Digitale Erpressung mittels sogenannter Ransomware ist ein in Deutschland und darüber hinaus weltweit vermehrt auftretendes Phänomen. Neben Unternehmen sind auch Privatpersonen zunehmend von Ransomware betroffen.Beim Einsatz von Ransomware handelt es sich strafrechtlich betrachtet um eine Kombination der Delikte Computersabotage gem. § 303 b StGB und der Erpressung gem. § 253 StGB. Der Einsatz der Ransomware führt zur Verschlüsselung einzelner Daten eines digitalen Systems und in vielen Fällen auch zur Verschlüsselung erreichbarer Netzwerkkomponenten (andere Endgeräte innerhalb eines Firmennetzwerks u. ä.).
In den meisten Fällen fordern die Täter ein Lösegeld vom Opfer, das in Form von digitaler Währung zu zahlen ist. Nach Zahlung der geforderten Summe sollen die Opfer einen Freischaltcode erhalten, mit dem sie das blockierte System entsperren und anschließend wieder nutzen können.

Seit Dezember 2015 beobachtet das BSI große Spam-Wellen, über die massenhaft Ransomware verteilt wird. Gegenüber Oktober 2015 wurde im Februar 2016 mehr als zehn Mal so häufig Ransomware durch Virenschutzprogramme in Deutschland detektiert.15 Europol stellt in seinem Cybercrime-Lagebericht 2016 fest, dass Ransomware zwischenzeitlich alle anderen Arten von Malware (inklusive Bankingtrojaner) eingeholt hat.
Infizierte Systeme werden oftmals vollverschlüsselt und gesamte Netzwerke erheblich gestört. Betroffene, die ihre IT-Infrastruktur nicht durch aktuelle Backups wieder aufbauen können, erleiden massive Beeinträchtigungen bis hin zu einem kompletten Ausfall des Geschäftsbetriebes.
Laut BSI verfügen mittlerweile mehr als 95 % der Ransomware über Verschlüsselungs-funktionen. Einfache Sperrbildschirme im Desktop-Bereich ohne das Verschlüsseln der Festplatten wurden im Jahr 2016 weiterhin als Modus Operandi festgestellt.
Im Rahmen einer im April 2016 durchgeführten anonymen Umfrage des BSI bei deutschen Wirtschaftsunternehmen zu ihrer Betroffenheit durch Ransomware wurde festgestellt, dass nahezu ein Drittel (32 %) der befragten Institutionen in den vorhergegangenen sechs Monaten von Ransomware betroffen war.

Entsprechende Schadsoftware oder auch die gesamte „Dienstleistung“ (z. B. im sogenannten Affiliate-Modell) kann z. B. in Foren der Underground Economy erworben werden, so dass kein besonderer IT-Sachverstand zur Durchführung digitaler Erpressungshandlungen erforderlich ist.
Mit Hilfe von im Darknet verfügbaren „Malware-Toolkits“ können sich die Täter Ransomware ohne großen Aufwand selbst zusammenstellen. Die Anbieter des Toolkit-Dienstes erhalten bei einer erfolgreichen Lösegeldzahlung eine Umsatzbeteiligung, in der Regel in digitaler Währung.

Beim illegalen Geschäftsmodell mit Ransomware hat sich zwischenzeitlich sogar ein Wettbewerb zwischen den Vertreibern etabliert. So werden erfolgreiche Ransomwarevarianten schlichtweg kopiert, wobei die Nachahmerprodukte häufig schlechter kodiert sind und auf weniger professionelle Art und Weise weiterverbreitet werden. Das „Geschäftsmodell Ransomware“ beruht letztlich auf der erfolgenden Entschlüsselung eines Systems nach Zahlung des geforderten Lösegeldes. Andere Straftäter wenden das Modell an, ohne dass sie willens oder in der Lage sind, eine Entschlüsselung vorzunehmen. Weiterhin sabotieren sich Tätergruppierungen gegenseitig, indem Entschlüsselungstools für „rivalisierende“ Varianten im Netz veröffentlicht werden. Es hat sich eine regelrechte Industrie entwickelt.
Für das Jahr 2016 wurden dem BKA im Rahmen des polizeilichen Meldedienstes 972 Fälle von digitaler Erpressung gemeldet, was einem Anstieg um 94,4 % gegenüber dem Vorjahr (500 Fälle) entspricht und den vom BSI und privaten IT-Sicherheitsdienstleistern festgestellten Trend widerspiegelt.