Cybererpresser haben ein erfolgreiches Geschäftsmodell entwickelt: Sie legen IT-Systeme lahm und stellen moderate Lösegeldforderungen. Für Unternehmen, denen Betriebsausfälle drohen, ist es oft am billigsten, zu bezahlen. Die Dunkelziffer an Erpressungsfällen dürfte hoch sein, die Überweisung von Lösegeld ist üblicher als oft angenommen.

Laut den Rechtswissenschaftern Peter Bräumann, Georg Kofler und Michael Tumpel von der JKU Linz und der WU Wien sind Zahlungen an Cybererpresser allerdings steuerlich abzugsfähig. Als betriebliche Ausgabe schmälern sie die Bemessungsgrundlage und damit auch die Steuerschuld. Zu diesem Ergebnis kommen sie in einem Fachartikel, den sie kürzlich in der Fachzeitschrift Steuer- und Wirtschaftskartei veröffentlicht haben.

Grundvoraussetzung für die Abzugsfähigkeit ist, dass die Lösegeldforderung "betrieblich veranlasst" war, sagt Bräumann, Assistenzprofessor für Steuerrecht an der JKU Linz, zum STANDARD. Der Angriff muss sich also gegen das Unternehmen richten und nicht etwa gegen eine Privatperson. "Das ist bei größeren Ransomwareangriffen aber praktisch immer der Fall", sagt Bräumann.

Mögliche Abzugsverbote

Problematisch könnten allerdings steuerliche Abzugsverbote sein. So gibt es im Einkommenssteuergesetz etwa das Verbot, Geld- und Sachzuwendungen, deren "Gewährung oder Annahme mit gerichtlicher Strafe bedroht ist", bei der Steuerbemessung zu berücksichtigen. Lösegeld zu bezahlen ist zwar normalerweise nicht strafbar, es kommt aber auf den Einzelfall an: "Wer sehenden Auges die Mafia mitfinanziert, könnte vom Abzugsverbot erfasst sein", sagt Bräumann.

Dazu komme, dass laut dem Gesetzeswortlaut alle Zahlungen in Verbindung mit einer strafbaren Handlung nicht abzugsfähig sind. Der, der sich strafbar macht, muss also nicht zwingend der Steuerpflichtige sein. In Erpressungsfällen wäre deshalb auch das Opfer selbst benachteiligt. "Das Gesetz ist aber überschießend und muss einschränkend interpretiert werden. Das ist in der Fachwelt praktisch unumstritten", erklärt Bräumann.

Empfängerbenennung

Im Fall einer Prüfung durch das Finanzamt sind Unternehmen dazu verpflichtet, die Empfänger bestimmter Zahlungen zu nennen. Andernfalls sind die Ausgaben nicht abzugsfähig. Im Fall von Cyberangriffen gibt es aus Sicht der Steuerrechtler allerdings eine Ausnahme. Die Ausforschung eines professionell agierenden Täters, der seine Identität verschleiert, sei in den meisten Fällen "unverschuldet unzumutbar". Damit entfalle auch die Pflicht zur Empfängerbenennung.

Rechtsprechung gibt es noch nicht, das dürfte sich in Zukunft allerdings ändern. "Schlagend werden diese Fragen immer erst später, wenn es zu nachträglichen Betriebsprüfungen kommt", sagt Bräumann. (Jakob Pflügl, 3.12.2021)