Ransomware-Zahlungen verbieten? Die gefährlichste Idee der Cyberpolitik

2 Min. Lesezeit

Politiker weltweit fordern ein Verbot von Ransomware-Lösegeldzahlungen. Die Logik klingt bestechend: Wer nicht zahlt, entzieht dem Geschäftsmodell die Grundlage. In der Praxis würde ein Verbot Opfer kriminalisieren, Krankenhäuser gefährden und Zahlungen nur in den Untergrund drängen. Warum gut gemeint hier besonders schlecht gemacht ist.

Das Wichtigste in Kürze

Mehrere Regierungen – darunter Australien, UK und Teile der US-Politik – diskutieren oder planen ein Verbot von Ransomware-Zahlungen
Ein Verbot würde Opfer in doppelte Bedrängnis bringen: Daten verschlüsselt UND bei Zahlung strafrechtlich verfolgt
Krankenhäuser, Stadtwerke und kritische Infrastrukturen stehen vor existenziellen Entscheidungen – „Zahlung oder Menschenleben“ wird zu „Zahlung, Menschenleben ODER Gefängnis“
Bisherige Erfahrungen zeigen: Zahlungen verschwinden nicht durch Verbote, sie werden nur undurchsichtiger

Die bestechende Logik – und ihre Schwäche

Die Argumentation für ein Zahlungsverbot ist simpel: Ransomware ist ein Geschäftsmodell. Ohne Einnahmen kollabiert es. Also: Zahlungen verbieten, Problem gelöst.

In der Theorie der Abschreckung funktioniert das. In der Praxis ignoriert es drei fundamentale Realitäten: Erstens, die asymmetrische Machtposition des Opfers im Moment des Angriffs. Zweitens, die Existenzbedrohung, die ein dauerhafter Datenverlust bedeutet. Drittens, die moralische Dimension, wenn Menschenleben auf dem Spiel stehen.

Das Krankenhaus-Szenario

Ein Krankenhaus wird von Ransomware getroffen. Die Patientenverwaltung ist verschlüsselt. OP-Pläne sind nicht verfügbar. Medikamentendosierungen können nicht abgerufen werden. Patienten müssen verlegt werden – aber die Notaufnahmen der Nachbarkrankenhäuser sind bereits voll.

Die Angreifer fordern 2 Millionen Euro. Die IT schätzt die Recovery-Zeit auf drei bis vier Wochen. Der Krisenstab steht vor der Entscheidung: Zahlen und in Stunden wieder operieren – oder nicht zahlen und wochenlang im Notbetrieb Patienten gefährden.

Ein Zahlungsverbot fügt dieser bereits unmöglichen Situation eine dritte Dimension hinzu: Der Geschäftsführer, der zahlt, um Patienten zu schützen, wird strafrechtlich verfolgt. Das ist nicht nur unpraktisch – es ist zynisch.

Warum Verbote nicht wirken

Zahlungen werden unsichtbar, nicht unmöglich: Unternehmen werden über Mittelsmänner, Offshore-Konstrukte oder „Beratungshonorare“ zahlen. Die Zahlungsströme werden undurchsichtiger, die Strafverfolgung schwieriger, die Transparenz null. Genau das Gegenteil des beabsichtigten Effekts.

Asymmetrische Bestrafung: Ein Verbot bestraft das Opfer, nicht den Täter. Es kriminalisiert die Notwehr-Handlung, während der eigentliche Angriff ohnehin illegal ist. Das ist, als würde man Geiselnahme-Opfer bestrafen, wenn sie Lösegeld zahlen.

Keine Übergangslösung: Ein Zahlungsverbot ohne gleichzeitige, massive Investition in Prävention, Detection und Recovery bestraft Unternehmen für Sicherheitslücken, die sie mit vorhandenen Ressourcen nicht schließen können. Besonders KMU und öffentliche Einrichtungen hätten keine Alternative.

Was stattdessen wirken würde

Meldepflicht vor Zahlung: Unternehmen, die zahlen wollen, müssen den Vorfall vorher bei einer Behörde melden. Das ermöglicht Strafverfolgung, Statistik und gegebenenfalls alternative Unterstützung – ohne das Opfer zu kriminalisieren.

Steuerliche Nicht-Absetzbarkeit: Lösegeldzahlungen sollten nicht als Betriebsausgabe absetzbar sein. Das erhöht die wirtschaftlichen Kosten der Zahlung, ohne sie zu verbieten. Ein weicherer Steuerungsmechanismus, der Anreize setzt statt zu kriminalisieren.

Massive Investition in Resilienz: Statt Zahlungen zu verbieten, sollte der Staat dafür sorgen, dass Unternehmen sie nicht brauchen: subventionierte Backup-Lösungen, kostenlose Incident-Response-Teams für KMU, Decryption-Tools über Europol/No More Ransom.

Fazit: Opfer schützen, nicht bestrafen

Ein Zahlungsverbot ist eine politische Geste, die operative Realitäten ignoriert. Die richtige Antwort auf Ransomware liegt in Prävention, Resilienz und internationaler Strafverfolgung – nicht in der Kriminalisierung von Opfern. Wer Ransomware wirklich bekämpfen will, muss die Täter verfolgen und die Opfer stärken. Ein Verbot tut das Gegenteil.

Key Facts

Zahlungsbereitschaft: 46 Prozent der betroffenen Unternehmen zahlen Lösegeld – bei Krankenhäusern und kritischer Infrastruktur liegt die Quote bei über 60 Prozent (Sophos State of Ransomware, 2024).

Recovery-Kosten: Die durchschnittlichen Gesamtkosten eines Ransomware-Vorfalls betragen 4,5 Millionen Euro – unabhängig davon, ob Lösegeld gezahlt wird oder nicht. Zahlung verkürzt nur die Ausfallzeit.

Häufige Fragen

Sollte man überhaupt zahlen?

Die Empfehlung von BSI, FBI und Europol ist: Nein. Die Realität zeigt: In Existenzbedrohungen zahlen Unternehmen trotzdem. Die Entscheidung muss beim Opfer liegen, nicht beim Gesetzgeber, der die konkrete Situation nicht kennt.

Funktioniert No More Ransom als Alternative?

Teilweise. Die Plattform bietet kostenlose Decryption-Tools für bekannte Ransomware-Varianten. Für neue oder angepasste Varianten gibt es oft keine Lösung. No More Ransom ist ein wichtiger Baustein, aber kein vollständiger Ersatz für die Zahlungsoption.

Was machen andere Länder?

Australien hat eine Meldepflicht eingeführt. Die USA diskutieren ein Verbot für Bundeseinrichtungen, nicht für die Privatwirtschaft. Die EU setzt auf Transparenz und Strafverfolgung statt Verbote. Ein globaler Konsens existiert nicht.