Logo C.F. Müller
Ransomware-Attacken

Aus wistra 11/2022

Sog. Ransomware-Attacken sind im Bundestag thematisiert worden (BT-Drucks. 20/2926). Es geht dabei um Erpressungsvorfälle, bei denen gekaperte Unternehmensdaten gegen Zahlung eines Lösegeldes (englisch: ransom, daher der Begriff der Ransomware) wieder „freigeschaltet“ werden. Die Bundesregierung spricht sich dafür aus, Zahlungsaufforderungen im Falle von Ransomware-Angriffen nicht Folge zu leisten, denn das Zahlen von Lösegeld unterstütze kriminelle Akteure und finanziere weitere Straftaten. Zudem sei das Wiederherstellen der verschlüsselten Daten auch durch das Nachkommen der Zahlungsforderung nicht garantiert.

Ein Großteil der im Parlament gestellt Fragen ist durch die Bundesregierung allerdings nicht beantwortet worden. Begründet wird dies wie folgt:

„Nach der Allgemeinen Verwaltungsvorschrift zum materiellen Geheimschutz (Verschlusssachenanweisung, VSA) sind Informationen, deren Kenntnisnahme durch Unbefugte für die Interessen der Bundesrepublik Deutschland oder eines ihrer Länder nachteilig sein können, entsprechend einzustufen. Eine zur Veröffentlichung bestimmte Antwort der Bundesregierung auf diese Frage würde Informationen zu den Fähigkeiten und Methoden sowie der Erkenntnislage des Bundesnachrichtendienstes (BND) einem nicht eingrenzbaren Personenkreis nicht nur im Inland, sondern auch im Ausland zugänglich machen. Eine solche Veröffentlichung von Einzelheiten ist daher geeignet, zu einer wesentlichen Verschlechterung der dem BND zur Verfügung stehenden Möglichkeiten der Informationsgewinnung zu führen. Dies kann für die wirksame Erfüllung der gesetzlichen Aufgaben der Nachrichtendienste und damit für die Interessen der Bundesrepublik Deutschland nachteilig sein. Diese Informationen werden daher als ‚VS – Nur für den Dienstgebrauch‘ eingestuft und dem Deutschen Bundestag gesondert übermittelt.“

Im Hinblick auf den Bundesnachrichtendienst heißt es insoweit:

„Die Antwort auf die Frage nach der Betroffenheit des BND durch Ransomware-Attacken betrifft Informationen, die in besonders hohem Maße das Staatswohl berühren und daher selbst in eingestufter Form nicht beantwortet werden können. Das verfassungsrechtlich verbürgte Frage- und Informationsrecht des Deutschen Bundestages gegenüber der Bundesregierung wird durch gleichfalls Verfassungsrecht genießende schutzwürdige Interessen wie das Staatswohl begrenzt. Eine Offenlegung der angefragten Informationen birgt die Gefahr, dass Einzelheiten zur konkreten Methodik und zu im hohen Maße schutzwürdigen spezifischen Fähigkeiten des BND sowie zu IT-Infrastrukturen bekannt würden. Infolgedessen könnten sowohl staatliche als auch nichtstaatliche Akteure Rückschlüsse auf spezifische Vorgehensweisen und Fähigkeiten des BND ziehen. Dies könnte folgenschwere Einschränkungen der Informationsgewinnung zur Folge haben, womit letztlich der gesetzliche Auftrag des BND – die Sammlung und Auswertung von Informationen über das Ausland, die von außen- und sicherheitspolitischer Bedeutung für die Bundesrepublik Deutschland sind (§ 1 Absatz 2 des Gesetzes über den Bundesnachrichtendienst [BNDG]) – nicht mehr sachgerecht erfüllt werden könnte. Die Gewinnung von auslandsbezogenen Informationen ist für die Sicherheit der Bundesrepublik Deutschland und für die Aufgabenerfüllung des BND jedoch unerlässlich. Sofern solche Informationen entfallen oder wesentlich zurückgehen sollten, würden empfindliche Informationslücken auch im Hinblick auf die Sicherheitslage der Bundesrepublik Deutschland drohen.

Selbst eine VS-Einstufung und Hinterlegung der angefragten Informationen in der Geheimschutzstelle des Deutschen Bundestages würde ihrer erheblichen Brisanz im Hinblick auf die Bedeutung für die Aufgabenerfüllung des BND nicht ausreichend Rechnung tragen. Die angefragten Inhalte beschreiben die Fähigkeiten und Arbeitsweisen des BND so detailliert, dass eine Bekanntgabe auch gegenüber einem begrenzten Kreis von Empfängern ihrem Schutzbedürfnis nicht Rechnung tragen kann. Bei einem Bekanntwerden der schutzbedürftigen Information wäre kein Ersatz durch andere Instrumente der Informationsgewinnung möglich.

Aus dem Vorgesagten ergibt sich, dass die erbetenen Informationen derart schutzbedürftige Geheimhaltungsinteressen berühren, dass das Staatswohl gegenüber dem parlamentarischen Informationsrecht wesentlich überwiegt. Insofern muss ausnahmsweise das Fragerecht der Abgeordneten gegenüber dem Geheimhaltungsinteresse der Bundesregierung zurückstehen. Dabei ist der Umstand, dass die Antwort verweigert wird, weder als Bestätigung noch als Verneinung des angefragten Sachverhalts zu werten.“

Lösegeldzahlungen eines Unternehmens im Falle eines Ransomware-Angriffs können – so führt die Bundesregierung aus – nach der derzeitigen Rechtslage nicht nach § 33 EStG als außergewöhnliche Belastungen berücksichtigt werden. Die Bundesregierung prüfe gegenwärtig, ob Regelungsbedarf bezüglich Lösegeldzahlungen im Zusammenhang mit Ransomware-Angriffen besteht. Neben den Meldepflichten des § 4 des Gesetzes über das Bundesamt für Sicherheit in der Informationstechnik (BSIG) bestünden bereits heute auch in der Finanzmarktbranche entsprechende Vorgaben. Demnach müssen Zahlungsdienstleister bereits seit 2017 schwerwiegende Betriebs- und Sicherheitsvorfälle der BaFin melden; gesetzliche Grundlage hierfür sei das Zahlungsdiensteaufsichtsgesetz (ZAG).

Das ZAG setzt die Vorgaben der vollharmonisierten Zweiten Zahlungsdiensterichtlinie (Payment Service Directive = PSD 2) um. Diese Meldepflichten umfassen auch Ransomware-Attacken. Dabei muss jedoch nicht angegeben werden, ob im Zusammenhang mit Ransomware-Angriffen Lösegeld gezahlt wurde. Allerdings kann die BaFin – so merkt die Bundesregierung an – einzelfallbezogen die Hintergründe der gemeldeten Vorfälle im Rahmen ihres Auskunftsrechts ermitteln. Mit dem Digital Operational Resilience Act (DORA), einer EU-Verordnung zur Stärkung der operationellen Resilienz im Finanzsektor, die voraussichtlich Ende 2022 in Kraft treten und dann innerhalb von zwei Jahren anzuwenden sein wird, werden alle Finanzdienstleister zur Meldung von Sicherheitsvorfällen an die BaFin verpflichtet.

Rechtsanwalt Prof. Dr. Carsten Wegner, Berlin


Verlag C.F. Müller

zurück zur vorherigen Seite