05/2026
1 Einleitung
Ransomware hat sich im Laufe des letzten Jahrzehnts zu einer globalen Cybersicherheits-Epidemie entwickelt, die weltweit wirtschaftliche Schäden in Milliardenhöhe verursacht und kritische Dienste lahmlegt. Diese Form der Cyber-Erpressung – bei der Malware eingesetzt wird, um Daten zu verschlüsseln oder zu stehlen, bis ein Lösegeld gezahlt wird – ist „die am schnellsten wachsende Art von Cyberkriminalität“ und wird den Opfern bis 2031 voraussichtlich jährlich 265 Milliarden US-Dollar kosten. Aufsehenerregende Angriffe auf Krankenhäuser, Pipelines und Regierungsbehörden in zahlreichen Ländern haben die dringende Bedrohung deutlich gemacht. Ein zentraler Grund für das Fortbestehen von Ransomware ist einfach: Sie ist lukrativ. Wie ein Cybersicherheitsbeauftragter unverblümt feststellte: „Geld treibt Ransomware an“ – Kriminelle sind finanziell motiviert, und solange Opfer weiterhin Lösegeld zahlen, haben Angreifer einen Anreiz, diese Angriffe fortzusetzen. Diese Dynamik hat eine intensive Debatte darüber ausgelöst, wie Kriminelle die Erlöse aus ihren Verbrechen waschen und wie Recht und Politik darauf reagieren sollten.
Eine zunehmend diskutierte Idee ist es, das „Gewinnmodell der Hacker zu durchbrechen“, indem Lösegeldzahlungen vollständig unterbunden werden. Würde den Opfern die Zahlung gesetzlich untersagt oder stark davon abgeraten, könnte Ransomware zu einer weitaus weniger attraktiven Straftat werden. Tatsächlich haben Regierungen und Experten weltweit begonnen, Massnahmen wie ein Verbot von Lösegeldzahlungen oder die Verpflichtung zur Meldung von Vorfällen und Zahlungen an die Behörden in Betracht zu ziehen. In den Vereinigten Staaten beispielsweise erwog das Weisse Haus im Jahr 2023 offen ein vollständiges Verbot von Ransomware-Zahlungen, was eine Kehrtwende gegenüber seiner früheren Haltung darstellte. Das Vereinigte Königreich leitete 2025 eine politische Konsultation ein, um bestimmten Organisationen die Zahlung zu verbieten und Transparenz bei Ransomware-Angriffen zu verlangen. Australien ging noch einen Schritt weiter und erliess 2024 ein in seiner Art einzigartiges Gesetz, das Organisationen verpflichtet, jede Ransomware-Zahlung innerhalb von 72 Stunden zu melden, um das Problem ans Licht zu bringen. Doch diese Bemühungen werfen komplexe Fragen auf: Würde ein Zahlungsverbot Ransomware tatsächlich eindämmen oder neue Probleme schaffen? Wie kann das Recht eines einzelnen Landes gegen eine grenzüberschreitende Bedrohung wirksam sein? Und stehen solche Massnahmen im Einklang mit dem Völkerrecht, einschliesslich Übereinkommen zur Cyberkriminalität und Menschenrechtsnormen?
Dieser Artikel untersucht die sich abzeichnenden internationalen rechtlichen und politischen Reaktionen auf die Ransomware-Epidemie und konzentriert sich dabei auf Vorschläge zum Verbot von Lösegeldzahlungen oder zur Verpflichtung zur Offenlegung von Vorfällen. Er betrachtet die wichtigsten Rechtsordnungen – darunter die USA, das Vereinigte Königreich, die EU und andere – aus einer vergleichenden Perspektive, um die jüngsten Entwicklungen von 2023 bis 2025 zu analysieren. Zudem werden die Auswirkungen im Rahmen des bestehenden Völkerrechts (wie z. B. Übereinkommen zur Cyberkriminalität) sowie die Herausforderungen bei der Koordinierung einer globalen Reaktion bewertet. Dabei berücksichtigen wir sowohl die potenziellen Vorteile eines Verbots von Lösegeldzahlungen (insbesondere die Untergrabung des Geschäftsmodells der Kriminellen) als auch die potenziellen Nachteile oder unbeabsichtigten Folgen (wie z. B. erhöhter Schaden für die Opfer oder Schwierigkeiten bei der Durchsetzung). Schliesslich untersucht die Diskussion, wie ein internationaler Vertrag oder ein koordinierter Rahmen gegen Ransomware vorgehen könnte und ob sich ein globaler Konsens hin zu einer Norm der Verweigerung von Cyber-Lösegeldzahlungen bildet. Ziel ist es, aus rechtlicher Perspektive zu beurteilen, ob der Schritt „hin zu einem Zahlungsverbot“ eine tragfähige und wirksame Strategie zur Bekämpfung der Ransomware-Epidemie ist.
2 Die Ransomware-Epidemie und die Rolle von Zahlungen
Ransomware ist eine Form der Cyberkriminalität, bei der Angreifer in ein IT-System eindringen, Daten verschlüsseln oder mit der Veröffentlichung sensibler Informationen drohen und ein Lösegeld (in der Regel in Kryptowährung) für Entschlüsselungscodes oder das Versprechen verlangen, die Daten nicht zu veröffentlichen. Dieses kriminelle Geschäftsmodell hat sich als verheerend wirksam erwiesen. Indem sie Organisationen den Zugriff auf ihre eigenen Daten verweigern – oder mit kostspieligen Datenlecks drohen –, bringen Ransomware-Angreifer ihre Opfer in eine quälende Lage, in der die Zahlung des Lösegelds als schnellster Weg zur Schadensbegrenzung erscheint. Weltweit werden jedes Jahr Hunderte Millionen Dollar an Ransomware-Banden gezahlt. Tatsächlich wurden 2023 bekannte Ransomware-Zahlungen in Rekordhöhe von 1,25 Milliarden US-Dollar verzeichnet, obwohl diese Zahl 2024 auf etwa 814 Millionen US-Dollar sank (ein Rückgang um 35 %), da sich mehr Opfer weigerten zu zahlen und die Strafverfolgungsbehörden gegen grosse Banden vorgingen. Trotz des leichten Rückgangs der Einnahmen hat die Gesamtzahl der Ransomware-Angriffe nicht abgenommen – wenn überhaupt, stieg die Zahl der Vorfälle Ende 2024 sogar an, obwohl weniger Opfer zahlten. Diese Trends zeigen, dass Ransomware nach wie vor hochprofitabel ist, aber auch, dass entschlossene Bemühungen (sowohl von Behörden als auch von Opfern) den Erfolg der Angreifer beeinflussen können.
Die Entscheidung, Lösegeld zu zahlen oder nicht, steht im Mittelpunkt des rechtlichen und ethischen Dilemmas von Ransomware. Einerseits kann die Zahlung von Lösegeld manchmal zu einer schnellen Wiederherstellung der Systeme führen und so möglicherweise den Betrieb eines Unternehmens oder die Dienstleistungen einer öffentlichen Behörde sichern (z. B. die Wiederherstellung des Betriebs eines Krankenhauses zur Behandlung von Patienten). Andererseits fördert jede Zahlung einen Kreislauf, der weitere Kriminalität finanziert und begünstigt. Wie ein australischer Cybersicherheitsbeamter feststellte, ist Ransomware „ein finanziell motiviertes Verbrechen, und je mehr man zahlt, desto mehr weckt man das Interesse an weiteren kriminellen Aktivitäten dieser Art“. Mit anderen Worten: Lösegeldzahlungen befeuern die Ransomware-Epidemie – sie fungieren als „wichtige Finanzquelle“ für Netzwerke von Cyberkriminellen. Strafverfolgungsbehörden weltweit, darunter das FBI und Europol, raten Opfern seit langem davon ab, Lösegeld zu zahlen, da es niemals eine Garantie dafür gibt, dass Kriminelle ihre Versprechen einhalten (Daten zu entschlüsseln oder keine Daten zu veröffentlichen), und da eine Zahlung eine Organisation sogar als wiederkehrendes Ziel kennzeichnen könnte. Tatsächlich sind wiederholte Übergriffe und „doppelte Erpressung“ (bei der Angreifer Daten sowohl verschlüsseln als auch stehlen, um Druck auszuüben) mittlerweile an der Tagesordnung.
Entscheidend ist, dass die Zahlung eines Lösegeldes für Privatpersonen nach den meisten nationalen Gesetzen im Allgemeinen nicht illegal ist. Im Gegensatz zur eindeutigen Illegalität der Handlungen der Hacker befindet sich die Zahlung der Erpressungsforderung durch das Opfer in einer Grauzone. In den Vereinigten Staaten beispielsweise „gibt es keine Bundesgesetze, die die Zahlung von Lösegeld ausdrücklich unter Strafe stellen“. Opfern steht es (aus strafrechtlicher Sicht) frei, einen nicht sanktionierten Cyberkriminellen zu bezahlen, um ihre Daten wiederherzustellen. Ebenso gibt es in den meisten Ländern – einschliesslich der EU-Mitgliedstaaten und der Commonwealth-Länder – keine Gesetze, die private Lösegeldzahlungen verbieten, abgesehen von allgemeinen Verboten der Terrorismusfinanzierung oder Verstössen gegen Sanktionen. Diese tolerante rechtliche Haltung ändert sich jedoch. Regierungen ringen mit der Frage, ob die Zulassung von Zahlungen angesichts einer globalen Ransomware-Welle vertretbar ist. Die Logik entspricht der seit langem bestehenden Terrorismusbekämpfungspolitik: So wie viele Staaten (und Resolutionen des UN-Sicherheitsrats) dazu auffordern, in Entführungsfällen keine Lösegeldzahlungen an Terroristen zu leisten, könnte auch die Zahlung von Cyber-Lösegeld verboten werden, um den Kriminellen die Finanzierungsquellen abzuschneiden. Die folgenden Abschnitte geben einen Überblick darüber, wie verschiedene Rechtsordnungen begonnen haben zu reagieren – durch Verbote, Meldepflichten und andere Massnahmen – und bereiten den Boden für eine Diskussion über internationale Koordination.
3 Nationale politische Reaktionen: Verbote und Meldepflichten
3.1 Vereinigte Staaten: Debatte über ein Verbot und verstärkte Meldepflicht
In den Vereinigten Staaten war die Politik im Bereich Ransomware in den letzten Jahren im Wandel begriffen. Derzeit gibt es kein Bundesgesetz, das Lösegeldzahlungen durch Opfer gänzlich verbietet, doch die Idee hat in politischen Kreisen an Boden gewonnen. Im Mai 2023 signalisierte die Biden-Regierung, dass sie ein beispielloses bundesweites Verbot von Ransomware-Zahlungen in Erwägung ziehe. Anne Neuberger, stellvertretende Nationale Sicherheitsberaterin für Cyberfragen, gab bekannt, dass das Weisse Haus – gemeinsam mit internationalen Partnern im Rahmen der International Counter Ransomware Initiative (CRI) – prüfe, ob ein Zahlungsverbot (mit bestimmten Ausnahmeregelungen) dazu beitragen könne, finanziell motivierte Angreifer zu bekämpfen. Dies stellte eine bemerkenswerte Kehrtwende dar, da die Regierung zuvor noch davon Abstand genommen hatte, ein Verbot zu unterstützen. Tatsächlich hatten sich US-Beamte noch Ende 2022 gegen ein vollständiges Verbot entschieden, mit der Begründung, dass ein voreiliges Verbot nach hinten losgehen könnte: „Wir würden die Opfer im Grunde dazu drängen, ihre Zahlungen in den Untergrund zu verlagern“, warnte Neuberger damals. Die Sorge war, dass Unternehmen, wenn die Zahlung von Lösegeld für Ransomware illegal wäre, zwar weiterhin zahlen, aber versuchen würden, die Transaktion zu verbergen, was zu noch weniger Transparenz und einer geringeren Meldung von Angriffen führen würde. Solche unbeabsichtigten Folgen dämpfen die Debatte in den USA – selbst Befürworter räumen ein, dass ein Verbot, wenn es zu voreilig umgesetzt würde, dazu führen könnte, dass „Opfer jeden Ransomware-Angriff vertuschen“, was einen falschen Eindruck von Fortschritt erwecken würde, während die Kriminalität im Verborgenen unvermindert weitergeht.
Trotz dieser Vorbehalte auf Bundesebene haben die USA Massnahmen ergriffen, um Lösegeldzahlungen auf andere Weise nachdrücklich zu unterbinden. Ein wesentlicher Faktor ist das Sanktionsrecht: Bundesvorschriften verbieten jegliche Transaktionen mit Personen oder Gruppen, die auf der Sanktionsliste des US-Finanzministeriums stehen. Das bedeutet, wenn eine Ransomware-Bande mit einer sanktionierten Einheit in Verbindung steht (zum Beispiel einer Gruppe, die mit einem sanktionierten Land oder als Terroristen eingestuften Personen verbunden ist), könnte eine Zahlung an sie nach geltendem Recht „die Ransomware-Zahlung implizit zu einer Straftat machen“. Das Office of Foreign Assets Control (OFAC) des US-Finanzministeriums veröffentlichte 2020 und 2021 Hinweise, in denen betont wurde, dass Unternehmen, die Lösegeld an bestimmte Angreifer zahlen, Gefahr laufen, gegen Sanktionen zu verstossen, und dass die Regierung von jeglichen Lösegeldzahlungen „dringend abrät“. Darüber hinaus hat das US-amerikanische Financial Crimes Enforcement Network (FinCEN) Finanzinstitute angewiesen, Lösegeldzahlungen als verdächtig und meldepflichtig zu behandeln. Tatsächlich ist die Zahlung von Cyber-Lösegeld für Opfer zwar nicht gänzlich verboten, wird jedoch dringend abgeraten und kann rechtliche Risiken bergen, wenn der Angreifer auf einer Sanktionsliste steht oder Verbindungen zum Terrorismus hat.
Gleichzeitig streben die USA eine Meldepflicht für Ransomware-Vorfälle und -Zahlungen an, insbesondere für kritische Sektoren. Im März 2022 verabschiedete der Kongress den „Cyber Incident Reporting for Critical Infrastructure Act“ (CIRCIA), der (sobald die Vorschriften endgültig festgelegt sind) Unternehmen in bestimmten kritischen Infrastruktursektoren dazu verpflichtet, schwerwiegende Cybervorfälle innerhalb von 72 Stunden und jede Ransomware-Zahlung innerhalb von 24 Stunden an die Cybersecurity and Infrastructure Security Agency (CISA) zu melden. Dieses Gesetz wird, sobald es vollständig umgesetzt ist (voraussichtlich 2024–2025), ein Meldewesen auf Bundesebene schaffen, das in gewisser Weise dem australischen System (siehe unten) ähnelt, sich jedoch auf kritische Branchen konzentriert. Schon vor der Umsetzung des CIRCIA galten für Sektoren wie Pipelines Ad-hoc-Vorschriften (nach dem Ransomware-Vorfall bei Colonial Pipeline im Jahr 2021 wies die Transportation Security Administration die Pipeline-Betreiber an, Vorfälle unverzüglich zu melden). Das übergeordnete Ziel besteht darin, sicherzustellen, dass die Regierung umgehend über Ransomware-Angriffe und Zahlungen informiert wird, damit die Strafverfolgungsbehörden reagieren, andere warnen und Informationen über die Täter sammeln können. US-Politiker sind der Ansicht, dass bessere Daten zu Ransomware-Vorfällen die Koordination verbessern und das Ausmass des Problems verdeutlichen werden, wodurch der Untererfassung entgegengewirkt wird, die die Statistiken zur Cyberkriminalität bisher beeinträchtigt hat.
Es ist zudem erwähnenswert, dass einige US-Bundesstaaten bereits gezielte Verbote für Lösegeldzahlungen innerhalb ihres Zuständigkeitsbereichs erlassen haben. North Carolina leistete 2022 Pionierarbeit, indem es allen staatlichen und lokalen Behörden untersagte, Lösegeld zu zahlen oder gar mit Ransomware-Tätern zu verhandeln. Kurz darauf erliess Florida ein ähnliches Gesetz, das staatlichen Behörden und Kommunen die Zahlung von Cyber-Lösegeld verbietet, und war damit der zweite Bundesstaat, der diesen Schritt unternahm. (Tennessee und andere Bundesstaaten haben ebenfalls Beschränkungen für den öffentlichen Sektor geprüft oder erlassen). Diese Gesetze auf Bundesstaatsebene zielen darauf ab, Steuergelder zu schützen und Anreize für Angriffe auf die öffentliche Infrastruktur zu verringern. Erste Erkenntnisse aus North Carolina deuten jedoch darauf hin, dass die abschreckende Wirkung begrenzt sein könnte – die Zahl der gemeldeten Angriffe auf öffentliche Einrichtungen in North Carolina ging nach dem Verbot nicht nennenswert zurück. Ransomware-Banden könnten weiterhin Regierungsstellen ins Visier nehmen, entweder in der Hoffnung, dass das Opfer eine Umgehungslösung findet, oder einfach, um Störungen zu verursachen. Die gemischten Ergebnisse unterstreichen, dass ein isoliertes Verbot in einem Bundesstaat oder Sektor umgangen werden kann oder den Fokus der Angreifer verlagert, anstatt sie vollständig zu stoppen.
US-Beamte debattieren weiterhin über die Vorzüge eines umfassenderen Zahlungsverbots. Im April 2024 unterstrich eine Anhörung im Kongress sowohl die Attraktivität als auch die Risiken einer solchen Politik. Kemba Walden, ehemaliger amtierender National Cyber Director, sagte aus, dass ein Zahlungsverbot für Ransomware zwar weiterhin das „ultimative Ziel“ oder der „Leitstern“ für die Eindämmung der Macht der Kriminellen sei, das Land jedoch noch nicht bereit sei, es umzusetzen. Walden erklärte, dass der US-Wirtschaft – insbesondere kleinen Unternehmen und kritischen Dienstleistern wie ländlichen Krankenhäusern – derzeit die Widerstandsfähigkeit fehle, um ein solches Verbot zu verkraften. Hätten Unternehmen keine legale Möglichkeit zu zahlen, könnten viele nach einem schweren Ransomware-Angriff katastrophale Verluste oder sogar den Bankrott erleiden. „Wenn wir Ransomware-Zahlungen heute verbieten würden, könnten wir genau die kleinen und mittleren Unternehmen in den Ruin treiben, auf die sich die amerikanische Wirtschaft stützt“, warnte Walden und führte als Beispiel kleine ländliche Krankenhäuser an, die nach einem Vorfall zur Schliessung gezwungen sein könnten, wenn sie nicht für eine schnelle Wiederherstellung zahlen können. Sie und andere Experten argumentierten, dass ein Zahlungsverbot jetzt Angriffe nicht verhindern würde; es würde in erster Linie die betroffenen Unternehmen „aushungern“ und nicht die Kriminellen, wenn diese Unternehmen nicht cyberresilient sind. Die Podiumsdiskussionsteilnehmer sprachen sich stattdessen für einen schrittweisen Ansatz aus: Verbesserung der grundlegenden Cybersicherheit und der Reaktion auf Vorfälle in der gesamten Wirtschaft, Bereitstellung von Unterstützung (Zuschüsse, Versicherungsreformen, technische Hilfe) für „cyberarme“ Organisationen und verstärkte Zerschlagung von Ransomware-Banden. Erst nach einer „Verschiebung des Gleichgewichts“ – indem Angriffe weniger profitabel und Unternehmen besser vorbereitet werden – würde ein Zahlungsverbot zu einem wirksamen Instrument werden. Im Wesentlichen gehen die USA auf Nummer sicher: Sie halten sich die Option eines künftigen Verbots offen, konzentrieren ihre aktuellen Bemühungen jedoch auf die Meldepflicht, die Stärkung der Abwehrmassnahmen und die internationale Zusammenarbeit der Strafverfolgungsbehörden, wie später erläutert wird.
3.2 Vereinigtes Königreich: Auf dem Weg zu einem gezielten Verbot und neuen Meldepflichten
Das Vereinigte Königreich hat mit einer Welle von Ransomware-Angriffen zu kämpfen und bewegt sich nun entschlossen in Richtung strengerer gesetzlicher Beschränkungen für Lösegeldzahlungen. Anfang 2023 startete die britische Regierung eine öffentliche Konsultation zu Vorschlägen, die darauf abzielen, Lösegeldzahlungen zu reduzieren und die Meldung von Vorfällen zu verstärken. Bis Januar 2025 legte das Innenministerium einen ehrgeizigen Plan vor, der als „völlig neuer Ansatz“ im Umgang mit Ransomware beschrieben wird und darauf abzielt, das „Geschäftsmodell“ von Cyber-Erpressern zu untergraben. Die Vorschläge des Vereinigten Königreichs, die im Einklang mit seiner globalen Führungsrolle in der Counter Ransomware Initiative stehen, bestehen aus drei Hauptsäulen:
1.
Verbot von Lösegeldzahlungen durch kritische Sektoren: Ein gezieltes Verbot würde das bestehende Verbot für zentrale Regierungsbehörden (die bereits kein Lösegeld zahlen dürfen) auf alle Einrichtungen des öffentlichen Sektors sowie Eigentümer/Betreiber kritischer nationaler Infrastruktur (CNI) ausweiten. In der Praxis bedeutet dies, dass Ministerien, Kommunalbehörden, der National Health Service, Schulen und systemrelevante Versorgungsunternehmen wie Energie, Wasser, Finanzen, Telekommunikation, Verkehr und andere von der Zahlung ausgeschlossen wären, sollten sie von Ransomware betroffen sein. Der Grund dafür ist, für die Öffentlichkeit lebenswichtige Dienste zu schützen und den Anreiz für Angreifer zu beseitigen, diese gezielt anzugreifen. Wenn Kriminelle wissen, dass britische Krankenhäuser oder Infrastrukturbetreiber mit Angriffen „kein Geld verdienen“, sollten diese Ziele an Attraktivität verlieren. Bemerkenswert ist, dass die Regierung sogar geprüft hat, ob wichtige Zulieferer dieser kritischen Sektoren (z. B. IT-Anbieter oder Rechenzentrumsbetreiber, die CNI-Organisationen bedienen) ebenfalls unter das Zahlungsverbot fallen sollten, da die Lieferketten stark verflochten sind. Dieser umfassende Ansatz zielt darauf ab, Schlupflöcher zu schliessen (Angreifer könnten andernfalls einen kritischen Sektor über einen Auftragnehmer ins Visier nehmen) und folgt Präzedenzfällen anderer Länder. Tatsächlich einigten sich Dutzende von Ländern – angeführt von Grossbritannien und den USA – in der gemeinsamen Erklärung der internationalen „Counter Ransomware Initiative“ von 2023 darauf, dass keine staatlichen Mittel zur Zahlung von Lösegeld verwendet werden sollten. Das britische Verbot würde diesen Grundsatz im Inland umsetzen und wohl noch weiter gehen, indem es auch Kommunalverwaltungen und Betreiber kritischer Industriezweige einbezieht.
2.
„Genehmigungs“-Regelung für Ransomware-Zahlungen für andere: Für Organisationen, die nicht unter das oben genannte Verbot fallen (d. h. private Unternehmen ausserhalb kritischer Infrastrukturen), schlägt das Vereinigte Königreich eine neue Regelung zur „Verhinderung von Ransomware-Zahlungen“ vor. Diese würde vorsehen, dass jedes Opfer, das die Zahlung eines Lösegeldes in Erwägung zieht, seine Absicht zunächst einer Regierungsbehörde melden muss, die dann die Situation bewertet und die Zahlung in bestimmten Fällen möglicherweise blockiert. Im Wesentlichen handelt es sich um ein obligatorisches Melde- und Überwachungssystem, das vor einer Lösegeldtransaktion greift. Gemäss dem Vorschlag würde ein Unternehmen, sobald es den Behörden mitteilt, dass es beabsichtigt, Lösegeld zu zahlen, Unterstützung und Beratung zu Alternativen erhalten (z. B. Hilfe bei der Wiederherstellung, Nutzung von Backups, Hinzuziehung von Cybersicherheitsexperten). Die Behörden würden zudem prüfen, ob die geplante Zahlung untersagt werden sollte – beispielsweise, wenn die Zahlung gegen Sanktionen oder Gesetze zur Bekämpfung der Terrorismusfinanzierung verstossen würde (z. B. wenn die Lösegeldforderung mit einer sanktionierten Hackergruppe in Verbindung steht). Wenn kein eindeutiger rechtlicher Grund für eine Blockierung vorliegt, läge die endgültige Entscheidung über die Zahlung weiterhin bei der betroffenen Organisation, aber zumindest wäre der Vorfall dokumentiert und die Strafverfolgungsbehörden könnten das Ergebnis potenziell überwachen. Dieser neuartige Ansatz versucht, ein Gleichgewicht zu finden: Er verbietet nicht alle Zahlungen des privaten Sektors (in der Erkenntnis, dass ein absolutes Verbot zu undifferenziert sein könnte), sondern fügt eine staatliche Aufsicht in den Prozess ein. Im Laufe der Zeit könnte dies durch zusätzliche Reibungsverluste und Kontrollen von Zahlungen abhalten. Ausserdem wird sichergestellt, dass Zahlungen, selbst wenn sie erfolgen, nicht geheim gehalten werden – wodurch das Problem der Untererfassung angegangen wird. Die Umsetzung eines solchen Systems wäre jedoch komplex; im Grunde schafft es ein Genehmigungssystem für Lösegeldzahlungen, was im Cyberkontext beispiellos ist. Die Regierung hat um Rückmeldungen dazu gebeten, wie dies praktikabel gestaltet werden kann und welche Sanktionen bei Nichteinhaltung angemessen wären (reichend von strafrechtlichen Sanktionen für Zahlungen ohne Meldung bis hin zu Geldstrafen oder sogar dem Ausschluss von Führungskräften wegen Missachtung der Regeln).
3.
Verpflichtende Meldung von Ransomware-Vorfällen: Ergänzend dazu beabsichtigt das Vereinigte Königreich, die Meldung von Ransomware-Vorfällen pauschal vorzuschreiben. Das bedeutet, dass jede Organisation, die von einem Ransomware-Angriff betroffen ist (unabhängig davon, ob sie zahlt oder nicht), gesetzlich verpflichtet wäre, den Vorfall innerhalb einer bestimmten Frist den zuständigen Behörden (wahrscheinlich dem National Cyber Security Centre (NCSC) oder den Strafverfolgungsbehörden) zu melden. Ziel ist es, „vollständige Transparenz hinsichtlich der Ransomware-Bedrohungslage“ zu gewährleisten, damit die britische National Crime Agency und das NCSC Informationen sammeln, Opfer unterstützen und Massnahmen koordinieren können. Eine umfassendere Meldepflicht kann den Behörden helfen, Ransomware-Trends zu verfolgen, Kampagnen miteinander in Verbindung zu bringen und möglicherweise andere potenzielle Ziele zu warnen (beispielsweise, wenn ein weit verbreiteter Exploit genutzt wird). Dies steht auch im Einklang mit dem Zahlungsüberwachungssystem – denn selbst wenn ein Opfer beschliesst, nicht zu zahlen, sollte die Tatsache, dass ein Vorfall stattgefunden hat, den Aufsichtsbehörden dennoch bekannt sein. Im Vereinigten Königreich gibt es bereits einige Meldepflichten für Datenschutzverletzungen (gemäss DSGVO müssen Organisationen Verletzungen des Schutzes personenbezogener Daten innerhalb von 72 Stunden an das Information Commissioner’s Office melden), und bestimmte Sektoren wie der Finanzsektor verfügen über Regeln zur Meldung von Cybervorfällen. Dieser Vorschlag würde jedoch eine umfassendere, speziell auf Ransomware ausgerichtete Verpflichtung schaffen. Er spiegelt Ansätze wie die NIS2-Richtlinie der EU (siehe unten) und das neue Gesetz in Australien wider. Durch die Institutionalisierung der Vorfallmeldung will das Vereinigte Königreich das Stigma oder die Zurückhaltung von Unternehmen, sich zu melden, beseitigen und Ransomware zu einer besser beherrschbaren, messbaren Bedrohung machen.
Bis Juli 2025 fanden diese Vorschläge breite Unterstützung in der Regierung. Das Innenministerium kündigte an, ein „gezieltes Verbot von Ransomware-Zahlungen“ für den öffentlichen Sektor und kritische Infrastrukturen sowie ergänzende Präventions- und Meldepflichten umzusetzen. Eine Stellungnahme der britischen Regierung Mitte 2025 bestätigte Pläne, einen Gesetzentwurf zur Umsetzung dieser Änderungen auszuarbeiten. Bemerkenswert ist, dass im Vereinigten Königreich parteiübergreifender Konsens über strengere Massnahmen herrscht – ein Vorschlag der vorherigen konservativen Regierung vom Mai 2024 sah ebenfalls vor, dass alle Ransomware-Vorfälle gemeldet werden müssen, und ging sogar so weit, Opfer zu zwingen, vor der Zahlung eine staatliche Lizenz einzuholen. Diese konkrete Lizenzidee entwickelte sich unter der Labour-Regierung im Jahr 2025 zum aktuellen „Report-before-paying“-System weiter, doch die Kontinuität zeigt einen anhaltenden politischen Willen, gegen Ransomware vorzugehen. Britische Regierungsvertreter argumentieren, dass diese Schritte „das Geschäftsmodell der Cyberkriminellen im Kern treffen“ werden, indem sie ihnen die Geldquellen abschneiden. Wie Innenminister Dan Jarvis es formulierte, besteht das Ziel darin, „diese kriminellen Netzwerke an der Geldbörse zu treffen und ihnen die wichtigsten Finanzströme abzuschneiden, auf die sie angewiesen sind“.
Aus rechtlicher Sicht wirft der britische Ansatz wichtige Fragen auf. Der eingeschränkte Geltungsbereich des vollständigen Verbots (das auf den öffentlichen Sektor und CNI beschränkt ist) soll die wichtigsten Dienste und Steuergelder schützen und gleichzeitig die potenziell gravierenden Auswirkungen eines pauschalen Verbots für alle Unternehmen vermeiden. Private Unternehmen hätten weiterhin die Möglichkeit (wovon stark abgeraten wird) zu zahlen, allerdings unter Aufsicht. Die Einführung einer Vorabmeldung und die mögliche Blockierung von Zahlungen ist eine bemerkenswerte regulatorische Neuerung – damit wird eine Lösegeldzahlung praktisch wie eine verdächtige Finanztransaktion behandelt, die unterbunden werden kann. Die Einhaltung und Durchsetzung der Vorschriften wird eine Herausforderung darstellen: Unternehmen könnten Reputationsschäden oder regulatorische Konsequenzen befürchten und daher versucht sein, weder einen Vorfall noch eine Zahlungsabsicht zu melden. Die britischen Vorschläge sehen Strafen für die Nichteinhaltung vor, um dem entgegenzuwirken, beispielsweise Geldbussen oder sogar die Einstufung als Straftat, wenn Führungskräfte heimlich Lösegeld zahlen, obwohl dies verboten ist. Sollte das Gesetz verabschiedet werden, wird das Vereinigte Königreich an die Spitze der Länder rücken, die Gesetze nicht nur zur Bestrafung von Cyberkriminellen einsetzen (was schon immer der Fall war), sondern auch, um das Verhalten der Opfer bei der Reaktion auf Cyberkriminalität aktiv zu beeinflussen. Dies stellt eine bedeutende Weiterentwicklung in der Strategie des Cyberrechts dar.
3.3 Europäische Union und Mitgliedstaaten: Schwerpunkt auf Meldung und Resilienz
Auf Ebene der Europäischen Union gibt es derzeit kein unionsweites Verbot von Lösegeldzahlungen, und die meisten EU-Mitgliedstaaten stellen die Zahlung von Lösegeld an Cyberkriminelle nicht unter Strafe (sofern kein Zusammenhang mit Terrorismus oder Sanktionen besteht). Stattdessen legt Europa den Schwerpunkt auf die Verbesserung der Widerstandsfähigkeit der Cybersicherheit und der Transparenz. Die wichtigste Entwicklung ist die EU-Richtlinie über Netz- und Informationssicherheit 2 (NIS2), die 2022 verabschiedet wurde und seit Ende 2024 in Kraft ist. NIS2 ist ein umfassendes Cybersicherheitsgesetz, das für eine breite Palette „kritischer“ und „wichtiger“ Einrichtungen in den EU-Mitgliedstaaten gilt (einschliesslich Sektoren wie Energie, Verkehr, Gesundheit, Bankwesen, Infrastruktur, digitale Diensteanbieter und mehr). Neben zahlreichen anderen Anforderungen schreibt NIS2 vor, dass betroffene Organisationen schwerwiegende Cybervorfälle – einschliesslich Ransomware-Angriffe – innerhalb einer sehr kurzen Frist (oftmals 24 Stunden für die Erstmeldung) an die Behörden melden müssen. Durch die Verpflichtung zur sofortigen Meldung von Vorfällen will die EU die Reaktion auf Vorfälle beschleunigen und die grenzüberschreitende Koordination erleichtern (über ein Netzwerk nationaler CSIRTs und eine zentrale EU-Cybereinheit). In der Praxis bedeutet dies: Wenn ein Krankenhaus in Deutschland oder eine Bank in Frankreich Opfer eines Ransomware-Angriffs wird, muss es die Aufsichtsbehörden fast sofort benachrichtigen, die dann bei Bedarf Europol oder andere Mitgliedstaaten alarmieren können. Zwar schreibt NIS2 die Offenlegung von Lösegeldzahlungen nicht ausdrücklich vor, doch löst jeder Ransomware-Vorfall, der schwerwiegend genug ist, um Dienste oder Daten zu beeinträchtigen, wahrscheinlich die Meldepflicht aus. Das bedeutet, dass die Behörden davon Kenntnis erlangen und nachfragen können, ob eine Lösegeldforderung gestellt oder gezahlt wurde. Dies erhöht indirekt die Transparenz der Regierung hinsichtlich Lösegeldzahlungen, ohne diese ausdrücklich zu verbieten. EU-Beamte haben angemerkt, dass eine schnellere Meldung dazu beitragen wird, ein umfassenderes Bild der Ransomware-Bedrohung zu erstellen und möglicherweise Unternehmen davon abzuhalten, Kriminelle stillschweigend zu bezahlen, ohne die Strafverfolgungsbehörden zu informieren.
Einzelne EU-Länder schliessen sich weitgehend der Haltung an, von Zahlungen abzuraten, ohne diese jedoch zu verbieten. Strafverfolgungsbehörden (wie die französische ANSSI oder das deutsche BSI) raten grundsätzlich regelmässig von Zahlungen ab. In Frankreich wurde 2021 ein Gesetz diskutiert, das Lösegeldzahlungen verbieten und Versicherern die Erstattung dieser Zahlungen untersagen sollte (vor dem Hintergrund der Sorge, dass Cyberversicherungen Kriminelle begünstigen), doch die verabschiedete Massnahme fiel milder aus – sie verpflichtet Unternehmen, den Angriff den Strafverfolgungsbehörden zu melden, wenn sie die Zahlung als Aufwand absetzen oder eine Erstattung durch die Versicherung geltend machen wollen. Somit stand erneut die Transparenz im Mittelpunkt: Frankreich hat im Grunde gesagt, dass man nicht stillschweigend zahlen und Versicherungsschutz erhalten kann, ohne die Polizei einzuschalten. Andere Länder wie Deutschland und die Niederlande verfügen über eine ausgeprägte Kultur der Vorfallmeldung und oft über einen öffentlich-privaten Informationsaustausch zu Ransomware-Fällen (über sektorale ISACs usw.), jedoch über keine ausdrücklichen Zahlungsverbote. Ein interessanter Aspekt in Europa ist, dass sich viele Opfer in letzter Zeit weigern zu zahlen – so lehnte die Regierung beispielsweise bei einem prominenten Angriff auf den irischen Gesundheitsdienst (HSE) im Jahr 2022 die Zahlung des Lösegelds ab und arbeitete mit internationalen Experten zusammen, um die Daten wiederherzustellen, wenn auch zu hohen Kosten. In ähnlicher Weise entschieden sich mehrere grosse europäische Unternehmen, die 2023 betroffen waren, gegen eine Zahlung und nahmen stattdessen Datenlecks in Kauf, wobei sie sich auf ihre Nichtzahlungsrichtlinien beriefen. Dies deutet darauf hin, dass sich in der Praxis eine Norm gegen Zahlungen etabliert, auch wenn diese nicht gesetzlich verankert ist.
Auf Ebene der Europäischen Union gibt es zudem eine zunehmende diplomatische Koordinierung im Bereich Ransomware. Die EU hat grosse Ransomware-Angriffe staatlich geduldeten kriminellen Gruppen zugeschrieben und sogar Sanktionen gegen bestimmte Cyberakteure verhängt. Im Jahr 2022 sanktionierte die EU Personen, die mit den Angriffen von WannaCry, NotPetya und anderen in Verbindung standen (von denen einige an Ransomware-Kampagnen beteiligt waren), und untersagte damit allen Personen und Unternehmen in der EU rechtlich, Geschäfte mit ihnen zu tätigen (was auch die Zahlung von Lösegeld einschliesst). Darüber hinaus koordiniert das Europäische Zentrum zur Bekämpfung der Cyberkriminalität (EC3) von Europol aktiv multinationale Operationen gegen Ransomware-Banden. Ein bemerkenswerter Erfolg war die „Operation Cyclone“ gegen die DoppelPaymer-Gruppe Anfang 2023, an der Strafverfolgungsbehörden aus Deutschland, der Ukraine und anderen Ländern beteiligt waren, um Verdächtige festzunehmen und Infrastruktur zu beschlagnahmen. In den Jahren 2023–2024 unterstützte Europol zudem eine gemeinsame Operation, die die produktive LockBit-Ransomware-Bande zerschlug, in Abstimmung mit dem FBI und der britischen NCA, was zur Beschlagnahmung von Servern und sogar zu einigen Festnahmen führte. Diese Strafverfolgungsmassnahmen haben in Verbindung mit Vorschriften zur Bekämpfung der Geldwäsche bei Kryptowährungen zu dem im Jahr 2024 beobachteten Rückgang der Ransomware-Zahlungen beigetragen. EU-Beamte neigen daher dazu, die Lösung für das Ransomware-Problem in den Begriffen „Stärkung der Widerstandsfähigkeit, Verbesserung der Meldesysteme und Ausbau der Zusammenarbeit der Strafverfolgungsbehörden“ zu formulieren, anstatt Zahlungen gänzlich zu verbieten. Da die Bedrohung durch Ransomware jedoch weiterhin akut ist, ist es möglich, dass die EU in Zukunft strengere Massnahmen in Betracht zieht, insbesondere wenn sie von wichtigen Mitgliedstaaten dazu gedrängt wird oder sich eine einheitliche internationale Haltung herausbildet.
Es sei darauf hingewiesen, dass in den politischen Diskussionen der EU in den Jahren 2023–2025 in einigen Foren tatsächlich Zahlungsverbote für Ransomware zur Sprache kamen. So wurde beispielsweise im Rahmen der Zusammenarbeit zwischen der EU und dem Vereinigten Königreich im Bereich Cybersicherheit die Idee eines Zahlungsverbots angesprochen. Bei einem gemeinsamen Cyber-Dialog zwischen der EU und dem Vereinigten Königreich im Dezember 2024 diskutierten Beamte Abschreckungsstrategien gegen Ransomware und nannten die Gesetzesvorschläge des Vereinigten Königreichs als mögliches Vorbild. Auch der Europäische Rat hat Ransomware in seine Erklärungen aufgenommen und betont, dass keine Mühen gescheut werden sollten, um Ransomware-Akteure zu stoppen – ohne jedoch Zahlungsverbote ausdrücklich zu befürworten oder abzulehnen. Stimmen aus der Privatwirtschaft in Europa sprechen sich zunehmend für strengere Massnahmen aus; eine Umfrage der Canadian Internet Registration Authority (CIRA) aus dem Jahr 2023 ergab, dass fast zwei Drittel der Cybersicherheitsexperten (viele davon in Nordamerika und Europa) Gesetze befürworten, die Lösegeldzahlungen verbieten. Unternehmen sind von den unaufhörlichen Angriffen frustriert, und einige glauben, dass nur ein Eingreifen der Regierung das „Gefangenendilemma“ lösen kann, in dem sich einzelne Firmen für die Zahlung entscheiden. Dennoch werden die Mitgliedstaaten, solange kein EU-Konsens besteht, wahrscheinlich weiterhin die derzeitige Mischung aus Meldepflicht (NIS2), Sanktionsdurchsetzung und dringendem Abraten von Zahlungen als De-facto-Politik beibehalten.
3.4 Australien: Meldepflicht für Lösegeldzahlungen – Ein wegweisendes Gesetz
Australien hat sich bis 2024 als Vorreiter in der Ransomware-Politik etabliert, indem es eine der weltweit ersten gesetzlichen Vorschriften einführte, die sich gezielt gegen Lösegeldzahlungen richtet. Nach einer Reihe von hochkarätigen Cyberangriffen auf australische Unternehmen (darunter ein grosses Telekommunikationsunternehmen und ein Krankenversicherer im Jahr 2022), bei denen die Daten von Millionen von Bürgern offengelegt wurden, gelobte die australische Regierung, härter gegen Ransomware vorzugehen. Dies führte zur Verabschiedung des Cyber Security Act 2024, der am 30. Mai 2025 in Kraft trat und vorschreibt, dass alle Organisationen jede Zahlung im Zusammenhang mit Ransomware oder Cyber-Erpressung innerhalb von 72 Stunden melden müssen. Das Gesetz gilt für in Australien tätige Unternehmen, die eine bestimmte Grössengrenze überschreiten (Jahresumsatz von 3 Millionen AUD oder mehr), sowie für Einrichtungen, die für kritische Infrastrukturen verantwortlich sind. Im Wesentlichen gilt: Wenn ein betroffenes Unternehmen als Reaktion auf einen Cybervorfall eine Zahlung leistet – oder selbst wenn ein Dritter (wie der Versicherer oder ein Vermittler) in dessen Namen zahlt –, muss diese Zahlung innerhalb von drei Tagen der Regierung (genauer gesagt dem Cyber-Meldeportal des Australian Signals Directorate) gemeldet werden. Die erforderliche Meldung enthält detaillierte Informationen: den gezahlten Betrag (oder die gewährte Leistung), den Zeitpunkt und die Zahlungsweise, die Forderungen des Angreifers und jegliche Kommunikation sowie eine Beschreibung des Vorfalls selbst.
Wichtig ist, dass das australische Gesetz die Zahlung von Lösegeld nicht verbietet; es geht nicht so weit, Zahlungen unter Strafe zu stellen. Stattdessen zielt es auf Transparenz und Datenerhebung ab. Die Prämisse ist, dass die Behörden durch die Verpflichtung zur Offenlegung von Lösegeldzahlungen das Ausmass des Ransomware-Problems besser verstehen, Opfern helfen und möglicherweise den Geldfluss nachverfolgen können (insbesondere da Zahlungen oft in Kryptowährung erfolgen). Die australische Regierung war der Ansicht, dass viele Lösegeldvorfälle vor den Aufsichtsbehörden und der Öffentlichkeit verheimlicht wurden, was die Bemühungen zur Bekämpfung dieser Kriminalität untergrub. Die neue Meldepflicht soll dieser Geheimhaltung ein Ende setzen. Unternehmen, die eine Lösegeldzahlung nicht melden, müssen mit Strafen rechnen – konkret mit einer zivilrechtlichen Geldstrafe von bis zu 60 Strafpunkten (derzeit 19.800 AUD) pro Verstoss. Auch wenn diese Geldstrafe nicht enorm ist, bieten sie und die Aussicht auf behördliche Durchsetzung einen Anreiz zur Einhaltung der Vorschriften. Das Gesetz sieht eine sechsmonatige Übergangsfrist (bis Ende 2025) vor, in der die Aufsichtsbehörden den Schwerpunkt eher auf Aufklärung als auf Bestrafung legen werden; danach wird eine strengere Durchsetzungspolitik greifen.
Um den Bedenken der Industrie Rechnung zu tragen, wurden in der australischen Gesetzgebung Schutzmassnahmen für die „begrenzte Nutzung“ der gemeldeten Informationen vorgesehen. Das bedeutet, dass Daten, die in einem Ransomware-Zahlungsbericht übermittelt werden, von der Regierung im Allgemeinen nur für bestimmte Zwecke verwendet werden dürfen: zur Reaktion auf den Vorfall oder dessen Untersuchung, zur Abwehr von Cybersicherheitsbedrohungen, für nationale Sicherheits- oder nachrichtendienstliche Aktivitäten oder für damit verbundene Durchsetzungsmassnahmen. Entscheidend ist, dass das Gesetz den Unternehmen versichert, dass die Details, wenn sie eine Zahlung selbst melden, nicht dazu verwendet werden, sie automatisch strafrechtlich zu verfolgen oder zu bestrafen, weil sie angegriffen wurden oder weil sie gezahlt haben. (Da das Bezahlen nicht verboten ist, bestünde das Hauptrisiko rechtlicher Art darin, dass die Zahlung gegen Sanktionen oder andere Gesetze verstösst, und die Regierung hat signalisiert, dass eine in gutem Glauben erfolgte Meldung nicht als „Falle“ für nicht damit zusammenhängende Verstösse genutzt wird.) Dieser Ansatz zielt darauf ab, ein Gleichgewicht zu schaffen: Offenheit zu fördern, ohne die betroffenen Organisationen übermässig zu verunsichern, dass eine Offenlegung zu Klagen oder Reputationsschäden führen könnte. Darüber hinaus hat Australien einen neuen Ausschuss zur Überprüfung von Cybervorfällen (Cyber Incident Review Board) eingerichtet – ähnlich dem US-amerikanischen Cyber Safety Review Board –, um schwerwiegende Vorfälle auf „unvoreingenommene“ Weise zu analysieren und öffentliche Empfehlungen zur Stärkung der Widerstandsfähigkeit abzugeben. Die Hoffnung ist, dass die aus Ransomware-Fällen gewonnenen Erkenntnisse (insbesondere Muster, die sich aus der Flut von Zahlungsmeldungen ableiten lassen) zu besseren Abwehrmassnahmen im ganzen Land beitragen werden.
Australiens Meldepflichtgesetz hat erhebliche Auswirkungen. Es macht Australien praktisch zu einem Testfall dafür, ob Transparenz allein (ohne Zahlungsverbot) Ransomware eindämmen kann. Indem sie wissen, wer wie viel gezahlt hat, können die australischen Behörden feststellen, ob bestimmte Banden gezielt auf ihre Unternehmen abzielen, und gegebenenfalls Strafverfolgungsmassnahmen koordinieren. Ausserdem entsteht eine offizielle Aufzeichnung, die in internationale Bemühungen einfliessen könnte (z. B. durch den Austausch anonymisierter Daten mit Partnern, um von Ransomware-Gruppen genutzte Kryptowährungs-Wallets aufzuspüren). Erste Kommentare deuten darauf hin, dass andere Rechtsordnungen dies genau beobachten; die Anwaltskanzlei Hogan Lovells merkte an, dass Australiens Schritt „eine neue Ära einleitet“ und andere Länder diesem Beispiel bei der Einführung ähnlicher Anforderungen folgen könnten. Tatsächlich wurde in der britischen Konsultation im Jahr 2025 ausdrücklich auf Australiens Ansatz als Modell zur Verbesserung der Meldung von Vorfällen verwiesen. Die australische Regierung stellt das Gesetz als langfristig wirtschaftsfreundlich dar und argumentiert, dass ein Unternehmen, das sich an dieses Meldeverfahren hält, besser vorbereitet sein wird, falls (oder wenn) andere Länder vergleichbare Vorschriften einführen.
Aus Sicht des internationalen Rechts Sicht steht das australische Gesetz nicht im Widerspruch zu vertraglichen Verpflichtungen, da es nichts verbietet, was nicht bereits erlaubt ist; es schreibt lediglich eine innerstaatliche Meldepflicht vor. In Australien tätige Unternehmen (auch wenn sie in ausländischem Besitz sind) müssen dies nun in ihren Plänen zur Reaktion auf Vorfälle berücksichtigen – beispielsweise müsste ein US-Unternehmen mit einer australischen Niederlassung, das Lösegeld zahlt, das diese Niederlassung betrifft, dies innerhalb von 72 Stunden an die ASD melden, was möglicherweise zu grenzüberschreitenden Komplikationen führen könnte (insbesondere wenn US-Behörden gemäss den bevorstehenden CIRCIA-Regeln ebenfalls eine Benachrichtigung verlangen). Dies verdeutlicht den Trend, dass nationale Gesetzgebungen auf innovative Weise gegen Ransomware vorgehen, was zu einem Flickenteppich von Gesetzen beiträgt, in dem sich multinationale Unternehmen zurechtfinden müssen.
3.5 Andere Rechtsordnungen und globale Initiativen
Über die oben genannten Beispiele hinaus haben zahlreiche andere Rechtsordnungen ihre Gesetze und Richtlinien angesichts der Ransomware-Epidemie überprüft:
- Kanada: Stand 2025 hat Kanada Zahlungen an Ransomware-Erpresser nicht verboten, doch die Bundesregierung rät ausdrücklich davon ab, Lösegeld zu zahlen, da jede Zahlung „das Ransomware-Modell weiter anheizt“. Die kanadischen Strafverfolgungsbehörden (die RCMP und das Canadian Centre for Cyber Security) fordern die Opfer nachdrücklich auf, Vorfälle zu melden und Zahlungen zu vermeiden. In Kanada wurde über eine Meldepflicht für Lösegeldzahlungen diskutiert; 2023 wurde ein Gesetzentwurf eingebracht, der Unternehmen ab einer bestimmten Grösse zur Meldung von Zahlungen verpflichten sollte (ähnlich wie das australische Gesetz). Es wird auch darüber diskutiert, die Gesetze zur Bekämpfung der Geldwäsche zu aktualisieren, um die Zahlung von Lösegeld zu bestrafen, wenn die Gelder an kriminelle Organisationen fliessen. Zum Zeitpunkt der Erstellung dieses Artikels gibt es jedoch kein spezifisches Bundesgesetz, das eine Offenlegung vorschreibt oder Zahlungen verbietet, sodass der Ansatz weiterhin beratender Natur ist. Interessanterweise ergab eine Umfrage in Kanada, dass eine starke Mehrheit der Cybersicherheitsexperten ein Verbot von Lösegeldzahlungen befürworten würde, was auf einen möglichen Wandel in der öffentlichen Meinung hindeutet, den der Gesetzgeber letztendlich berücksichtigen könnte.
- Israel, Singapur und andere: Israel sah sich 2021–2022 einer Flut von Ransomware-Angriffen ausgesetzt und erwog, Unternehmen zu verpflichten, Angriffe an eine Regierungsbehörde zu melden, doch die Durchsetzungsmechanismen bleiben für die meisten Sektoren freiwillig. Singapur leitet gemeinsam mit dem Vereinigten Königreich die Bemühungen des CRI zur Ransomware-Politik. Zwar hat das Land Zahlungen nicht verboten, doch hat es die Vorschriften für Kryptowährungsbörsen verschärft, um strengere KYC-Regeln (Know-Your-Customer) durchzusetzen, mit dem Ziel, es Ransomware-Akteuren zu erschweren, illegale Gewinne zu Geld zu machen. Einige Länder wie die Vereinigten Arabischen Emirate verfügen über Cybersicherheitsvorschriften, die vorschreiben, dass Sicherheitsverletzungen (einschliesslich Ransomware-Vorfälle) in bestimmten Sektoren (Finanzen, kritische Infrastruktur) den Aufsichtsbehörden gemeldet werden müssen, jedoch gibt es keine expliziten Gesetze zur Zahlung von Lösegeld. Japan und Südkorea haben schwere Ransomware-Vorfälle erlebt, sich jedoch eher auf die Stärkung der Cyberabwehr und den Informationsaustausch als auf Zahlungsverbote konzentriert.
- International Counter Ransomware Initiative (CRI): Diese von den USA geführte multilaterale Koalition, die 2021 ins Leben gerufen wurde, ist auf 68 Mitgliedsländer sowie die EU angewachsen. Sie dient als Forum zur Koordinierung von Strategien zur Bekämpfung von Ransomware. In den Jahren 2023–2024 richtete die CRI eine Arbeitsgruppe zum Thema „Resilienz und Bekämpfung illegaler Finanzgeschäfte“ ein, die sich speziell mit Massnahmen zur weltweiten Reduzierung von Lösegeldzahlungen befasst. Insbesondere erklärten alle CRI-Mitgliedsstaaten im Januar 2024 gemeinsam, dass staatliche Einrichtungen unter ihrer Zuständigkeit keine Lösegeldforderungen von Ransomware-Angreifern bezahlen sollten. Diese öffentliche Verpflichtung setzt im Wesentlichen eine internationale Norm (zumindest unter Verbündeten), dass Steuergelder nicht dazu verwendet werden, Cyberkriminelle zu belohnen. Die CRI hat zudem im Oktober 2024 in Zusammenarbeit mit der Versicherungsbranche Best Practices verabschiedet, um Alternativen zur Zahlung von Lösegeld zu fördern und stattdessen die Wiederherstellung von Backups sowie eine fachkundige Reaktion auf Vorfälle in den Vordergrund zu stellen. Obwohl die Erklärungen der CRI nicht bindend sind, stellen sie eine koordinierte politische Haltung dar und haben wahrscheinlich nationale Strategien beeinflusst (wie am Beispiel des Vereinigten Königreichs und anderer Länder zu sehen ist, die in ihren Plänen auf die CRI verweisen). Die CRI strebt für 2025 weitere Initiativen an, wie den Austausch von Informationen über Kryptowährungs-Wallets, die von Ransomware-Banden genutzt werden, und die Förderung von „Secure-by-Design“-Software zur Verringerung von Schwachstellen. Diese Initiative unterstreicht, dass Ransomware nicht nur als innerstaatliches Kriminalitätsproblem, sondern als gemeinsame internationale Sicherheitsherausforderung behandelt wird, die kollektives Handeln erfordert.
- Sanktionen und Strafverfolgung: Auf globaler Ebene hat die koordinierte Strafverfolgung begonnen, den Ransomware-Aktivitäten Einhalt zu gebieten. Länderübergreifende Bemühungen über Interpol, das Netzwerk der Budapester Konvention und den Austausch von Erkenntnissen haben zur Festnahme von Ransomware-Akteuren in Osteuropa und anderswo geführt. Die USA, die EU und das Vereinigte Königreich haben jeweils Sanktionen gegen Ransomware-Akteure sowie gegen Kryptowährungsbörsen oder „Mixer“ verhängt, die deren Erlöse waschen. So verhängten die USA im Jahr 2022 Sanktionen gegen den Krypto-Mixer Tornado Cash, woraufhin Chainalysis im Jahr 2023 einen „erheblichen Rückgang“ bei der Nutzung von Mixern durch Ransomware-Banden meldete. Dies zeigt, dass wirtschaftliche Hebel kriminelles Verhalten beeinflussen können – was für die Debatte über ein Zahlungsverbot relevant ist. Wenn es Kriminellen aufgrund von Sanktionen und Überwachung schwerer fällt, ihre Lösegeldgewinne zu bewegen oder auszugeben, sinkt der Anreiz, Angriffe zu starten. Die grösste Herausforderung bleiben jedoch die Rückzugsgebiete für Ransomware: Länder wie Russland (Heimat vieler Ransomware-Banden) und Nordkorea (dessen staatlich unterstützte Hacker Ransomware einsetzen, um das Regime zu finanzieren) haben sich nicht an den globalen Bemühungen beteiligt. Die vorgeschlagene UN-Konvention gegen Cyberkriminalität (auf die im Folgenden eingegangen wird) und der anhaltende diplomatische Druck zielen darauf ab, diese Verweigerer mit ins Boot zu holen oder es ihnen zumindest zu erschweren, Cyberkriminelle ungestraft zu beherbergen.
Zusammenfassend lässt sich sagen, dass die Ansätze zwar variieren, der klare Trend ab 2023 jedoch in Richtung entschlossenerer Massnahmen geht, um Ransomware-Zahlungen einzudämmen und die Transparenz zu erhöhen. Nur wenige Rechtsordnungen haben bereits ein vollständiges Verbot eingeführt (vor allem für staatliche Stellen), aber viele erwägen dies, und Meldepflichten werden immer häufiger. Die Voraussetzungen für eine breitere internationale Debatte über die Harmonisierung dieser Strategien sind geschaffen, worauf wir nun eingehen.
4 Auswirkungen auf das Völkerrecht und grenzüberschreitende Herausforderungen
4.1 Übereinstimmung mit Verträgen und Normen zur Cyberkriminalität
Jedes nationale Gesetz oder jede nationale Richtlinie, die sich mit Ransomware befasst, steht im Kontext bestehender internationaler Rechtsinstrumente zur Cyberkriminalität. Der wichtigste Vertrag in diesem Bereich ist das Übereinkommen des Europarats über Cyberkriminalität (Budapester Übereinkommen) von 2001, dem über 85 Länder (darunter die USA, EU-Staaten und andere) beigetreten sind. Das Budapester Übereinkommen und sein kürzlich verabschiedetes Zweites Protokoll befassen sich nicht ausdrücklich mit Lösegeldzahlungen durch Opfer – vielmehr verlangen sie die Kriminalisierung von Straftaten wie Computerhacking, Datenmanipulation und Cybererpressung (die die Handlungen von Ransomware-Kriminellen abdeckt) und erleichtern die grenzüberschreitende Zusammenarbeit bei Ermittlungen und Strafverfolgung. So beinhaltet beispielsweise ein Ransomware-Angriff mehrere Straftaten im Sinne des Budapester Übereinkommens (unbefugter Zugriff, Systembeeinträchtigung, Datenbeeinträchtigung und häufig computerbezogener Betrug/Erpressung); gemäss dem Übereinkommen muss jede Vertragspartei über Gesetze zur Verfolgung dieser Handlungen verfügen und die Ermittlungen anderer Länder unterstützen (durch Auslieferung, Rechtshilfe usw.). Die Leitlinien der Konvention zu Ransomware (2022) bekräftigten, dass ihre Bestimmungen flexibel genug sind, um Ransomware-Fälle zu bekämpfen – und dass Instrumente wie das neue Protokoll (das die grenzüberschreitende Beschaffung elektronischer Beweismittel vereinfacht) die Strafverfolgung verbessern werden.
Massnahmen wie das Verbot von Lösegeldzahlungen oder die Meldepflicht werden durch das Budapester Übereinkommen weder vorgeschrieben (noch verboten), da diese Massnahmen das Verhalten der Opfer und die Reaktion auf Vorfälle betreffen und nicht die Kriminalisierung der Täter. Solche Massnahmen ergänzen jedoch die Ziele des Übereinkommens, indem sie potenziell die Häufigkeit von Cyberkriminalität verringern und die Zusammenarbeit mit den Strafverfolgungsbehörden fördern. Man könnte sagen, dass sie den „Geist“ internationaler Normen zur Bekämpfung der Cyberkriminalität fördern, der darin besteht, die Gewinne von Cyberkriminellen zu schmälern und die kollektive Sicherheit zu stärken. Es besteht kein Widerspruch zwischen dem Verbot von Zahlungen durch ein Land und seinen Verpflichtungen aus dem Budapester Übereinkommen, da die Zahlung von Lösegeld in keinem Vertrag als geschütztes Recht oder als Verpflichtung vorgesehen ist. Ebenso steht die Meldepflicht für Vorfälle im Einklang mit Artikel 35 des Budapester Übereinkommens, der den raschen Informationsaustausch mit anderen Rechtsordnungen über Cyberbedrohungen fördert.
Ein neuerer Akteur auf der Bühne ist das vorgeschlagene Übereinkommen der Vereinten Nationen zur Bekämpfung der Nutzung von IKT zu kriminellen Zwecken, oft abgekürzt als UN-Cybercrime-Konvention. Dieser Vertrag wurde ursprünglich von Russland eingebracht, war jedoch seitdem Gegenstand umfangreicher Verhandlungen durch einen UN-Ad-hoc-Ausschuss, wobei ein Entwurf Ende 2024 von der UN-Generalversammlung angenommen wurde. Das Übereinkommen zielt darauf ab, einen globalen Rahmen für die Zusammenarbeit bei Cyberkriminalität, einschliesslich Ransomware, zu schaffen, der Länder wie Russland und China (die nicht dem Budapester Übereinkommen angehören) einbeziehen würde. Die Vereinigten Staaten und die EU beschlossen, den Vertrag trotz anfänglicher Bedenken zu unterstützen, in der Hoffnung, dass er zur weltweiten Bekämpfung von Ransomware genutzt werden kann. Der Entwurfstext (in der Fassung von 2024) verpflichtet die Staaten, zentrale Cyberdelikte unter Strafe zu stellen und die Zusammenarbeit zu verbessern, ähnlich wie in Budapest, obwohl Bedenken bestehen, dass er von autoritären Regimes missbraucht werden könnte, um Razzien zu rechtfertigen. Aus Sicht der Ransomware-Politik könnte die UN-Konvention ein Mittel sein, um Normen zur Nichtzahlung von Lösegeld zu verbreiten. Auch wenn der Vertrag selbst Zahlungen nicht verbietet (das würde ausserhalb seines Geltungsbereichs liegen, der sich auf die Kriminalisierung von Straftätern konzentriert), fördert er die internationale Zusammenarbeit, die Zahlungsverbote indirekt unterstützen kann. Wenn beispielsweise alle Länder bei der Ermittlung gegen Ransomware-Netzwerke und der Rückverfolgung von Lösegeldflüssen zusammenarbeiten, steigt die Wahrscheinlichkeit, die Täter zu fassen, was wiederum die Glaubwürdigkeit einer Nichtzahlungshaltung stärkt (Opfer könnten von einer Zahlung absehen, wenn sie darauf vertrauen, dass die Strafverfolgungsbehörden bei der Wiederherstellung der Systeme helfen können oder dass die Angreifer gefasst werden könnten). US-Beamte deuteten an, dass sie in dem UN-Vertrag „das Potenzial sehen, die internationale Zusammenarbeit der Strafverfolgungsbehörden bei der Bekämpfung von Cyberkriminalität zu verbessern“, einschliesslich Ransomware. Sie hoffen zudem, damit das Problem der sicheren Häfen anzugehen – indem sie Länder, die „kriminellen Ransomware-Gruppen die Tätigkeit ermöglicht haben“, dazu drängen, entweder zu kooperieren oder mit Sanktionen zu rechnen. Tatsächlich könnte der Vertrag die Erwartung verankern, dass Staaten wissentlich keine Ransomware-Aktivitäten beherbergen sollten, was mit den Bemühungen zur Unterbindung von Lösegeldzahlungen im Einklang steht (denn solange bestimmte Staaten den Tätern Schutz bieten, reicht ein blosses Zahlungsverbot anderswo möglicherweise nicht aus).
Über Verträge hinaus entstehen internationale Normen und nicht bindende Vereinbarungen, die für Ransomware relevant sind. So haben beispielsweise die G7 und die G20 Kommuniqués veröffentlicht, in denen sie Ransomware verurteilen und einen verbesserten Informationsaustausch fordern. Die G7 bekräftigte 2021 die Ansicht, dass Lösegeldzahlungen weitere Angriffe begünstigen, und ermutigte Unternehmen stattdessen, ihre Abwehrmassnahmen zu verstärken. Der „Paris Call for Trust and Security in Cyberspace“ (2018), eine Erklärung verschiedener Interessengruppen, nennt die Bekämpfung cyberkrimineller Aktivitäten wie Ransomware als Priorität für die internationale Zusammenarbeit (auch wenn Zahlungen darin nicht ausdrücklich erwähnt werden). Unterdessen hat die Offene Arbeitsgruppe der Vereinten Nationen (OEWG) für IKT-Sicherheit Ransomware als Bedrohung für kritische Infrastrukturen erörtert und damit indirekt Normen wie den Verzicht auf Angriffe auf Krankenhäuser unterstützt (eine Norm für staatliche Akteure, von der man argumentieren könnte, dass auch Cyberkriminelle sie einhalten sollten). Auch wenn diese übergeordneten Initiativen keine direkten Vorschriften zur Zahlung von Lösegeld erlassen, tragen sie doch zu einem Klima bei, in dem die Weigerung zu zahlen und die Nichttolerierung von Cyber-Erpressung als ethisch richtige und sichere Vorgehensweise angesehen wird.
Interessanterweise könnten wir gerade die Anfänge einer globalen Norm gegen Lösegeldzahlungen zumindest durch Regierungen erleben. Die gemeinsame Verpflichtung der Counter Ransomware Initiative, dass nationale Regierungen kein Lösegeld zahlen werden, ähnelt dem Konsens gegen die Zahlung von Lösegeld an Terroristen (gemäss UN-Sicherheitsratsresolution 2133). Wenn diese Norm Bestand hat und mehr Länder sie übernehmen, werden Ransomware-Banden erkennen, dass Angriffe auf Regierungsbehörden wahrscheinlich keinen Gewinn abwerfen – was solche Angriffe möglicherweise abschrecken könnte. Der nächste Schritt könnte darin bestehen, die Norm auf kritische Infrastrukturen und bewährte Praktiken im privaten Sektor auszuweiten, obwohl dies formal wahrscheinlich entweder ein umfassendes internationales Abkommen oder gleichzeitige nationale Gesetzgebungen erfordern würde. Einige Experten haben sogar ein zukünftiges Protokoll oder einen Anhang zu einem bestehenden Vertrag (wie Budapest) vorgeschlagen, der sich auf Ransomware konzentriert, in dem sich die Unterzeichner verpflichten könnten, Zahlungen über einem bestimmten Betrag oder an bestimmte Arten von Angreifern zu verbieten, doch eine solche Idee ist noch spekulativ.
Zusammenfassend lässt sich sagen, dass das geltende Völkerrecht (Budapester Übereinkommen usw.) mit den Bemühungen zur Eindämmung von Lösegeldzahlungen voll und ganz vereinbar ist und diese sogar unterstützt, auch wenn es diese Bemühungen nicht vorschreibt. Der Schwerpunkt der Verträge liegt auf der Verfolgung der Kriminellen, nicht der Opfer, doch die sich entwickelnde Praxis der Staaten zeigt die Bereitschaft, im Interesse des Allgemeinwohls auch das Verhalten der Opfer zu regeln. Die Gewährleistung der Vereinbarkeit mit Menschenrechten und anderen Rechtsnormen wird wichtig sein (siehe unten), doch aus rein strafrechtlicher Sicht haben die Länder Spielraum, Lösegeldzahlungen nach ihrem innerstaatlichen Recht zu verbieten, ohne gegen internationale Verpflichtungen zu verstossen. Sie müssen dies lediglich so tun, dass die Meldung von Vorfällen und die Zusammenarbeit weiterhin gefördert werden, anstatt das Problem in den Untergrund zu drängen. Dieses Zusammenspiel zwischen nationalen Initiativen und internationalen Rahmenwerken schafft die Voraussetzungen dafür, dass sich ein formellerer globaler Konsens herausbilden kann.
4.2 Herausforderungen bei der grenzüberschreitenden Strafverfolgung und Koordination
Ransomware ist im Kern eine grenzüberschreitende Bedrohung. Die Angreifer und ihre Infrastruktur befinden sich oft in einem anderen Land (oder mehreren Ländern) als das Opfer, und die Lösegeldzahlung erfolgt in der Regel grenzüberschreitend über globale Kryptowährungsnetzwerke. Dies stellt enorme Herausforderungen für die Strafverfolgung und für alle rechtlichen Massnahmen dar, die an den Landesgrenzen Halt machen. Wenn ein Land Zahlungen verbietet, könnten entschlossene Opfer oder Vermittler Zahlungen über andere Rechtsordnungen leiten. Ebenso kann eine Ransomware-Bande, wenn ein Land aggressiv gegen sie vorgeht, ihre Aktivitäten einfach in eine tolerantere Gerichtsbarkeit verlagern. Eine wirksame Reaktion erfordert daher internationale Koordination auf mehreren Ebenen.
Eine grosse Herausforderung ist die Existenz von „sicheren Häfen“ für Ransomware-Gruppen. Wie bereits erwähnt, operieren viele hochrangige Ransomware-Banden von Russland oder anderen Staaten aus, die angespannte Beziehungen zum Westen unterhalten, wo sie kaum Gefahr laufen, verhaftet zu werden, solange sie keine inländischen Einrichtungen oder bestimmte Verbündete ins Visier nehmen. Diese geopolitische Komplikation bedeutet, dass selbst wenn sich der Grossteil der Welt darauf einigt, keine Lösegeldzahlungen zu leisten, ein Regime wie Russland diese Angriffe stillschweigend als Druckmittel fördern oder einfach die Augen verschliessen könnte, da sie illegale Einnahmen in die eigene Wirtschaft spülen. Der Nationale Sicherheitsrat der USA und seine Verbündeten haben wiederholt Länder kritisiert, die „kriminellen Ransomware-Gruppen erlauben, innerhalb ihrer Grenzen zu operieren“. Ohne die Zusammenarbeit dieser Regierungen könnten rechtliche Massnahmen wie Zahlungsverbote jedoch nur begrenzte Auswirkungen auf die Kriminellen selbst haben – sie werden weiterhin Angriffe starten und sich möglicherweise auf Opfer ausserhalb des „No-Pay-Clubs“ konzentrieren. Im schlimmsten Fall, wenn beispielsweise alle NATO-/EU-Länder Zahlungen verbieten würden, könnten sich Ransomware-Akteure auf Ziele in Asien oder Lateinamerika konzentrieren, die weiterhin zahlen, oder verstärkt sensible Daten exfiltrieren, um Opfer durch öffentliche Veröffentlichungen statt durch Verschlüsselung zu erpressen. Grenzüberschreitende Strafverfolgung ist daher entscheidend: Je mehr alle Nationen bei der Ermittlung, Auslieferung oder anderweitigen Bekämpfung von Ransomware-Akteuren zusammenarbeiten, desto weniger Rückzugsgebiete bleiben übrig. Aus diesem Grund könnte die globale Reichweite der im Entstehen begriffenen UN-Konvention gegen Cyberkriminalität von grosser Bedeutung sein, wenn sie Länder wie Russland in einen Kooperationsrahmen einbindet – auch wenn Skeptiker befürchten, dass diese Staaten möglicherweise immer noch nicht ernsthaft gegen Gruppen vorgehen, die sie stillschweigend schützen.
Eine weitere Herausforderung bei der Koordinierung betrifft die Gerichtsbarkeit und Rechtskonflikte. Betrachten wir ein Beispiel: Ein multinationales Unternehmen wird in Land A (das Zahlungen verbietet) von Ransomware befallen, aber seine IT-Abteilung in Land B (wo es kein Verbot gibt) möchte das Lösegeld zahlen, um die globalen Systeme wiederherzustellen. Oder ein Szenario, in dem der Entschlüsselungsdienst nur über die Infrastruktur in Land C zugänglich ist. Solche länderübergreifenden Vorfälle werfen Fragen auf: Welches Recht gilt? Wenn sich der Hauptsitz des Unternehmens in einem Land befindet, das Zahlungen verbietet, kann es dann rechtlich eine Tochtergesellschaft im Ausland anweisen, zu zahlen? Könnte dies als Umgehung angesehen werden? Diese komplexen Situationen werden zunehmen, je mehr unterschiedliche Gesetze sich verbreiten. Das Völkerrecht bietet noch keine klaren Antworten; es ist den Kollisionsnormen und vielleicht künftigen Abkommen überlassen, die Vorgehensweisen zu harmonisieren. Ein internationaler Vertrag speziell zu Ransomware könnte beispielsweise einen Artikel enthalten, in dem sich die Staaten darauf einigen, die Erleichterung einer Lösegeldzahlung nicht als rechtmässig anzusehen, wenn für das Opfer ein Zahlungsverbot eines anderen Staates gilt (im Wesentlichen eine gegenseitige Anerkennung der jeweiligen Verbote). Ohne eine solche Regelung könnte ein Flickenteppich aus Gesetzen zu Forum-Shopping führen – Kriminelle könnten sich auf Tochtergesellschaften in laxen Rechtsordnungen konzentrieren oder die Kommunikation so lenken, dass sie Lücken ausnutzen.
Koordination ist auch im Bereich der Meldung von Vorfällen und des Informationsaustauschs erforderlich. Wenn mehrere Länder eine schnelle Meldung von Ransomware-Vorfällen vorschreiben (z. B. Australiens 72-Stunden-Regel, die 24-Stunden-Regel der NIS2, die bevorstehende 72-Stunden-Regel der USA für bestimmte Sektoren), muss ein Opfer möglicherweise einen einzigen Vorfall bei mehreren Aufsichtsbehörden in verschiedenen Ländern melden. Dies kann aufwändig sein und, wenn nicht aufeinander abgestimmt, zu Verwirrung führen. Im Idealfall sollten Informationen, die an das CERT oder die Strafverfolgungsbehörden eines Landes weitergegeben werden, bei Bedarf schnell an andere weitergeleitet werden. Mechanismen wie das rund um die Uhr verfügbare Netzwerk von Kontaktstellen im Rahmen des Budapester Übereinkommens tragen dazu bei, dass stets ein Kanal für den grenzüberschreitenden Austausch von Hinweisen in Echtzeit besteht. Internationale Organisationen wie INTERPOL und Europol haben die Koordination ebenfalls verbessert, indem sie gemeinsame Ransomware-Taskforces eingerichtet haben. Je nahtloser der grenzüberschreitende Austausch von Daten zu Ransomware-Vorfällen ist, desto effektiver können die Behörden Zusammenhänge herstellen (z. B. Lösegeldforderungen mit bekannten Gruppen verknüpfen oder warnen, wenn sich eine bestimmte Variante weltweit ausbreitet). Dies ist ein starkes Argument für die internationale Harmonisierung der Meldepflichten – damit ein Unternehmen möglicherweise einen einzigen umfassenden Bericht erstellen kann, der alle Rechtsordnungen erfüllt und dann an die zuständigen Behörden weitergeleitet wird. Es ist auch ein Argument für den Aufbau einer Art globaler Datenbank oder zumindest regionaler Datenbanken mit Ransomware-Indikatoren (Bitcoin-Wallet-Adressen, Entschlüsselungstools usw.), auf die Strafverfolgungsbehörden weltweit zugreifen können.
Die Durchsetzung eines Lösegeldzahlungsverbots an sich ist grenzüberschreitend schwierig. Wenn ein Unternehmen mit Sitz in Land X (Verbot in Kraft) heimlich über einen Vermittler in Land Y (kein Verbot) zahlt, wie soll Land X das aufdecken und ahnden? Es könnte die Zusammenarbeit von Land Y erfordern, um die Transaktion zurückzuverfolgen. Finanzvorschriften wie Gesetze zur Bekämpfung der Geldwäsche (AML) könnten helfen, da Krypto-Börsen zunehmend verpflichtet sind, verdächtige Transfers zu melden. Ein starkes internationales Rahmenwerk – vielleicht unter Nutzung der Standards der Financial Action Task Force (FATF) – könnte festlegen, dass Lösegeldzahlungen eine Transaktionsart mit hohem Risiko darstellen, was globale Finanzinstitute dazu veranlassen würde, diese zu melden oder zu blockieren. Wir sehen bereits Schritte in diese Richtung, da sich die FATF auf den Missbrauch virtueller Vermögenswerte und auf „Travel Rules“ (die den Informationsaustausch über Kryptotransaktionen vorschreiben) konzentriert. Wenn Börsen und Banken weltweit beginnen, Lösegeldzahlungen (die oft anhand bestimmter On-Chain-Muster oder bekannter Adressen identifiziert werden) zu erkennen und die Behörden zu alarmieren, könnte dies nationale Verbote untermauern.
Zusammenfassend lässt sich sagen, dass die grenzüberschreitende Zusammenarbeit sowohl die grösste Herausforderung als auch der Schlüssel zum Erfolg im Kampf gegen Ransomware ist. Nationale Gesetze wie Verbote oder Meldepflichten werden nur begrenzte Wirkung zeigen, wenn sich Ransomware-Betreiber einfach anpassen können, indem sie in Rechtsräume abwandern, in denen die Durchsetzung schwach ist. Umgekehrt kann der Vorteil der Angreifer, grenzüberschreitend zu operieren, eingeschränkt werden, wenn sich Länder koordinieren, um die Welt durch gemeinsame Normen, abgestimmte Gesetze und gemeinsame Durchsetzung einheitlich für Ransomware-Gewinne unwirtlich zu machen. Die derzeitige Entwicklung ist hinsichtlich des Bewusstseins vielversprechend: Zahlreiche globale Foren und Allianzen widmen sich in den Jahren 2023–2025 aktiv dem Thema Ransomware, stärker als je zuvor. Die vor uns liegende Aufgabe besteht darin, dies in konkrete, abgestimmte Massnahmen umzusetzen. Im nächsten Abschnitt werden die (positiven und negativen) Auswirkungen einer breiten Bewegung zum Verbot von Lösegeldzahlungen untersucht und die Frage erörtert, ob ein internationaler Vertrag oder ein Abkommen die globale Reaktion stärken könnte.
4.3 Menschenrechte und geschäftliche Auswirkungen eines Verbots
Massnahmen gegen Ransomware existieren nicht in einem Vakuum – sie müssen im Einklang mit grundlegenden Rechtsprinzipien, einschliesslich der Menschenrechte, und unter Berücksichtigung der wirtschaftlichen Auswirkungen auf Unternehmen umgesetzt werden. Auch wenn ein Verbot von Lösegeldzahlungen auf den ersten Blick wie eine reine Sicherheitsmassnahme erscheinen mag, kann es auf subtile Weise mit Rechten und wirtschaftlichen Interessen kollidieren.
Menschenrechtliche Überlegungen: Ein Bereich, der Anlass zur Sorge gibt, sind die potenziellen Auswirkungen auf das Recht auf Leben, Gesundheit oder Sicherheit in Fällen, in denen Ransomware wesentliche Dienste lahmlegt. Stellen Sie sich beispielsweise vor, die IT-Systeme eines Krankenhauses würden durch Ransomware gesperrt, wodurch lebenswichtige medizinische Geräte oder der Zugriff auf Patientenakten unterbrochen würden. Wenn ein strenges Gesetz die Zahlung des Lösegeldes unter allen Umständen verbietet, könnte das Krankenhaus tagelang handlungsunfähig bleiben, was die Patienten direkt gefährdet. Regierungen müssen prüfen, ob Ausnahmen oder Ausnahmegenehmigungen für lebensbedrohliche Situationen gerechtfertigt sind. Bei den Diskussionen im Weissen Haus im Jahr 2023 wurde ausdrücklich eine Ausnahmegenehmigung für kritische Dienste ins Spiel gebracht: Nach der diskutierten Richtlinie könnte ein Opfer, wenn eine Ransomware-Bande „die Erbringung kritischer Dienste verhindert“, nach ordnungsgemässer Benachrichtigung und mit Genehmigung der Regierung eine Ausnahmegenehmigung zur Zahlung beantragen. Damit wird anerkannt, dass ein pauschales Verbot in seltenen, extremen Fällen im Widerspruch zur staatlichen Verpflichtung stehen könnte, das Leben und Wohlergehen seiner Bürger zu schützen. Ein differenziertes Verbot könnte daher humanitäre Ausnahmen beinhalten (analog dazu, wie manche Sanktionsregime Ausnahmen für grundlegende humanitäre Bedürfnisse zulassen). Ein weiterer menschenrechtlicher Aspekt ist das Recht auf Privatsphäre und Datenschutz. In einigen Ransomware-Fällen führt die Nichtzahlung dazu, dass Angreifer sensible personenbezogene Daten veröffentlichen oder verkaufen (im Rahmen von „doppelter Erpressung“). Dies kann die Privatsphäre und sogar die Sicherheit von Personen schwer beeinträchtigen (man denke an durchgesickerte medizinische oder finanzielle Unterlagen). Opfer könnten argumentieren, dass es ihnen gestattet sein sollte, zu zahlen, um die Privatsphäre von Personen zu schützen. Eine gesetzliche Verpflichtung oder Erlaubnis zur Zahlung zum Schutz der Privatsphäre würde jedoch einen problematischen Präzedenzfall schaffen; stattdessen ist ein robuster Datenschutz (Verschlüsselung im Ruhezustand usw.) die bevorzugte Lösung. Die Politik muss sicherstellen, dass es, falls Unternehmen die Zahlung untersagt wird, andere Massnahmen gibt, um die Folgen für Einzelpersonen abzufedern – z. B. die Verpflichtung von Unternehmen, Personen, deren Daten offengelegt werden, weil das Unternehmen sich an das Gesetz gehalten und nicht gezahlt hat, Kreditüberwachung und Unterstützung anzubieten.
Hinzu kommt die Frage nach einem ordnungsgemässen Verfahren und der Verhältnismässigkeit bei der Bestrafung von Opfern. Aus menschenrechtlicher Sicht (insbesondere nach europäischem Menschenrechtsrecht) sollte eine Strafe verhältnismässig sein und einem legitimen Zweck dienen. Eine Organisation (durch Geldstrafen oder strafrechtliche Haftung) zu bestrafen, nur weil sie Opfer einer Straftat (Ransomware) wurde und durch eine Zahlung versuchte, den Schaden zu mindern, könnte als unverhältnismässig angesehen werden. Kritiker argumentieren, dies komme einer „Schuldzuweisung an das Opfer“ gleich – das Gesetz würde die geschädigte Partei bestrafen statt nur den Täter. Um dem entgegenzuwirken, würde ein etwaiges Verbot wahrscheinlich keine strafrechtlichen Sanktionen für die Zahlung durch Einzelpersonen vorsehen (es könnte beispielsweise Geldstrafen für Unternehmen oder Verwaltungsstrafen vorsehen, wie es das Vereinigte Königreich in Erwägung zieht). In der Konsultation des Vereinigten Königreichs wurde sogar die Idee aufgeworfen, bestimmten Führungskräften die Tätigkeit in Vorständen zu verbieten, wenn sie gegen ein Zahlungsverbot verstossen – eine strenge Sanktion. Bei falscher Anwendung könnte dies Bedenken hinsichtlich der Fairness aufwerfen. Es wird entscheidend sein, sicherzustellen, dass Unternehmen klare Leitlinien, Unterstützung durch die Behörden und vielleicht eine gewisse Nachsicht in wirklich mildernden Fällen erhalten, damit ein Lösegeldzahlungsverbot nicht unbeabsichtigt gegen Fairnessgrundsätze verstösst oder Opfer in ausweglosen Situationen übermässig belastet. Wir sollten bedenken, dass die Menschenrechtsgesetze (wie die Europäische Menschenrechtskonvention) das Recht eines Unternehmens, Geld an Kriminelle zu überweisen, nicht ausdrücklich schützen, sodass ein Zahlungsverbot keine direkte Menschenrechtsverletzung darstellt. Die Auswirkungen eines solchen Verbots auf andere Rechte (Leben, Sicherheit, Eigentum) müssen jedoch sorgfältig analysiert werden. Eigentumsrechte (z. B. das Recht, über das eigene Geld zu verfügen) können im öffentlichen Interesse gesetzlich eingeschränkt werden, sodass ein Verbot bei ordnungsgemässer Gesetzgebung wahrscheinlich als rechtmässig bestätigt würde – ähnlich wie Gesetze zur Bekämpfung der Geldwäsche akzeptiert werden –, doch die Behörden müssen es in verhältnismässiger Weise durchsetzen.
Auswirkungen auf Wirtschaft und Unternehmen: Für Unternehmen bedeutet ein gesetzliches Verbot von Lösegeldzahlungen eine tiefgreifende Veränderung in der Risikomanagementkalkulation. Derzeit betrachten viele Organisationen die Zahlung von Lösegeld als letzte Option – zwar nicht wünschenswert, aber manchmal die am wenigsten schlechte Option, um das Unternehmen zu retten. Wenn diese Option wegfällt, könnten Unternehmen mit höheren Kosten für die Wiederherstellung und potenziell grösseren Verlusten durch Ausfallzeiten oder Datenverlust konfrontiert sein. Kleine und mittlere Unternehmen (KMU) sind besonders gefährdet: Ihnen fehlen oft die robusten Backups oder redundanten Systeme, über die grössere Firmen verfügen, und ein Ransomware-Angriff könnte sie aus dem Geschäft bringen, wenn sie sich einen Entschlüsselungscode nicht leisten können. Wie Kemba Walden betonte, „können diese [kleinen Unternehmen] in Konkurs gehen“, wenn ein Verbot besteht und sie unvorbereitet von einem Angriff getroffen werden. Dies legt nahe, dass ein Zahlungsverbot idealerweise mit Initiativen zur Unterstützung von Unternehmen im Bereich Cybersicherheit einhergehen sollte – z. B. staatliche Zuschüsse oder Versicherungspools, um Opfern zu helfen, ihre Systeme wiederherzustellen, ohne Kriminelle zu bezahlen. Die USA haben einige Programme gestartet (wie Zuschüsse für die Cybersicherheit von Bundesstaaten und Kommunen sowie die Prüfung eines Fonds zur Unterstützung bei der Reaktion auf Vorfälle), und das Vereinigte Königreich erwähnte die Zusammenarbeit mit der Versicherungsbranche, um eine bessere Unterstützung bei der Wiederherstellung zu bieten. Wenn Unternehmen wissen, dass sie nicht zahlen können, benötigen sie alternative Rettungsanker: Vereinbarungen zur gegenseitigen Hilfe, Anbieter für Datenwiederherstellung, öffentlich-private Partnerschaften für die Reaktion auf Vorfälle usw. Im Laufe der Zeit könnte ein Verbot positive Verhaltensänderungen im privaten Sektor bewirken: Unternehmen könnten mehr in präventive Sicherheit und robuste Backup-Systeme investieren, da sie wissen, dass die Zahlung von Lösegeld keine Option ist. Dies könnte die Gesamterfolgsquote von Ransomware-Angriffen senken (Angreifer verlassen sich häufig darauf, dass Opfer keine brauchbaren Backups oder Geschäftskontinuitätspläne haben).
Kurzfristig könnte es jedoch zu wirtschaftlichen Störungen kommen. Cyberversicherer müssten ihre Policen anpassen – viele decken derzeit Lösegeldzahlungen ab; sollten diese in einigen Rechtsordnungen illegal werden, könnten Versicherer stattdessen mehr Deckung für die Kosten des Wiederaufbaus von Netzwerken oder für rechtliche Haftungsansprüche nach einem Angriff anbieten. Die Prämien könnten sich verschieben. Es ist möglich, dass einige Unternehmen mit hohem Risiko (wie im Gesundheitswesen) Versicherungen als teurer oder schwerer zu bekommen empfinden, wenn sie nicht auf Lösegeldzahlungen zurückgreifen können, um einen Vorfall schnell zu lösen. Einige Branchen könnten sich gegen ein Verbot einsetzen und argumentieren, dass es ihnen die Hände bindet. Beispielsweise könnten Betreiber kritischer Infrastrukturen argumentieren, dass ein Verbot sie zu leichten Zielen macht, wenn ein Angriff die öffentliche Sicherheit bedroht und sie ihn rechtlich nicht durch Zahlung abwenden können. Auf der anderen Seite würden Unternehmen, die stolz darauf sind, nicht zu zahlen (es gibt Fälle von Firmen mit öffentlichen „No-Pay“-Richtlinien), ein Verbot als Gleichstellung der Wettbewerbsbedingungen begrüssen – wenn niemand zahlen kann, dann sind diejenigen, die sich derzeit weigern zu zahlen (und kurzfristig möglicherweise mehr leiden), nicht im Wettbewerbsnachteil. Dies ist in gewisser Weise vergleichbar damit, wie einige Unternehmen strengere Umweltvorschriften wollten, damit alle gleichermassen in die Einhaltung investieren müssen. Ebenso könnte ein Lösegeldverbot das moralische Risiko beseitigen, bei dem weniger gut vorbereitete Unternehmen wissen, dass sie auf die Zahlung von Lösegeld oder auf die Übernahme durch eine Versicherung zurückgreifen können. Das moralische Risiko war ein echtes Problem: Die bereitwillige Zahlung von Lösegeld hat einige Firmen wohl davon abgehalten, in Sicherheit oder Schulungen zu investieren. Mit einem Verbot ändert sich diese Kalkulation; Prävention wird zur einzig gangbaren Strategie.
Hinzu kommen die weiterreichenden wirtschaftlichen Auswirkungen: Lösegeldzahlungen bedeuten einen enormen Vermögenstransfer an kriminelle Unternehmen (schätzungsweise über 800 Millionen Dollar allein im Jahr 2024). Die Unterbindung dieses Geldflusses könnte mehr Geld in der legalen Wirtschaft halten und die Finanzierung anderer illegaler Aktivitäten verhindern (einige Ransomware-Banden investieren in andere Verbrechen oder finanzieren, wie im Fall Nordkoreas, Waffenprogramme). Wenn ein Verbot jedoch dazu führt, dass mehr Daten zerstört werden oder durchgesickert sind, könnten sich die Verluste dennoch auf andere Weise manifestieren (wie höhere Kosten für die Behebung, Rechtsstreitigkeiten oder den Verlust des Kundenvertrauens). Unternehmen müssen sich ohnehin mit potenziellen rechtlichen Haftungsrisiken auseinandersetzen: Die Zahlung eines Lösegelds könnte gegen Gesetze zur Meldung von Datenschutzverletzungen verstossen (da Aufsichtsbehörden dies als Verschleierung betrachten könnten, wenn es nicht gemeldet wird) oder gegen Sanktionen verstossen; die Nichtzahlung und ein Datenleck könnten zu DSGVO-Geldbussen oder anderen Strafen führen, wenn der Vorfall auf mangelnde Sicherheit zurückzuführen ist. Beide Wege sind also mit Kosten verbunden. In gewisser Weise könnte ein klares Verbot die Entscheidung vereinfachen – indem es die quälende Wahl beseitigt und für Rechtssicherheit sorgt –, aber es bedeutet auch, dass die volle Last der Wiederherstellung auf dem Opfer lastet.
Eine weitere Konsequenz: Die Dynamik der Erpressung könnte sich weiterentwickeln. Wenn Angreifer wissen, dass Zahlungen unwahrscheinlich sind, könnten sie ihre Taktik ändern. Sie könnten aus Trotz destruktiver werden (Cyber-Vandalismus) oder auf rein datenzentrierte Erpressung umsteigen (Daten stehlen und mit Veröffentlichung drohen, ohne diese zu verschlüsseln). Wir beobachten bereits „Belästigungstechniken“, wie die Kontaktaufnahme mit Kunden oder Mitarbeitern des Opfers, um Druck auszuüben. Ein Verbot könnte Angriffe mit Verschlüsselung reduzieren, aber andere Formen der digitalen Erpressung verstärken, die durch ein Zahlungsverbot nicht ohne Weiteres bekämpft werden können (wie das Stehlen peinlicher E-Mails und die Forderung nach Geld, um diese nicht zu veröffentlichen, was Unternehmen möglicherweise anders einstufen). Rechtlich gesehen handelt es sich dabei immer noch um Erpressung, aber wenn sich das Gesetz auf „Ransomware-Zahlungen“ konzentriert, deckt es möglicherweise Zahlungen zur Unterdrückung von Datenlecks usw. nicht eindeutig ab. Der Gesetzgeber müsste das Gesetz möglicherweise so gestalten, dass es Erpressungszahlungen umfassend abdeckt, sonst werden Kriminelle semantische Lücken ausnutzen (z. B. „Das ist kein Lösegeld für die Verschlüsselung, sondern ein Beratungshonorar für das ‚Löschen‘ gestohlener Daten – ist das verboten?“).
Insgesamt fiel die Reaktion der Wirtschaft auf mögliche Verbote gemischt aus. Umfragen zeigen theoretische Unterstützung für Verbote, doch wenn es zu tatsächlichen Vorfällen kommt, ziehen viele Unternehmen eine Zahlung immer noch als Option in Betracht (daher der Bonmot von Yahoo Finance, dass „alle zustimmen, dass Lösegeldzahlungen verboten werden sollten, bis ihr eigenes Unternehmen betroffen ist“). Um ein Verbot praktikabel zu machen, werden Regierungen wahrscheinlich umfangreiche Aufklärungsarbeit bei Unternehmen leisten, Leitfäden für eine Reaktion ohne Zahlung bereitstellen und vielleicht sogar rechtliche Schutzmassnahmen (Immunität) für Unternehmen anbieten, die sich melden und nicht zahlen, damit sie von den Aufsichtsbehörden nicht unangemessen für den Vorfall selbst bestraft werden. Dieses unterstützende Ökosystem ist entscheidend; andernfalls könnten Unternehmen in Konkurs gehen oder versuchen, Vorfälle zu verheimlichen – Ergebnisse, die niemandem ausser den Angreifern nützen.
Zusammenfassend lässt sich sagen, dass ein Verbot von Lösegeldzahlungen an der Schnittstelle von Cybersicherheit, Recht und gesellschaftlichen Werten angesiedelt ist. Es zielt darauf ab, der langfristigen kollektiven Sicherheit (durch die Beseitigung krimineller Gewinne) Vorrang einzuräumen, möglicherweise auf Kosten kurzfristiger individueller Entlastung. Die Gewährleistung der Achtung der Grundrechte und die Minderung des Schadens für Unternehmen erfordern eine sorgfältige Ausarbeitung der Rechtsvorschriften (mit Ausnahmen, falls erforderlich) sowie robuste Unterstützungsmassnahmen. Richtig umgesetzt könnte dies Normen verschieben – und die Zahlung von Cyber-Lösegeld ebenso undenkbar machen, wie es heute ist, Lösegeld für Entführungen an Terroristen zu zahlen, ein Vergleich, der oft gezogen wird. Doch wenn dies übereilt oder ohne Unterstützung geschieht, könnte es erheblichen Kollateralschaden unter genau den Opfern verursachen, die es eigentlich schützen soll.
5 Auf dem Weg zu einem internationalen Rahmenwerk für Ransomware
Angesichts des globalen Charakters von Ransomware argumentieren viele Experten, dass isolierte nationale Bemühungen zwar hilfreich, aber nicht ausreichend sind. Wie könnte ein internationaler Vertrag oder ein koordinierter Rahmen zur Bekämpfung von Ransomware aussehen, und wie könnte er die derzeit entstehenden, uneinheitlichen Reaktionen verbessern? In diesem letzten Abschnitt erörtern wir mögliche Elemente einer globalen Strategie und wägen die Aussichten auf ein internationales Abkommen ab, das speziell auf Ransomware abzielt.
1.
Koordinierung gesetzlicher Verbote und Meldepflichten: Ein einfacher Schritt wäre, dass gleichgesinnte Länder ihre Gesetze zu Lösegeldzahlungen harmonisieren. Dies könnte über ein formelles Abkommen oder einfach durch parallele Gesetzgebung geschehen. Beispielsweise könnte eine Gruppe von Ländern (vielleicht über die CRI oder die G7) gemeinsam erklären, dass sie Lösegeldzahlungen durch bestimmte Einrichtungen (Behörden, kritische Infrastrukturen usw.) verbieten und die unverzügliche Meldung aller Ransomware-Vorfälle und -Zahlungen vorschreiben. Wenn dies gemeinsam geschieht, verringert sich das Risiko, dass Kriminelle verschiedene Rechtsordnungen gegeneinander ausspielen. Ein internationaler Rahmen könnte ein Mustergesetz oder Standards vorgeben, die jede Nation im eigenen Land umsetzt – ähnlich wie die FATF Mustervorschriften zur Geldwäsche bereitstellt, die von den Mitgliedern übernommen werden. Selbst ohne einen verbindlichen Vertrag sendet eine koordinierte Ankündigung (wie die gemeinsame Erklärung der CRI, dass Regierungen keine Lösegeldzahlungen leisten sollen) eine starke Botschaft sowohl an Kriminelle als auch an den privaten Sektor. Auf lange Sicht wäre ein multilaterales Abkommen denkbar, in dem sich die Vertragsparteien darauf einigen, Lösegeldzahlungen an Cyberkriminelle zu verbieten, möglicherweise mit einem Artikel, der dringende Ausnahmen (wie lebensbedrohliche Situationen) zulässt, sowie mit Verpflichtungen zum Informationsaustausch über Vorfälle.
2.
Verbesserte internationale Zusammenarbeit bei der Strafverfolgung: Ein Vertrag oder Rahmenwerk sollte die operative Seite der Bekämpfung von Ransomware stärken. Dazu gehören schnellere Auslieferungsverfahren für Ransomware-Verdächtige, gemeinsame Ermittlungen und die grenzüberschreitende Einfrierung von Vermögenswerten. Die vorgeschlagene UN-Konvention gegen Cyberkriminalität wird voraussichtlich Bestimmungen zur gegenseitigen Rechtshilfe und Auslieferung bei Cyberdelikten enthalten, die auch Ransomware abdecken würden. Um gezielt gegen Ransomware vorzugehen, könnte das Übereinkommen (oder ein Protokoll) die Erpressung durch Ransomware als Straftatbestand definieren, für den eine Auslieferung gewährt werden sollte (ohne Ablehnung aus politischen Gründen usw.). Darüber hinaus könnte ein internationaler Rahmen multinationale Task Forces einrichten, die Fachwissen bündeln und gleichzeitig koordinierte Massnahmen (Razzien, Beschlagnahmung von Servern) in mehreren Ländern durchführen. Die von Chainalysis angeführte Operation Cronos gegen LockBit war ein Beispiel dafür, wie eine „internationale Koalition“ in einem konzertierten Schlag Infrastruktur beschlagnahmte. Die Institutionalisierung einer solchen Zusammenarbeit durch ein Abkommen – beispielsweise durch die Bereitstellung von Ressourcen für ständige gemeinsame Ermittlungseinheiten gegen Ransomware – könnte die Strafverfolgungsbehörden agiler machen als die Kriminellen.
Ein weiterer Aspekt ist die Bekämpfung der Rückverfolgung und des Missbrauchs von Kryptowährungen auf globaler Ebene. Der Anstieg von Ransomware wurde durch den pseudonymen Charakter von Kryptowährungen begünstigt. Ein globales Rahmenwerk könnte einheitliche „Know-Your-Customer“-Regeln (KYC) für Kryptobörsen vorantreiben (damit Angreifer weniger Möglichkeiten zum Auszahlen haben) und Länder dazu ermutigen, Daten aus der Blockchain-Analyse auszutauschen. Im Jahr 2023 hat die Counter Ransomware Initiative eine Arbeitsgruppe gegen den Missbrauch virtueller Vermögenswerte ins Leben gerufen, was ein Anfang ist. Ein Vertrag würde zwar keine detaillierte Kryptowährungspolitik festlegen, könnte aber die Zusammenarbeit bei der Rückverfolgung und Beschlagnahmung von Kryptowährungserlösen aus Ransomware vorschreiben und diese ähnlich wie Erlöse aus dem Drogenhandel im Rahmen des Übereinkommens der Vereinten Nationen gegen die grenzüberschreitende organisierte Kriminalität behandeln. Man könnte sich eine internationale Fähigkeit vorstellen, Krypto-Adressen, die mit grossen Ransomware-Angriffen in Verbindung stehen, schnell einzufrieren oder auf eine schwarze Liste zu setzen, damit die Kriminellen die Gelder nicht ohne Weiteres einziehen oder bewegen können.
3.
Internationale Unterstützungsmechanismen für Opfer: Sollten Zahlungen verboten werden, könnte ein internationaler Rahmen die Schaffung von Sicherheitsnetzen für Opfer beinhalten. Eine in politischen Kreisen diskutierte Idee ist ein internationaler Ransomware-Wiederherstellungsfonds – möglicherweise finanziert durch Beiträge von Regierungen oder der Industrie –, der Opfern bei der Wiederherstellung von Systemen und Daten helfen könnte, anstatt Lösegeld zu zahlen. Dies würde dem entsprechen, wie einige Länder Entschädigungsfonds für Opfer von Terroranschlägen oder Gewaltverbrechen unterhalten. Auch wenn es unwahrscheinlich erscheint, dass Regierungen private Unternehmen wirksam gegen Cyberverluste versichern, könnte ein gemeinsamer Fonds auf kritische Sektoren oder kleinere Unternehmen ausgerichtet sein, denen die Ressourcen fehlen. Indem er Opfern hilft, sich ohne Zahlungen an Kriminelle zu erholen, würde ein solcher Mechanismus die Politik der Nichtzahlung stärken. Ein internationales Abkommen könnte Staaten dazu ermutigen, nationale Fonds einzurichten oder zu einem grenzüberschreitenden Pool für Cyber-Nothilfe beizutragen. Darüber hinaus könnte ein internationaler Rahmen den Austausch von Entschlüsselungsschlüsseln und -tools erleichtern. Es gibt bereits die Initiative „No More Ransom“ (eine Zusammenarbeit zwischen Europol und Cybersicherheitsunternehmen), die kostenlose Entschlüsselungsprogramme für bekannte Ransomware-Varianten bereitstellt; ein Vertrag könnte solche Bemühungen offiziell unterstützen und ausweiten, indem er Strafverfolgungsbehörden dazu verpflichtet, alle wiederhergestellten Schlüssel oder Techniken zur Entschlüsselung an eine zentrale Datenbank weiterzugeben.
4.
Umgang mit sicheren Häfen und staatlicher Verantwortung: Eine grössere Herausforderung ist der Umgang mit Staaten, die Ransomware-Banden Unterschlupf gewähren. Das Völkerrecht könnte weiterentwickelt werden, um Konsequenzen für Nationen vorzusehen, die sich systematisch weigern, bei der Bekämpfung von Ransomware zu kooperieren. Dies ist heikel – einem Staat die Verantwortung für nichtstaatliche Hackergruppen zuzuschreiben, ist diplomatisch heikel. Eine starke internationale Haltung könnte jedoch darin bestehen, Ransomware in Diskussionen über die staatliche Verantwortung für Cyberkriminalität einzubeziehen. Beispielsweise könnte das Rahmenwerk festlegen, dass Länder nicht wissentlich zulassen dürfen, dass ihr Hoheitsgebiet für völkerrechtswidrige Handlungen genutzt wird (aufbauend auf bestehenden Normen, wonach ein Staat nicht zulassen darf, dass sein Hoheitsgebiet als Zufluchtsort für Cyberangriffe dient). Wenn ein Land Ransomware-Akteure konsequent schützt, könnten andere Sanktionen oder sogar Gegenmassnahmen in Betracht ziehen. Tatsächlich haben die Vereinigten Staaten im Jahr 2022 bestimmte Ransomware-Angriffe öffentlich Akteuren in sicheren Rückzugsgebieten zugeschrieben und angedeutet, offensive Cyberoperationen einzusetzen, um diese zu stören, falls keine Zusammenarbeit erfolgt. Ein internationales Abkommen könnte explizit oder implizit kollektive Massnahmen gegen grosse Ransomware-Infrastrukturen (wie Botnets) mit Sitz in unkooperativen Rechtsordnungen gutheissen – ähnlich wie Seemächte in der Vergangenheit zusammengearbeitet haben, um Piraterie in gesetzlosen Regionen zu bekämpfen.
5.
Vertrag vs. Soft Law: Wäre ein spezieller „Ransomware-Vertrag“ realisierbar oder gar notwendig? Vielleicht nicht als eigenständiges Instrument; Ransomware ist Teil des breiteren Spektrums der Cyberkriminalität. Es könnte realistischer sein, Ransomware-spezifische Bestimmungen in bestehende Rahmenwerke zu integrieren. Die UN-Konvention gegen Cyberkriminalität könnte ein Mittel sein; oder der Europarat könnte der Budapester Konvention ein Drittes Protokoll hinzufügen, das sich speziell mit neuen Themen der Cyberkriminalität wie Ransomware und finanzieller Erpressung befasst. Ein anderer Weg ist eine politische Vereinbarung – z. B. ein G7-Abkommen oder eine OECD-Richtlinie –, die zwar nicht rechtsverbindlich ist, aber bewährte Verfahren festlegt, die viele Staaten auf nationaler Ebene übernehmen. Der Vorteil eines Vertrags liegt in verbindlichen Verpflichtungen und einem klaren Signal, doch die Aushandlung eines neuen Vertrags (oder von Änderungen) kann Jahre dauern. In der Zwischenzeit ist Ransomware bereits eine Krise. Daher könnte ein koordinierter Rahmen entstehen, der über einen Vertrag hinausgeht: im Wesentlichen eine Angleichung der innerstaatlichen Gesetze und Zusammenarbeit durch Netzwerke wie CRI und Interpol, ohne ein einziges neues globales Rechtsinstrument. Sollte sich dies im Laufe der Zeit als unzureichend erweisen oder sollte ein breiter Konsens bestehen (mit Ausnahme einiger weniger Schurkenstaaten), könnte ein Vertrag die Normen formalisieren.
Vor- und Nachteile eines internationalen Verbots: Wenn hypothetisch eine kritische Masse von Ländern sich darauf einigen würde, Lösegeldzahlungen zu verbieten, wären die potenziellen Vorteile erheblich: Der finanzielle Anreiz für Ransomware könnte zusammenbrechen, wenn Angreifer wissen, dass es Opfern in allen grossen Volkswirtschaften gesetzlich untersagt ist, zu zahlen. Ransomware-Gruppen hätten Schwierigkeiten, Geld zu verdienen, was viele dazu veranlassen könnte, sich aufzulösen oder auf andere Verbrechen umzusteigen. Die Daten liefern uns einige Anhaltspunkte: Wie bereits erwähnt, sank das Zahlungsvolumen im Jahr 2024, da sich immer mehr Opfer weigerten zu zahlen, was sich direkt auf die Einnahmen aus Ransomware auswirkte. Ein koordiniertes Verbot könnte diesen Effekt dramatisch verstärken. Darüber hinaus würde es das Problem des moralischen Risikos international beseitigen – Unternehmen überall müssten ihre Sicherheitsvorkehrungen verbessern, und keines könnte andere unterbieten, indem es heimlich zahlt. Ein internationales Verbot könnte auch die Botschaft vereinfachen: Eine klare globale Norm, wonach „wir nicht mit Cyber-Geiselnehmern verhandeln“, könnte potenzielle Kriminelle abschrecken und das Vertrauen zwischen dem öffentlichen und dem privaten Sektor stärken (Unternehmen würden sich nicht unter Druck gesetzt fühlen zu zahlen, wenn sie wissen, dass dies illegal und gesellschaftlich verpönt ist, und könnten sich stattdessen an die Strafverfolgungsbehörden wenden, um Hilfe zu erhalten).
Die Nachteile auf internationaler Ebene spiegeln jedoch diejenigen auf nationaler Ebene wider, sind jedoch mit zusätzlicher Komplexität verbunden. Wenn nicht jedes Land dem Verbot beitritt, werden sich Ransomware-Akteure auf Opfer in Ländern konzentrieren, in denen eine Zahlung noch möglich ist, wodurch sich der Schaden dort potenziell konzentriert. Wenn beispielsweise die NATO und ihre Verbündeten Zahlungen verbieten, einige grosse Schwellenländer dies jedoch nicht tun, könnten Angreifer ihren Fokus auf Letztere verlagern – was zu politischen Spannungen führen könnte (diese Länder könnten das Gefühl haben, nun die Hauptlast der aus dem Westen „umgeleiteten“ Angriffe zu tragen). Daher wäre eine nahezu universelle Einhaltung wichtig, um zu vermeiden, dass das Problem lediglich verlagert wird. Ein weiterer Nachteil ist die uneinheitliche Durchsetzung: Selbst wenn viele Länder beitreten, werden alle das Verbot gleichermassen durchsetzen? Länder mit geringeren Ermittlungskapazitäten im Cyberbereich könnten Schwierigkeiten haben, festzustellen, ob Unternehmen illegal zahlen. Dies könnte Schwachstellen schaffen, die von Kriminellen ausgenutzt werden. Es könnte auch Handels- oder Wettbewerbsprobleme hervorrufen: Was wäre, wenn ein multinationales Unternehmen in Land A (Verbot in Kraft) nach einem Ransomware-Vorfall gegenüber einem Konkurrenten in Land B (Verbot nicht durchgesetzt) den Kürzeren zieht, weil der Konkurrent heimlich gezahlt hat und schneller wieder einsatzfähig war? Solche Szenarien könnten zu Spannungen führen, sofern es keine einheitliche Verpflichtung gibt. Darüber hinaus könnte die weltweite Illegalisierung von Lösegeldzahlungen auf völkerrechtlicher Ebene diese Aktivitäten in den Schwarzmarkt drängen – so könnten beispielsweise verdeckte Vermittlungsfirmen aus Nicht-Vertragsstaaten aufkommen, die Zahlungen unter dem Radar abwickeln und damit die Strafverfolgung erschweren.
Auswirkungen auf Menschenrechte und Internetfreiheit weltweit: Es gibt eine gegenteilige Sorge, die einige Menschenrechtsaktivisten hegen: dass autoritäre Regime Anti-Ransomware-Gesetze instrumentalisieren könnten, um die Überwachung oder Einschränkung der Internetnutzung zu rechtfertigen. So könnte eine Regierung beispielsweise ein weit gefasstes Gesetz verabschieden, das angeblich auf Ransomware-Zahlungen abzielt, es dann aber nutzen, um Kryptowährungstransaktionen von Dissidenten zu überwachen oder NGOs unter dem Deckmantel „potenzieller Lösegeldtransaktionen“ zu bestrafen. Bei den Verhandlungen über den UN-Vertrag wurden Bedenken geäussert, dass vage Gesetze zur Cyberkriminalität auf diese Weise missbraucht werden könnten. Die Verfasser internationaler Grundsätze sollten daher für Klarheit sorgen – mit Fokus auf tatsächliche Ransomware-Szenarien – und Schutzmassnahmen wie eine gerichtliche Kontrolle für alle Durchsetzungsmassnahmen fördern, um Missbrauch zu vermeiden.
Zusammenfassend würde sich ein internationaler Vertrag oder Rahmen zur Bekämpfung von Ransomware wahrscheinlich auf Prävention (Reduzierung von Angriffszielen und Schwachstellen), Durchsetzung (Erhöhung des Risikos für Angreifer) und einen Bewusstseinswandel (die Zahlung von Lösegeld sozial und rechtlich inakzeptabel machen) konzentrieren. Elemente davon sehen wir bereits in gemeinsamen Initiativen wie der CRI und gemeinsamen Strafverfolgungsmassnahmen. Der logische nächste Schritt ist eine engere Angleichung der Gesetze und möglicherweise ein formeller Pakt. Ob durch einen Vertrag oder koordinierte nationale Gesetze – zu den Vorteilen gehören die Entziehung von Einnahmen für Ransomware-Banden, die Förderung globaler Einheit gegen einen gemeinsamen Feind sowie die Bündelung von Ressourcen und Wissen zur Verteidigung. Zu den Nachteilen und Herausforderungen gehören die Gewinnung breiter Zustimmung, die Vermeidung negativer Folgen für Opfer während der Übergangsphase sowie der Umgang mit widerstrebenden Staaten und nichtstaatlichen Komplexitäten.
6 Schlussfolgerung
Der Aufstieg von Ransomware zu einer globalen Plage hat Juristen und politische Entscheidungsträger dazu gezwungen, traditionelle Strategien zur Bekämpfung der Cyberkriminalität zu überdenken. Bei der Untersuchung der Frage „Auf dem Weg zu einem Zahlungsverbot?“ sehen wir für den Zeitraum 2023–2025 eine sich rasch entwickelnde Landschaft. Die Vereinigten Staaten haben Lösegeldzahlungen nicht verboten, doch Diskussionen auf höchster Ebene deuten darauf hin, dass diese Idee auf dem Tisch liegt, vorbehaltlich Verbesserungen der Cyber-Resilienz. In der Zwischenzeit verschärfen die USA die Massnahmen zur Bekämpfung von Cyberkriminalität durch Meldepflichten (CIRCIA) und die Durchsetzung von Sanktionen, wodurch Zahlungen an bestimmte Akteure wirksam unterbunden werden. Das Vereinigte Königreich steht kurz vor der Einführung eines der bislang aggressivsten Rechtssysteme gegen Ransomware, das ein gezieltes Zahlungsverbot für kritische Sektoren mit einem neuartigen System zur Zahlungsüberwachung und -meldung kombiniert. In der gesamten Europäischen Union liegt der Schwerpunkt auf Transparenz (mit den Meldepflichten von NIS2) und auf der Koordinierung durch bestehende Rechtsinstrumente, während einzelne Staaten sich zunehmend offen für strengere Massnahmen zeigen. Australien hat bereits ein wegweisendes Gesetz eingeführt, das die Offenlegung von Lösegeldzahlungen innerhalb von 72 Stunden vorschreibt, was die Überzeugung widerspiegelt, dass eine Aufdeckung des Problems dazu beitragen wird, es einzudämmen.
Diese Bemühungen sind zwar vielversprechend, unterstreichen aber auch die Herausforderungen. Ein Flickenteppich aus Gesetzen kann Schlupflöcher schaffen; übermässig strenge Vorschriften können nach hinten losgehen, wenn sie nicht mit Unterstützung einhergehen. Die Debatte offenbart berechtigte Bedenken: Wird ein Zahlungsverbot das langfristige öffentliche Interesse auf Kosten kurzfristiger Schäden für einige Opfer schützen? Wie stellen wir sicher, dass die Nichtzahlung von Lösegeld tatsächlich zu weniger Angriffen führt und nicht einfach zu mehr Schäden durch unentschädigte Angriffe? Die bisherigen Erkenntnisse deuten darauf hin, dass eine Verringerung der Lösegeldzahlungen das Geschäftsmodell von Ransomware tatsächlich untergräbt – der deutliche Rückgang der Gesamteinnahmen aus Ransomware im Jahr 2024 ist teilweise darauf zurückzuführen, dass sich mehr Opfer weigern zu zahlen und die Strafverfolgungsbehörden gezielter vorgehen. Theoretisch würden sich die meisten Ransomware-Gruppen mangels Gewinn schliesslich auflösen, wenn niemand zahlen würde. Der Schlüssel liegt darin, die Übergangsphase zu bewältigen und vereinzelte Ausreisser zu verhindern (ein einziges Opfer, das zahlt, kann einen Angreifer am Leben erhalten, selbst wenn andere dies nicht tun).
Das Völkerrecht bietet einen entscheidenden Rahmen für diesen Kampf. Bestehende Verträge zur Bekämpfung der Cyberkriminalität wie das Budapester Übereinkommen geben den Staaten die rechtliche Grundlage, um gegen Ransomware-Täter vorzugehen und zusammenzuarbeiten. Neue Instrumente wie das UN-Übereinkommen über Cyberkriminalität zielen darauf ab, alle Nationen einzubeziehen und Rechtslücken zu schliessen. Diese Übereinkommen schaffen zusammen mit Soft-Law-Normen von Gremien wie dem UN-Sicherheitsrat (in analogen Kontexten) und Koalitionen wie der CRI eine globale Norm, wonach die Duldung von Cybererpressung nicht akzeptabel ist. Dieser Verlauf erinnert daran, wie sich die Welt nach und nach darauf einigte, dass Zahlungen an Terroristen nicht ratsam sind – möglicherweise erleben wir gerade die ersten Schritte eines ähnlichen Konsenses in Bezug auf Ransomware. Insbesondere die Zusage der CRI, dass Regierungen keine Lösegeldzahlungen leisten werden, ist ein bedeutender normativer Meilenstein. Wenn dies über nationale Gesetze auf die Industrie ausgeweitet wird, könnte dies zu einheitlichen Erwartungen führen.
Aus Sicht der rechtlichen Wirksamkeit darf man nicht ausser Acht lassen, dass die grundlegenden Faktoren, die Ransomware erst möglich machen, bekämpft werden müssen: die Anonymität von Kryptowährungen und der Schutz, den bestimmte Staaten bieten. Rechtliche Massnahmen gegen Lösegeldzahlungen müssen daher Teil einer umfassenden Strategie sein: eine konsequente Strafverfolgung von Cyberkriminellen (unter Nutzung internationaler Zusammenarbeit), finanzielle Sanktionen und Massnahmen zur Bekämpfung der Geldwäsche, um die Verwendung von Erpressungserlösen zu erschweren, sowie strenge Auflagen für Organisationen, ihre Abwehrmassnahmen zu verstärken und Angriffe unverzüglich zu melden. Ein Zahlungsverbot allein ist kein Allheilmittel – aber als eines von vielen Instrumenten könnte es die Kosten-Nutzen-Rechnung für die Angreifer erheblich zu ihren Ungunsten verschieben.
Es ist zudem ein rechtlich interessantes Instrument: Die Kriminalisierung einer Handlung (Lösegeldzahlung), die selbst ein Nebenprodukt eines anderen Verbrechens ist, zwingt zu einer Neubewertung der Rolle des Opfers bei Cyberkriminalität. Traditionell werden Opfer nicht bestraft; hier argumentieren einige, dass dies notwendig sei (in milder Form, durch Geldstrafen oder Auflagen), um grösseren Schaden zu verhindern. Falls dies geschieht, muss es sorgfältig angegangen werden, mit klaren rechtlichen Standards und möglicherweise einer schrittweisen Umsetzung, die es Organisationen ermöglicht, ein Mindestmass an Bereitschaft zu erreichen. Das internationale Menschenrechtsrecht verbietet solche Massnahmen nicht, doch müssen Fairness und Verhältnismässigkeit die Durchsetzung leiten. Gerichte könnten schliesslich dazu aufgefordert werden, Fälle zu prüfen, in denen beispielsweise ein Unternehmen trotz eines Verbots Lösegeld gezahlt hat, um Leben zu retten – man hofft, dass Gesetze mit genügend Flexibilität formuliert werden, um wirklich mildernde Umstände zu berücksichtigen, damit gerechte Ergebnisse vorherrschen.
Mit Blick auf die Zukunft ist die Aussicht auf einen internationalen Vertrag oder einen formellen Rahmen speziell für Ransomware nicht mehr weit hergeholt. Ob durch ein Zusatzprotokoll, eine UN-Resolution oder ein eigenständiges Abkommen – die Elemente zeichnen sich ab: die universelle Kriminalisierung von Ransomware-Straftaten; die Verpflichtung, keine Lösegeldzahlungen zu leisten oder zu erleichtern; die Pflicht zum Austausch von Informationen über Vorfälle; die gemeinsame Zerschlagung der Ransomware-Infrastruktur; und die Unterstützung der Opfer. Die von uns analysierten Vor- und Nachteile deuten darauf hin, dass zwar ein universelles Zahlungsverbot das Endziel sein mag, jedoch Zwischenschritte erforderlich sind – im Wesentlichen eine globale „Roadmap“, um dorthin zu gelangen, wie von Experten wie Walden und Stifel erwähnt. Das bedeutet, Widerstandsfähigkeit und Alternativen aufzubauen, damit wir, wenn den Kriminellen die Einnahmequelle abgeschnitten wird, uns nicht versehentlich selbst stärker bestrafen als den Feind. Zusammenfassend lässt sich sagen, dass sich die internationalen rechtlichen Reaktionen auf Ransomware sichtbar auf eine härtere Linie zubewegen: Die Einschränkung oder sogar das Verbot von Lösegeldzahlungen steht in zahlreichen Rechtsordnungen und Foren auf der politischen Agenda. Dies stellt eine mutige Entwicklung im Cybersicherheitsrecht dar – weg von rein defensiven oder reaktiven Haltungen hin zu einer offensiven Strategie, Angreifern ihre Gewinne zu entziehen. Auch wenn noch erhebliche Hürden bestehen, ist der Kurs auf eine stärkere internationale Koordination festgelegt. Wenn die Staaten ihre Gesetze aufeinander abstimmen und uneingeschränkt zusammenarbeiten, könnte die Blütezeit der Ransomware schliesslich abklingen, ähnlich wie andere Formen der organisierten Kriminalität eingedämmt wurden, als die Welt gemeinsam handelte. Die Ransomware-Epidemie wird nicht über Nacht geheilt werden, aber durch stetigen rechtlichen Druck – Verbote, Transparenz und globale Zusammenarbeit – können wir vielleicht endlich sagen, dass die Zahlung von Lösegeld nicht nur nicht ratsam ist, sondern ein Relikt einer weniger sicheren Vergangenheit.
Zur einfacheren Lesbarkeit wurden die Literatur- und Quellverweise entfernt.
Übersetzung Boris Wanzeck, Swiss Infosec AG
Teichmann, F. in International legal responses to ransomware: toward a ban on payments?
Int. Cybersecur. Law Rev. 7, 41–68 (2026)
https://doi.org/10.1365/s43439-025-00167-z
http://creativecommons.org/licenses/by/4.0/
Cyber- und IT-Sicherheits-Beratung: Praxisnah, rechtskonform und auf Ihre Unternehmens-Risiken abgestimmt.
Unsere Cyber- und IT Security-Spezialisten und Penetration Tester unterstützen Sie mit einem breiten Portfolio an Beratungsdienstleistungen und Trainings zum Thema Cyber- und IT-Sicherheit.
Kontaktieren Sie uns und erfahren Sie in einem unverbindlichen Beratungsgespräch, was unsere Spezialistinnen und Spezialisten für Sie tun können: +41 41 984 12 12, infosec@infosec.ch