte (Mannheim und Mainz).

Thomas Kolb begleitet Unternehmen seit über einem Jahrzehnt bei Cybervorfällen, einschließlich der Verhandlung mit Erpressern über Lösegeldforderungen, und berät zu NIS2, DSGVO-Meldepflichten und Geschäftsführerhaftung.

Zum vollständigen Autorenprofil