Verlässliche Statistiken über das Gesamtvolumen gezahlter Cyberlösegelder sind Mangelware. Aber unbestritten ist: Die Erpressung von Unternehmen mit Ransomware ist ein riesiger und vor allem wachsender Markt. Gemessen an den Milliardenschäden ist das Thema noch viel zu wenig im öffentlichen Bewusstsein – und der Druck, das Problem digitaler Erpressungen systematisch anzugehen, noch viel zu gering.

Der offene Brief renommierter deutscher IT-Sicherheitsexperten ist dazu angetan, diesen notwendigen Druck zu erhöhen. Die IT-Forscher und Cyberspezialistinnen gehen die komplexe Gemengelage äußerst pragmatisch an: Sie haben sich einen essenziellen Aspekt der Problematik – die Lösegeldzahlungen – herausgegriffen und legen dafür ein Bündel konstruktiver Vorschläge auf den Tisch. Es ist wohlweislich kein generelles Verbot von Lösegeldzahlungen, das die Expertinnen und Experten fordern. Denn es mag Fälle geben, in denen es tatsächlich um die Existenz des Unternehmens geht und keine andere Möglichkeit gesehen wird. Die Unternehmenslenker, die ja Opfer sind, dann womöglich in die Kriminalität zu treiben, wäre nicht verhältnismäßig.

Sinnvoll ist es jedoch, das Zahlen von Lösegeld so unattraktiv wie möglich zu machen. Wenn sich fast die Hälfte der Unternehmen trotz anderslautender Empfehlungen von Polizeibehörden und IT-Sicherheitsfachleuten für eine Zahlung entscheidet, läuft etwas falsch.

Die Vorschläge, die jetzt auf dem Tisch liegen, scheinen gut geeignet, Lösegeldüberweisungen einzudämmen. Wer die Zahlungen an Kriminelle nicht mehr von der Steuer absetzen oder von seiner Versicherung decken lassen kann, dürfte einen noch stärkeren­ Anreiz haben, in die eigene IT-Sicherheit zu investieren. Die BaFin, die 2017 die Deckung von Lösegeldzahlungen nach Cyberangriffen ausdrücklich erlaubt hatte, sollte ihre Position angesichts der verschärften Lage nochmals überdenken. In Italien und Japan sind Cyberlösegelder übrigens prinzipiell nicht legal.

Der Umgang mit Lösegeld­zahlungen nach Hackerattacken ist jedoch nur ein Baustein im Kampf gegen die Angriffe auf Unternehmen, Institutionen und Bürger aus dem Cyberspace. Prävention­, eine gute Ausstattung von IT-Sicherheitsbehörden und forcierte und breitere Ermittlungen zu Cyberkrimi­nalität müssen eine schärfere Regulierung von Lösegeldzahlungen flankieren. Das alles kostet viel Geld. Doch das sind Investments, die sich langfristig auszahlen.