Cybersicherheit in der Praxis Wenn der Betroffene zum Täter wird

diatec journal Autor: RA Daniel Lindenberg

Achtung: Lösegeldzahlungen für Datenfreigabe nach Ransomware-Angriffen können u.U. strafrechtliche Konsequenzen haben. Achtung: Lösegeldzahlungen für Datenfreigabe nach Ransomware-Angriffen können u.U. strafrechtliche Konsequenzen haben. © lightwriter – stock.adobe.com

Wenn IT-Systeme attackiert und Daten ab­gegriffen oder verschlüsselt werden, sind der Ärger und die Sorgen groß. Doch wie sollte man auf Erpressungsversuche reagieren? Rechtsanwalt Daniel Lindenberg gibt eine Einschätzung mit Fokus auf betroffene Praxen.

Cyberangriffe werden in der ärztlichen und damit auch in der diabetologischen Praxis zunehmend zur Bedrohung. Während solche Angriffe zunächst hauptsächlich durch verschiedenste Phishing-Methoden (Fake-Mails,-Webseiten oder -SMS) durchgeführt wurden, stellt seit geraumer Zeit der sog. Ransomware-Angriff eine der häufigsten Formen von Cyberkriminalität weltweit dar. Hierbei werden die IT-Systeme des Angegriffenen gezielt verschlüsselt, um deren Betrieb bis zum Erhalt einer Lösegeldzahlung erheblich einzuschränken bzw. sogar stillzulegen. 

Waren zu Beginn der Ransomware-Attacken vor allem größere Konzerne Ziel, richten sich die Angriffe immer mehr gegen vermeintlich schlechter geschützte IT-Systeme wie bspw. die Systeme von Kommunen/öffentlichen Versorgern. In den Fokus der Angreifer geraten zunehmend auch medizinische Versorgungseinrichtungen wie Kliniken und Arztpraxen [vgl. dazu nur ­Czeschik, Cyberangriffe im Gesundheitswesen: Gefahren und Gegenmaßnahmen, in: Deutsches Ärzteblatt 46/2023, A-1964 / B-1668]. 

Lösegeld zahlen? Oder besser nicht?

Für die Betroffenen von Ransomware-Angriffen stellt sich die Frage, ob sie der Lösegeldforderung nachkommen sollen. Bei Durchsicht der entsprechenden Empfehlungen von Fachverbänden (bspw. Bitkom), Sicherheitsbehörden und anderen Experten ergibt sich ein geteiltes Bild: Vor allem die Sicherheitsbehörden empfehlen, der Zahlungsaufforderung nicht nachzukommen, da nicht sicher sei, ob die IT-Systeme danach wirklich wieder freigegeben werden und im Rahmen eines Angriffs abgezogene Daten tatsächlich nicht veröffentlich werden. Zudem bestehe die Gefahr, in entsprechenden Täterkreisen als „Zahler“ markiert und so für weitere Angriffe zum „lukrativen“ Opfer gemacht zu werden. 

Dem wird entgegengehalten, dass eine Zahlung regelmäßig zur Auflösung der Erpressungslage führt, weil das Geschäftsmodell der Täter darauf beruhe, selbst verlässlich zu sein: Werde bekannt, dass trotz Zahlung keine Freigabe erfolgt, würden zukünftig Betroffene kein Lösegeld an die entsprechenden Täter zahlen. 

Ein wichtiger Aspekt, der im Rahmen der Diskussion um die Lösegeldzahlung häufig etwas untergeht, ist die strafrechtliche Problematik einer Zahlung: Selbst vielen Juristen ist nicht bekannt, dass sich der Betroffene eines Ransomware-Angriffs bei Zahlung des Lösegelds gegebenenfalls selbst strafbar macht.

Ransomware-Angriffe: Verschlüsselung der Daten 

Bei einer Ransomware-Attacke wird Schadsoftware (= Ransomware) genutzt, um die IT-Systeme oder Daten des Angegriffenen ganz oder teilweise zu verschlüsseln und damit den Zugriff zu verhindern. Die Täter fordern für die Freigabe der IT-Systeme in der Regel ein Lösegeld; nicht selten werden hohe Zahlbeträge (teils sogar sechs- bis siebenstellige Summen) verlangt. Aufgrund der zunehmenden Abhängigkeit von IT-Systemen führt die Verschlüsselung zu erheblichen Störungen der Betriebsabläufe beim Betroffenen bis hin zu einem Stillstand seines Betriebs. Der operative Betrieb eines Unternehmens ohne die entsprechenden IT-Systeme ist häufig nicht mehr möglich. 

Gleiches gilt für die staatliche Verwaltung und den Betrieb von Kliniken oder Arztpraxen. Bei Letzteren kann der Ausfall der IT-Systeme sogar erhebliche Auswirkungen auf die Behandlung des Patienten haben. Sollen bspw. Glukosemesswerte der Vergangenheit mit heutigen Messwerten verglichen werden, um hieraus Schlussfolgerungen für die weitere Behandlung des Patienten zu ziehen, wird dies bei fehlender Möglichkeit auf den Zugriff der entsprechenden Daten nur möglich sein, wenn der Patient selbst noch über diese verfügt. Bei relevanten Gesundheitsdaten, die sich nur beim Arzt befinden, stellt sich die Situation bei einem Angriff sogar noch dramatischer dar.

Daten-Veröffentlichung als zusätzliche Drohung

Neben der Verschlüsselung der IT-Systeme gehen die Täter zunehmend dazu über, Daten von dem IT-System des Angegriffenen abzuziehen. Gedroht wird dann auch mit deren Veröffentlichung auf entsprechenden Webseiten (sog. „doppelte Erpressung“ oder „double extortion“). Diese Vorgehensweise ist eine Reaktion auf immer bessere Back-ups der IT-Systeme, die es den Angegriffenen im Ernstfall schnell ermöglichen, Daten wiederherzustellen und mögliche Betriebsstörungen zu minimieren. Durch die Androhung der Daten-Veröffentlichung wird das Drohpotenzial einer Attacke und letztlich auch die Zahlungsneigung der Opfer aufrechterhalten bzw. sogar verstärkt. 

Insbesondere in der diabetologischen Praxis birgt die drohende Veröffentlichung von Gesundheitsdaten ein erhebliches Schadenspotenzial. Denn bei den Gesundheitsdaten der Patienten handelt es sich um sensibelste persönliche Daten, deren Veröffentlichung einen erheblichen, kaum wieder gut zu machenden Eingriff in die Intimsphäre der Patienten darstellt.

Vor diesem Hintergrund kann die Wichtigkeit des Schutzes vor Ransomware-Angriffen in der diabetologischen Praxis gar nicht ernst genug genommen werden. Doch auch mit den besten Schutzmaßnahmen lassen sich Angriffe nicht immer verhindern, da die Täter hochprofessionell vorgehen und immer neue Wege finden, Schutzlücken in den IT-Systemen der Praxen zu finden. Daher sind auch diabetologische Praxen mit einem hohen IT-/Datenschutz-Niveau letztlich nicht gänzlich sicher und sehen sich so im Falle eines Angriffs der Frage ausgesetzt, ob das Lösegeld gezahlt werden soll.

Lösegeld: die (straf-)rechtliche Problematik

Es ist nahezu selbstverständlich, dass sich die Täter einer Ransomware-Attacke wegen diverser Straftatbestände strafbar machen (bspw. wegen Computersabotage, [versuchter] Erpressung etc.). Da die Täter von Ransomware-Angriffen regelmäßig als Teil einer Gruppe agieren, die sich gerade für Zwecke solcher Angriffe zusammengeschlossen hat und solche Taten auch zukünftig begehen will, ist auf Täterseite in der Regel auch der Straftatbestand der Bildung einer sog. kriminellen Vereinigung (§ 129 StGB) einschlägig. 

So sehr die Strafbarkeit der Täter verständlich ist, umso weniger leuchtet es (zumindest) auf den ersten Blick ein, dass sich auch die Angegriffenen bei Zahlung des Lösegelds gegebenenfalls selbst strafbar machen. Problematisch sind Lösegeldzahlungen zunächst mit Blick auf Embargovorschriften/Sanktionslisten, deren Durchsetzung seit Ausbruch des Ukraine-Kriegs im Februar 2022 von den Behörden verstärkt forciert wird. Sind an einer Attacke EU-seitig sanktionierte Personen als Zahlungsempfänger beteiligt, besteht das Risiko strafbewehrter Verstöße gegen EU-Sanktionslisten. Sofern ein US-Nexus (steuerrechtlicher Anknüpfungspunkt) besteht, können Zahlungen zu Verstößen gegen die sog. OFAC-Sanktionslisten (OFAC = US Office of Foreign Assets Controll) führen. Weiß der Angegriffene nicht, an wen er das Geld zahlt, da der Täter – wie in den meisten Fällen – seine tatsächliche Identität nicht preis gibt, können gleichwohl noch (strafbewehrte) fahrlässige Sanktionslistenverstöße vorliegen. 

Unterstützung einer kriminellen Vereinigung

Daneben erfüllt die Zahlung des Lösegelds regelmäßig auch den Straftatbestand der Unterstützung einer kriminellen Vereinigung. Zwar sind die Täterstrukturen im Einzelfall häufig nicht bekannt. Es ist aber – wie bereits erwähnt – allgemein bekannt, dass vor allem Gruppierungen Erpressungstrojaner einsetzen. Deshalb ist es zumindest nicht unwahrscheinlich, dass eine Gruppierung hinter einer Attacke steht und von entsprechenden Zahlungen profitiert. 

Durch die Zahlung des Lösegelds wird eine solche Gruppierung unterstützt, da der Zahlende durch die Zahlung den „Fortbestand oder die Verwirklichung” der Ziele dieser Gruppe („Vereinigung“) fördert, ohne selbst Mitglied der Gruppe zu sein. Die Zahlung von Geldern ist für die Bestrebungen der Gruppe auch ohne Weiteres von Vorteil. Auf subjektiver Ebene ist lediglich erforderlich, dass der Zahlende die Unterstützung einer solchen Gruppe für möglich hält und sich damit abfindet, dass er mit der Zahlung gegebenenfalls eine kriminelle Vereinigung unterstützt (sog. bedingter Vorsatz). Angesichts der allgemein bekannten Faktenlage zu Ransomware-Angriffen liegt es in nahezu jedem Einzelfall nahe, dass ein halbwegs informierter Betroffener eines solchen Angriffs bei der Zahlung jeweils in Kauf nimmt, eine Gruppe von Tätern und nicht nur eine einzelne Person zu unterstützen. 

Nötigungsnotstand: Rechtfertigung mit hohen Hürden

Zwar erlaubt die Rechtsordnung einem Angegriffenen, sich bei Vorliegen eines Angriffs oder einer Gefahr unter gewissen Voraussetzung entsprechend zu „verteidigen“. Eine solche Rechtfertigung, die zur Straflosigkeit der Zahlung führen würde, ist aber im Falle von Ransomware-Angriffen an hohe Hürden gebunden. Denn es handelt sich um Fallkonstellationen, bei denen die Täter des Angriffs (= Dritte) mittels Drohung der Nicht-Freigabe der IT-Systeme/Veröffentlichung der abgezogenen Daten (= Nötigung) eine Situation hervorrufen, durch die der Betroffene des Angriffs zu einem Eingriff in das staatliche Schutzgut der öffentlichen Sicherheit und Ordnung (d.h. Rechtsgüter eines unbeteiligten Dritten) gezwungen werden soll (sog. Nötigungsnotstand). 

Während nur ganz vereinzelt vertreten wird, dass in Fällen des Nötigungsnotstands immer eine Rechtfertigung möglich ist, wird überwiegend vertreten, dass dies nicht bzw. nicht ohne Weiteres möglich sei. Hiernach kommt eine Rechtfertigung nur nach gründlicher Abwägung und nur bei einem deutlichen Überwiegen der Interessen des Betroffenen gegenüber dem staatlichen Interesse an der öffentlichen Sicherheit und Ordnung in Betracht: Eine Lösegeldzahlung wird hiernach insbesondere bei existenzbedrohenden Eingriffen/Veröffentlichung sensibelster Daten als möglicherweise gerechtfertigt angesehen. 

Im Übrigen wird der Betroffene auf den sog. Entschuldigungsnotstand verwiesen, wonach er sich nur dann durch die Zahlung des Lösegelds nicht strafbar macht, wenn die Zahlung zum Zwecke der Gefahrenabwehr für Leib, Leben oder Freiheit erfolgt; auf dieser Grundlage waren insbesondere Zahlungen deutscher Reedereien an somalische Piraten zur Geisel-Freilassung nicht strafbar. 

Ärzte haben größeren Verteidigungsspielraum

In Bezug auf die diabetologische Praxis ergeben sich auf dieser Basis gute Verteidigungsmöglichkeiten, wenn nur durch die Lösegeldzahlung die ordnungsgemäße Behandlung der Patienten sichergestellt werden kann. Auch das Interesse an der Verhinderung der Veröffentlichung der besonders sensiblen Gesundheitsdaten dürfte im Zweifel häufig das staatliche Interesse an der öffentlichen Sicherheit und Ordnung überwiegen. Im Ergebnis haben Diabetologen und auch andere Ärzte damit einen weiteren Verteidigungsspielraum als viele rein kommerzielle Betriebe. 

Jedoch ist zu berücksichtigen, dass die Behörden/Gerichte im Einzelfall bei einer Interessenabwägung prüfen werden, ob der von einem Angriff Betroffene zum Zeitpunkt des Angriffs angemessene Sicherheitsvorkehrungen im Hinblick auf seine IT-Systeme/Daten vorgenommen hat. Die auch datenschutzrechtlich verankerte Pflicht zur Gewährleistung von IT-Sicherheit gewinnt dadurch an Bedeutung. Auch die regelmäßige Erstellung von Back-ups, die häufig zu einer schnellen Schadensbegrenzung verhelfen, ist hier von Bedeutung. 

Zusammenfassung

Ransomware-Angriffe sind ein weltweites Phänomen und machen auch vor Kliniken/Arztpraxen nicht mehr Halt. Bei der Überlegung, ob eine Zahlung des Lösegelds erfolgt, sollten neben anderen Aspekten auch die möglichen strafrechtlichen Konsequenzen einer Zahlung berücksichtigt werden. Um erst gar nicht in die Verlegenheit von Zahlungsüberlegungen zu kommen, sollte vorab alles Mögliche getan werden, damit Angriffe durch entsprechende IT-Sicherheitsmaßnahmen verhindert werden. 

Denn selbst wenn die – gegebenenfalls sogar versicherte – Zahlung eines Lösegelds zur Freigabe der IT-Systeme/Nicht-Veröffentlichung von Daten führt, besteht trotz der aufgezeigten guten Verteidigungsmöglichkeiten bei Diabetologen ein erhebliches Risiko: Denn bereits die Einleitung eines Ermittlungsverfahrens wegen des Verdachts der Unterstützung einer kriminellen Vereinigung kann vielfältige und teilweise gravierende negative Auswirkungen (bspw. Bekanntwerden des Verfahrens mit entsprechenden Folgen für die Reputation, Verteidigungskosten etc.) haben. Im Rahmen der Cybersicherheit/-compliance gilt damit einmal mehr das altbekannte Compliance-Zitat „If you think that compliance is expensive: try non-compliance“ (ehemaliger US Deputy Attorney General Paul McNulty).