Wenn ein Unternehmen einem Cyber-Angriff zum Opfer fällt, bei dem sensible Daten mittels einer Erpressungssoftware verschlüsselt werden, ist guter Rat teuer. Ein Zugriff auf den Computer oder die Dateien ist in der Regel nicht mehr möglich und für die Entschlüsselung der Daten wird ein Lösegeld gefordert. Betroffene sollten nicht nur schnell handeln und den mit der Ransomware befallenen PC sofort vom Netzwerk trennen, wenn die Sicherheitssysteme umgangen wurden. Sie können auch eine Strafanzeige stellen. All dies hilft jedoch nicht, wieder an die Daten zu kommen.
Können diese auch aus dem Backup nicht wiederhergestellt werden und entschließt sich das Unternehmen doch, die Lösegeldforderung zu erfüllen, ist zudem nicht mal sicher, ob die Daten tatsächlich wieder freigegeben werden. Praktisch stellt sich dann jedoch die Frage, ob das gezahlte Lösegeld als Betriebsausgabe berücksichtigt werden kann. Grundsätzlich kann alles eine Betriebsausgabe sein, was dem Betrieb dienlich ist. Auch die steuerliche Abzugsbeschränkung für bestimmte Aufwendungen gem. § 4 Abs. 5 EStG nennt keine Lösegeldzahlung. Problematisch könnte sich jedoch darstellen, dass sich der Lösegeldempfänger nicht zu erkennen gibt und somit auch nicht nachgewiesen werden kann, an wen das Erpresser-Geld geleistet wurde.
Deshalb sollten Unternehmen, die Lösegeldzahlung und die individuellen Umstände genau dokumentieren, um die entsprechende Notlage im Streitfall belegen zu können und damit auch, dass es unmöglich ist, die wahre Identität des Empfängers festzustellen. Zumindest in den Fällen, in denen es die verborgenen Täter nicht durch eine veraltete Software oder ähnliches leicht hatten, könnte so der Betriebsausgabenabzug ggf. gerettet werden.
