/ Strafrecht / Wie reagieren Sie rechtlich korrekt auf einen Ransomware-Angriff, um Haftung und Schaden zu begrenzen?
Veröffentlicht am August 11, 2024

Rechtssicherheit bei Ransomware in der Schweiz bedeutet nicht, blind Regeln zu folgen, sondern strategisch Haftungsrisiken abzuwägen.

  • Lösegeldzahlungen sind nicht per se illegal, aber eine komplexe rechtliche Entscheidung, die sorgfältig geprüft werden muss.
  • Das Versäumnis, einen Vorfall korrekt zu melden und zu dokumentieren, kann teurer werden als der Angriff selbst.

Empfehlung: Ihr Fokus muss auf einer lückenlosen Dokumentation für Versicherungen und Behörden liegen, um den Vorwurf des „Organisationsverschuldens“ abzuwehren und Ihre Haftung zu begrenzen.

Die Meldung trifft ein und der Puls schiesst in die Höhe: „Wir wurden gehackt. Die Daten sind verschlüsselt. Es gibt eine Lösegeldforderung.“ In diesem Moment sind Sie als Unternehmensleiter nicht nur mit einer technischen Katastrophe konfrontiert, sondern auch mit einem juristischen Minenfeld. Die ersten Ratschläge sind oft schnell zur Hand: Systeme vom Netz nehmen, kein Lösegeld zahlen, Anzeige erstatten. Doch diese Standardantworten kratzen nur an der Oberfläche der komplexen Realität, in der Sie sich nun befinden. Die wahre Herausforderung liegt nicht im Befolgen einer simplen Checkliste, sondern in der Fähigkeit, unter extremem Druck strategische Entscheidungen zu treffen.

Dieser Leitfaden geht bewusst über die technischen Erstmassnahmen hinaus. Er konzentriert sich auf die kritischen, rechtlichen Weichenstellungen, die Sie als Führungskraft in der Schweiz treffen müssen. Es geht um eine Form der „Haftungs-Triage“: die systematische Abwägung, welche Entscheidung – auch eine unpopuläre wie eine Lösegeldzahlung – das geringere von mehreren Übeln für die Zukunft Ihres Unternehmens darstellt. Denn in der rauen Wirklichkeit eines Cyberangriffs ist die rechtlich korrekte Reaktion selten die einfachste, sondern die am besten dokumentierte und abgewogene. Wir beleuchten die Grauzonen, damit Sie mit ruhiger Hand durch die Krise navigieren und Ihr Unternehmen vor Folgeschäden wie Haftungsansprüchen, Bussen und dem Verlust des Versicherungsschutzes bewahren können.

Um Ihnen eine klare Struktur für die Bewältigung dieser komplexen Situation zu bieten, gliedert sich dieser Artikel in mehrere entscheidende rechtliche Fragestellungen. Jede Sektion beleuchtet einen spezifischen Aspekt des Krisenmanagements und gibt Ihnen fundierte, auf die Schweizer Rechtslage ausgerichtete Handlungsempfehlungen.

Inhaltsverzeichnis: Ihr rechtlicher Krisenplan bei einem Ransomware-Angriff

Dürfen Sie Hackern Lösegeld zahlen oder machen Sie sich damit selbst strafbar?

Die brennendste Frage zuerst: Ist die Zahlung des geforderten Lösegelds eine Option? Die offizielle Empfehlung vieler Behörden ist ein klares „Nein“. Dahinter steht die nachvollziehbare Logik, das Geschäftsmodell der Kriminellen nicht zu unterstützen. So formuliert es auch das Nationale Zentrum für Cybersicherheit (NCSC) unmissverständlich:

Das NCSC empfiehlt nicht, ein Lösegeld zu zahlen. Es gibt keine Garantie, dass die Kriminellen die Daten nicht trotzdem veröffentlichen oder anderweitig davon profitieren. Jede erfolgreiche Lösegeldzahlung motiviert die Angreifer fortzufahren.

– Nationales Zentrum für Cybersicherheit (NCSC), NCSC Ransomware Guidelines

Doch die rechtliche Realität in der Schweiz ist nuancierter. Eine Zahlung ist keine Kapitulation, sondern eine kalkulierte Entscheidung, die juristisch abgewogen werden muss. Entscheidend ist: Gemäss Schweizer Strafgesetzbuch ist die Zahlung eines Lösegeldes durch das Opferunternehmen nicht per se eine Straftat. Anders als in einigen anderen Ländern machen Sie sich nicht automatisch der Unterstützung einer kriminellen Organisation oder der Terrorismusfinanzierung schuldig, da Ihnen die dafür nötige Absicht fehlt. Dennoch ist der Prozess eine heikle „Haftungs-Triage“. Bevor eine Zahlung auch nur in Erwägung gezogen wird, müssen zwingend folgende rechtliche Prüfschritte durchgeführt werden:

  • Prüfung von Sanktionslisten: Steht die Täterschaft oder die mit ihr verbundene Wallet-Adresse auf einer nationalen oder internationalen Sanktions- oder Embargoliste? Eine Zahlung an eine sanktionierte Entität wäre illegal und strafbar.
  • Ausschluss von Straftatbeständen: Es muss sorgfältig geprüft werden, ob die Zahlung nicht doch unter Tatbestände wie Begünstigung oder Geldwäscherei fallen könnte. Dies erfordert eine genaue Analyse der Umstände.
  • Dokumentation für die Strafverfolgung: Die gesamte Kommunikation mit den Erpressern sowie die Transaktionsdetails der Kryptowährungszahlung müssen lückenlos dokumentiert werden. Diese Informationen bilden eine wichtige Grundlage für spätere Ermittlungen.

Die Entscheidung über eine Zahlung ist somit kein moralisches, sondern ein strategisches Dilemma. Wenn der Fortbestand des Unternehmens auf dem Spiel steht, weil Backups nicht verfügbar oder unbrauchbar sind, kann eine Zahlung nach sorgfältiger rechtlicher Prüfung und Abwägung das kleinere Übel sein. Es ist eine unternehmerische Entscheidung unter ausserordentlichen Umständen, die niemals leichtfertig getroffen werden darf.

Was tun, wenn Kriminelle in Ihrem Namen Fake-Shops eröffnen?

Ein Ransomware-Angriff beschränkt sich nicht immer auf die Verschlüsselung von Daten. Oft ist er nur der erste Schritt eines umfassenderen Identitätsdiebstahls. Wenn Kriminelle erbeutete Kundendaten, Logos und Ihre Markenreputation nutzen, um betrügerische Fake-Shops zu erstellen, potenziert sich der Schaden. Es geht nicht mehr nur um interne Betriebsunterbrechungen, sondern um einen direkten Angriff auf das Vertrauen Ihrer Kunden und die Integrität Ihrer Marke. Schnelles und systematisches Handeln ist hier entscheidend, um den Reputationsschaden zu begrenzen und rechtliche Folgeschäden abzuwehren.

Gefälschte Online-Shop-Oberfläche mit verschwommenen Schweizer Unternehmenslogos im Hintergrund

Wie das obige Bild symbolisch darstellt, wird Ihr guter Name missbraucht, um Dritte zu schädigen. Dies erfordert eine doppelte Strategie: die technische Eindämmung und die rechtliche Verfolgung. Das Nationale Zentrum für Cybersicherheit (NCSC) gibt hierfür einen klaren Aktionsplan vor, der sofort umgesetzt werden sollte. Ihre Priorität ist es, die Kontrolle über Ihre digitale Identität zurückzugewinnen. Dazu gehören folgende, unumgängliche Schritte:

  • Strafanzeige erstatten: Reichen Sie umgehend bei der zuständigen kantonalen Polizei eine Strafanzeige ein. Der relevante Straftatbestand ist typischerweise der betrügerische Missbrauch einer Datenverarbeitungsanlage gemäss Art. 147 StGB. Diese Anzeige ist die formale Grundlage für alle weiteren Massnahmen.
  • Domain-Sperrung veranlassen: Kontaktieren Sie sofort die Stiftung SWITCH für .ch-Domains und das NCSC. Ziel ist es, die missbräuchlich registrierten Domains so schnell wie möglich sperren und vom Netz nehmen zu lassen.
  • Zivilrechtliche Ansprüche prüfen: Parallel zur Strafverfolgung sollten Sie zivilrechtliche Schritte prüfen. Ansprüche aus dem Gesetz gegen den unlauteren Wettbewerb (UWG) und dem Markenschutzgesetz (MSchG) können geltend gemacht werden, um die Täter (sofern identifizierbar) oder involvierte Plattformen zum Handeln zu zwingen.
  • Externe Expertise beiziehen: Zögern Sie nicht, spezialisierte IT-Sicherheitsfirmen und Anwaltskanzleien hinzuzuziehen. Der Kampf gegen Fake-Shops erfordert spezifisches technisches und juristisches Know-how, das intern oft nicht vorhanden ist.

Indem Sie diese Schritte konsequent und schnell umsetzen, zeigen Sie nicht nur Ihren Kunden, sondern auch den Behörden und Ihrer Versicherung, dass Sie die Situation ernst nehmen und aktiv an der Schadensbegrenzung arbeiten. Dies ist ein wichtiger Baustein, um spätere Haftungsfragen zu Ihren Gunsten zu beeinflussen.

Bank oder Kunde: Wer haftet, wenn Mitarbeiter auf einen Phishing-Link geklickt haben?

Ein unachtsamer Klick eines Mitarbeitenden auf einen Phishing-Link ist oft das Einfallstor für Ransomware. Die Zahlen sind alarmierend: Mit über 975.000 Phishing-Nachrichten allein im Jahr 2024 in der Schweiz ist die Wahrscheinlichkeit hoch, dass es auch Ihr Unternehmen trifft. Wenn durch diesen Klick unautorisierte Zahlungen ausgelöst werden oder Daten abfliessen, stellt sich unweigerlich die Haftungsfrage. Die weitverbreitete Annahme, die Bank oder der einzelne Mitarbeiter trage die alleinige Verantwortung, ist ein gefährlicher Trugschluss. Die Schweizer Rechtsprechung rückt zunehmend das Organisationsverschulden des Unternehmens in den Fokus.

Die entscheidende juristische Weiche ist der Grad der Fahrlässigkeit. Ein einfacher Fehler kann passieren, aber systematische Versäumnisse bei der Prävention wiegen schwer. Die Unterscheidung zwischen leichter und grober Fahrlässigkeit ist hier zentral, wie die folgende Übersicht zeigt.

Haftungsverteilung bei Fahrlässigkeit im Schweizer Kontext
Fahrlässigkeitsgrad Beschreibung Haftungsfolgen
Leichte Fahrlässigkeit „Das kann ja mal passieren“ – Ein einmaliger, menschlicher Fehler trotz vorhandener Schutzmassnahmen. Ein vertraglicher Haftungsausschluss ist oft möglich. Die Bank oder Versicherung könnte kulant sein.
Grobe Fahrlässigkeit „Das darf nicht passieren!“ – Missachtung elementarer und bekannter Sicherheitsregeln. Ein Haftungsausschluss ist gemäss Art. 100 OR (Obligationenrecht) nichtig. Das Unternehmen bleibt auf dem Schaden sitzen.
Organisationsverschulden Verletzung der Pflicht zur Schulung und Bereitstellung technischer Schutzmassnahmen. Das Unternehmen haftet für seine mangelhafte Organisation nach Art. 55 OR, unabhängig vom Verschulden des einzelnen Mitarbeiters.

Was bedeutet das für Sie als Unternehmensleiter? Wenn ein Mitarbeiter auf einen Phishing-Link klickt, wird die entscheidende Frage sein: Haben Sie als Unternehmen alles Zumutbare getan, um dies zu verhindern? Fehlende oder veraltete technische Schutzmassnahmen (z.B. keine Multi-Faktor-Authentifizierung), aber vor allem das Fehlen nachweisbarer und regelmässiger Mitarbeiterschulungen zum Thema Cybersicherheit, werden Ihnen als Organisationsverschulden ausgelegt. In diesem Fall haften nicht die Bank oder der Mitarbeiter, sondern Ihr Unternehmen in vollem Umfang. Der Klick des Mitarbeiters ist dann nur der letzte Auslöser einer Kette von Versäumnissen, die in Ihrer Verantwortung als Geschäftsleitung liegen.

Der Fehler, keine Anzeige zu erstatten, weil „man die Hacker eh nicht findet“

Nach einem Angriff herrscht oft Resignation: „Die Täter sitzen im Ausland, die sind unauffindbar. Eine Anzeige bringt doch nichts.“ Diese Haltung ist verständlich, aber aus rechtlicher und strategischer Sicht ein gravierender Fehler. Eine Strafanzeige ist kein primäres Instrument, um Ihr Geld zurückzubekommen, sondern ein unverzichtbarer Baustein Ihrer Beweiskette für die Zukunft. Sie ist die formale, offizielle Dokumentation des Vorfalls und dient als Grundlage für Versicherungsansprüche, Verhandlungen mit Geschäftspartnern und die Abwehr potenzieller Haftungsklagen.

Die Annahme, die Strafverfolgung sei aussichtslos, ist zudem nicht immer korrekt. Durch internationale Zusammenarbeit und die Analyse von Finanzströmen erzielen Ermittlungsbehörden durchaus Erfolge. Ein prominentes Beispiel aus der Schweiz ist das Vorgehen gegen das LockBit-Netzwerk. In einem von der Staatsanwaltschaft Zürich geführten Sammelverfahren wurden 74 Geschädigte mit einem Gesamtschaden von über sieben Millionen Franken identifiziert, was zu internationalen Haftbefehlen und der Beschlagnahmung von Infrastruktur führte. Ihre Anzeige liefert den Behörden wertvolle Puzzleteile für das Gesamtbild und erhöht die Chance, die kriminellen Strukturen zu zerschlagen.

Um sicherzustellen, dass Ihre Anzeige maximale Wirkung entfaltet und Ihre rechtliche Position stärkt, ist ein systematisches Vorgehen entscheidend. Die folgende Checkliste fasst die wichtigsten Schritte zusammen.

Ihr Plan für eine wirksame Strafanzeige

  1. Unverzügliche Meldung: Erstatten Sie frühzeitig Strafanzeige bei Ihrer kantonalen Polizei oder der Zentralen Ansprechstelle Cybercrime des Bundes. Warten Sie nicht, bis der Schaden vollständig beziffert ist. Die Tatsache des Angriffs genügt.
  2. Beweissicherung durch Forensik: Beauftragen Sie einen spezialisierten IT-Forensiker, um rechtlich verwertbare Beweise zu sichern. Dazu gehören unveränderte Log-Dateien, Speicherabbilder der betroffenen Systeme und die Sicherung der Ransom-Note.
  3. Rekonstruktion des Angriffs: Lassen Sie den Angriffsverlauf und die genutzten Einfallstore (z.B. Phishing-Mail, Software-Schwachstelle) exakt rekonstruieren. Dies ist entscheidend für die Klärung der Verschuldensfrage.
  4. Lückenlose Dokumentation: Führen Sie ein detailliertes Protokoll über alle Massnahmen, Kommunikationsverläufe mit den Erpressern und eine laufend aktualisierte Schätzung des entstandenen Schadens (Betriebsausfall, Wiederherstellungskosten, Reputationsschaden).
  5. Zusammenstellung des Dossiers: Konsolidieren Sie alle gesicherten Beweise, Berichte und Protokolle in einem umfassenden Dossier. Dieses dient als Grundlage für die Strafanzeige und die Kommunikation mit Ihrer Versicherung.

Das Erstatten einer Anzeige ist somit kein Akt der Hoffnung, sondern ein Akt der unternehmerischen Sorgfalt. Es ist der erste Schritt, um vom Opfer zum aktiv handelnden Akteur im Krisenmanagement zu werden.

Wann verweigert die Cyber-Versicherung die Zahlung wegen „grober Fahrlässigkeit“?

Eine Cyber-Versicherung ist ein zentraler Pfeiler im Risikomanagement, aber keine Garantie für eine bedingungslose Zahlung. Im Schadenfall wird der Versicherer eine Frage mit forensischer Akribie prüfen: Hat Ihr Unternehmen den Schaden durch grobe Fahrlässigkeit selbst begünstigt oder herbeigeführt? Falls ja, kann die Versicherung die Leistung erheblich kürzen oder sogar ganz verweigern. Grobe Fahrlässigkeit liegt vor, wenn elementarste und allgemein bekannte Sicherheitsvorkehrungen missachtet wurden – wenn also etwas passiert ist, das unter keinen Umständen hätte passieren dürfen.

Die Abgrenzung kann im Einzelfall schwierig sein, doch es haben sich in der Praxis klare Muster herauskristallisiert, die von Versicherern als Indizien für grobe Fahrlässigkeit gewertet werden. Die folgende Übersicht, basierend auf der Schweizer Versicherungspraxis, zeigt die kritischsten Versäumnisse.

Beispiele für grobe Fahrlässigkeit in Schweizer Cyber-Versicherungen
Sicherheitsmangel Bewertung Versicherungsfolgen
Fehlende Multi-Faktor-Authentifizierung (MFA) Gilt zunehmend als grob fahrlässig, insbesondere für Remote-Zugänge. Regress von 20-50% der Schadenssumme oder mehr möglich.
Nicht eingespielte kritische Sicherheitspatches Klassischer Fall von grober Fahrlässigkeit, wenn ein Patch seit Wochen oder Monaten verfügbar war. Leistungskürzung sehr wahrscheinlich.
Fehlende oder unzureichende Mitarbeiterschulungen Wird als Organisationsverschulden gewertet und kann zu Leistungskürzungen führen. Teilweise Leistungsverweigerung oder erhöhter Selbstbehalt.
Keine oder ungetestete Backups Gilt als fundamentaler Mangel in der IT-Organisation. Kann zur vollständigen Leistungsverweigerung führen.

Fallbeispiel aus der Praxis: Ungepatchte Server

Ein deutsches Unternehmen erlitt einen Ransomware-Angriff mit einem Schaden von über 4 Millionen Euro. Der Versicherer verweigerte zunächst die Zahlung, da eine Untersuchung ergab, dass zum Zeitpunkt des Angriffs 11 von 21 kritischen Servern nicht mit den neuesten Sicherheitsupdates versehen waren. Das Gericht wertete dies als grob fahrlässige Herbeiführung des Schadens, da die IT-Abteilung bekannte Schwachstellen über längere Zeit ignoriert hatte. Obwohl der Fall in Deutschland spielte, ist das zugrundeliegende Prinzip der groben Fahrlässigkeit direkt auf die Schweizer Rechts- und Versicherungspraxis übertragbar und unterstreicht die Wichtigkeit einer lückenlosen Patch-Management-Strategie.

Für Sie als Unternehmensleiter bedeutet das: Der Abschluss einer Cyber-Versicherung ist nur die halbe Miete. Die andere Hälfte ist die kontinuierliche und nachweisbare Umsetzung der in der Police geforderten Sicherheitsstandards. Eine lückenlose Dokumentation Ihrer Präventionsmassnahmen – von Patch-Protokollen über Schulungsnachweise bis hin zu Backup-Tests – ist im Ernstfall Ihre stärkste Waffe, um den Vorwurf der groben Fahrlässigkeit zu entkräften und Ihren Anspruch auf Versicherungsleistung durchzusetzen.

Wann müssen Sie eine Datenpanne dem EDÖB melden und wann dürfen Sie schweigen?

Ein Ransomware-Angriff ist fast immer auch eine Datenschutzverletzung (Data Breach). Die Frage ist nicht mehr *ob*, sondern *wann* und *wen* Sie informieren müssen. Mit dem Inkrafttreten des neuen Datenschutzgesetzes (nDSG) in der Schweiz wurden die Regeln verschärft. Die Zunahme der Angriffe – allein im dritten Quartal 2024 gab es einen 114-prozentigen Anstieg von Cyberattacken in der Schweiz – erhöht den Druck auf Unternehmen, ihre Meldepflichten genau zu kennen. Eine falsche Einschätzung kann zu empfindlichen Bussen führen.

Die zentrale Meldestelle ist der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB). Die Kernfrage, die Sie sich stellen müssen, lautet: Besteht durch die Datenpanne ein „voraussichtlich hohes Risiko für die Persönlichkeit oder die Grundrechte“ der betroffenen Personen? Dies ist eine juristische Abwägung, keine technische. Ein „hohes Risiko“ besteht typischerweise, wenn besonders schützenswerte Personendaten (z.B. Gesundheitsdaten, religiöse Ansichten) betroffen sind, oder wenn die Daten für Identitätsdiebstahl, Betrug oder Diskriminierung missbraucht werden können.

Um diese Entscheidung zu treffen, hilft die Orientierung an folgenden Szenarien:

  • Szenario A (Meldepflicht unwahrscheinlich): Die Angreifer haben Ihre Daten „nur“ verschlüsselt, es gibt aber keinen Nachweis für einen Datenabfluss (Exfiltration). Die Daten sind nachweislich nach dem Stand der Technik verschlüsselt (z.B. auf den Servern), und Sie haben funktionierende Backups, um den Betrieb wiederherzustellen. In diesem Fall ist das Risiko für die Betroffenen gering, da die Vertraulichkeit der Daten nicht verletzt wurde. Eine Meldung an den EDÖB ist hier nicht zwingend, sollte aber sorgfältig dokumentiert werden.
  • Szenario B (Meldepflicht besteht): Es gibt Beweise oder einen starken Verdacht, dass die Angreifer Daten nicht nur verschlüsselt, sondern auch kopiert und aus Ihren Systemen entfernt haben. Dies ist heute bei den meisten Ransomware-Gruppen Standard (sog. „Double Extortion“). Wenn diese Daten nun im Darknet zum Verkauf angeboten werden oder die Angreifer damit drohen, sie zu veröffentlichen, besteht zweifellos ein hohes Risiko. Eine Meldung an den EDÖB ist hier unverzüglich (so rasch wie möglich) vorzunehmen.

Zusätzlich zur Meldung an den EDÖB gibt es weitere branchenspezifische Pflichten. Betreiber kritischer Infrastrukturen müssen Vorfälle seit 2025 innerhalb von 24 Stunden dem NCSC melden. Finanzinstitute unterliegen den strengen Meldepflichten der FINMA, Spitäler jenen der kantonalen Gesundheitsdirektionen. Die Koordination dieser verschiedenen Meldewege ist eine zentrale Aufgabe des Krisenstabs.

Das Risiko der Forenbetreiber: Haften Sie für beleidigende Kommentare Ihrer Nutzer?

Auch wenn der Titel auf Foren abzielt, lässt sich das zugrundeliegende Rechtsprinzip auf eine breitere und für Ransomware-Opfer relevantere Frage übertragen: Inwieweit haften Sie für den Schaden, der Dritten entsteht, weil Ihre kompromittierte IT-Infrastruktur für weitere kriminelle Aktivitäten missbraucht wird? Stellen Sie sich vor, die Angreifer nutzen Ihre gekaperten E-Mail-Server, um Phishing-Mails an Ihre Kunden zu senden, oder veröffentlichen auf Ihrer gehackten Website Falschinformationen. Hier greift das Prinzip der Störerhaftung, das ursprünglich für Host-Provider entwickelt wurde.

Die Störerhaftung besagt, dass derjenige, der – ohne selbst Täter zu sein – willentlich oder adäquat kausal zur Verletzung eines Rechtsguts beiträgt, unter bestimmten Umständen zur Unterlassung oder Beseitigung der Störung verpflichtet werden kann. Sie haften also nicht automatisch für die Handlungen der Hacker. Ihre Haftung entsteht in dem Moment, in dem Sie Kenntnis von der Rechtsverletzung erlangen und nicht alles technisch Mögliche und Zumutbare unternehmen, um diese zu unterbinden.

Analoges Prinzip: Die Haftung von Plattformen wie YouTube

Ein Gerichtsurteil bezüglich YouTube illustriert dieses Prinzip gut. Die Plattform wurde nicht für die Urheberrechtsverletzungen ihrer Nutzer haftbar gemacht, solange sie davon keine Kenntnis hatte. Die Pflicht zur Löschung entstand erst, nachdem YouTube über einen klar erkennbaren Rechtsverstoss informiert wurde und die Möglichkeit hatte, zu handeln. Übertragen auf Ihren Fall bedeutet dies: Sobald Sie wissen, dass Ihre Systeme für Angriffe auf Dritte missbraucht werden, entsteht eine aktive Handlungspflicht.

Was bedeutet das für Ihr Krisenmanagement? Es reicht nicht aus, sich nur um die Wiederherstellung Ihrer eigenen Systeme zu kümmern. Sie müssen proaktiv den „Blast Radius“ des Angriffs analysieren und eindämmen. Dazu gehört:

  • Monitoring: Überwachen Sie, ob Ihre Domains, IP-Adressen oder digitalen Zertifikate auf schwarzen Listen auftauchen oder für Spam- und Phishing-Kampagnen verwendet werden.
  • Information: Informieren Sie potenziell betroffene Dritte (z.B. Kunden, Partner) über das Risiko, dass sie möglicherweise von Ihren kompromittierten Systemen aus kontaktiert werden.
  • Technische Massnahmen: Arbeiten Sie mit Ihrem Provider zusammen, um den Missbrauch Ihrer Infrastruktur zu blockieren (z.B. durch Sperrung von IP-Adressen, Widerruf von Zertifikaten).

Das Ignorieren dieser sekundären Schäden kann zu eigenen Haftungsansprüchen von geschädigten Dritten führen. Die sorgfältige Dokumentation Ihrer Bemühungen, den Missbrauch zu stoppen, ist daher ein weiterer wichtiger Teil Ihrer „Beweiskette für die Zukunft“.

Das Wichtigste in Kürze

  • In der Schweiz ist die rechtliche Reaktion auf Ransomware eine strategische Abwägung, keine starre Regel.
  • Dokumentation ist entscheidend: Sie ist die Grundlage für Versicherungsansprüche und die Abwehr von Haftungsklagen wegen „Organisationsverschuldens“.
  • Die Einhaltung des neuen Datenschutzgesetzes (nDSG) ist keine reine Formsache, sondern ein wesentlicher Baustein Ihrer Cyber-Resilienz.

Wie setzen Sie die Vorgaben des neuen nDSG in Ihrem Unternehmen um, ohne das Marketing lahmzulegen?

Nachdem die akute Krise eines Ransomware-Angriffs bewältigt ist, richtet sich der Blick unweigerlich nach vorne. Die zentrale Lehre aus den meisten Vorfällen ist, dass Prävention weit mehr ist als nur eine technische Firewall. Eine der wirksamsten, aber oft unterschätzten Präventionsstrategien liegt in der konsequenten Umsetzung des neuen Datenschutzgesetzes (nDSG). Auf den ersten Blick mag das nDSG wie eine Belastung für das operative Geschäft, insbesondere das Marketing, wirken. Tatsächlich ist es jedoch ein mächtiges Werkzeug zur Reduzierung Ihrer Angriffsfläche und zur Minderung potenzieller Schäden.

Die finanziellen Risiken sind immens. Analysten von PwC Schweiz schätzen den durchschnittlichen Schaden eines Ransomware-Angriffs auf 6 Millionen Franken, wobei schwere Fälle Kosten von 50 bis 150 Millionen Franken verursachen können. Ein Grossteil dieses Schadens resultiert aus dem Verlust oder der Kompromittierung von Daten. Genau hier setzt die Logik des nDSG an: Was Sie nicht (mehr) haben, kann nicht gestohlen, verschlüsselt oder missbraucht werden. Die Umsetzung der nDSG-Prinzipien ist somit eine Investition in Ihre Cyber-Resilienz.

Anstatt das nDSG als Bremse zu sehen, sollten Sie es als strategischen Fahrplan für mehr Sicherheit betrachten, ohne das Marketing lahmzulegen:

  • Datenminimierung („Privacy by Design“): Implementieren Sie den Grundsatz, nur jene Daten zu erheben und zu speichern, die für den Geschäftszweck absolut notwendig sind. Jedes nicht erhobene Datum ist ein Datum, das bei einem Angriff nicht kompromittiert werden kann. Dies reduziert die potenzielle „Beute“ für Angreifer dramatisch.
  • Bearbeitungsverzeichnis führen: Ein nach nDSG-Vorgaben geführtes Bearbeitungsverzeichnis gibt Ihnen im Krisenfall einen sofortigen Überblick darüber, welche Daten wo gespeichert sind. Dies beschleunigt die Identifikation der betroffenen Daten und die Erfüllung der Meldepflichten enorm.
  • Löschkonzepte umsetzen: Definieren und implementieren Sie klare Regeln, wann welche Daten gelöscht werden müssen. Dies verhindert die Ansammlung riesiger, ungenutzter Datenmengen, die ein attraktives Ziel für Angreifer darstellen.
  • Datenschutzberater einbinden: Die Ernennung eines Datenschutzberaters (gemäss Art. 10 nDSG) stellt sicher, dass Datenschutz-Know-how fest im Unternehmen verankert ist und im Krisenstab zur Verfügung steht.

Ein datenschutzkonformes Marketing ist kein schwächeres Marketing. Es ist ein fokussierteres Marketing, das auf dem Vertrauen der Kunden aufbaut. Indem Sie die Prinzipien des nDSG konsequent anwenden, stärken Sie nicht nur Ihre rechtliche Position, sondern machen Ihr Unternehmen auch zu einem deutlich unattraktiveren Ziel für Cyberkriminelle.

Die Bewältigung eines Ransomware-Angriffs ist ein Marathon, kein Sprint. Beginnen Sie jetzt damit, Ihre Organisation durch die konsequente Anwendung dieser rechtlichen und strategischen Prinzipien widerstandsfähiger zu machen. Eine professionelle Analyse Ihrer aktuellen Situation ist der erste Schritt zur Stärkung Ihrer Abwehrkräfte.

Geschrieben von Sarah Pfister, Sarah Pfister ist Anwältin für IT-Recht, Datenschutz (nDSG) und Immaterialgüterrecht. Sie unterstützt Unternehmen bei der digitalen Compliance und im Kampf gegen Cyberkriminalität.
Lieferantenbetrug: Ihre juristische Gegenoffensive als geschädigtes Unternehmen in der Schweiz
Wie erkennen Sie frühzeitig Anzeichen von Wirtschaftskriminalität in Ihrem eigenen Betrieb?
Neueste Beiträge
Konfliktlösung ohne Anwalt: Wie hilft Ihnen der Ombudsmann bei Streit mit Banken oder Versicherungen kostenlos?
Schiedsgericht vs. Staatliches Gericht: Warum wählen Schweizer KMU zunehmend private Justiz für B2B-Verträge?
Warum spart ein Willensvollstrecker der Erbengemeinschaft oft mehr Steuern und Streit, als er kostet?
Mietzinsanfechtung: Wie wehren Sie sich erfolgreich gegen den Referenzzinssatz-Aufschlag Ihres Vermieters?
Der Notartermin beim Hauskauf: Wie bereiten Sie sich vor, um teure Fehler im Kaufvertrag zu erkennen?
Ähnliche Beiträge
Wie berechnet das Gericht die Höhe Ihres Tagessatzes bei einer Geldstrafe in der Schweiz?
Wie erfüllen Sie Ihre Sorgfaltspflichten als Finanzintermediär, um nicht wegen Geldwäscherei belangt zu werden?
Ab wann gilt eine schlechte geschäftliche Investition strafrechtlich als ungetreue Geschäftsbesorgung?
Wie vermeiden Sie den Vorwurf der Konkursverschleppung, wenn Ihre Firma in Schieflage gerät?