Freitag, 17:42 Uhr. Der ERP-Server antwortet nicht mehr. Auf jedem Bildschirm derselbe Text in schlechtem Englisch: 180.000 € in Bitcoin, 72 Stunden, sonst werden Kundendaten verkauft. Die Versicherung sagt am Telefon „bitte nichts entscheiden”. Ihr IT-Dienstleister sagt „Recovery dauert mindestens drei Wochen”. Montag ist der Liefertermin beim Großkunden — Vertragsstrafe, falls verpasst. Sie sind allein mit der Frage, die kein Berater Ihnen abnehmen wird: zahlen oder nicht?
Die ehrliche Antwort der Branche lautet: Es kommt darauf an. Das hilft Ihnen Freitagabend nicht. Was hilft, ist eine Entscheidungsmatrix, die Sie in der richtigen Reihenfolge abarbeiten — bevor Sie irgendetwas tun.
Was Sie nicht tun: panisch zahlen, panisch ignorieren, panisch den Server neu starten. Jede dieser Reaktionen vernichtet entweder Geld, Beweise oder beides. Die Matrix unten geht davon aus, dass Sie einen Krisenstab haben (Sie, IT-Verantwortlicher, Anwalt, Versicherer) — falls nicht, ist der erste Anruf Ihr Cyberversicherer. Mehr zum Sofort-Vorgehen finden Sie im Notfall-Guide Cyberangriff und im Incident-Response-Leitfaden.
Die Zahlen stammen aus dem BSI-Lagebericht zur IT-Sicherheit in Deutschland 2025. Die Zahlungsbereitschaft sinkt, weil mehr Unternehmen Backups und Übung haben. Die Forderungen steigen, weil die Erpresser sich auf weniger, dafür größere Hebel konzentrieren — vor allem auf Datenleaks zusätzlich zur Verschlüsselung.
Arbeiten Sie die Liste in dieser Reihenfolge ab. Nicht parallel, nicht nach Bauchgefühl. Kriterium 1 ist ein hartes K.-o.: Wenn dort ein Treffer kommt, ist die Diskussion vorbei.
| # | Kriterium | Konsequenz bei „Treffer” |
|---|---|---|
| 1 | Sanktionsliste OFAC / EU-FSF | Stop. Zahlung ist rechtswidrig. |
| 2 | Kriminelle Vereinigung erkennbar (§ 129 StGB) | Anwalt + BKA einschalten, Zahlung problematisch |
| 3 | Backup vorhanden und getestet | Zahlung in der Regel überflüssig |
| 4 | Time-to-Recovery vs. Time-to-Decrypt | Reine Wirtschaftlichkeitsfrage |
| 5 | Versicherung-Zustimmung + Selbstbehalt | Ohne Zustimmung kein Schutz |
| 6 | Datenabfluss / Exfiltration | Meldepflicht unabhängig von Zahlung |
| 7 | Reputation / Vertragsstrafen | Letzter, nicht erster Punkt |
Das US-Finanzministerium hat 2020 ausdrücklich klargestellt: Wer Lösegeld an eine sanktionierte Person oder Gruppe zahlt, verstößt gegen US-Sanktionen — auch als deutsches Unternehmen, sobald die Zahlung den US-Finanzraum berührt (was bei Bitcoin-Exchange-Konten praktisch immer der Fall ist). Die aktualisierte OFAC Ransomware Advisory und die EU-FSF-Listen sind hier eindeutig.
Konkret prüfen Sie:
Wenn die Erpressergruppe oder die angegebene Krypto-Wallet auf einer Sanktionsliste auftaucht. Das ist kein „Auslegungsspielraum" — das ist ein Verstoß gegen Außenwirtschaftsgesetz und EU-Sanktionsverordnungen mit Bußgeld- und Strafrahmen. Selbst wenn die Versicherung zahlen wollte: Der Versicherer darf es nicht.
Eine Zahlung an eine erkennbar kriminelle Vereinigung kann den Tatbestand der Unterstützung nach § 129 StGB erfüllen. Strafrechtlich betritt man hier dünnes Eis. In der Praxis wird die Zahlung an Ransomware-Gruppen selten verfolgt — aber sie ist eben nicht risikofrei. Spätestens wenn Strukturen wie Conti oder LockBit erkennbar sind, gehört der Anwalt vor die Überweisung.
Die meisten Geschäftsführer überschätzen das eigene Backup. Die Frage lautet nicht: „Haben wir Backups?” — die lautet: „Wann haben wir das letzte Mal eine vollständige Wiederherstellung getestet, und wie lange hat das gedauert?” Wenn die Antwort „weiß ich nicht” ist, ist es kein Backup, sondern eine Hoffnung.
Wer ein 3-2-1-Backup mit Offsite-Kopie hat, getestet, mit dokumentierter Restore-Zeit, braucht in 90 % der Fälle nicht zahlen. Wer das nicht hat, holt es jetzt nach — und nicht erst nach dem Vorfall. Vertiefung: Ransomware-Schutz in KMU.
Diese Rechnung machen Sie auf einer Serviette:
Der erste Anruf nach Krisenstab-Konstitution: der Versicherer. Nicht „informativ”, sondern formal: Schadensmeldung. Jede Handlung vor dieser Meldung — auch die Zahlung — kann den Deckungsschutz kosten.
Viele Cyberversicherungen haben in den letzten zwei Jahren die Lösegelddeckung gestrichen oder an Vorab-Genehmigung gebunden. Ein Selbstbehalt von 10 bis 25 Prozent ist Standard. Die Police prüft außerdem rückwirkend, ob alle Mindestmaßnahmen vorhanden waren — fehlt MFA auf einem Admin-Account, kann der gesamte Schutz entfallen. Mehr dazu in Cyberversicherung-Anforderungen für KMU.
Wenn die Erpresser nicht nur verschlüsselt, sondern Daten gestohlen haben (Double Extortion), gilt: Die Zahlung verhindert keine Meldepflicht. Art. 33 DSGVO tickt 72 Stunden, sobald Sie Kenntnis vom Datenabfluss haben. Die Zahlung garantiert auch nicht, dass die Daten wirklich gelöscht werden — wir haben Fälle gesehen, in denen Daten Monate später trotz Zahlung im Darknet auftauchten. Details: Datenpanne in 72 Stunden melden.
Erst jetzt, ganz am Ende, denken Sie an Reputation, Vertragsstrafen und Kundenkommunikation. Nicht weil das unwichtig wäre — sondern weil 1 bis 6 die rechtlichen Leitplanken sind. Wer aus Reputationssorge zahlt, obwohl Kriterium 1 ein Stop signalisiert, hat das doppelte Problem: schlechte Presse plus Strafverfahren.
Die schlimmsten Fälle, die wir sehen, sind nicht die, in denen jemand falsch entscheidet. Es sind die, in denen niemand entscheidet. Der Geschäftsführer hofft, dass die IT das löst, die IT hofft, dass die Versicherung das löst, die Versicherung wartet auf eine formale Meldung, die nie kommt. Drei Tage später ist die 72-Stunden-DSGVO-Frist verstrichen, das Backup-Window ist verbrannt, und das Lösegeld ist auf 240.000 Euro gestiegen. Die Matrix abzuarbeiten ist anstrengend — sie nicht abzuarbeiten ist teurer.
Jens HagelIT-Sicherheitsexperte bei frag.hugo
Lesetipp: Dieses Thema wird in unserem kostenlosen E-Book „CYBER-SICHER — Der IT-Sicherheits-Guide für den deutschen Mittelstand” (47 Seiten, 2026-Edition) ausführlich behandelt. Jetzt herunterladen →
Diesen Check macht der Krisenstab in den ersten 30 Minuten — bevor irgendjemand über die Bitcoin-Wallet redet.
Egal wie Sie sich entscheiden, der Anruf bei Behörden ist nicht optional. Die folgende Reihenfolge bewährt sich:
| Empfänger | Frist | Rechtsgrundlage | Wer macht es |
|---|---|---|---|
| Cyberversicherer | sofort | Police | Geschäftsführer |
| ZAC Polizei / LKA | so früh wie möglich | StPO | Geschäftsführer + Anwalt |
| BSI (Meldestelle) | 24 h bei NIS2 | NIS2UmsuCG / BSIG | IT-Verantwortlicher |
| Datenschutzbehörde (z. B. HmbBfDI) | 72 h | Art. 33 DSGVO | DSB / GF |
| Betroffene Personen | unverzüglich bei hohem Risiko | Art. 34 DSGVO | DSB / Marketing |
| Kammer (bei Berufsträgern) | unverzüglich | BORA / StBerG | Partner / GF |
Mehr zur 72-Stunden-Mechanik finden Sie unter Datenpanne melden — die 72-Stunden-Frist. Für KRITIS-/NIS2-Pflichtige ergänzend NIS2-Lieferketten-Compliance.
1. Schnell und still zahlen. Ohne Versicherer und ohne Sanktionscheck. Versicherungsschutz weg, Strafrecht ggf. dazu. Klassischer GF-Reflex am Freitagabend.
2. Server neu starten. Vernichtet Forensik-Spuren. Forensik ist Ihre Beweislast gegenüber Versicherer, Behörden, Kunden. Ohne Forensik keine Aufarbeitung.
3. Den Vorfall verschweigen. Funktioniert genau einmal nicht. Mitarbeiter, Dienstleister, Partner reden. Verspätete Meldungen werden härter sanktioniert als die ursprünglichen Verstöße.
Niemand außerhalb Ihres Unternehmens kann Ihnen die Zahlungsentscheidung abnehmen. Wir können Ihnen aber die Matrix geben, mit der Sie sie tragen können — vor sich selbst, vor dem Beirat, vor der Aufsichtsbehörde. Und vor allem: bevor der Erpresser-Countdown unter 24 Stunden fällt.
Wenn Sie die Matrix einmal vorab durchspielen wollen, bevor sie ernsthaft gebraucht wird, oder einen Notfallplan für den Krisenstab brauchen: Lassen Sie uns 15 Minuten reden. Mehr zum Thema finden Sie unter Hugo Shield — NIS2-Lieferketten-Compliance und im Notfall-Guide Cyberangriff.
Ransomware-Notfallplan, bevor er gebraucht wird?
In 15 Minuten gehen wir Ihre aktuelle Backup-Strategie, Versicherungsdeckung und Meldekette durch. Sie wissen danach, wo Sie im Ernstfall blank dastehen — und welche drei Schritte Sie diese Woche noch umsetzen können.
Erstgespräch buchen →Die Zahlung selbst ist nicht per se strafbar. Strafbar werden kann sie nach § 129 StGB (Unterstützung einer kriminellen Vereinigung) oder § 89c StGB (Terrorismusfinanzierung), wenn der Empfänger einer entsprechenden Gruppierung zuzuordnen ist. Hinzu kommen Sanktionsverstöße: Wer an eine Person auf der EU-FSF- oder OFAC-SDN-Liste zahlt, riskiert Bußgelder und Strafverfahren.
Erstens: Die Erpressergruppe (z. B. LockBit, BlackCat, Conti) auf sanctionslist.ofac.treas.gov und in der EU-FSF (Financial Sanctions Files via euscreening.eu oder dem EU-Konsolidierten-Sanktionsnamen-Tool) suchen. Zweitens: Die Wallet-Adresse aus der Erpresser-Notiz ebenfalls in der OFAC-Datenbank prüfen. Treffer = sofortiger Stopp, zahlen wäre ein Rechtsverstoß.
Manche Policen ja, viele inzwischen nicht mehr oder nur mit Vorab-Genehmigung. Die Versicherung muss vor jeder Zahlung in den Prozess eingebunden werden — sonst entfällt der Deckungsschutz. Selbstbehalte liegen typischerweise bei 10 bis 25 Prozent. Die Police prüft auch, ob alle Mindestmaßnahmen (MFA, Backups, Patch-Stand) vor dem Vorfall eingehalten waren.
Ja. Die Meldepflicht nach Art. 33 DSGVO (72 Stunden an die Aufsichtsbehörde) ist unabhängig davon, ob Sie zahlen oder nicht. Wenn personenbezogene Daten betroffen sind oder ein Datenabfluss (Exfiltration) erfolgte, ist die Meldung Pflicht. Die Zahlung garantiert weder, dass die Daten gelöscht werden, noch heilt sie die DSGVO-Verstöße.
Realistisch: Auch nach Zahlung dauert die Entschlüsselung 7 bis 21 Tage, weil die Tools der Erpresser oft instabil sind und nur seriell arbeiten. Eine saubere Backup-Wiederherstellung mit getesteter Strategie liegt erfahrungsgemäß bei 3 bis 14 Tagen. Wer kein getestetes Backup hat, verliert auch nach Zahlung Wochen — und Daten.
Die Datenschutzbehörde (HmbBfDI in Hamburg) innerhalb von 72 Stunden, wenn personenbezogene Daten betroffen sind. Das BSI über die Meldestelle, wenn Sie KRITIS- oder NIS2-pflichtig sind. Das LKA bzw. die ZAC (Zentrale Ansprechstelle Cybercrime) der Polizei für die Strafanzeige. Den Cyberversicherer vor jeder Handlung. Bei Berufsgeheimnisträgern zusätzlich die Kammer.
Erstens: Schweigend zahlen, ohne Versicherung und Behörden einzubinden — das kostet Versicherungsschutz und kann strafbar sein. Zweitens: Sofort den verschlüsselten Server neu starten und damit Forensik-Spuren vernichten. Drittens: Den Vorfall intern verbergen — nach NIS2 und DSGVO entstehen daraus zusätzliche Bußgeldtatbestände, oft höher als der ursprüngliche Schaden.
Inhaltsverzeichnis
Incident Response für Unternehmen: So reagieren Sie richtig auf Cyberangriffe und IT-Sicherheitsvorfälle. Notfallplan mit 6 Schritten + Checkliste.
Weiterlesen
Cyberangriff auf Klinik-Dienstleister: 60.000 Patientendaten weg. Was Geschäftsführer aus dem Vorfall lernen — und wie Sie Ihr Unternehmen in 7 Tagen absichern.
Weiterlesen
Welche ISMS-Software passt für 50–250-MA-Mittelstand? verinice (Open Source), opus i (BSI), secjur (Premium), Hugo (Sweet-Spot). Praxis-Vergleich + Pricing.
WeiterlesenÜber den Autor
Mitgründer & IT-Unternehmer
Jens führt seit Dezember 2004 die hagel IT-Services GmbH in Hamburg, heute 35+ Mitarbeitende. Mitgründer von frag.hugo Informationssicherheit und der SYNAPSE KI-Agentur. Mehrfach als „Deutschlands beste IT-Dienstleister" (statista / brand eins) ausgezeichnet.
Vier Klicks zum schriftlichen Festpreis-Angebot — oder direkt anrufen. Wir hören zu, sortieren Ihr Thema und sagen Ihnen ehrlich, ob wir helfen können.
Lieber erstmal schreiben? Kontaktformular
