Cyberbanden auf Sanktionslisten: Wenn Lösegeldzahlungen strafbar sind

Von |19.03.2026|
IT-Security
Titelbild: Cyberbanden auf Sanktionslisten: Wenn Lösegeldzahlungen strafbar sind

Zahlungen an Cyberkriminelle sind grundsätzlich immer kritisch zu betrachten. In manchen Fällen macht man sich damit aber sogar strafbar. Wir fassen für dich zusammen, welche Rolle Sanktionslisten in der Cyber Security spielen und was passiert, wenn man von sanktionierten Organisationen gehackt wird.

Ransomware-Angriffe gehören nicht umsonst zu den lukrativsten Arten von Cybercrime. Trotz Sicherheitsmaßnahmen kommt es immer wieder vor, dass Unternehmen Lösegelder bezahlen müssen, um ihre IT aus der Geiselhaft zu befreien. Wenn die Angreifer jedoch auf Sanktionslisten stehen, sind Zahlungen tabu. Sie können nämlich als Unterstützung einer kriminellen oder terroristischen Vereinigung bewertet werden – mit fatalen Konsequenzen.

Die weltweit wichtigsten Sanktionslisten

Sanktionslisten sind im Grunde die „Schwarzen Listen“ der Weltpolitik. Staaten und Organisationen wie die UN oder die EU führen Verzeichnisse von Personen, Firmen oder eben Hacker-Gruppen, mit denen jegliche Geschäfte verboten sind. Im Cyber-Kontext sind folgende Listen zentral:

  • UN Consolidated List

    Die Basisliste der Vereinten Nationen. Alle UN-Mitgliedstaaten sind verpflichtet, diese national zu berücksichtigen.

  • US – OFAC SDN List (Specially Designated Nationals)

    Geführt vom US-Finanzministerium. Gilt als wichtigste Sanktionsliste weltweit. US-Behörden sind extrem aktiv darin, Cyber-Akteure (wie Gruppen aus Russland, Iran oder Nordkorea) namentlich zu listen.

  • EU Consolidated Financial Sanctions List

    Die maßgebliche Liste für den europäischen Wirtschaftsraum. Sie bündelt alle Finanzsanktionen der EU.

Die drei Listen sind dabei nicht komplett unabhängig voneinander. So übernehmen sowohl die EU-Sanktionsliste als auch die OFAC-Liste stets alle Einträge der UN-Sanktionsliste.

Verschärfung der Sanktionsgesetze in Europa

In der EU gilt ein unmittelbares Bereitstellungsverbot: Es dürfen den Gelisteten weder direkt noch indirekt Gelder oder wirtschaftliche Ressourcen zur Verfügung gestellt werden. In Österreich regelt das 2024 eingeführte Sanktionengesetz die Umsetzung der europäischen Vorgaben. Seit dem 1. Januar 2026 ist die Finanzmarktaufsicht (FMA) die zentrale Anlaufstelle für die Umsetzung von Finanzsanktionen.

In Deutschland erfolgt die Prüfung meist über das Finanz-Sanktionslisten-Portal der Justiz oder die Datenbanken des Zoll. Federführend sind das Bundesamt für Wirtschaft und Ausfuhrkontrolle (BAFA) und die Deutsche Bundesbank.

Vor Kurzem wurden die Sanktionsgesetzte in Deutschland zudem massiv verschärft. Am 5. Februar 2026 wurde das „Gesetz zur Anpassung von Straftatbeständen und Sanktionen bei Verstößen gegen restriktive Maßnahmen der Europäischen Union“ veröffentlicht. Dadurch wurden u.a. die Bußgelder für Unternehmen vervierfacht. Außerdem entfallen die zuvor geltenden Schonfristen. Wenn Hackergruppen neu gelistet werden, gilt das Verbot sofort.

Wann kommen Cyberbanden auf diese Listen?

Die EU führte im Jahr 2019 ein Framework ein, um Cyber-Sanktionen zu steuern. Eine Gruppe oder Einzelperson wird demnach gelistet, wenn ein Cyberangriff „erhebliche Auswirkungen“ hat.

Folgende Kriterien sind für die Listung entscheidend:

  • Ausmaß & Schwere

    Störung wesentlicher Dienste (Energie, Gesundheit, Banken) oder kritischer staatlicher Funktionen.

  • Wirtschaftlicher Schaden

    Hohe finanzielle Verluste oder Diebstahl von geistigem Eigentum in großem Stil.

  • Herkunft

    Der Angriff muss eine externe Bedrohung für die EU oder ihre Mitgliedstaaten darstellen (meist staatlich gestützte Akteure).

  • Unterstützung

    Auch Helfer, die Infrastruktur bereitstellen oder die Gelder waschen, können gelistet werden.

Gegen Ransomware-Gruppen ist die Sanktionierung ein scharfes Schwert, da deren Zahlungsfluss in der Regel komplett zum Erliegen kommt. Betroffene Gruppen haben deshalb Ausweichstrategien entwickelt. So lösen sie sich beispielsweise auf und starten nach einem Rebranding neu.

Was bedeutet das für angegriffene Unternehmen?

Wenn die IT deines Unternehmen von einer Gruppe verschlüsselt wird, die auf einer Sanktionsliste steht, befindest du dich in einem regelrechten Minenfeld. In Deutschland und Österreich greift das Strafrecht und die Zahlung kann als Unterstützung einer kriminellen oder terroristischen Vereinigung gewertet werden. Es drohen hohe Bußgelder für das Unternehmen und Haftstrafen für die verantwortlichen Manager.

Auch Cyber-Versicherungen prüfen sehr penibel, ob die Angreifer auf Sanktionslisten stehen. Falls dem so ist, verweigern sie konsequent die Erstattung des Lösegelds. Darüber hinaus bestehen Risiken für Sekundärsanktionen. Bei US-gelisteten Gruppen (OFAC) riskieren auch europäische Unternehmen, selbst auf die schwarze Liste der USA zu kommen, wenn sie zahlen.

Fazit

Experten raten grundsätzlich davon ab, Lösegeld zu zahlen. Bei sanktionierten Gruppen ist es jedoch schlichtweg verboten und mit sehr hohen Risiken verbunden. Die beste Strategie ist deshalb, es gar nicht erst so weit kommen zu lassen. Präventive Maßnahmen für eine höhere Cybersicherheit – von der Awareness-Schulung bis zur sicheren Backup-Infrastruktur – gewinnen dadurch noch einmal mehr an Bedeutung.

Weitere Infos zur 24/7 Überwachung und Schutz der IT-Infrastruktur

Wir beantworten gerne alle Fragen.

Kontaktiere uns über das untenstehende Formular oder auch unter +43 5 9555
und office@techbold.at. Unsere vollständigen Adressdaten findest du hier.

Sie sehen gerade einen Platzhalterinhalt von HubSpot. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.

Inhalt entsperren Erforderlichen Service akzeptieren und Inhalte entsperren
Mehr Informationen
Evelyn Heinrich / Head of Account Management

Evelyn Heinrich

Head of Account Management

oder ein Account Manager aus ihrem Team melden sich umgehend.