erhard.rechtsanwälte
Termin 089 215 263 980
Cybercrime 24. April 2026 15 Min. Lesezeit

Ransomware und digitale Erpressung – Strafbarkeit und Verteidigung

Ransomware-Angriffe: Strafbarkeit nach §§ 253, 303a, 303b StGB, Ermittlungsmethoden und Verteidigungsstrategien.

Claus Erhard
Claus Erhard
Fachanwalt für IT- und Strafrecht
Ransomware und digitale Erpressung – Strafbarkeit und Verteidigung

Einleitung

Ransomware-Angriffe zählen zu den schädlichsten Formen der Cyberkriminalität. Unternehmen, Behörden und Privatpersonen sehen sich immer häufiger mit verschlüsselten Systemen und Lösegeldforderungen in Kryptowährung konfrontiert. Die Schadenssummen gehen jährlich in die Milliarden. Gleichzeitig reagieren Strafverfolgungsbehörden mit zunehmend ausgefeilten Ermittlungsmethoden — von Blockchain-Analyse bis hin zu international koordinierten Polizeioperationen.

Wer als Beschuldigter in ein Ermittlungsverfahren wegen Ransomware oder digitaler Erpressung gerät, steht vor einer komplexen Gemengelage: Mehrere Straftatbestände greifen ineinander, die Ermittlungen verlaufen häufig grenzüberschreitend, und die technischen Details überfordern nicht selten sogar die Justiz. Dieser Artikel erläutert die strafrechtlichen Grundlagen, typische Ermittlungsansätze und mögliche Verteidigungsstrategien.

Als Fachanwalt für IT-Recht und Strafrecht mit Schwerpunkt Cybercrime berate ich Beschuldigte in genau diesen Verfahren — von der ersten Durchsuchung bis zum Abschluss des Verfahrens.

Was ist Ransomware?

Technischer Ablauf eines Angriffs

Ransomware ist Schadsoftware, die Dateien oder ganze Systeme verschlüsselt und erst nach Zahlung eines Lösegeld (englisch: ransom) wieder freigibt. Der typische Ablauf lässt sich in mehrere Phasen unterteilen:

  1. Initialer Zugang: Die Schadsoftware gelangt über Phishing-E-Mails, kompromittierte Webseiten, manipulierte Software-Updates oder Sicherheitslücken in das Zielsystem. Häufig werden gestohlene Zugangsdaten (Credentials) verwendet.
  1. Laterale Ausbreitung: Nach dem ersten Eindringen bewegen sich die Angreifer durch das Netzwerk, erlangen höhere Berechtigungen (Privilege Escalation) und identifizieren besonders wertvolle Daten und Backup-Systeme.
  1. Datenexfiltration: Bei der sogenannten Double Extortion — der heute vorherrschenden Variante — werden die Daten vor der Verschlüsselung kopiert. Damit verfügen die Täter über ein zusätzliches Druckmittel: Veröffentlichung der Daten bei Nichtzahlung.
  1. Verschlüsselung: Die eigentliche Ransomware wird ausgeführt. Dateien werden mit starker Kryptografie (typischerweise AES-256 in Kombination mit RSA) verschlüsselt. Ohne den privaten Schlüssel der Angreifer ist eine Entschlüsselung praktisch unmöglich.
  1. Lösegeldforderung: Die Opfer finden eine Nachricht mit Zahlungsanweisungen vor — in der Regel in Bitcoin oder Monero. Oft läuft ein Countdown: Wird nicht innerhalb einer bestimmten Frist gezahlt, erhöhen sich die Forderungen oder die exfiltrierten Daten werden veröffentlicht.

Ransomware-as-a-Service (RaaS)

Die Professionalisierung der Ransomware-Szene hat dazu geführt, dass viele Angriffe arbeitsteilig organisiert sind. Sogenannte RaaS-Gruppen stellen die technische Infrastruktur bereit — die Verschlüsselungssoftware, Verhandlungsplattformen und Zahlungsabwicklung. Sogenannte Affiliates führen die eigentlichen Angriffe durch und erhalten einen Anteil des Lösegeld. Diese Arbeitsteilung ist strafrechtlich höchst relevant, weil sie Fragen der Täterschaft, Mittäterschaft und Beihilfe aufwirft.

Typische RaaS-Gruppen wie LockBit, BlackCat/ALPHV oder Conti operieren wie Unternehmen: mit eigenen Support-Abteilungen, "Bewerbungsverfahren" für Affiliates und sogar Bug-Bounty-Programmen für Sicherheitslücken in der eigenen Schadsoftware. Die Gewinnbeteiligung liegt für Affiliates typischerweise zwischen 60 und 80 Prozent des Lösegeldes. Für die Strafverfolgung — und damit auch für die Verteidigung — stellt sich die zentrale Frage, welche Rolle der konkrete Beschuldigte innerhalb dieser Struktur tatsächlich eingenommen hat.

Triple Extortion und weitergehende Druckmittel

Über die Double Extortion hinaus haben einige Gruppen ihr Erpressungsmodell weiter ausgebaut. Bei der sogenannten Triple Extortion wird zusätzlich zur Verschlüsselung und Datenveröffentlichung Druck auf Dritte ausgeübt: Kunden, Geschäftspartner oder Patienten des Opfers werden direkt kontaktiert und mit der Veröffentlichung ihrer persönlichen Daten bedroht. Teilweise werden parallel DDoS-Angriffe gefahren, um den Druck zu erhöhen. Jede dieser zusätzlichen Handlungen kann eigenständige Straftatbestände verwirklichen — von Nötigung (§ 240 StGB) über Verletzung des Datenschutzes bis hin zu weiteren Erpressungstaten.

Straftatbestände bei Ransomware-Angriffen

Ransomware-Angriffe verwirklichen in der Regel mehrere Straftatbestände gleichzeitig. Die wichtigsten im Überblick:

Erpressung, § 253 StGB

Der zentrale Tatbestand bei Ransomware ist die Erpressung. Die Verschlüsselung der Daten und die Drohung mit deren Vernichtung oder Veröffentlichung stellen ein Nötigen mit Gewalt oder durch Drohung mit einem empfindlichen Übel dar.

§ 253 Abs. 1 StGB: "Wer einen Menschen rechtswidrig mit Gewalt oder durch Drohung mit einem empfindlichen Übel zu einer Handlung, Duldung oder Unterlassung nötigt und dadurch dem Vermögen des Genotigten oder eines anderen Nachteil zufügt, um sich oder einen Dritten zu Unrecht zu bereichern, wird mit Freiheitsstrafe bis zu fünf Jahren oder mit Geldstrafe bestraft."

Besonders schwere Fälle — etwa gewerbsmäßige Erpressung oder Erpressung als Mitglied einer Bande — werden nach § 253 Abs. 4 StGB mit Freiheitsstrafe von einem bis zu fünfzehn Jahren bestraft. Gerade bei organisierten Ransomware-Gruppen liegt dieser Qualifikationstatbestand regelmäßig vor.

Datenveränderung, § 303a StGB

Das Verschlüsseln von Daten erfüllt den Tatbestand der Datenveränderung, da die Daten für den Berechtigten unbrauchbar gemacht werden.

§ 303a Abs. 1 StGB: "Wer rechtswidrig Daten löscht, unterdrückt, unbrauchbar macht oder verändert, wird mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe bestraft."

Entscheidend ist: Auch die Verschlüsselung stellt ein Unbrauchbarmachen dar, obwohl die Daten technisch noch vorhanden sind. Der BGH hat bestätigt, dass bereits die Zugangserschwerung genügen kann.

Computersabotage, § 303b StGB

Wenn durch den Ransomware-Angriff eine Datenverarbeitung, die für einen anderen von wesentlicher Bedeutung ist, erheblich gestört wird, kommt Computersabotage in Betracht.

§ 303b Abs. 1 StGB: "Wer eine Datenverarbeitung, die für einen anderen von wesentlicher Bedeutung ist, dadurch erheblich stört, dass er eine Tat nach § 303a Abs. 1 begeht [...], wird mit Freiheitsstrafe bis zu drei Jahren oder mit Geldstrafe bestraft."

In besonders schweren Fällen — insbesondere bei Angriffen auf Unternehmen, Behörden oder kritische Infrastrukturen wie Krankenhäuser — sieht § 303b Abs. 4 StGB eine Freiheitsstrafe von sechs Monaten bis zu zehn Jahren vor. Dieser Qualifikationstatbestand greift bei gewerbsmäßigem Handeln, bei Angriffen auf wesentliche Infrastrukturen oder wenn die Tat die Versorgung der Bevölkerung gefährdet.

Ausspähen von Daten, § 202a StGB

Bereits das Eindringen in fremde Systeme — der initiale Zugang — kann den Tatbestand des Ausspahens von Daten erfüllen.

§ 202a Abs. 1 StGB: "Wer unbefugt sich oder einem anderen Zugang zu Daten, die nicht für ihn bestimmt und die gegen unberechtigten Zugang besonders gesichert sind, unter Überwindung der Zugangssicherung verschafft, wird mit Freiheitsstrafe bis zu drei Jahren oder mit Geldstrafe bestraft."

Bei der Double Extortion wird vor der Verschlüsselung auf vertrauliche Daten zugegriffen und diese werden kopiert. Dies verwirklicht zusätzlich den Tatbestand in seiner Vollform.

Weitere mögliche Tatbestände

Je nach Sachverhalt kommen weitere Normen in Betracht:

  • § 202b StGB (Abfangen von Daten): Wenn Netzwerkverkehr mitgelesen wird
  • § 202c StGB (Vorbereiten des Ausspahens): Bereits das Herstellen, Beschaffen oder Verbreiten von Ransomware-Tools
  • § 263a StGB (Computerbetrug): Bei automatisierten Manipulationen von Datenverarbeitungsvorgängen
  • § 261 StGB (Geldwäsche): Bei der Weiterleitung oder Verschleierung der Lösegeld-Zahlungen

Strafrahmen im Überblick

| Tatbestand | Grundtatbestand | Besonders schwerer Fall / Qualifikation | |---|---|---| | § 253 StGB Erpressung | Bis 5 Jahre oder Geldstrafe | 1–15 Jahre (gewerbsmäßig/bandenmä.) | | § 303a StGB Datenveränderung | Bis 2 Jahre oder Geldstrafe | — | | § 303b StGB Computersabotage | Bis 3 Jahre oder Geldstrafe | 6 Monate – 10 Jahre | | § 202a StGB Ausspähen von Daten | Bis 3 Jahre oder Geldstrafe | — |

Bei Tatmehrheit (§ 53 StGB) — und Ransomware-Fälle verwirklichen nahezu immer mehrere Tatbestände — wird aus dem schärfsten Strafrahmen eine Gesamtstrafe gebildet. In der Praxis drohen bei organisierten Ransomware-Angriffen daher Freiheitsstrafen im Bereich von mehreren Jahren.

Ermittlungsmethoden

Blockchain-Analyse und Kryptowährungs-Tracing

Lösegeld wird bei Ransomware fast ausschließlich in Kryptowährungen gefordert. Was viele Beschuldigte unterschätzen: Bitcoin-Transaktionen sind pseudonym, nicht anonym. Jede Transaktion ist daürhaft in der Blockchain gespeichert und öffentlich einsehbar.

Spezialisierte Ermittlungsbehörden — darunter das BKA, die ZIT (Zentralstelle zur Bekämpfung der Internetkriminalität) und Europol — setzen auf kommerzielle Blockchain-Analyse-Tools wie Chainalysis oder Elliptic. Diese Software kann:

  • Zahlungsströme über mehrere Wallets hinweg verfolgen
  • Cluster von Adressen identifizieren, die derselben Person oder Gruppe zugeordnet werden
  • Verbindungen zu regulierten Krypto-Börsen herstellen, wo KYC-Daten (Know Your Customer) vorliegen
  • Mixing-Services und Tumbler teilweise rückverfolgen

Selbst bei der Nutzung von Monero — einer auf Privatsphäre ausgelegten Kryptowährung — haben Ermittler in jüngerer Zeit Fortschritte erzielt, etwa durch die Analyse von Metadaten oder den Einsatz von Heuristiken.

IT-Forensik und digitale Beweissicherung

Die klassische IT-Forensik spielt eine zentrale Rolle. Nach einer Durchsuchung werden typischerweise sichergestellt:

  • Computer, Laptops, Smartphones und Speichermedien
  • Server-Logdateien und Netzwerkprotokolle
  • VPN- und Tor-Nutzungsprotokolle des Internetanbieters
  • Chat-Verläufe auf verschlüsselten Plattformen
  • Cloud-Speicher und E-Mail-Konten

Die forensische Auswertung dieser Daten ist häufig der Kern der Beweisführung. Dabei können auch gelöschte Daten wiederhergestellt und Verschlüsselungsmaßnahmen der Beschuldigten unter Umständen umgangen werden.

Besonders relevant ist die Frage der forensischen Integrität: Wurden die sichergestellten Datenträger sachgemäß behandelt? Wurde eine lückenlose Beweiskette (Chain of Custody) dokumentiert? Wurden Write-Blocker eingesetzt, um eine nachträgliche Veränderung der Beweismittel auszuschließen? Fehler in der Beweissicherung können im Verfahren zu Verwertungsverboten führen — ein häufig unterschätzter Verteidigungsansatz.

Internationale Kooperation

Ransomware-Ermittlungen sind fast immer grenzüberschreitend. Die wichtigsten Institutionen und Instrumente:

  • Europol / EC3 (European Cybercrime Centre): Koordiniert europaweite Ermittlungen und betreibt die Plattform "No More Ransom"
  • Eurojust: Erleichtert die justizielle Zusammenarbeit bei grenzüberschreitenden Verfahren
  • Europäische Ermittlungsanordnung (EEA): Ermöglicht die schnelle Sicherung digitaler Beweismittel in anderen EU-Staaten
  • Rechtshilfeersuchen: Für die Zusammenarbeit mit Drittstaaten, insbesondere den USA (FBI, Secret Service)
  • Joint Investigation Teams (JIT): Gemeinsame Ermittlungsgruppen mehrerer Länder

Große internationale Operationen wie die Zerschlagung der Hive-Ransomware-Gruppe (2023) oder die Emotet-Infrastruktur (2021) zeigen, dass die internationale Zusammenarbeit zunehmend effektiv funktioniert. Für Beschuldigte bedeutet dies: Die Vorstellung, dass Ransomware-Täter aufgrund der internationalen Dimension unangreifbar seien, ist überholt. Gleichzeitig bringen die grenzüberschreitenden Ermittlungen auch Risiken für die Rechte der Beschuldigten mit sich — etwa wenn Beweismittel in Ländern erhoben werden, deren Verfahrensstandards hinter den deutschen zurückbleiben.

Verdeckte Ermittlungsmaßnahmen

In schwerwiegenden Ransomware-Fällen kommen regelmäßig verdeckte Ermittlungsmaßnahmen zum Einsatz. Dazu gehören:

  • Telekommunikationsüberwachung (§ 100a StPO): Überwachung von Telefonaten, E-Mails und Messenger-Kommunikation
  • Online-Durchsuchung (§ 100b StPO): Heimliches Zugreifen auf das Computersystem des Beschuldigten mittels staatlicher Schadsoftware (Staatstrojaner)
  • Verkehrsdatenerhebung (§ 100g StPO): Auswertung von Verbindungsdaten, die Aufschluss über Kommunikationspartner und Standorte geben
  • Verdeckte Ermittler und Vertrauenspersonen: Insbesondere bei Ermittlungen in einschlägigen Online-Foren

Jede dieser Maßnahmen unterliegt strengen rechtlichen Voraussetzungen. Fehler bei Anordnung oder Durchführung können zur Unverwertbarkeit der gewonnenen Erkenntnisse führen.

Haben Sie Fragen?

Unsere Fachanwälte beraten Sie vertraulich und kompetent. Vereinbaren Sie jetzt ein Erstgespräch.

Termin buchenKontaktformular

Typische Fallkonstellationen

Angriffe auf Unternehmen

Die Mehrzahl der Ransomware-Angriffe richtet sich gegen Unternehmen. Die Lösegeldforderungen werden an die Zahlungsfähigkeit des Opfers angepasst — von fünfstelligen Beträgen bei KMU bis zu zweistelligen Millionenbeträgen bei Großkonzernen. Für die Strafzumessung sind Schadenshöhe und Anzahl der Betroffenen relevant. Neben dem unmittelbaren Lösegeld entstehen den betroffenen Unternehmen erhebliche Folgekosten: Betriebsunterbrechung, IT-Wiederherstellung, forensische Untersuchungen, Rechtsberatung und Reputationsschäden. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) stuft Ransomware seit Jahren als die größte Bedrohung für die deutsche Wirtschaft ein.

Angriffe auf Krankenhäuser und kritische Infrastruktur

Angriffe auf Krankenhäuser, Energieversorger oder Behörden wiegen strafrechtlich besonders schwer. Der Angriff auf die Universitätsklinik Düsseldorf (2020), bei dem ein Patient aufgrund der IT-Störung in ein anderes Krankenhaus umgeleitet werden musste und verstarb, hat die Debatte über lebensgefährliche Konseqünzen von Ransomware geprägt. Hier kommen neben den IT-Delikten auch fahrlässige Tötung oder Körperverletzungsdelikte in Betracht — ein Umstand, der den Strafrahmen erheblich erweitert.

Einzelpersonen als Opfer

Auch Privatpersonen werden Opfer von Ransomware, etwa durch verschlüsselte Smartphones oder private Dateien. Die Lösegeldforderungen sind hier typischerweise niedriger (einige hundert bis wenige tausend Euro), doch die Strafbarkeit bleibt unverändert. In der Praxis werden diese Fälle seltener verfolgt, da die Ermittlungsressourcen begrenzt sind.

Insider-Fälle

Eine zunehmend beobachtete Konstellation: Mitarbeiter oder ehemalige Mitarbeiter installieren Ransomware auf Systemen ihres (früheren) Arbeitgebers — sei es aus Rache, aus finanziellen Motiven oder unter Druck Dritter. Diese Fälle sind für die Ermittlungsbehörden leichter aufzuklären, da der Täterkreis eingrenzbar ist. Umgekehrt bedeutet das für die Verteidigung: Gerade weil der Verdacht schnell auf ehemalige Mitarbeiter fällt, besteht die Gefahr vorschneller Beschuldigungen. Zugangsrechte, die nach dem Ausscheiden nicht deaktiviert wurden, könnten auch von Dritten missbraucht worden sein.

Abgrenzung: Täter, Mittäter und Gehilfe

Die arbeitsteilige Struktur moderner Ransomware-Operationen wirft komplexe Fragen der Beteiligung auf. Das deutsche Strafrecht unterscheidet:

Täterschaft und Mittäterschaft (§ 25 StGB)

Täter ist, wer die Tat selbst oder durch einen anderen begeht. Bei Ransomware-Gruppen liegt häufig Mittäterschaft vor: Mehrere Beteiligte handeln aufgrund eines gemeinsamen Tatplans arbeitsteilig zusammen. Wer die Ransomware entwickelt, wer den Angriff ausführt und wer die Lösegeldzahlung abwickelt — alle können als Mittäter haften, sofern ein gemeinsamer Tatentschluss vorliegt und jeder einen wesentlichen Beitrag leistet.

Beihilfe (§ 27 StGB)

Beihilfe leistet, wer die Haupttat fördert, ohne selbst als Mittäter zu handeln. Typische Beihilfehandlungen im Ransomware-Kontext:

  • Bereitstellung von Serverinfrastruktur (Bulletproof Hosting)
  • Entwicklung einzelner Softwarekomponenten ohne unmittelbare Tatbeteiligung
  • Umtausch von Kryptowährungen in Fiatgeld (sogenannte Money Mules)
  • Weiterleitung gestohlener Zugangsdaten

Die Abgrenzung zwischen Mittäterschaft und Beihilfe ist in der Praxis oft streitig und hat erhebliche Auswirkungen auf die Strafzumessung. Der Gehilfe wird gemäß § 27 Abs. 2 StGB milder bestraft als der Täter — das Strafmaß wird obligatorisch gemildert (§ 49 Abs. 1 StGB).

Anstiftung (§ 26 StGB)

Wer einen anderen zu einem Ransomware-Angriff bestimmt — etwa indem er einen Programmierer beauftragt, Schadsoftware zu entwickeln — haftet als Anstifter gleich einem Täter. In RaaS-Konstellationen kann dies relevant werden, wenn ein Affiliate von der RaaS-Gruppe gezielt zu einem bestimmten Angriff veranlasst wird.

Verteidigungsstrategien

Frühzeitiges Schweigen

Das wichtigste zuallererst: Machen Sie gegenüber Polizei und Staatsanwaltschaft keine Angaben, bevor Sie mit einem Strafverteidiger gesprochen haben. Gerade bei technisch komplexen Sachverhalten können unbedachte Äußerungen — auch solche, die vermeintlich entlastend gemeint sind — später gegen Sie verwendet werden. Das Schweigerecht nach § 136 Abs. 1 Satz 2 StPO ist ein fundamentales Beschuldigtenrecht.

Akteneinsicht und Bewertung der Beweislage

Nach Mandatierung wird Ihr Verteidiger zunächst umfassende Akteneinsicht beantragen. Gerade in Ransomware-Verfahren sind die Akten oft umfangreich und technisch anspruchsvoll. Zentrale Fragen sind:

  • Welche konkreten technischen Beweise liegen gegen den Beschuldigten vor?
  • Wie wurde die IP-Adresse oder das Gerät dem Beschuldigten zugeordnet?
  • Sind die digitalen Beweise forensisch integer oder bestehen Zweifel an der Beweiskette (Chain of Custody)?
  • Wurden bei Durchsuchung und Beschlagnahme die rechtlichen Vorgaben eingehalten?

Technische Verteidigungsansätze

In Ransomware-Verfahren sind technische Einwände häufig die schärfste Waffe der Verteidigung:

  • IP-Zuordnung: Eine IP-Adresse identifiziert zunächst nur einen Internetanschluss, nicht eine bestimmte Person. Wer Zugang zum Anschluss hatte, muss separat nachgewiesen werden.
  • VPN und Tor: Wurde der Angriff über Anonymisierungsdienste ausgeführt, ist die Rückverfolgung zum Beschuldigten oft lückenhaft.
  • Geräte-Forensik: Lassen sich die auf dem sichergestellten Gerät gefundenen Spuren eindeutig dem Beschuldigten zuordnen — oder hatte eine andere Person Zugang?
  • Malware-Attribution: Die Zuordnung von Schadsoftware zu einem bestimmten Entwickler ist technisch anspruchsvoll und angreifbar. Code kann kopiert, modifiziert oder absichtlich mit falschen Attributionsspuren versehen werden.
  • Blockchain-Analyse: Auch Blockchain-Tracing hat Grenzen. Bei Nutzung von Mixing-Services, Privacy Coins oder dezentralen Börsen kann die Kette der Zuordnung durchbrochen sein.

Abgrenzung der Beteiligungsform

Insbesondere bei arbeitsteiligen RaaS-Strukturen lohnt sich eine genaü Prüfung, welche Beteiligungsform dem Beschuldigten nachgewiesen werden kann. Die Abgrenzung zwischen Mittäterschaft und Beihilfe — und damit der Unterschied zwischen voller Bestrafung und obligatorischer Strafmilderung — hängt von den Umständen des Einzelfalls ab. Hat der Mandant lediglich technische Infrastruktur bereitgestellt, ohne die konkreten Angriffe zu kennen? Lag ein gemeinsamer Tatplan vor, oder handelte der Mandant eigenständig und nur am Rande?

Verfahrensrechtliche Einwände

  • Verwertungsverbote: Wurden Beweismittel unter Verletzung von Verfahrensrechten erlangt — etwa durch eine rechtswidrige Durchsuchung oder unzulässige Telekommunikationsüberwachung —, können diese unter Umständen einem Verwertungsverbot unterliegen.
  • Zustellungsprobleme bei internationaler Rechtshilfe: Beweise, die im Wege der Rechtshilfe aus dem Ausland beschafft wurden, müssen den deutschen Verfahrensstandards genügen.
  • Sachverständigenbeweis: Fehlerhafte oder einseitige IT-Gutachten können durch Gegenexpertisen erschüttert werden. Ein erfahrener Verteidiger weiss, welche Sachverständigen in IT-Forensik und Blockchain-Analyse verlässliche Arbeit leisten.

Verfahrenseinstellung und Absprachen

Nicht jedes Ransomware-Verfahren endet mit einer Verurteilung. Je nach Beweislage und Umständen kommen in Betracht:

  • Einstellung nach § 170 Abs. 2 StPO bei unzureichendem Tatverdacht
  • Einstellung nach § 153 StPO bei geringer Schuld (seltener bei Ransomware)
  • Einstellung nach § 153a StPO gegen Auflagen (Geldzahlung, gemeinnützige Arbeit)
  • Verständigung im Hauptverfahren (§ 257c StPO), wenn ein Geständnis die Ermittlungen erheblich fördert — insbesondere bei Mitteilungen über weitere Beteiligte oder die technische Infrastruktur

Besonderheiten: Zahlung von Lösegeld

Eine häufige Frage betrifft die Strafbarkeit der Opfer, die Lösegeld zahlen. Nach geltendem Recht macht sich das Opfer grundsätzlich nicht strafbar, wenn es auf die Forderung eingeht. Allerdings gibt es Grauzonen: Unternehmen, die Lösegeld aus Versicherungsleistungen finanzieren, sehen sich zunehmender Kritik ausgesetzt, da solche Zahlungen das Geschäftsmodell der Angreifer stützen. Der Gesetzgeber diskutiert ein mögliches Zahlungsverbot, wie es in einigen anderen Ländern bereits besteht oder erwogen wird.

Für Beschuldigte kann umgekehrt relevant sein, ob und wie ein gezahltes Lösegeld bei der Schadensberechnung und Strafzumessung berücksichtigt wird. Die freiwillige Rückgabe erlangter Werte oder ein Tätigwerden zur Schadenswiedergutmachung können strafmildernd wirken.

Fazit

Ransomware und digitale Erpressung gehören zu den am intensivsten verfolgten Cybercrime-Delikten. Die Strafrahmen sind erheblich, die Ermittlungsmethoden werden stetig raffinierter, und die internationale Zusammenarbeit funktioniert zunehmend effektiv. Gleichzeitig bieten die technische Komplexität und die hohen Anforderungen an die Beweisführung erhebliche Verteidigungspotenziale.

Wer mit einem Ermittlungsverfahren wegen Ransomware konfrontiert ist, sollte zunächst schweigen und unverzüglich einen auf Cybercrime spezialisierten Strafverteidiger hinzuziehen. Die Weichen für den Ausgang des Verfahrens werden früh gestellt — oft bereits bei der Durchsuchung und den ersten Ermittlungshandlungen.

Dieser Artikel dient der allgemeinen Information und ersetzt keine individuelle Rechtsberatung. Jeder Fall liegt anders, und die strafrechtliche Bewertung hängt von den konkreten Umständen ab. Wenn Sie von einem Ermittlungsverfahren betroffen sind, wenden Sie sich bitte an einen Rechtsanwalt Ihres Vertrauens. Die Kanzlei erhard.rechtsanwälte steht Ihnen für eine vertrauliche Ersteinschätzung gerne zur Verfügung.

Ransomware digitale Erpressung Computersabotage § 303a StGB Kryptowährung
Weitere Artikel

Das könnte Sie auch interessieren

Strafrecht
Sportwettenbetrug (§ 265c StGB): Strafe, Tatbestand und Verteidigung im Ermittlungsverfahren
27. Februar 2026
Wirtschaftsstrafrecht
Gewässerverunreinigung nach § 324 StGB: Ursachen, Folgen und Verteidigungsstrategien
13. Mai 2025
Wirtschaftsstrafrecht
Bestechlichkeit und Bestechung im geschäftlichen Verkehr nach § 299 StGB – Was Sie wissen müssen
24. März 2025