Auch heimische Firmen greifen oft tief in die Tasche, um wieder auf ihre Daten zugreifen zu können, sagt der Cybersicherheitsexperte Michael Krausz, der mit seiner i.s.c. group Firmen und Organisationen weltweit in solchen Fragen berät. Rund ein Drittel der betroffenen Unternehmen hat laut einer Untersuchung bereits bezahlt. Wann aber bezahlen Firmen und wann nicht? Was bringen Verhandlungen? Und: Können die Zahlungen steuerlich geltend gemacht werden?
Abwägungssache
Ob eine Firma bezahlt oder nicht, sei Abwägungssache, sagt Krausz. Wenn das für die Freigabe der Daten verlangte Lösegeld in einem sehr geringen Verhältnis zum Umsatz stehe, dann bezahle man üblicherweise. Es gebe auch kulturelle Unterschiede. "Die Amerikaner haben immer bezahlt, weil sie das Problem vom Tisch haben wollten und weil sie sich nicht damit beschäftigen wollten."
Ein wichtiges Thema sei auch, inwieweit man ohne Hilfe der Täter die Lage selbst in den Griff bekommen kann. Wenn man über ein gutes Back-up verfüge, das man installieren kann und Ausfallszeiten keine große Rolle spielen, dann könne man von einer Zahlung auch absehen, meint der Experte. Ethische oder moralische Argumente würden in solchen Fällen aber wenig helfen. Entscheidend sei, ob die Unternehmen in der Lage seien, sich selbst aus dem Sumpf zu ziehen oder nicht.
Allerdings habe man heute meist auch gar keine andere Wahl, als zu zahlen, denn längst werden die Daten nicht nur verschlüsselt, sondern auch "abgesaugt". Die Täter drohen dann mit Veröffentlichung oder verkaufen die Daten einfach weiter.
Was bringen Verhandlungen?
"Verhandlungen mit den Cyberkriminellen können viel bringen", meint Krausz. Etwa wenn es darum gehe, Zeit zu gewinnen, um die Daten vielleicht doch aus eigener Kraft wiederherstellen zu können.
Habe man sich entschlossen zu bezahlen, sollte man darauf drängen, die Zahlungen in Bitcoin und nicht in einer anderen Kryptowährung durchführen zu können, rät Krausz. Denn Bitcoin-Zahlungen könnten nachverfolgt werden. Auch sei es einfacher, Bitcoin rasch in größeren Mengen zu beschaffen als andere Kryptowährungen.
Kann man die Ausgaben steuerlich abschreiben?
Ja, sagt Krausz. Der Cybersicherheitsexperte hat zu dem Thema ein Rechtsgutachten anfertigen lassen. Anders als etwa in Großbritannien, wo jede Form der Zahlung an Verbrecher nicht geltend gemacht werden kann, weil dadurch auch das Geschäftsmodell der Täter gefördert werden könnte, sollte das in Österreich möglich sein, meint Krausz.
Das bestätigt auch das Finanzministerium. Erpressungsgelder könnten ausnahmsweise betrieblich veranlasste Ausnahmen sein, wenn z.B. Geheimnisverrat oder die Beschädigung oder Zerstörung von Wirtschaftsgütern angedroht werden, heißt es auf Anfrage des KURIER aus dem Finanzministerium. Davon seien auch Fälle umfasst, in denen gedroht werde, Daten verschlüsselt zu lassen oder zu veröffentlichen. Die Erpressung müsse aber den Betrieb direkt betreffen. Handle es sich um Daten, die lediglich die private Sphäre des Unternehmers betreffen, liege keine betriebliche Veranlassung vor.
Offene Fragen
Nicht zweifelsfrei geklärt ist die Frage, wie mit der Angabe des Zahlungsempfängers verfahren werden kann. Denn das Finanzamt verlangt üblicherweise, dass der Empfänger, der als Betriebsausgabe angesetzten Zahlung genau bezeichnet wird. Die Benennung der Adresse eines Bitcoin-Wallets ist dafür nach Angaben des Finanzministeriums nicht ausreichend.
Allerdings darf das Finanzamt die Empfängerbenennung nicht verlangen, wenn der Auftrag dann unerfüllbar wäre. "D.h. wenn eine unverschuldete tatsächliche Unmöglichkeit vorliegt, den Empfänger namhaft zu machen", wie es in der Beantwortung einer Anfrage aus dem Ministerium heißt. Ob im Falle einer Cybererpressung das Verlangen einer Empfängerbenennung unzulässig wäre, sei derzeit höchstgerichtlich noch nicht geklärt, teilt das Finanzministerium weiter mit.
Wie viele Firmen Zahlungen an Cybererpresser als Betriebsausgabe steuerlich geltend gemacht haben, weiß man im Finanzministerium nicht: "Eine Auswertung über die Zahl der Fälle liegt derzeit noch nicht vor", teilt das Ministerium mit.
Es gibt aber auch Unternehmen oder Institutionen, die aus Prinzip nicht bezahlen. Das ist üblicherweise bei Bund, Ländern und Gemeinden der Fall. Das Land Kärnten, das 2022 Ziel einer solchen Attacke wurde lehnte Zahlungen entschieden ab. Krausz erzählt auch von einer Pfarre, die betroffen war. Pfarren hätten eine durchaus wichtige gesellschaftliche Bedeutung. Wenn der Server ausfalle, gebe es keine Hochzeiten, keine Taufen und keine Begräbnisse. Der Pfarrer sei aber der Meinung gewesen, die Täter sollen zum Teufel fahren, erzählt der Experte. "Die haben das dann selbst in den Griff bekommen."
Wie man sich schützen kann
Wie aber kann verhindert werden, dass man überhaupt in eine solche Lage gerät? "Man muss schlicht und einfach seine Hausaufgaben machen", sagt Krausz. Das Spektrum reiche von sicherer Softwareentwicklung über Update-Management, Bewusstsein für die Gefahren bei Mitarbeitern zu schaffen und technischem Schutz. Moderne Schutzsoftware (Endpoint protection) sei sehr wohl in der Lage, das Eindringen von Ransomware zu verhindern, sagt Krausz.
Die Funktionalität reiche dabei weit über einen einfachen Virenschutz hinaus. Das Spektrum reiche von der Analyse der Datenströme bis zum Isolieren der Schadsoftware, sagt Krausz: Das Wichtigste sei, sich im Inneren des Unternehmens zu schützen.
Kommentare