Die Bundesregierung prüft, ob „Regelungsbedarf bezüglich Lösegeldzahlungen im Zusammenhang mit Ransomware-Angriffen besteht“. Im Juni hatten 90 Cyber-Sicherheitsexpertinnen und -Experten in einem offenen Brief gefordert, dass die Bundesregierung Zahlungen unterbindet.
Der IT-Branchenverband Bitkom e.V. hatte den Schaden im letzten Jahr auf jährlich 223 Milliarden Euro geschätzt. Die Zahlen stammten aus einer repräsentativen Umfrage unter 1.000 deutschen Unternehmen aller Branchen. Der Bundesregierung seien die Zahlen bekannt, erklärte sie in einer Antwort auf eine Kleine Anfrage der AfD-Fraktion. Eigene Zahlen zum Schaden habe sie nicht. Das Dunkelfeld bei Ransomware-Angriffen ist groß. Die Polizei beklagt immer wieder, dass Unternehmen entstandene Schäden nicht melden.
Die Position der Bundesregierung ist eindeutig: „Zahlungsaufforderungen im Falle von Ransomware-Angriffen sollte nicht Folge geleistet werden.“ Damit finanzierten die Betroffenen nicht nur Kriminelle und deren Verbrechen. Sie gäben sich außerdem für die Zukunft als zahlungskräftige und zahlungswillige Opfer zu erkennen.
Ob man zahlt oder nicht – Ransomware-Angriffe unterlägen verschiedenen Meldepflichten, widerspricht die Bundesregierung dem offenen Brief. Betroffene Bundesbehörden und Dienstleister der kritischen Infrastruktur (KRITIS) seien durch das Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSIG) verpflichtet, Ransomware-Forderungen an das Bundesamt für Sicherheit in der Informationstechnik (BSI) zu melden. In der Finanzbranche bestünden Meldepflichten nach dem Zahlungsdiensteaufsichtsgesetz (ZAG). Die Schäden müssten der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) gemeldet werden. Dabei müssten die Finanzunternehmen allerdings nicht angeben, ob der Schaden durch Ransomware entstanden sei.
Kein Verbot von Lösegeldversicherungen
In ihrem offenen Brief hatten die Cyber-Sicherheitsexperten außerdem gefordert, Versicherungen zu verbieten, die Ransomware-Lösegeldforderungen übernehmen. Die Bundesregierung stellt sich eher gegen ein solches Verbot. Es stelle einen Grundrechtseingriff dar und stehe möglicherweise nicht in Proportion zum zu verhindernden Schaden, erklärt die Bundesregierung. Zudem sei es nicht zweckmäßig: „Ein solches Verbot würde im Übrigen gar nicht verhindern, dass Unternehmen Lösegeld selbst zahlen.“
