Skip to content Skip to footer
Suche

Ergebnisse laden

Ransomware als Geschäftsmodell

Rechtliche Aspekte von Lösegeldzahlungen

Yan Borboën
Partner, Digital Assurance & Cybersecurity und Privacy, PwC Schweiz

David Bundi, MLaw  Director | Head of Compliance

David Bundi, MLaw
Director | Head of Compliance, RegTech & Managed Legal Services | Metaverse Strategy & Regulatory Leader | Legal, PwC Schweiz

Die grössten Bedrohungen in Sachen Cybersicherheit für Unternehmen aller Regionen und Branchen sind Ransomware-Angriffe und damit einhergehende Erpressungen. Sie haben sich für Cyberkriminelle zu einem lukrativen Geschäft entwickelt. In unserer Blog-Serie «Ransomware als Geschäftsmodell» behandeln wir die verschiedenen Phasen von Ransomware-Angriffen (Vorbereitung, Angriff, Ausbreitung und Infektion) und zeigen auf, wie diese funktionieren und wie darauf reagiert werden muss. Unser heutiger Blog befasst sich mit den rechtlichen Aspekten von Lösegeldzahlungen.

Ransomware-Angriffe waren auch im Jahr 2021 die grösste Bedrohung für die Cybersicherheit von Unternehmen – in allen Regionen und Branchen. Die Zahl der gemeldeten Ransomware-Angriffe, bei denen Kriminelle versuchten, Unternehmen zu erpressen, stieg von 1300 im Jahr 2020 auf 2435 im Jahr 2021.

Quelle: PwC, Cyberrisiken 2021: Das Jahr im Rückblick, 2022
The New Equation

Cybersecurity und Datenschutz

Cyber-Angriffe stellen eine fortwährende Gefahr für Unternehmen aus allen Geschäftsfeldern dar. Wir helfen Ihnen, die Risiken zu erkennen und ihnen wirksam zu begegnen.

Mehr erfahren


Entscheidungsfaktoren für Lösegeldzahlungen

Wurde ein Unternehmen angegriffen, so muss es entscheiden, ob es das Lösegeld bezahlen will oder das System selbst wiederherstellen kann. Eine Risikoabwägung sollte dabei auf der Basis von vier Entscheidungsfaktoren erfolgen:

  • Machbarkeit: Kann das Unternehmen seine Systeme und Informationen zeitnah von seinen Datensicherungen wiederherstellen?
  • Aufwand: Wieviel Aufwand wird zur Wiederherstellung der Systeme und Informationen benötigt? Hat das Unternehmen die personellen Ressourcen und entsprechenden Werkzeuge? Wieviel kostet es?
  • Auswirkung: Welche Auswirkungen haben Verzögerungen in der Wiederherstellung auf die Geschäfte, Kunden und Mitarbeitenden des Unternehmens?
  • Gesetzmässigkeit: Lässt sich das Lösegeld ohne Gesetzesverletzung bezahlen? Welche rechtlichen Risiken ergeben sich für das Unternehmen?

Diese Faktoren müssen Teil einer pragmatischen Risikoanalyse sein. PwC empfiehlt, von Lösegeldzahlungen abzusehen, denn es gibt keine Garantie, dass die Daten nach der Zahlung wiederhergestellt oder gestohlene Daten nicht an Dritte verkauft oder weitergegeben werden. Zudem finanzieren Lösegeldzahlungen weitere Aktivitäten der Cyberkriminellen.

Ist das Unternehmen jedoch der Ansicht, dass es sein System nicht wiederherstellen kann oder der Aufwand zu gross und die Kosten um einiges höher als die Lösegeldforderungen sind, muss sich die Geschäftsführung mit rechtlichen Fragen in Bezug auf die Lösegeldzahlung befassen.

Cyber incident response and recovery

Bereiten Sie sich dank unserer vielseitigen und flexiblen Lösungen – einschliesslich Gesamtpaketen – erfolgreich auf bevorstehende Cyber-Bedrohungen vor.

Zum Angebot


Rechtliche Aspekte von Lösegeldzahlungen

Gemäss Schweizer Strafgesetzbuch ist die Zahlung eines Lösegeldes nicht per se eine Straftat. Aber sie könnte anderweitige rechtliche Folgen haben:

  • Angreifer verlangen häufig eine Zahlung in Kryptowährung, welche normalerweise anonym erfolgt. Dabei stellt sich die Frage, ob eine Lösegeldzahlung in einem solchen Fall nicht als Geldwäscherei betrachtet werden kann, insbesondere weil das Unternehmen und die Bank wissen, dass die Zahlung für eine illegale Tätigkeit ist und deshalb mit grosser Wahrscheinlichkeit auch Geldwäscherei beinhaltet.
  • Auch könnten durch eine Lösegeldzahlung internationale Sanktionen und Massnahmen im Kampf gegen Terrorismus und seine Finanzierung verletzt werden. Das Office of Foreign Assets Control (OFAC) des U.S. Finanzministeriums beispielsweise kann eine Lösegeldzahlung durch eine Person, die der US-Gerichtsbarkeit unterliegt, als Verletzung von Sanktionen betrachten und zivilrechtliche Strafen aufgrund von verschuldensunabhängiger Haftung auferlegen.1 Unternehmen könnten mit behördlichen Kontrollen oder gar Gerichtsverfahren konfrontiert werden, was ihre künftigen Geschäftstätigkeiten in Ländern mit solchen Vorschriften beeinträchtigen könnte.
  • Wurde die IT-Umgebung nicht genügend unterhalten und/oder nicht alle notwendigen Massnahmen in Sachen Cybersicherheit getätigt, stellt sich ausserdem die Frage bezüglich der Sorgfaltspflicht von Verwaltungsrat (VR) und Unternehmen. Im Allgemeinen wird vom Verwaltungsrat ein angemessenes Risikomanagement verlangt, welches das Unternehmen, seine Aktionäre, Mitarbeitenden und Kunden vor Schäden infolge eines Ransomware-Angriffes schützt. Einige der wichtigsten Punkte sind dabei die Identifizierung, Abschwächung und Überwachung von Risiken, die sich aus Ransomware-Angriffen ergeben.

Weitere Risiken bei Lösegeldzahlungen und Datenverlust

Das grösste Risiko besteht darin, dass das Unternehmen trotz Lösegeldzahlung keinen Zugang zu seinen Daten erhält und/oder die gestohlenen Daten dennoch publiziert werden. Zudem erhalten die Angreifer –und andere Gruppen, mit denen sie in Kontakt stehen – durch die Lösegeldzahlung ein Signal der Schwäche, was zu weiteren Angriffen führen könnte.

Des Weiteren bestehen rufschädigende, betriebliche und strafrechtliche Risiken sowie für beaufsichtigte Unternehmen wie Banken und Versicherungen auch regulatorische Risiken.

Ein weiteres Problem betrifft die Logistik der Lösegeldzahlung. Die wenigsten Unternehmen haben ein Kryptokonto und ein entsprechendes Kryptoguthaben. Auch kann es sein, dass die Bank die Zahlung nicht ausführt, da sie gegen Mechanismen verstösst, die der Bekämpfung von Geldwäscherei und Terrorismusfinanzierung oder der Einhaltung von Sanktionen dienen.

Wurde auf die Daten eines Unternehmens unrechtmässig zugegriffen, wurden sie gestohlen oder verschlüsselt, so verlangen die DSGVO und das revidierte Bundesgesetz über den Datenschutz, welches am 1. September 2023 in Kraft treten wird, eine Meldepflicht gegenüber den Datenschutzbehörden und den betroffenen Personen. Für Unternehmen, die von der Eidgenössischen Finanzmarktaufsicht (FINMA) überwacht werden, besteht zusätzlich eine Auskunfts- und Meldepflicht solcher Vorkommnisse an die FINMA. Dies kann insgesamt einen nicht zu unterschätzenden logistischen Aufwand zur Folge haben.

Klar definierter Entscheidungsprozess

Die oben genannten Punkte sollten vom Unternehmen in einen klar definierten Entscheidungsprozess integriert werden. Die Schritte müssen bestimmt und von der Unternehmensführung im Voraus genehmigt werden. Auch müssen sie von der Rechtsabteilung geprüft und freigegeben werden. Der Entscheidungsprozess kann dabei Teil einer übergeordneten Firmenpolitik in Sachen Ransomware-Angriffe sein. Die für Recht und Compliance zuständigen Funktionen müssen:

  • in die Vorbereitung zur Reaktion auf Vorfälle einbezogen werden,
  • die rechtlichen Aspekte von Lösegeldzahlungen sowie die Position des Unternehmens bezüglich Compliance darlegen und die rechtlichen Risiken vorab analysieren, einschliesslich der Risiken im Zusammenhang mit Zahlungen an Akteure mit Verbindungen zu Nationalstaaten, sowie der potenziell extraterritorialen Anwendung von Gesetzen in Bezug auf Lösegeldzahlungen,
  • die Änderungen der Cyber- und Datenschutzvorschriften in den Ländern, in denen das Unternehmen tätig ist, überwachen, und
  • geschult und vorbereitet sein, da im Falle eines Angriffes normalerweise keine Zeit für längere rechtliche Abklärungen bleibt.
Legal & Compliance

To support our clients in ensuring compliance and enabling business in today’s highly complex legal and regulatory environment, we’ve built a team of innovative, passionate and experienced legal professionals with interdisciplinary skill sets.

Find out more

Wie kann PwC Sie in Ihrer Vorbereitung auf Ransomware-Angriffe unterstützen?

Im Idealfall sind Sie nicht nur vorbereitet, sondern können Ihr Unternehmen auch gegen einen Ransomware-Angriff verteidigen – und dazu gehört auch die entsprechende Vorbereitung der für Recht und Compliance zuständigen Funktionen innerhalb des Unternehmens.

Unsere Experten unterstützen Sie mit ihrem fundierten Fachwissen mit folgenden Dienstleistungen:

  • Ransomware Readiness Assessment
  • Entwicklung von Ransomware-Richtlinien, Verfahren und Abläufen
  • Prüfung der Entscheidungsfähigkeit von Führungskräften mittels Krisenmanagementübungen, die auf Ransomware-Angriffe zugeschnitten sind
  • Beratung zur Einhaltung von Vorschriften über die Geldwäscherei und Terrorismusfinanzierung, Sanktionen oder anderen Gesetzen
  • Risikomanagement / Corporate-Governance-Beratung
  • Unterstützung der für Recht und Compliance zuständigen Funktionen

Sollten Sie trotzdem Opfer eines Cyberangriffes werden, unterstützen wir Sie mit unserem breiten Fachwissen zur raschen Reaktion auf Cybervorfälle, navigieren Sie durch den Sturm und helfen Ihnen mit den folgenden Dienstleistungen auf ein solches Ereignis zu reagieren und sich davon zu erholen:

#social#

Mit Vertrauen zum Erfolg

Angetrieben durch Passion und unterstützt durch Technologie ist es unser Ziel, gemeinsam mit Ihnen die Sicherheit, Resilienz und Compliance Ihres Unternehmens zu steigern.

Mehr zu unseren Dienstleistungen

Kontaktieren Sie uns

Yan Borboën

Yan Borboën

Partner Digital Assurance and Cybersecurity & Privacy, PwC Switzerland

Tel.: +41 58 792 84 59

Xavier Bédat

Xavier Bédat

Cybersecurity and Privacy, PwC Switzerland

Tel.: +41 58 792 14 84

David Bundi, MLaw

David Bundi, MLaw

Director | Head of Compliance, RegTech & Managed Legal Services | Metaverse Strategy & Regulatory Leader | Legal, PwC Switzerland

Tel.: +41 79 625 58 20

Cedric Ming, MLaw

Cedric Ming, MLaw

Senior Associate | Compliance, RegTech & Managed Legal Services | Financial Crime Compliance, Metaverse, Digital Assets & NFT Specialist | Legal, PwC Switzerland

Tel.: +41 58 792 18 55