Unabhängiges Informationsangebot. Nicht verbunden mit dem Bundeskriminalamt, der Polizei oder einer anderen Behörde.
BKA-Trojaner.de Logo
Erste Hilfe

Sollte man Lösegeld zahlen?

Eine Lösegeldforderung wirkt im ersten Moment wie der schnellste Ausweg. In der Realität ist sie es selten. BSI, BKA und andere Strafverfolgungsbehörden raten konsequent davon ab - aus guten Gründen. Diese Seite ordnet die Frage ruhig ein, ohne Pauschalurteile und ohne Garantieversprechen in die andere Richtung.

Unabhängiges Informationsangebot. Nicht verbunden mit dem Bundeskriminalamt, der Polizei oder einer anderen Behörde. Im Notfall bitte Polizei, BSI oder einen spezialisierten IT-Dienstleister einbinden. Diese Inhalte ersetzen keine professionelle Incident-Response-, Forensik-, Rechts- oder IT-Beratung.

Kurze Einordnung

Eine Zahlung an Erpresser ist keine technische Lösung, sondern eine geschäftliche und rechtliche Entscheidung mit erheblichen Folgen. Sie löst kein Vertrauensproblem in der eigenen Infrastruktur und schließt keine Sicherheitslücke. Sie verschiebt die Frage 'Wie kommen wir wieder in einen sicheren Betrieb?' nur nach hinten.

Im Privatumfeld lautet die ehrliche Antwort fast immer: nicht zahlen. Im Unternehmen ist die Lage komplexer, gehört aber niemals in einen spontanen Reflex.

Das Wichtigste in Kürze

  • Eine Zahlung ist nie eine Garantie für funktionierende Decryptoren
  • Auch nach Zahlung können gestohlene Daten veröffentlicht oder weiterverkauft werden
  • Je nach Empfänger und Sanktionslage kann eine Zahlung rechtliche Probleme verursachen
  • Im Unternehmen ist es keine IT-Entscheidung, sondern Sache der Geschäftsleitung mit Rechtsberatung
  • Realistische Alternativen sollten in jedem Fall zuerst geprüft werden

Warum eine Zahlung riskant ist

  • Es ist nicht garantiert, dass nach einer Zahlung überhaupt ein Decryptor geliefert wird
  • Gelieferte Decryptoren sind oft fehlerhaft, langsam oder nicht für alle Dateien wirksam
  • Auch nach Zahlung können exfiltrierte Daten weiterverkauft oder veröffentlicht werden
  • Zahlende Opfer gelten in der Szene als attraktive Ziele und werden überdurchschnittlich oft erneut angegriffen
  • Zahlungen finanzieren direkt die nächste Angriffswelle und ganze kriminelle Strukturen
  • Je nach sanktioniertem Empfänger drohen straf- und außenwirtschaftsrechtliche Konsequenzen

Warum eine Zahlung keine Garantie ist

Selbst wenn Angreifer einen funktionierenden Decryptor liefern, bleibt die zugrunde liegende Kompromittierung bestehen. Hintertüren, gestohlene Zugangsdaten und manipulierte Konten verschwinden mit einer Zahlung nicht. Ohne saubere Bereinigung ist eine Wiederverschlüsselung möglich.

Auch das Versprechen 'wir löschen die gestohlenen Daten' lässt sich nicht überprüfen. In dokumentierten Fällen tauchten Daten Monate später trotzdem in Leak-Portalen auf.

Warum Unternehmen den Fall umfassend prüfen müssen

Eine Lösegeldentscheidung in einem Unternehmen ist niemals eine Entscheidung der IT-Abteilung allein. Sie betrifft Geschäftsleitung, IT-Sicherheit, Datenschutz, Rechtsabteilung, Cyber-Versicherung und in vielen Fällen die Strafverfolgungsbehörden. Steuerliche, bilanzielle und reputative Aspekte gehören dazu.

Hinzu kommen Meldepflichten nach DSGVO und branchenspezifischen Regelungen (z. B. KRITIS, NIS2, MaRisk, BAIT). Eine Zahlung ändert an diesen Pflichten nichts. Die Frage ist nie 'zahlen, dann ist es vorbei', sondern 'wie kommen wir geordnet, rechtssicher und nachhaltig aus dem Vorfall heraus'.

Warum vorschnelle Kontaktaufnahme problematisch ist

Sobald jemand auf das Erpresser-Portal klickt, Chats öffnet oder eine angebotene 'Verhandlungslinie' nutzt, signalisiert das den Tätern Zahlungsbereitschaft. Forderungen können steigen, Fristen verkürzt werden und der eigene Verhandlungsspielraum sinkt.

Auch das versehentliche Öffnen einer Tor-Adresse aus der Erpressernotiz kann technische Spuren hinterlassen. Im Unternehmen ist die Kontaktaufnahme deshalb klar zu regeln und gehört in die Hand erfahrener Verhandler oder spezialisierter Dienstleister, niemals in den Reflex eines einzelnen Mitarbeiters.

Welche Alternativen zuerst geprüft werden sollten

  • Geprüfte, offline gehaltene Backups einspielen - nach gründlicher Bereinigung
  • Prüfen, ob für die Ransomware-Familie ein offizieller Decryptor existiert (z. B. über No More Ransom)
  • Spezialisierten Incident-Response- bzw. DFIR-Dienstleister einbinden
  • Anzeige bei der Polizei erstatten und mit Strafverfolgungsbehörden kooperieren
  • Datenrettung durch Spezialisten für besonders kritische Einzeldateien prüfen
  • Im Unternehmen: Geschäftsleitung, Datenschutz, Rechtsabteilung und Cyber-Versicherung einbinden

Was Sie vermeiden sollten

  • Keine spontane Zahlung unter Zeitdruck oder aus Scham
  • Keine eigenmächtige Kontaktaufnahme mit Erpressern
  • Keine Zahlung an offensichtlich sanktionierte Empfänger
  • Keine Kommunikation über private Kanäle ohne Dokumentation
  • Keine vorschnellen öffentlichen Aussagen, bevor der Sachverhalt feststeht

Wann es ein echter Notfall ist

  • Eine Zahlungsfrist läuft, ohne dass eine fundierte Entscheidung getroffen wurde
  • Es wurden bereits Verhandlungen aufgenommen, ohne professionelle Begleitung
  • Eine Zahlung wurde bereits geleistet und der Decryptor funktioniert nicht
  • Gestohlene Daten wurden öffentlich angedroht oder bereits geleakt

Wann es eher Browser-Scareware sein könnte

In diesem Fall handelt es sich nicht um echte Ransomware. Die Seite PC gesperrt und Browser gesperrt sind dann die passenderen Anlaufpunkte.

  • Die 'Lösegeldforderung' erscheint nur als Pop-up im Browser
  • Es gibt keine verschlüsselten Dateien und keine Erpresser-Datei im System
  • Die Forderung verschwindet nach Beenden des Browsers vollständig

Welche Informationen Sie sichern sollten

  • Erpresserschreiben im Original (Datei und Screenshot)
  • Genaue Zahlungsforderung, Frist, Wallet- oder Kontoinformationen
  • Alle Kommunikationswege, die in der Forderung genannt werden
  • Zeitstempel jeder Aktion (Sichten, Öffnen, Klicks, interne Entscheidungen)
  • Im Unternehmen: Entscheidungsprotokoll mit Beteiligten und Begründungen

Wann professionelle Hilfe sinnvoll ist

Geeignete Ansprechpartner sind spezialisierte IT-Sicherheits- und DFIR-Dienstleister, Anwältinnen und Anwälte mit Schwerpunkt IT- und Datenschutzrecht sowie die zuständigen Strafverfolgungsbehörden. Im Unternehmen ergänzt die Cyber-Versicherung das Bild.

  • In jedem Unternehmensfall, in dem eine Zahlung auch nur erwogen wird
  • Sobald Verhandlungen geführt werden sollen
  • Wenn Sanktionsfragen oder grenzüberschreitende Empfänger im Spiel sind
  • Wenn Daten zusätzlich gestohlen wurden oder die Veröffentlichung droht
  • Wenn unklar ist, ob die Cyber-Versicherung greift

Wichtiger Hinweis

Diese Seite ersetzt keine juristische, steuerliche oder versicherungsrechtliche Beratung. Sie ist eine Einordnung für Betroffene, keine Handlungsempfehlung im Einzelfall. Im konkreten Fall sind spezialisierte Anwältinnen und Anwälte, Incident-Response-Dienstleister und Behörden die richtigen Ansprechpartner.

Häufige Fragen

Bekomme ich nach Zahlung garantiert meine Daten zurück?

Nein. Es gibt weder eine technische noch eine rechtliche Garantie. Es existieren dokumentierte Fälle, in denen Decryptoren nicht funktionierten oder gestohlene Daten trotz Zahlung veröffentlicht wurden.

Ist eine Lösegeldzahlung in Deutschland verboten?

Pauschal nicht, aber je nach Empfänger und Sanktionslage können Zahlungen strafbar oder unzulässig sein. Diese Frage gehört zwingend in eine juristische Prüfung, idealerweise vor jeder Kontaktaufnahme mit den Erpressern.

Wer entscheidet im Unternehmen über eine mögliche Zahlung?

Niemals allein die IT. Eine solche Entscheidung trifft die Geschäftsleitung gemeinsam mit IT-Sicherheit, Datenschutz, Rechtsabteilung und in der Regel der Cyber-Versicherung sowie nach Rücksprache mit den Strafverfolgungsbehörden.

Gibt es eine Alternative, wenn keine Backups existieren?

Manchmal hilft ein offizieller Decryptor über No More Ransom, manchmal Datenrettung durch Spezialisten. In anderen Fällen bleibt nur ein vollständiger Neuaufbau mit Lessons Learned. Auch dann ist eine Zahlung selten der bessere Weg.

Was passiert, wenn ich aus Reflex schon Kontakt aufgenommen habe?

Dann ist es umso wichtiger, ab sofort strukturiert vorzugehen: keine weiteren Eigenkontakte, Dokumentation aller bisherigen Schritte und Einbindung eines spezialisierten Dienstleisters oder einer Anwaltskanzlei mit Erfahrung in Ransomware-Verhandlungen.

Sollte ich der Versicherung von einer Zahlungsüberlegung erzählen?

Ja. Eine Cyber-Versicherung sollte so früh wie möglich eingebunden werden. Sie hat in der Regel klare Vorgaben für den Umgang mit Forderungen und kann sonst Leistungen einschränken oder ablehnen.