Wie positioniert sich die SPD zur wachsenden Bedrohung durch Ransomware? Unterstützen Sie ein Verbot von Lösegeldzahlungen in Deutschland, und wie wollen Sie Opfer solcher Angriffe wirksam schützen?

Sehr geehrter Herr V., 

haben Sie vielen Dank für Ihre Nachricht zur Cybersicherheit in Deutschland. Im Bericht zur Lage der IT-Sicherheit in Deutschland hat die Bundesinnenministerin Nancy Faeser zusammen mit der Präsidentin des Bundesamtes für Sicherheit der Informationstechnik (BSI) Claudia Plattner im November 2024 deutlich gemacht, dass Privatpersonen, Wirtschaft und die öffentliche Verwaltung unter massiven Cyberangriffen stehen. Als größte Gefahr sehen BSI und Bundesinnenministerium dabei Ransomware, bei der Hacker durch IT-Angriffe Netzwerke sperren und ausschließlich gegen Lösegeldzahlungen wieder freigeben.

Insbesondere die Zahl der Daten-Leaks nach solchen Ransomware Angriffen hat deutlich zugenommen – eine besorgniserregende Entwicklung, auch wenn die Zahl der Personen und Unternehmen, die Lösegeld zahlen, im gleichen Zeitraum zurückgegangen ist. Positiv ist auch, dass es mittlerweile eine erhöhte Sensibilität für das Thema gibt und Unternehmen transparent mit Cyberangriffen umgehen und den betroffenen Kundinnen und Kunden sowie Geschäftspartnern dies auch mitteilen. So konnten in der Vergangenheit Schäden minimiert und Schwachstellen schneller geschlossen werden. Auch Privatpersonen legen sich zunehmend Sicherungskopien ihrer Daten und Systeme an und sind dann nicht mehr auf die Entschlüsselung angewiesen. 

Dennoch gibt es derzeit keine letztgültige Schutzmaßnahme, die Ransomware-Angriffe verhindert. Vielmehr bleibt die wirksamste Methode, sich bewusst zu machen, wie es zu solchen Angriffen kommen kann. Das BSI empfiehlt weiterhin, E-Mail-Anhänge von unbekannten Adressen nicht zu öffnen und bei dubiosen Nachrichten und E-Mails nicht auf Links zu klicken, die auf kompromittierende Websites weiterleiten könnten. Hier bleibt nur der gesunde Menschenverstand und im Zweifel müssen verdächtige E-Mails und Nachrichten gelöscht werden. Für Software und Betriebssysteme sollten regelmäßig alle zur Verfügung gestellten Updates installiert werden und Backups der Daten sollen so abgespeichert werden, dass ein Zugriff auf diese Daten auch bei einem erfolgten Ransomware-Angriff möglich ist. 

Doch wie bereits erwähnt, schützt auch das nicht immer zu einhundert Prozent – zumal Kriminelle immer erfindungsreicher werden. Auf keinen Fall sollten Betroffene Lösegeld zahlen, sondern sich an einen IT-Spezialisten wenden oder die online-Präsenz des BSI konsultieren, dass seine Informationen regelmäßig aktualisiert und an die Lage anpasst. 

Da Sie nach den rechtlichen Aspekten gefragt haben, möchte ich auch darauf eingehen. Grundsätzlich können Hacker hinter einem solchen Ransomware-Angriff strafrechtlich nach § 253 StGB (Erpressung) belangt werden. Hierzu kann bei der Polizei eine Anzeige erstattet werden. Ebenso kann § 202a StGB (Ausspähen von Daten) in Betracht kommen. Ob eine Anzeige erfolgreich ist und der Fall aufgeklärt wird, ist vom Einzelfall abhängig. 

Auf keinen Fall sollte jedoch das Lösegeld gezahlt werden, da sich die Betroffenen dadurch selbst strafbar machen könnten. Grundsätzlich ist es nicht illegal, Lösegeld zu zahlen. Die Situation ändert sich aber dann, wenn ein Lösegeld an eine kriminelle Vereinigung gezahlt wird, die dadurch weitere Angriffe und Methoden finanzieren kann (geregelt in § 129 Abs. 1 S. 2 Var. 1 StGB). Da meist Gruppen von mehreren Hackern hinter den Angriffen stehen, kann davon ausgegangen werden, dass hier die Voraussetzungen für eine kriminelle Vereinigung erfüllt sind. Und auch die Lösegeldforderung selbst kann gefährlich werden. 

An dieser Stelle muss jedoch auch gefragt werden, ob ein spezielles Verbot von Lösegeldzahlungen bei Ransomware-Angriffen die Cybersicherheit erhöht. Vielmehr sollte das Niveau der Sicherheitsmaßnahmen angehoben werden. Diese Problematik ist uns als SPD-Bundestagsfraktion bewusst. Zur Stärkung der IT-Sicherheit bei den Bürgerinnen und Bürger haben wir den digitalen Verbraucherschutz gestärkt und den Verbraucherschutz als zusätzliche Aufgabe des Bundesamts für Sicherheit in der Informationstechnik (BSI) etabliert (https://www.bsi.bund.de/DE/Themen/Verbraucherinnen-und-Verbraucher/verbraucherinnen-und-verbraucher_node.html). 

Zum Schutz von Wirtschaft und Staat vor Cyberattacken hat die Bundesregierung einen Entwurf für ein Gesetz zur Stärkung der Cybersicherheit vorgelegt, dessen Verabschiedung aber nach dem Bruch der Bundesregierung aussteht. Meine Kolleginnen und Kollegen aus den betroffenen Politikbereichen verhandeln aber derzeit auch zu diesem Gesetz, damit unabhängig von vorgezogenen Bundestagswahlen der digitale Schutz von Verbraucherinnen und Verbrauchern sowie Staat und Wirtschaft verbessert werden kann. Das Gesetz soll dafür sorgen, dass mehr Unternehmen Cybersicherheitsmaßnahmen ergreifen und Cyberangriffe melden müssen. Auch die Cybersicherheit der Bundesverwaltung soll gestärkt werden. Dazu soll das Bundesamt für Sicherheit in der Informationstechnik (BSI) neue Aufsichtsinstrumente erhalten. Das Vorhaben dient der Umsetzung der zweiten EU-Richtlinie zur Netzwerk- und Informationssicherheit (NIS-2). Meldepflichten sind entscheidend, weil nur so Sicherheitslücken erkannt und repariert werden können. 

Mit freundlichen Grüßen 

Ihre 

Dagmar Schmidt, MdB