Cybercrime: Potentielle Strafbarkeitsrisiken für Geschäftsleiter wegen Unterstützung einer kriminellen Vereinigung im Falle einer Lösegeldzahlung bei Ransomware-Attacken

Während „konventionelle“ Straftaten zurückgehen, hat sich die Zahl der registrierten Cyberstraftaten seit dem Jahr 2015 mehr als verdoppelt. „Alarmstufe Rot“ habe man deshalb bereits im Herbst 2021 partiell ausrufen müssen, konstatierte kürzlich der Präsident des Bundesamtes für Sicherheit in der Informationstechnik (BSI), Arne Schönbohm, am 23.06.2022 auf der Potsdamer Konferenz für Nationale CyberSicherheit. Jedoch habe sich die Bedrohungslage durch Cyberangriffe seit Beginn des Krieges in der Ukraine weiter verschärft¹.  Auch ausweislich des vom BKA im Mai 2022 veröffentlichten „Bundeslagebilds Cybercrime 2021“ stieg die Anzahl erfasster Cyberstraften weiter erheblich an². Die primäre Bedrohung stellen dabei nach wie vor sog. Ransomware-Attacken dar. Als Ransomware werden Schadprogramme bezeichnet, die den Zugriff auf Daten und Systeme einschränken bzw. verhindern und diese nur gegen Zahlung eines Lösegeldes wieder freigeben. Das hiermit verbundene Bedrohungs- und Schadenspotenzial ist im Jahr 2021 nochmals spürbar angestiegen:

• Demnach sorgten Ransomware-Attacken im letzten Jahr in Deutschland für Schäden in Gesamthöhe von 24,3 Mrd. EUR (im Jahr 2019 waren es noch „lediglich“ 5,3 Mrd. EUR)

• Das durchschnittlich geforderte Lösegeld betrug im Jahr 2021 rund 205.000 USD (2020: ca. 169.000 USD)

• Kriminelle Ransomware-Gruppierungen konnten dabei im Jahr 2021 rund 602 Millionen USD (meist in Form von Kryptowährungen) erpressen

Für Unternehmen können im Falle derartiger Angriffe existenzbedrohende Notlagen entstehen. So betrugen etwa allein die mit einer Ransomware-Attacke einhergehenden Ausfallzeiten im Jahr 2021 im Schnitt 22 Tage³. In Anbetracht dieser Dimensionen liegt auf der Hand, dass Entscheidungsträger häufig erwägen, ein gefordertes Lösegeld zu zahlen – und dies in ca. 50 % der Fälle auch tatsächlich tun⁴. Längst nicht jedem Geschäftsleiter ist jedoch bewusst, dass mit einer solchen Zahlung potentiell auch Strafbarkeitsrisiken einhergehen können. Denn wenn eine Ransomware-Attacke – wie häufig – von professionellen Hackergruppen ausgeht, stellt sich in rechtlicher Hinsicht die Frage, ob sich die Geschäftsleitung, sollte sie sich für eine Lösegeldzahlung entscheiden, möglicherweise wegen Unterstützung einer kriminellen Vereinigung gemäß § 129 Abs. 1 Satz 2 StGB strafbar machen könnte.

Tatbestand

Nach § 129 Abs. 1 Satz 2 StGB wird mit Freiheitsstrafe bis zu drei Jahren oder mit Geldstrafe bestraft, wer eine Vereinigung, deren Zweck oder Tätigkeit auf die Begehung von Straftaten gerichtet ist, die im Höchstmaß mit Freiheitsstrafe von mindestens zwei Jahren bedroht sind, unterstützt.

Jedenfalls in Konstellationen, in welchen der Angriff von einer professionellen Hackergruppierung ausgeht und den Beteiligten auf Seiten des Unternehmens die konkrete Tätergruppierung glaubhaft bekannt ist, dürfte die Veranlassung einer Lösegeldzahlung den Tatbestand des § 129 Abs. 1 Satz 2 StGB erfüllen. Denn eine kriminelle Vereinigung unterstützt bereits, wer als Nichtmitglied ihren Fortbestand oder die Verwirklichung ihrer Ziele fördert. Unerheblich ist dabei, ob die Hilfe den Erfolg hat, den der Täter mit ihr erstrebt oder ob der Vereinigung nachweisbar ein messbarer Nutzen entstanden ist. Es genügt, wenn die Hilfe den Bestrebungen irgendwie vorteilhaft ist oder wenn sie die Mitglieder in dem Entschluss stärkt, die Straftaten zu begehen, die den Zwecken der kriminellen Vereinigung dienen oder ihrer Tätigkeit entsprechen. Diese Voraussetzungen liegen bei Zahlungen an die Angreifer ohne Weiteres vor. Sofern Geschäftsleiter, deren Unternehmen Opfer einer Ransomware-Attacke sind, eine Lösegeldzahlung an die Angreifer veranlassen, dürften diese regelmäßig zumindest auch billigend in Kauf nehmen, die kriminelle Vereinigung mit dieser Zahlung zu unterstützen und insofern (bedingt) vorsätzlich handeln.

Mögliche Rechtfertigungs- und Entschuldigungsgründe

Ob eine solche Lösegeldzahlung sodann möglicherweise strafrechtlich gerechtfertigt oder entschuldigt sein könnte, wird – auch angesichts diesbezüglich fehlender Rechtsprechung – nicht einheitlich beurteilt. In Betracht kommt insoweit insbesondere der rechtfertigende Notstand nach § 34 StGB. Die Anwendbarkeit dieses Rechtfertigungsgrundes ist in Konstellationen wie der vorliegenden allerdings umstritten, da es sich um den Sonderfall eines sog. Nötigungsnotstands handelt. Dies bezeichnet eine Konstellation, in welcher die Notstandslage auf der Nötigung durch einen Dritten beruht, der Täter also zur Begehung einer Straftat genötigt wird.

Eine (insbesondere in der allgemeinen Kommentarliteratur) verbreitete Auffassung lehnt in Fällen des Nötigungsnotstands einen rechtfertigenden Notstand nach § 34 StGB grundsätzlich ab, da der Notstandstäter zur Abwehr der Gefahr in andere Rechtsgüter eingreifen müsse (d.h. hier in die von § 129 Abs. 1 StGB geschützten Allgemeinrechtsgüter der öffentlichen Sicherheit und staatlichen Ordnung einschließlich des öffentlichen Friedens) und er sich damit zum Werkzeug eines rechtswidrig handelnden Dritten machen lasse. Stattdessen sei in Fällen des Nötigungsnotstands die Anwendung des entschuldigenden Notstands (§ 35 StGB) sachgerecht. § 35 StGB führt in den hier relevanten Konstellationen allerdings regelmäßig nicht zur Entschuldigung, schon weil es bei den hier in Rede stehenden Lösegeldzahlungen typischerweise nicht um die Abwendung einer Gefahr für Leben, Leib oder Freiheit geht.

Nach anderer Ansicht soll eine Rechtfertigung nach § 34 StGB im Falle des Nötigungsnotstands demgegenüber nicht generell ausscheiden, da der Wortlaut dieser Vorschrift gerade keine Beschränkung hinsichtlich der Ursache der Gefahrenlage beinhalte. Allerdings sei die nach § 34 StGB stets erforderliche Interessenabwägung, bei welcher alle Umstände berücksichtigt werden müssen, die für den Grad der Schutzwürdigkeit von Eingriffs- und Erhaltungsgut von Belang sind, derart zu modifizieren, dass ein deutlich stärkeres Übergewicht derjenigen Gesichtspunkte vorliegen müsse, die zugunsten des Notstandstäters sprechen. Entscheidende Bedeutung kommt nach dieser Auffassung damit der Frage zu, ob die Individualinteressen des betroffenen Unternehmens bzw. ihrer Entscheidungsträger die von § 129 Abs. 1 StGB geschützten Allgemeininteressen überwiegen. Auch wenn dies naturgemäß eine Frage des Einzelfalls ist, spricht viel dafür, ein solches Überwiegen jedenfalls in Fällen anzunehmen, in denen eine Ransomware-Attacke den operativen Geschäftsbetrieb eines Unternehmens erheblich und anhaltend beeinträchtigt und Geschäfts- und Vermögensinteressen daher in erheblichem Ausmaß konkret gefährdet sind.

Zumindest in der Konstellation einer Ransomware-Attacke erscheint diese Gegenansicht (die sich für die grundsätzliche Anwendbarkeit des § 34 StGB ausspricht) vorzugswürdig, da sich die (versuchte) Erpressung nicht auf einen Eingriff in Individualrechtsgüter Dritter richtet, sondern durch eine Zahlung der Erpressungssumme „lediglich“ in die von § 129 StGB geschützten Allgemeinrechtsgüter der inneren öffentlichen Sicherheit sowie staatlichen Ordnung einschließlich des öffentlichen Friedens eingegriffen würde.

Mögliches Absehen von Strafe/Verfolgung

Unterstellt, die Zahlung eines Lösegeldes wäre weder gerechtfertigt noch entschuldigt, so kann das Gericht gemäß § 129 Abs. 6 StGB von einer Bestrafung absehen, sofern die Schuld der Beteiligten als gering anzusehen und deren Mitwirkung von untergeordneter Bedeutung ist. Parallel dazu eröffnet diese sog. Mitläufer-Klausel der Staatsanwaltschaft ein Absehen von der Verfolgung gemäß § 153b StPO bereits im Ermittlungsverfahren. In Anbetracht der außerordentlichen Drucksituation, in der sich die Entscheidungsträger des Unternehmens im Falle einer Ransomware-Attacke typischerweise befinden, erscheint ein Vorliegen der Voraussetzungen des § 129 Abs. 6 StGB nicht fernliegend.

Bindet der von einer Ransomware-Attacke Betroffene die Ermittlungsbehörden ein und stellt diesen detaillierte Informationen über den Angriff und das konkrete Vorgehen der Täter zur Verfügung, um damit weitere Straftaten der Angreifer zu vereiteln, spricht zudem einiges dafür, dass Gericht oder Staatsanwaltschaft auch nach § 129 Abs. 7 StGB (tätige Reue) von einer Bestrafung bzw. weiteren Verfolgung absehen können.

Fazit

Solange die bisherigen gesetzlichen Rahmenbedingungen unverändert fortbestehen, verbleibt im Falle einer Lösegeldzahlung das nicht zu vernachlässigende Risiko eines Ermittlungsverfahrens gegen die Entscheidungsträger im Unternehmen. Darauf weist auch der Leiter der Zentral- und Ansprechstelle Cybercrime NRW, Oberstaatsanwalt Markus Hartmann, hin⁵.

Den dargestellten rechtlichen Unwägbarkeiten, die im Zweifelsfall mit potentiell persönlichen Konsequenzen für die Geschäftsleiter einhergehen können, sollte daher bestmöglich durch eine enge rechtliche Begleitung und Kooperation mit den Ermittlungsbehörden begegnet werden.

Verfasst von: Julius Fabian Stehl und Felix Dobiosch.

Verweise

1 https://www.faz.net/agenturmeldungen/dpa/bsi-bedrohung-durch-cyberangriffe-in-deutschland-steigt-18122583.html

2 https://www.bka.de/DE/Presse/Listenseite_Pressemitteilungen/2022/Presse2022/220509_PM_CybercrimeBLB.html

3 https://www.sicherheit.info/cyberattacken-mit-ransomware-nehmen-dramatisch-zu

4 https://www.faz.net/aktuell/wirtschaft/schneller-schlau/4000-hackerangriffe-am-tag-allein-in-deutschland-18126679.html

5 https://www.faz.net/aktuell/wirtschaft/recht-und-steuern-erst-erpresst-dann-angeklagt-18020394.html