Letzte Aktualisierung: 20. März 2026
Ransomware verursacht in Deutschland Schäden in Milliardenhöhe, und für viele Unternehmen stellt sich heute sehr konkret die Frage nach Lösegeldzahlung, rechtlichen Pflichten und Versicherungsschutz. Für das Keyword Ransomware Deutschland lautet die belastbare Kurzantwort: Zahlen ist nicht ausdrücklich verboten, aber rechtlich riskant; Meldepflichten nach NIS2, DSGVO und gegebenenfalls BSIG laufen oft binnen 24 bis 72 Stunden; und eine Cyberversicherung hilft nur, wenn Sicherheitsobliegenheiten und Meldefristen eingehalten wurden.
Der Handlungsdruck ist hoch. Das BSI beschreibt Ransomware seit Jahren als eine der größten operativen Cyberbedrohungen, und der Lagebericht 2024 verweist ausdrücklich auf teils monatelange Ausfälle und existenzgefährdende Folgen für Kommunen und Unternehmen. Parallel zeigen Markt- und Schadensdaten, dass Lösegeldforderungen im sechsstelligen Bereich für deutsche Unternehmen keine Ausnahme mehr sind. Wenn Sie die organisatorische Seite eines Vorfalls vertiefen wollen, lesen Sie ergänzend Krisenmanagement bei Cyberangriffen, den Beitrag AI Act, NIS2 und DSGVO im Vergleich und den Beitrag zur Geschäftsführer-Haftung bei Cyberangriffen.
Aktuelle Lage: Ransomware bleibt für deutsche Unternehmen existenzbedrohend
Ransomware bleibt in Deutschland deshalb so gefährlich, weil der Angriff selten nur Verschlüsselung bedeutet. In der Praxis dominieren Doppel- oder Mehrfacherpressungen: Systeme werden verschlüsselt, Daten kopiert und zusätzlich mit Veröffentlichung gedroht. Das BSI beobachtet genau dieses Muster auf Leak-Seiten der Tätergruppen und warnt, dass gerade mittelständische Unternehmen, Krankenhäuser, Kommunen und produktionsnahe Betriebe besonders verwundbar sind.
Für Entscheider sind drei Zahlen besonders relevant. Erstens zeigen aktuelle Erhebungen und Marktberichte, dass deutsche Unternehmen bei erfolgreichen Fällen häufig mit Forderungen von rund 250.000 EUR oder deutlich mehr konfrontiert werden. Zweitens liegt die typische Ausfall- und Wiederherstellungszeit nicht bei Stunden, sondern oft bei mehreren Wochen; in der Praxis werden regelmäßig etwa 21 bis 24 Tage genannt, bei komplexen Umgebungen auch mehr. Drittens ist der gesamtwirtschaftliche Schaden enorm: Schon frühere Bitkom-Erhebungen bezifferten den unmittelbaren Ransomware-Schaden in Deutschland auf über 24 Milliarden EUR, während der gesamte Cybercrime-Schaden der deutschen Wirtschaft inzwischen weit darüber liegt.
Für KMU ist der kritische Punkt nicht nur die Lösegeldsumme selbst. Entscheidend sind Produktionsstillstand, Lieferverzug, Vertragsstrafen, Forensik, Wiederaufbau, externe Kommunikation, mögliche Datenschutzverfahren und der Vertrauensverlust bei Kunden. Genau deshalb spricht das BSI bei Ransomware nicht bloß von einem IT-Problem, sondern faktisch von einer möglichen Existenzbedrohung.
Rechtslage bei Lösegeldzahlung: nicht pauschal verboten, aber rechtlich heikel
Eine Ransomware-Zahlung ist in Deutschland nach heutigem Stand nicht pauschal strafbar. Strafbar ist die Erpressung der Täter, typischerweise unter § 253 StGB, nicht das Opfer, das in einer Notsituation reagiert. Daraus folgt aber gerade keine rechtliche Entwarnung. Wer zahlt, bewegt sich in einer Risikozone aus Sanktionsrecht, möglicher Unterstützung krimineller Strukturen, Geldwäschebezug und späteren Haftungsfragen.
Das erste Risiko ist das Sanktionsrecht. Unternehmen müssen vor einer Zahlung prüfen, ob Wallets, Tätergruppen, Hintermänner oder bekannte Unterstützer auf EU-Sanktionslisten stehen oder in eng sanktionierten Jurisdiktionen verortet sind. Diese Prüfung ist besonders wichtig, weil eine Zahlung an sanktionierte Empfänger nicht als bloße betriebliche Notmaßnahme behandelt werden kann. Für beaufsichtigte Unternehmen kommt hinzu, dass die BaFin Cybervorfälle als gravierendes Aufsichtsrisiko behandelt und von Instituten belastbare Incident-, Risiko- und Kontrollprozesse erwartet. Eine BaFin-Freigabe für Lösegeldzahlungen gibt es nicht.
Das zweite Risiko ist die straf- und organisationsrechtliche Flanke. In der juristischen Diskussion wird immer wieder § 129 StGB genannt, also die Unterstützung krimineller Vereinigungen. Praktisch ist das Verfolgungsrisiko für Opfer nach bisheriger deutscher Linie gering. Dennoch müssen Geschäftsleitung und Berater sauber dokumentieren, warum eine Zahlung erwogen wurde, welche Alternativen bestanden und welche Notstandserwägungen im Raum standen. Wer später weder Prüfung noch Abwägung nachweisen kann, verschlechtert seine Verteidigungsposition erheblich.
Die dritte Ebene ist die behördliche Empfehlung. Das BSI empfiehlt ausdrücklich, nicht zu zahlen, weil Zahlung weder saubere Entschlüsselung noch Datenlöschung garantiert und das kriminelle Geschäftsmodell finanziert. Genau diesen Punkt sollte jedes Management ernst nehmen: Eine Zahlung ist keine Wiederherstellungsstrategie, sondern allenfalls eine riskante Ausnahmemaßnahme nach technischer, juristischer und sanktionsrechtlicher Prüfung.
Zahlung oder Nicht-Zahlung: Welche Option ist in der Praxis tragfähiger?
Die richtige Entscheidung hängt vom Einzelfall ab, aber die Vergleichslogik ist klar.
| Aspekt | Zahlung | Nicht-Zahlung | Empfehlung |
|---|---|---|---|
| Rechtliches Risiko | Sanktions-, Geldwäsche- und Haftungsrisiken steigen | geringer, aber Melde- und Dokumentationspflichten bleiben | grundsätzlich Nicht-Zahlung bevorzugen |
| Technische Sicherheit | keine Garantie auf Schlüssel oder saubere Entschlüsselung | Fokus auf Wiederherstellung aus Backups und Neuaufbau | technische Wiederherstellung priorisieren |
| Datenabfluss | keine verlässliche Garantie, dass Daten gelöscht werden | Exfiltration muss separat bewertet und behandelt werden | Exfiltration immer als eigenes Risiko behandeln |
| Reputationswirkung | kann bei späterem Bekanntwerden negativ wirken | zeigt eher Resilienz und Compliance-Fokus | Kommunikationsstrategie vorbereiten |
| Versicherungswirkung | kann gedeckt sein, aber nur nach Policelogik | Wiederherstellung und Forensik meist leichter abbildbar | Police und Meldefristen früh prüfen |
| Strategische Wirkung | finanziert das Geschäftsmodell der Täter | stärkt Präventions- und Recovery-Ansatz | BSI-Empfehlung folgen und nicht zahlen |
Die Tabelle zeigt den Kern: Zahlung kann kurzfristig attraktiv wirken, löst aber die Hauptprobleme selten sauber. Wenn Backups kompromittiert, Produktionslinien stillgelegt oder Patientendaten betroffen sind, entsteht schnell Druck. Trotzdem ist die bessere Standardstrategie fast immer, Systeme zu isolieren, Beweise zu sichern, aus sauberen Backups wiederherzustellen und parallel Rechts-, Melde- und Versicherungsfragen zu strukturieren. Für die Leitungsseite ist in diesem Zusammenhang auch Organhaftung bei IT-Sicherheit relevant.
Meldepflichten: NIS2, DSGVO und BSIG laufen parallel
Ransomware löst in Deutschland häufig nicht eine einzige Meldepflicht aus, sondern mehrere. NIS2-pflichtige Einrichtungen müssen erhebliche Vorfälle gestuft melden, typischerweise mit Frühwarnung innerhalb von 24 Stunden, einer vertieften Meldung innerhalb von 72 Stunden und einem Abschlussbericht binnen eines Monats. Maßgeblich ist unionsrechtlich Art. 23 NIS2; in Deutschland laufen die Meldewege über das BSI beziehungsweise das einschlägige nationale Regime.
Wenn personenbezogene Daten betroffen sind, kommt zusätzlich Art. 33 DSGVO ins Spiel. Dann muss die zuständige Datenschutzaufsicht grundsätzlich binnen 72 Stunden informiert werden, sofern ein Risiko für Rechte und Freiheiten natürlicher Personen besteht. Liegt ein hohes Risiko vor, greift außerdem Art. 34 DSGVO mit der Pflicht zur Benachrichtigung der Betroffenen. Gerade bei Ransomware mit Exfiltration ist diese Schwelle schnell erreicht.
Für KRITIS- und andere regulierte Konstellationen nach BSIG können daneben zusätzliche oder speziellere Meldepflichten greifen, klassisch mit engem Bezug zu § 8b BSIG. Praktisch entscheidend ist deshalb nicht die theoretische Paragrafendiskussion, sondern ein belastbarer Incident-Workflow: Wer prüft den Vorfall? Wer bewertet Erheblichkeit und Datenschutzbezug? Wer meldet an BSI, Aufsicht, Versicherer und gegebenenfalls Strafverfolgungsbehörden? Genau diese Fragen beantwortet eine saubere Incident-Response- und Krisenlogik, wie sie der Beitrag zu Krisenmanagement bei Cyberangriffen beschreibt.
Ein häufiger Fehler ist das Warten auf vollständige technische Gewissheit. Das ist falsch. Weder NIS2 noch DSGVO verlangen, dass in den ersten 24 oder 72 Stunden bereits jede Ursache abschließend geklärt ist. Gefordert ist eine frühe, nachvollziehbare Erstbewertung mit anschließender Fortschreibung.
Eine gesonderte Strafanzeige bei Polizei oder BKA ist demgegenüber meist nicht in jedem Fall zwingend, aber häufig sinnvoll. Sie schafft eine frühe Beweisspur, kann bei späteren Streitigkeiten mit Kunden, Versicherern oder Aufsichtsbehörden helfen und verbessert die Dokumentation, dass das Unternehmen nicht passiv geblieben ist. Gerade bei Doppelerpressung, Lieferkettenbezug oder Verdacht auf internationale Tätergruppen sollte diese Option früh mit Rechtsbeistand geprüft werden.
Cyberversicherung und Ransomware: Deckung nur mit sauberer Compliance
Cyberversicherungen decken bei Ransomware häufig mehr als nur unmittelbare Erpressungskosten. Typischerweise erfasst sind Forensik, Systemwiederherstellung, Betriebsunterbrechung, Krisenkommunikation, Rechtsberatung, Notification-Kosten und je nach Police auch Verhandlungen oder Lösegeldzahlungen. Entscheidend ist aber der Bedingungstext. Die Frage lautet nicht, ob das Produkt „Cyberversicherung“ heißt, sondern welche Sicherheitsobliegenheiten vereinbart wurden.
Gerade bei Ransomware werden Streitpunkte schnell sichtbar. Versicherer prüfen regelmäßig, ob Mehrfaktor-Authentifizierung vertraglich zugesagt war, ob kritische Schwachstellen gepatcht wurden, ob Backups vorhanden und getestet waren und ob die Meldefrist aus der Police eingehalten wurde. Verspätete Schadenmeldung, fehlende MFA oder grobe Sicherheitslücken führen häufig zu Deckungsstreit. Wer die Governance-Seite vertiefen will, sollte auch die Perspektive der D&O-Versicherung bei Cybersecurity mitdenken.
Für Unternehmen heißt das praktisch: Die Police muss schon vor dem Vorfall gelesen werden. Im Incident selbst sollte der Versicherer regelmäßig innerhalb von 24 bis 72 Stunden informiert werden, je nach Vertrag. Wichtig sind eine saubere Timeline, belastbare Impact-Angaben, gesicherte Beweise und abgestimmte Kommunikation. Die Rechtsprechung, etwa die oft zitierte Entscheidung des Landgerichts Tübingen aus 2023, zeigt zwar, dass Versicherer Deckung nicht beliebig mit pauschalen Fahrlässigkeitsvorwürfen verweigern können. Darauf verlassen sollte man sich trotzdem nicht.
Typische Ausschlüsse und Reduktionsrisiken sollten Unternehmen nüchtern kennen. Problematisch sind vor allem unzutreffende Risikodarstellungen beim Vertragsschluss, fehlende Umsetzung ausdrücklich vereinbarter Sicherheitsstandards, verspätete Einbindung des Versicherers und eigenmächtige Verhandlungen mit Tätern. Viele Policen verlangen außerdem, dass externe Forensik, Krisendienstleister oder spezialisierte Verhandler über das Versicherernetzwerk eingebunden werden. Wer diese Kette ignoriert, riskiert nicht nur operative Fehler, sondern auch Diskussionen über die Erstattungsfähigkeit einzelner Kosten.
Prävention: Die wirksamsten Maßnahmen gegen Ransomware
Ransomware lässt sich nicht mit einer Einzelmaßnahme beherrschen. Das BSI empfiehlt einen Bündelansatz aus Backup-Strategie, Zugangsschutz, Härtung und Schulung. Für Unternehmen ist das wichtigste Minimum ein konsequentes 3-2-1-Backup-Modell: mindestens drei Kopien, auf zwei unterschiedlichen Medientypen, davon eine Kopie offline oder anderweitig vom produktiven Netz getrennt. Ohne getestete Wiederherstellung bleibt aber auch ein Backup-Konzept bloße Theorie.
Ebenso wichtig ist Netzwerksegmentierung. Wer Büro-IT, Server, Identitätsdienste, OT, Backup-Infrastruktur und administrative Konten nicht sauber trennt, ermöglicht laterale Bewegung und vervielfacht den Schaden. Segmentierung verhindert nicht jeden Erstzugriff, reduziert aber die Wahrscheinlichkeit, dass aus einem kompromittierten Konto ein Totalausfall wird.
Patch-Management ist die dritte Basiskontrolle. Viele Ransomware-Gruppen nutzen bekannte Schwachstellen in VPNs, Firewalls, File-Transfer-Systemen oder Identitätsdiensten. Kritische Sicherheitsupdates gehören deshalb in einen priorisierten Prozess mit klaren Fristen, nicht in den allgemeinen IT-Rückstau. Parallel dazu bleibt MFA ein Pflichtbaustein, vor allem für privilegierte Zugänge, Remote-Zugänge, M365-Umgebungen, Admin-Portale und VPN.
Der vierte Hebel ist Mitarbeiterschulung. Phishing, Social Engineering, gefälschte Support-Fälle und gestohlene Zugangsdaten bleiben typische Eintrittspfade. Unternehmen brauchen deshalb nicht nur Awareness-Kampagnen, sondern rollenbezogene Schulung für Helpdesk, Führungskräfte, Finance, HR und Administratoren. Genau an dieser Schnittstelle zwischen Technik, Governance und dokumentierter Verantwortlichkeit setzt auch die EU AI Act Schulung an, wenn Unternehmen ihre Management- und Nachweisstrukturen insgesamt stärken wollen.
Ebenso wichtig ist ein realistischer Wiederanlaufplan. Viele Unternehmen verfügen über Backups, kennen aber ihre tatsächlichen Restore-Zeiten nicht, haben keine priorisierte Liste kritischer Dienste und testen die Rückkehr in den Regelbetrieb zu selten. Bei Ransomware entscheidet genau das über den Unterschied zwischen einem beherrschbaren Vorfall und mehreren Wochen Stillstand. Wer Backup, Notbetrieb, Kommunikationslinie und Management-Freigaben zusammen testet, reduziert die Angriffswirkung erheblich.
Incident Response Plan: 6 Schritte bei einem aktiven Ransomware-Befall
Bei einem aktiven Ransomware-Angriff entscheidet die erste Stunde oft über Schadenhöhe, Meldefähigkeit und Beweislage. Der Ablauf sollte deshalb vorab feststehen.
- Isolieren: Trennen Sie betroffene Systeme, Netzsegmente und kompromittierte Konten sofort vom Netz, ohne vorschnell Beweise zu zerstören.
- Beweise sichern: Sichern Sie Logs, Speicherstände, Lösegeldforderungen, Chatverläufe, IOC-Daten und forensisch relevante Artefakte.
- Krisenstab aktivieren: Binden Sie IT, Geschäftsleitung, Datenschutz, Recht, Kommunikation, Forensik und Cyberversicherer unverzüglich ein.
- Meldepflichten prüfen: Starten Sie parallel die 24h-/72h-Prüfung für NIS2, DSGVO, BSIG und Policemeldung; dokumentieren Sie jede Entscheidung.
- Recovery vorbereiten: Bewerten Sie saubere Backups, kritische Dienste, Prioritäten und Wiederanlaufreihenfolge; Neuaufbau geht vor blindes Entschlüsseln.
- Nachbereitung erzwingen: Führen Sie Root-Cause-Analyse, Maßnahmenplan, Management-Review und Nachschulung durch, bevor der Vorfall als beendet gilt.
Diese sechs Schritte sind kein IT-Sonderthema, sondern Unternehmensführung unter Zeitdruck. Gerade deshalb sollten Management, Fachbereiche und Sicherheitsverantwortliche denselben Notfallablauf kennen. Wer noch keinen belastbaren Standard hat, findet die organisatorische Vertiefung in Krisenmanagement bei Cyberangriffen.
Fazit: Ransomware in Deutschland verlangt juristische und operative Disziplin
Ransomware in Deutschland ist kein Spezialproblem einzelner Konzerne mehr, sondern ein reales Geschäftsrisiko für Mittelstand, regulierte Branchen und kommunalnahe Strukturen. Die Kernregel lautet: Nicht zuerst über Zahlung nachdenken, sondern über Isolation, Beweissicherung, Meldefristen, Recovery und Versicherungsobliegenheiten. Rechtlich ist Lösegeldzahlung nicht pauschal verboten, aber sie bleibt eine riskante Ausnahme ohne Garantie auf saubere Entschlüsselung oder Datenlöschung.
Unternehmen sollten deshalb vor dem Vorfall drei Dinge sauber aufsetzen: getestete Backups, klare Incident- und Meldeprozesse sowie dokumentierte Schulung für Management und Schlüsselrollen. Wenn Sie Governance, Verantwortlichkeiten und Nachweisfähigkeit im Unternehmen strukturiert verbessern wollen, ist die EU AI Act Schulung ein pragmatischer Einstieg für Führungskräfte und Teams, die Sicherheit, Compliance und dokumentierte Zuständigkeit zusammen denken müssen.