Ransomware Lösegeld bezahlen? Was Schweizer Unternehmen wissen müssen

Die Frage, ob man Ransomware-Lösegeld bezahlen soll, ist eine der schwierigsten Entscheidungen, mit der ein Unternehmen konfrontiert werden kann — und sie muss unter extremem Druck, mit unvollständigen Informationen und in kürzester Zeit getroffen werden. Die kurze Antwort lautet: In der Schweiz ist die Zahlung nicht illegal, wird aber von Behörden klar abgeraten — und die Statistiken zeigen, warum. Nur 65% der zahlenden Unternehmen erhalten tatsächlich alle Daten zurück (Sophos State of Ransomware 2024). 80% der Unternehmen, die gezahlt haben, werden innerhalb von 12 Monaten erneut angegriffen (Cybereason Ransomware Report 2024). Und jede Zahlung finanziert die nächste Generation von Ransomware-Angriffen. Dieser Artikel gibt Ihnen die Grundlage, diese Entscheidung fundiert zu treffen — und zeigt, warum die beste Strategie die ist, nie in diese Situation zu geraten. Das Bundesamt für Cybersicherheit (BACS) verzeichnete 2024 über 63’000 gemeldete Cybervorfälle in der Schweiz — viele davon Ransomware-Angriffe.

---

Die wichtigsten Fakten zur Lösegeldfrage auf einen Blick

Bevor wir tiefer einsteigen, hier die entscheidenden Zahlen:

Kennzahl	Wert	Quelle
Unternehmen, die alle Daten zurückerhielten (nach Zahlung)	65%	Sophos 2024
Unternehmen, die nach Zahlung erneut angegriffen wurden	80%	Cybereason 2024
Durchschnittliche Lösegeldforderung (KMU)	CHF 25’000–350’000	Coveware Q4 2024
Durchschnittliche Gesamtkosten nach Zahlung	CHF 84’000–500’000+	IBM / Coveware 2024
Unternehmen, deren Daten trotz Zahlung veröffentlicht wurden	35%	Coveware 2024
Kosten Red Teaming-Prävention	ab CHF 11’900	RedTeam Partners 2024

---

Die rechtliche Lage in der Schweiz

Ist Lösegeldzahlung in der Schweiz legal?

In der Schweiz gibt es kein generelles Verbot der Zahlung von Ransomware-Lösegeld. Anders als etwa in manchen US-Bundesstaaten oder bei bestimmten US-sanktionierten Entitäten ist die blosse Zahlung nach Schweizer Recht nicht per se strafbar.

Wichtige Einschränkungen:

1. Sanktionsrecht (Embargogesetz): Wenn die Ransomware-Gruppe einer sanktionierten Organisation angehört oder aus einem sanktionierten Land operiert (z.B. bestimmte nordkoreanische oder iranische Gruppen), kann eine Zahlung gegen das Schweizer Embargogesetz (EmbG) verstossen. Das Staatssekretariat für Wirtschaft (SECO) führt eine Liste sanktionierter Personen und Entitäten.

2. Geldwäschereigesetz (GwG): Für regulierte Finanzinstitute und bestimmte Berufsgruppen (Anwälte, Treuhänder) können bei Lösegeldzahlungen Meldepflichten nach dem Geldwäschereigesetz entstehen.

3. Beihilfe zur kriminellen Organisation (Art. 260ter StGB): Theoretisch könnte eine Zahlung an bekannte Ransomware-Gruppen als Unterstützung einer kriminellen Organisation gewertet werden — in der Praxis wurden Schweizer Unternehmen dafür bislang nicht verfolgt.

4. Versicherungsrechtliche Aspekte: Viele Cyberversicherungen decken Lösegeldkosten ab, verlangen aber vorab ihre Zustimmung und spezifische Bedingungen.

“Die Zahlung von Ransomware-Lösegeld ist in der Schweiz nicht verboten, aber sie löst das Problem nicht. Sie erkauft bestenfalls Zeit und gibt keine Garantie für die Rückgabe der Daten. Und sie finanziert die nächste Angriffswelle — möglicherweise auf Sie selbst. Das BACS empfiehlt grundsätzlich, nicht zu zahlen.”

— Bundesamt für Cybersicherheit (BACS), Empfehlungen zu Ransomware-Angriffen, 2024

Empfehlungen der Schweizer Behörden

Das Bundesamt für Cybersicherheit (BACS), das Fedpol und die Schweizer Strafverfolgungsbehörden sind sich einig:

Zahlen Sie nicht — aus folgenden Gründen:

• Zahlung garantiert nicht die Rückgabe oder Nicht-Veröffentlichung Ihrer Daten
• Sie werden zum bekannten «zahlenden» Ziel und damit attraktiver für Folgeangriffe
• Jede Zahlung finanziert Kriminalität und ermutigt weitere Angriffe
• Alternative Optionen (Backup, Decryption-Tools) sollten zuerst ausgeschöpft werden

Melden statt Zahlen: Das BACS betreibt eine kostenlose Meldestelle (report.ncsc.admin.ch) und kann im Einzelfall unterstützen. Interpol und Europol koordinieren internationale Ermittlungen gegen Ransomware-Gruppen und stellen manchmal Decryption-Keys zur Verfügung.

---

Die Realität der Lösegeldzahlung: Was wirklich passiert

Schritt 1: Die Verhandlung

Entgegen der Darstellung in Medien ist der Erstkontakt mit Ransomware-Gruppen oft «professionell». Viele Gruppen unterhalten Dark-Web-Portale mit Chat-Support, FAQ und Zahlungsanweisungen in Bitcoin oder Monero.

Verhandlungen führen in der Regel zu einer Reduktion der ursprünglichen Forderung um 20–60%. Warum? Weil auch Angreifer lieber einen sicheren, tieferen Betrag erhalten als riskieren, nichts zu bekommen.

Wer verhandelt? Spezialisierte «Incident Response»-Firmen übernehmen häufig die Verhandlung. Viele Cyberversicherungen haben eigene Verhandlungsteams. Die Verhandlung sollte nie vom Unternehmen selbst direkt geführt werden — ohne Erfahrung mit der Taktik der Angreifer wird man regelmässig übervorteilt.

Schritt 2: Die Zahlung

Zahlung erfolgt fast ausschliesslich in Kryptowährungen (Bitcoin, Monero). Dieser Prozess ist für Schweizer KMU oft neu und erfordert:

• Eröffnung eines Krypto-Wallets
• Beschaffung der Kryptowährung (meist über Börsen wie Kraken oder Coinbase)
• Korrekte Adressierung (Fehler sind irreversibel)

Die Transaktion ist in der Blockchain öffentlich und rückverfolgbar — allerdings nicht einfach einer Person zuordenbar.

Schritt 3: Was nach der Zahlung passiert

Im besten Fall:

• Angreifer liefern einen Decryption-Key
• Unternehmen entschlüsselt Daten (Prozess dauert Stunden bis Tage)
• Betrieb wird schrittweise wieder aufgenommen

In der Realität:

• 65% der Unternehmen erhalten alle Daten zurück (35% nicht, oder nicht vollständig)
• Der Decryption-Prozess ist langsam und fehleranfällig — selbst mit Key ist nicht alles sofort wieder zugänglich
• Gestohlene Daten bleiben beim Angreifer — und können jederzeit veröffentlicht oder weiterverkauft werden
• Das ursprüngliche Einfallstor ist immer noch offen — ohne Forensik und Härtung folgt der nächste Angriff

---

Die häufigsten Missverständnisse zur Lösegeldzahlung

Missverständnis 1: «Wenn wir zahlen, ist die Sache erledigt»

Nein. Die Zahlung schliesst keine Sicherheitslücken. Das Einfallstor, das die Angreifer genutzt haben, existiert weiterhin. Oft hinterlassen Ransomware-Gruppen Backdoors im System — für einen späteren Angriff oder um den Zugang an andere Gruppen zu verkaufen.

Missverständnis 2: «Die Daten werden nicht veröffentlicht, wenn wir zahlen»

Keine Garantie. Bei «Double Extortion»-Angriffen drohen Angreifer sowohl mit Verschlüsselung als auch mit Datenpublikation. Selbst nach Zahlung der Verschlüsselungs-Lösegeld kommt oft eine zweite Forderung für die Nicht-Veröffentlichung. Und Zahlungen verhindern nicht, dass die Daten trotzdem an Dritte verkauft werden.

Missverständnis 3: «Das Lösegeld ist der Hauptkostenpunkt»

Falsch. Das Lösegeld macht typischerweise 15–25% der Gesamtkosten aus. Betriebsunterbruch, Wiederherstellung, Rechtskosten und Reputationsschaden überwiegen in fast allen Fällen. Detaillierte Kostenanalyse: Ransomware Kosten Schweiz.

Missverständnis 4: «Wir haben keine Wahl — ohne die Daten können wir nicht arbeiten»

In vielen Fällen gibt es Alternativen — sie sind jedoch nur dann verfügbar, wenn man vorab investiert hat (Backup, Decryption-Tools) oder wenn man die Lage vollständig analysiert hat (was Zeit braucht). Wer im Moment der Krise keine Alternativen sieht, hat oft vorher die falschen Prioritäten gesetzt.

---

Alternativen zur Lösegeldzahlung

Alternative 1: Wiederherstellung aus Backup

Die beste Alternative ist ein aktuelles, offline gespeichertes Backup. Nach dem 3-2-1-Prinzip:

• 3 Kopien der Daten
• 2 verschiedene Speichermedien
• 1 Kopie offline (air-gapped)

Wer ein solches Backup hat, kann Systeme ohne Lösegeldzahlung wiederherstellen. Die Wiederherstellungszeit beträgt typischerweise 3–7 Tage (statt 22 Tage ohne Backup). Regelmässige Restore-Tests sind Pflicht — ein Backup, das nie getestet wurde, ist wertlos.

Alternative 2: Kostenlose Decryption-Tools

Für viele ältere oder bekannte Ransomware-Varianten existieren kostenlose Decryption-Tools:

No More Ransom (nomoreransom.org) Ein Projekt von Europol, Interpol und privaten Sicherheitsfirmen. Enthält Decryption-Keys und Tools für über 160 Ransomware-Familien. Erste Anlaufstelle vor jeder Zahlung.

Identifikation der Ransomware-Variante:

• ID Ransomware (id-ransomware.malwarehunterteam.com): Identifiziert Ransomware anhand der Dateiendung oder der Lösegeldforderung
• Bekannte Varianten mit verfügbaren Tools: Ryuk (teilweise), GandCrab (vollständig), REvil (teilweise), Maze (teilweise)

Wichtig: Prüfen Sie NoMoreRansom bevor Sie zahlen. Die Datenbank wird ständig erweitert.

Alternative 3: Professionelle Datenrettung ohne Zahlung

Spezialisierte Unternehmen (z.B. Coveware, Proven Data, Rubrik) können in manchen Fällen verschlüsselte Daten durch technische Methoden teilweise wiederherstellen — ohne Zahlung. Dies funktioniert nicht immer, ist aber einen Versuch wert.

Mögliche Ansätze:

• Ausnutzung von Implementierungsfehlern in der Verschlüsselung
• Shadow Copies (Volume Shadow Copy Service, wenn nicht gelöscht)
• Partielle Dateirekonstruktion aus Logs und temporären Dateien

Alternative 4: Akzeptanz des Verlusts und Neuaufbau

In manchen Fällen — insbesondere wenn die Daten auch ohne Zahlung kompromittiert sind (Double Extortion bereits erfolgt) oder wenn die Daten durch Backup-Fragmentierung teilweise vorhanden sind — ist der Neuaufbau die kostengünstigste Option.

Dies ist schmerzhaft, aber manchmal die richtige Entscheidung, insbesondere wenn:

• Das Lösegeld existenzbedrohend hoch ist
• Keine Garantie auf Datenrückgabe besteht
• Die Daten ohnehin bereits exfiltriert wurden

---

Entscheidungsrahmen: Zahlen oder nicht zahlen?

Wenn Sie sich in der Situation befinden, müssen Sie folgende Faktoren abwägen:

Faktoren, die gegen eine Zahlung sprechen

• Funktionierendes Backup vorhanden → Wiederherstellung ohne Zahlung möglich
• Decryption-Tool auf NoMoreRansom.org verfügbar
• Angreifer operiert aus sanktionierten Ländern (rechtliches Risiko)
• Daten bereits exfiltriert und veröffentlicht (Zahlung bringt nichts mehr)
• Keine kritischen, unersetzlichen Daten betroffen

Faktoren, die möglicherweise für eine Zahlung sprechen

• Keine Backups vorhanden und Daten sind existenzkritisch
• Decryption-Tools nicht verfügbar
• Betriebsunterbrechungskosten übersteigen das Lösegeld bei weitem
• Angreifer ist keine sanktionierte Entität
• Rechtsanwalt und Versicherung haben grünes Licht gegeben

Wichtig: Treffen Sie diese Entscheidung nie alleine und nie in Panik. Ziehen Sie folgende Experten hinzu:

1. IT-Forensiker (technische Beurteilung der Lage)
2. Rechtsanwalt mit Datenschutz-/Cybersicherheitserfahrung (rechtliche Lage)
3. Cyberversicherung (Deckungsfrage klären)
4. BACS (kostenlose Beratung)

---

Die ethische Dimension: Was Lösegeldzahlungen anrichten

Über die unmittelbare Unternehmensperspektive hinaus ist die gesellschaftliche Dimension der Lösegeldzahlungen relevant:

Ransomware als Industrie: 2024 wurden weltweit schätzungsweise USD 1,1 Milliarden Lösegeld bezahlt (Chainalysis 2025). Diese Mittel finanzieren:

• Entwicklung neuer Ransomware-Varianten
• Infrastruktur für weitere Angriffe
• Rekrutierung von Spezialisten (Ransomware-Gruppen zahlen Marktlöhne)
• In manchen Fällen: Staatsfinanzierung in sanktionierten Ländern

Jede Zahlung perpetuiert das Modell. Branchen- und Behördenverbände wie das BACS, Europol und das FBI betonen deshalb einhellig: Zahlen verstärkt das Problem.

“Ransomware ist heute ein voll industrialisiertes Geschäftsmodell. Es gibt Entwickler, Affiliates, Verhandlungsführer und Geldwäscher — alles hochprofessionell organisiert. Schweizer KMU, die zahlen, finanzieren direkt diese Infrastruktur. Jeder Franken Lösegeld ist ein Franken für den nächsten Angriff.”

— Europol, Internet Organised Crime Threat Assessment (IOCTA) 2024

---

Der Vergleich: Lösegeld vs. Prävention

Die eindrücklichste Perspektive auf die Lösegeldfrage ist die rein betriebswirtschaftliche:

	Lösegeld (mittleres KMU)	Red Teaming-Prävention
Direkte Kosten	CHF 80’000–200’000	ab CHF 11’900
Gesamtkosten (inkl. Betriebsunterbruch etc.)	CHF 300’000–1’000’000+	CHF 11’900–50’000
Garantierter Nutzen	Keiner (65% Erfolgsrate)	Schwachstellenidentifikation
Folgeangriff wahrscheinlich?	Ja (80% in 12 Monaten)	Erheblich reduziert
Compliance (nDSG)	Nicht erfüllt	Nachweisbare Sorgfalt
Reputationsschaden	Hoch	Vermieden

Ein Red Teaming-Assessment von RedTeam Partners (CREST-zertifiziert, Zürich) kostet ab CHF 11’900. Das ist weniger als das Minimum einer Lösegeldforderung für ein kleines KMU — und es gibt eine Garantie: die vollständige Aufdeckung Ihrer tatsächlichen Schwachstellen.

Lesen Sie mehr zu den Kostenvergleichen in unserem Artikel Red Teaming Kosten Schweiz und Red Teaming vs. Penetrationstest.

---

Was tun, wenn Sie sich im Moment der Entscheidung befinden?

Wenn Sie diesen Artikel lesen, weil Sie gerade von einem Ransomware-Angriff betroffen sind, hier der sofortige Aktionsplan:

1. Sofort (nächste 2 Stunden):

• Netzwerk isolieren (betroffene Systeme trennen)
• BACS kontaktieren: report.ncsc.admin.ch / +41 58 465 04 68
• Anwalt kontaktieren
• Cyberversicherung informieren
• Nicht zahlen, bevor alle Alternativen geprüft sind

2. Vor der Zahlungsentscheidung:

• NoMoreRansom.org auf verfügbare Decryption-Tools prüfen
• Backup-Situation klären
• IT-Forensiker einschalten (forensische Analyse des Angriffs)
• Angreifer-Gruppe identifizieren (Sanktionsprüfung)
• Rechtliche Beratung einholen

3. Falls Sie zahlen müssen:

• Nur mit Zustimmung der Cyberversicherung und des Anwalts
• Verhandlung durch spezialisierte Firma
• SECO-Sanktionsliste prüfen (vor Zahlung)
• Zahlung dokumentieren (für Steuer, Versicherung, Behörden)
• Nach Zahlung: sofortige forensische Aufarbeitung und Härtung

Unser vollständiger Notfallplan: Ransomware Angriff — Was tun?

---

Die nDSG-Dimension der Lösegeldzahlung

Unabhängig davon, ob Sie zahlen oder nicht: Ein Ransomware-Angriff mit Datenzugriff löst Meldepflichten nach dem revidierten Datenschutzgesetz (nDSG) aus.

Wichtige Punkte:

• Meldung an den EDÖB, wenn ein hohes Risiko für betroffene Personen besteht
• Frist: «so rasch als möglich» (Praxis: 72 Stunden)
• Bussen bis CHF 250’000 für Verletzung der Meldepflichten

Die Lösegeldzahlung ändert daran nichts. Auch wenn Daten «zurückgegeben» werden, bleibt die Tatsache, dass Dritte unbefugten Zugriff hatten. Lesen Sie unsere vollständige nDSG Checkliste für KMU.

---

Fazit

Die Frage «Sollen wir das Lösegeld zahlen?» sollte nie gestellt werden müssen. Sie entsteht nur, wenn die Prävention versagt hat. Wer konsequent in Sicherheit investiert — Offline-Backups, MFA, Patch-Management, Mitarbeiterschulung und regelmässige Sicherheitstests — wird diese Frage mit hoher Wahrscheinlichkeit nie beantworten müssen.

Falls Sie sich dennoch in dieser Situation befinden: Zahlen Sie nicht voreilig. Prüfen Sie alle Alternativen. Konsultieren Sie Experten. Und melden Sie den Vorfall beim BACS.

Die wichtigste Lektion aus all den Ransomware-Fällen in der Schweiz — Xplain, Comparis, NZZ und andere — ist diese: Kein Unternehmen ist zu klein oder zu gross für einen Angriff. Und kein Angriff ist unvermeidlich, wenn man die richtigen Vorkehrungen trifft.

Red Teaming von RedTeam Partners zeigt Ihnen, wo Ihre Schwachstellen liegen — bevor Angreifer sie finden. Für ab CHF 11’900 erhalten Sie die Antwort auf die Frage, die kein Unternehmen erst im Ernstfall beantworten möchte: «Wie sicher sind wir wirklich?» Kontaktieren Sie uns für eine kostenlose Erstberatung.

Weiterführende Ressourcen:

• Ransomware Notfallplan für Schweizer KMU
• Ransomware Kosten Schweiz
• Ransomware Fälle Schweiz — Xplain, Comparis, NZZ
• Was ist Red Teaming?
• Red Teaming Kosten Schweiz
• Phishing Schutz für Unternehmen
• Cybersecurity Checkliste KMU