Gibt es ein generelles Verbot, Lösegeld zu zahlen?
Nein. Die deutsche Rechtsordnung kennt keinen Rechtssatz, der die Zahlung von Lösegeld bei einer Ransomware-Erpressung pauschal unter Strafe stellt. Das ergibt sich aus einem einfachen Grundgedanken: Wer erpresst oder genötigt wird, ist Opfer einer Straftat. Das Opfer einer Erpressung macht sich nicht allein dadurch strafbar, dass es der Forderung nachgibt. Die Entscheidung, zu zahlen, ist damit zunächst nicht verboten.
Das bedeutet aber nicht, dass eine Zahlung risikofrei wäre. Im Einzelfall können verschiedene Straftatbestände berührt sein, die unabhängig von der Erpressungssituation greifen.
Welche Strafbarkeitsrisiken bestehen für den Zahlenden?
| Risiko | Norm | Kern |
|---|---|---|
| Unterstützung einer kriminellen Vereinigung | § 129 StGB, bei Auslandsbezug § 129b StGB | Zahlung fördert die Gruppierung in ihren weiteren Straftaten |
| Untreue | § 266 StGB | bei Zahlung aus fremdem Vermögen ohne pflichtgemäße Abwägung |
| Geldwäsche und Terrorismusfinanzierung | §§ 261, 89c StGB | in besonderen Konstellationen denkbar |
| Verstoß gegen Sanktionslisten | Außenwirtschaftsrecht | wenn der Empfänger auf einer Sanktionsliste steht |
Das praktisch wichtigste Risiko ist die Unterstützung einer kriminellen Vereinigung nach § 129 StGB. Der Gedanke dahinter: Wer zahlt, stellt der Tätergruppe finanzielle Mittel zur Verfügung und stärkt sie darin, weitere Angriffe zu begehen.
Wie wahrscheinlich ist eine Strafbarkeit nach § 129 StGB wirklich?
Hier ist Differenzierung wichtig, weil die Strafbarkeit an mehrere Voraussetzungen geknüpft ist, die im Einzelfall oft schwer nachweisbar sind.
Erstens muss der Empfänger tatsächlich eine kriminelle Vereinigung im Sinne des Gesetzes sein. Bei organisierten Ransomware-Gruppen liegt das nahe, ist im Strafverfahren aber zu beweisen. Bleibt offen, ob eine kriminelle Vereinigung vorliegt, gilt der Grundsatz im Zweifel für den Angeklagten.
Zweitens muss eine taugliche Unterstützungshandlung vorliegen. Die Zahlung ist der Gruppe nützlich, das spricht für eine Unterstützung.
Drittens ist Vorsatz erforderlich. Der Zahlende muss zumindest billigend in Kauf nehmen, eine kriminelle Vereinigung zu fördern. Wer ausschließlich seine Daten zurückerlangen will, kann sich auf diese subjektive Ebene berufen, was die Bewertung im Einzelfall verschiebt.
Diese mehrstufige Prüfung führt dazu, dass eine Verurteilung des zahlenden Opfers in der Praxis keineswegs automatisch ist. Sie ist aber auch nicht ausgeschlossen, weshalb die pauschale Aussage, Zahlen sei immer legal, ebenso falsch ist wie die Aussage, Zahlen sei immer strafbar.
Das oft übersehene Risiko: Sanktionslisten
Ein Risiko, das in der Diskussion häufig untergeht, liegt im Außenwirtschaftsrecht. Steht die Tätergruppe oder eine mit ihr verbundene Person auf einer Sanktionsliste, kann bereits die Zahlung an diesen Empfänger einen Verstoß gegen das Sanktionsrecht darstellen, unabhängig von § 129 StGB. Da viele Ransomware-Gruppen aus sanktionierten Regionen operieren, ist dieser Punkt vor einer Zahlung ernst zu nehmen.
Was BKA und BSI empfehlen
Sowohl das Bundeskriminalamt als auch das Bundesamt für Sicherheit in der Informationstechnik raten von Lösegeldzahlungen ab. Die Gründe sind rechtlicher und praktischer Natur. Eine Zahlung garantiert nicht, dass die Daten tatsächlich entschlüsselt werden. Sie markiert das Unternehmen zudem als zahlungsbereit, was Folgeangriffe wahrscheinlicher macht. Und sie finanziert das Geschäftsmodell der Angreifer, das vom Erfolg solcher Zahlungen lebt.
Die praktische Abwägung
In der Beratungspraxis steht dem rechtlichen Risiko oft eine existenzielle betriebliche Lage gegenüber. Sind alle Systeme verschlüsselt und keine funktionsfähigen Backups vorhanden, kann der dauerhafte Datenverlust den Fortbestand des Unternehmens bedrohen. Genau in dieser Spannung liegt die Schwierigkeit der Entscheidung. Sie sollte daher nie unter Zeitdruck allein getroffen werden, sondern unter Einbeziehung anwaltlicher und forensischer Begleitung und unter frühzeitiger Einbindung der Strafverfolgungsbehörden.
Eine frühe Kooperation mit den Behörden kann auch die strafrechtliche Position des Opfers verbessern, weil sie zeigt, dass das Ziel die Schadensbegrenzung war und nicht die Förderung der Täter.
Häufige Fragen
- Ist es in Deutschland strafbar, Lösegeld an Hacker zu zahlen?
- Es gibt kein generelles Verbot. Sich erpressen zu lassen, ist im Grundsatz nicht strafbar. Im Einzelfall können aber Tatbestände wie die Unterstützung einer kriminellen Vereinigung nach § 129 StGB oder ein Verstoß gegen Sanktionslisten berührt sein.
- Mache ich mich strafbar, wenn ich nur meine Daten zurückwill?
- Für § 129 StGB ist Vorsatz nötig, also zumindest das billigende Inkaufnehmen, eine kriminelle Vereinigung zu fördern. Wer ausschließlich die Datenrückgabe bezweckt, befindet sich in einer anderen subjektiven Lage, was die rechtliche Bewertung im Einzelfall beeinflusst. Sicher ist das nicht, deshalb ist eine Prüfung vor der Zahlung wichtig.
- Was hat es mit den Sanktionslisten auf sich?
- Steht der Empfänger auf einer Sanktionsliste, kann die Zahlung allein deshalb rechtswidrig sein. Viele Ransomware-Gruppen operieren aus sanktionierten Regionen, deshalb ist dieser Punkt vor einer Zahlung zu prüfen.
- Sollte ich die Polizei einschalten, bevor ich zahle?
- Ja. Eine frühzeitige Einbindung der Strafverfolgungsbehörden ist sinnvoll, sowohl für die Ermittlung als auch für die eigene rechtliche Position. BKA und BSI raten generell von Zahlungen ab.
- Bekomme ich meine Daten nach Zahlung sicher zurück?
- Nein. Eine Zahlung garantiert keine Entschlüsselung. Zudem steigt das Risiko von Folgeangriffen, weil das Unternehmen als zahlungsbereit bekannt wird.
Akut betroffen? Bei einem laufenden Ransomware-Vorfall zählt jede Stunde. Über die Kontaktseite erreichen Sie kurzfristig anwaltliche Soforthilfe.
Dieser Beitrag gibt den Rechtsstand Stand: Juni 2026 wieder und ersetzt keine Beratung im Einzelfall.
