Rotter-Symbolbild

Zahlen oder nicht zahlen? Warum Cyber-Erpressung längst mehr ist als ein IT-Problem

Ein Expertenbeitrag von Dr. Markus Rotter

Cyberangriffe gehören inzwischen zu den größten Geschäftsrisiken unserer Zeit. Besonders gefürchtet sind sogenannte Ransomware-Angriffe: Kriminelle verschlüsseln IT-Systeme, blockieren den Zugriff auf Dateien und verlangen anschließend Lösegeld. Für betroffene Unternehmen ist das längst keine bloße technische Störung mehr. Ein solcher Angriff kann den gesamten Betrieb lahmlegen, vertrauliche Daten gefährden und innerhalb weniger Stunden existentielle Entscheidungen erzwingen.

Dabei geht es nicht nur um die Frage, ob Server wiederhergestellt oder Daten entschlüsselt werden können. Cyber-Erpressung berührt zugleich Versicherungsschutz, Krisenkommunikation, Datenschutz, Strafverfolgung und am Ende auch das Steuerrecht. Gerade diese Verknüpfung macht dieses Thema für Unternehmen so anspruchsvoll.

Wenn der Betrieb plötzlich stillsteht
Ein Ransomware-Angriff beginnt in der Praxis häufig unscheinbar. E-Mails lassen sich nicht abrufen, Programme starten nicht, Kalender sind nicht erreichbar oder Dateien können nicht geöffnet werden. Was zunächst wie ein gewöhnliches IT-Problem wirkt, entpuppt sich kurze Zeit später als gezielter Angriff.

In vielen Fällen haben die Täter die Systeme nicht nur verschlüsselt, sondern zuvor auch Daten kopiert. Damit entsteht eine doppelte Drucksituation. Einerseits kann das Unternehmen nicht oder nur eingeschränkt weiterarbeiten. Andererseits droht die Veröffentlichung sensibler Informationen: Kundendaten, Mandatsunterlagen, interne Kalkulationen, Personalunterlagen oder Geschäftsgeheimnisse.

Für Unternehmen, Kanzleien oder Praxen ist das besonders heikel. Dort beruht das Geschäftsmodell nicht allein auf Organisation und Technik, sondern auf Vertrauen, gerade zum Thema Geld. Wenn vertrauliche Daten betroffen sind, steht deshalb nicht nur die Arbeitsfähigkeit auf dem Spiel, sondern auch die Reputation.

Warum die ersten Stunden entscheidend sind
Nach einem Angriff kommt es auf schnelles, aber besonnenes Handeln an. Falsche Eigenversuche können die Lage verschlimmern, Spuren vernichten oder eine spätere Wiederherstellung erschweren. Deshalb sollten betroffene Unternehmen möglichst früh professionelle Hilfe einbinden. Es gilt: keine falsche Eitelkeit walten lassen und professionelle Hilfe in Anspruch nehmen.

Zum Krisenmanagement gehören mehrere Ebenen. Die IT-Forensik muss klären, wie der Angriff ablief, welche Systeme betroffen sind und ob Daten abgeflossen sind. Parallel muss geprüft werden, ob saubere und nutzbare Backups vorhanden sind. Gleichzeitig braucht es eine klare interne und externe Kommunikation. Gerade diese wird jedoch oft unterschätzt. Mitarbeiter wollen wissen, wie sie sich verhalten sollen. Kunden, Mandanten, Banken, Behörden, Gerichte, Versicherungen und Geschäftspartner müssen je nach Lage informiert werden. Wer hier unkoordiniert kommuniziert, riskiert zusätzliche Unsicherheit und Vertrauensverlust.

Ein gutes Krisenmanagement schafft deshalb feste Zuständigkeiten: Wer entscheidet? Wer spricht nach außen? Wer koordiniert Technik, Recht und Versicherung? Im Ernstfall ist keine Zeit, diese Rollen erst mühsam zu verteilen.

Das Backup-Problem: Sicherheit nur auf dem Papier?
Viele Unternehmen verlassen sich darauf, dass im Notfall ein Backup vorhanden ist. In der Realität zeigt sich aber häufig, dass Datensicherungen unvollständig, veraltet oder selbst kompromittiert sind.

Moderne Hacker dringen oft nicht erst am Tag der Verschlüsselung in ein System ein. Häufig bewegen sie sich bereits eine längere Zeit unbemerkt in der IT-Infrastruktur. In dieser Phase können sie auch Backup-Systeme manipulieren oder dafür sorgen, dass Sicherungen nicht mehr zuverlässig wiederhergestellt werden können.

Deshalb reicht es nicht, „irgendein Backup“ zu haben. Entscheidend ist, ob dieses Backup im Ernstfall tatsächlich funktioniert. Unternehmen müssen ihre Sicherungsstrategie regelmäßig testen und so gestalten, dass sie möglichst unabhängig von der eigenen kompromittierten Infrastruktur bleibt. Cyber-Resilienz bedeutet also nicht nur, Angriffe zu verhindern, sondern auch, trotz eines Angriffs handlungsfähig zu bleiben.

Die unangenehme Frage: Zahlen oder nicht zahlen?
Wenn Systeme verschlüsselt sind, Daten abgeflossen sind und Backups nicht ausreichen, stellt sich für Unternehmen schnell die Frage nach einer Lösegeldzahlung. Diese Entscheidung ist moralisch, wirtschaftlich und rechtlich hochproblematisch.

Gegen eine Zahlung spricht, dass dadurch kriminelle Strukturen finanziert werden. Außerdem gibt es keine Garantie, dass die Täter nach Zahlung tatsächlich entschlüsseln, Daten löschen oder auf eine Veröffentlichung verzichten. Auch kann eine Zahlung das Unternehmen künftig erneut attraktiv für Angreifer machen.

Gleichzeitig ist die wirtschaftliche Realität oft hart. Wenn die Wiederherstellung Monate dauert, laufende Aufträge gefährdet sind, Fristen versäumt werden oder Daten nicht mehr rekonstruiert werden können, erscheint eine Zahlung manchen Unternehmen als geringerer Schaden.
Dennoch ist eine Lösegeldzahlung keine normale unternehmerische Ausgabe, sondern eine Entscheidung unter massivem Druck. Sie muss rechtlich, versicherungstechnisch und steuerlich bewertet werden.

Cyberversicherung und Lösegeldversicherung
Cyberversicherungen können in solchen Situationen eine wichtige Rolle spielen. Sie können nicht nur finanzielle Schäden abfedern, sondern häufig auch spezialisierte Dienstleister vermitteln wie beispielsweise IT-Forensiker, Krisenmanager, Datenschutzberater, Rechtsanwälte oder Kommunikationsberater.

Daneben gibt es sogenannte Lösegeldversicherungen. Sie decken Risiken ab, die aus Lösegeldforderungen entstehen können, etwa bei Entführungen, Produkterpressungen oder Cyberangriffen. Solche Versicherungen sind besonders sensibel, weil sie selbst nicht zum zusätzlichen Risiko werden dürfen.

Die Bundesanstalt für Finanzdienstleistungsaufsicht hat mit ihrem Rundschreiben 01/2026 Hinweise dazu gegeben, unter welchen Voraussetzungen sie den Betrieb von Lösegeldversicherungen als zulässig ansieht. Danach sind solche Versicherungen nicht grundsätzlich verboten, stehen aber unter strengen Bedingungen.

Wichtig ist vor allem die Geheimhaltung. Für Lösegeldversicherungen darf nicht geworben werden. Auch der Versicherungsnehmer darf den Versicherungsschutz nur einem sehr engen Personenkreis offenlegen. Der Grund ist naheliegend: Wenn bekannt wird, dass ein Unternehmen gegen Lösegeldforderungen versichert ist, könnte genau das Anreize für Täter bieten.

Zudem verlangt die Bundesanstalt für Finanzdienstleistungsaufsicht unter anderem, dass die Versicherungssumme angemessen ist, der Versicherungsnehmer präventiv beraten wird und im Schadenfall unverzüglich die Polizei eingeschaltet wird. Auch beim Versicherer selbst müssen besonders geschützte Zuständigkeiten bestehen, damit sensible Informationen nicht unkontrolliert zugänglich sind.

Interessant ist dabei: Die BaFin hält eine Kombination von Lösegeldversicherung und Cyberversicherung ausdrücklich für zulässig. Das zeigt, dass Cyber-Erpressungen inzwischen als praktischer Anwendungsfall solcher Versicherungen angekommen sind.

Die steuerliche Seite: Kann Lösegeld Betriebsausgabe sein?
Neben der versicherungsrechtlichen Frage stellt sich auch eine steuerliche: Kann ein Unternehmen eine Lösegeldzahlung als Betriebsausgabe geltend machen? Ist das Ganze also betrieblich veranlasst?

Auf den ersten Blick spricht vieles dafür: Die Zahlung erfolgt nicht privat, sondern aus betrieblichem Anlass. Sie soll den Geschäftsbetrieb sichern, Daten wieder zugänglich machen oder größere Schäden vermeiden. Damit liegt eine betriebliche Veranlassung grundsätzlich nahe.
Allerdings genügt das nicht. Im Steuerrecht kann dabei der § 160 AO zum echten Problem werden. Nach dieser Vorschrift kann die Finanzverwaltung den Betriebsausgabenabzug versagen, wenn der Steuerpflichtige den Empfänger einer Zahlung auf Verlangen nicht genau benennt. Das sogenannte Benennungsverlangen nach § 160 AO hatte seinerzeit schon in den 90er Jahren „Hochkonjunktur“. So wurden u.a. deutschen Bauunternehmern, die ihrerseits mit britischen Subunternehmern auf deutschen Baustellen gearbeitet haben und die in Scheckform bezahlt wurden, der Betriebsausgabenabzug für diese Fremdleistung mit dieser Vorschrift verweigert. Der Gedanke hinter der gesetzlichen Norm ist einfach: Der Staat möchte verhindern, dass eine Zahlung beim Unternehmen steuermindern berücksichtigt wird, während beim Empfänger keine Besteuerung möglich ist.

Bei Cyber-Erpressungen ist genau das der Knackpunkt. Die Täter bleiben anonym. Sie nutzen verschleierte Kommunikationswege, Kryptowährungen und technische Strukturen, die eine Identifizierung erschweren. Das betroffene Unternehmen kann den Empfänger der Zahlung regelmäßig nicht benennen.

Ist die Benennung überhaupt zumutbar?
An dieser Stelle liegt der naheliegende Einwand auf der Hand: Kann man von einem erpressten Unternehmen wirklich verlangen, die Identität professioneller Cyberkrimineller zu benennen?

Gerade bei Ransomware-Angriffen ist die Anonymität kein Zufall, sondern Teil des Geschäftsmodells. Die Täter nutzen verschleierte Identitäten und Kommunikationswege, Kryptowährungen und technische Strukturen, die gerade verhindern sollen, dass sie identifiziert werden. Für das betroffene Unternehmen ist es deshalb regelmäßig (faktisch) unmöglich, den tatsächlichen Zahlungsempfänger zu ermitteln und letztlich zu benennen.

Trotzdem ist dieser Einwand nicht automatisch begründet. Die Unzumutbarkeit der Empfängerbenennung muss im Einzelfall tragfähig dargelegt werden. Unternehmen können sich also nicht automatisch darauf verlassen, dass das Finanzamt den Abzug akzeptiert, nur weil es sich um eine Cyber-Erpressung handelt.
Die praktische Folge bleibt deshalb: Eine Lösegeldzahlung kann zwar betrieblich veranlasst sein, steuerlich aber trotzdem zum Risiko werden. Kann der Empfänger nicht benannt werden, droht nach der grundsätzlichen Regelung der Vorschrift die vollständige Versagung des Betriebsausgabenabzugs. Dafür ist nicht nur entscheidend, warum gezahlt wurde, sondern auch, ob und wie das Unternehmen später erklären kann, weshalb eine Empfängerbenennung unmöglich oder unzumutbar war.

Fazit: Vorbereitung entscheidend
Cyber-Erpressung ist längst mehr als ein Angriff auf Daten. Sie ist ein Angriff auf die Handlungsfähigkeit eines Unternehmens. Wer betroffen ist, muss innerhalb kürzester Zeit Entscheidungen treffen, die wirtschaftliche, rechtliche, steuerliche und kommunikative Folgen haben.
Lösegeldversicherungen können ein Baustein des Risikomanagements sein, stehen aber unter engen aufsichtsrechtlichen Voraussetzungen.
Cyberversicherungen können im Einzelfall wichtige Unterstützung leisten, ersetzen aber keine eigene Sicherheitsstrategie. Und steuerlich gilt: Ein Lösegeld mag betrieblich veranlasst sein, kann aber wegen der fehlenden Benennung des Empfängers trotzdem nicht abziehbar sein.
Unternehmen sollten Cyberrisiken deshalb nicht erst dann ernst nehmen, wenn der Bildschirm schwarz bleibt. Entscheidend ist, vorher zu wissen, wer handelt, wer entscheidet und welche Folgen eine Zahlung haben kann.

Denn im Ernstfall zählt nicht nur, ob ein Unternehmen angegriffen wurde. Entscheidend ist, wie gut es vorbereitet ist.

 

Der Autor:
Als Partner der Berliner Kanzlei Duske & Partner Steuerberater & Rechtsanwalt PartG mbB entwickelt Dr. Markus Rotter, LL.M. nicht nur steuerlich tragfähige Konzepte für Mandanten, sondern setzt diese gleichzeitig rechtlich mit um. Ebenso verfügt er über besondere Expertise bei gesellschaftsrechtlichen Unternehmensgründungen und bietet zertifizierte Beratung bei der Gründung von Stiftungen an. In seinem humorvollen Podcast „Tax on the Rocks“ gibt Dr. Markus Rotter Einblicke in die Themen Steuern, Finanzen und Lifestyle.

Bildbeiträge: Ansgar Schwarz; Depositphotos / AndreyPopov