Distributed Denial of Service (DDoS) Attacken: DDoS Strafbar?

Aktuell sind wegen der Wikileaks-Debatte und so genannter “Rache”-Aktionen u.a. der Gruppe “Anonymous” so genannte DDoS-Angriffe wieder in aller Munde. Spätestens nachdem in den Niederlanden der zweite jugendliche “Hacker” von der Polizei festgenommen wurde, der sich an einem solchen DDoS-Angriff beteiligt haben soll, stellt sich auch zunehmend die Frage nach der Strafbarkeit. Bei Telemedicus etwa wurde es schon (sehr kurz) thematisiert, auch Stadler hat bereits etwas längeres dazu verfasst. Speziell wegen des Mythos des “Online-Demonstrationsrechts” in diesem Zusammenhang möchte ich das weiter konkretisieren.

Strafbarkeit von DDOS: Worum geht es

In aller Kürze worum es geht: Es ist durchaus nichts besonderes, dass eine Webseite nicht erreichbar ist, weil der Server auf Grund massenhafter Anfragen überlastet ist. Wer ein nur “kleines” Webhosting-paket nutzt und überraschend einen Link in einem Heise-Artikel erhält, der kennt das Problem (gemeinhin dann auch als “geheised” bezeichnet). Sowas gehört zum Alltag im Netz und kann verschiedene Ursachen haben, die keine strafrechtliche Relevanz haben.

Es ist aber sehr wohl auch möglich, sich zum einen zu verabreden, also mit einer unbestimmten Zahl von Nutzern zu vereinbaren, in einem bestimmten Zeitfenster auf eine Webseite zuzugreifen (und dann im Sekundentakt durch einen Reload die Anfragen hoch zu halten). Hierbei umgeht man den “äusseren Anlass”, ersetzt also bildlich gesprochen den Heise-Link durch die Verabredung (etwa via Twitter).

Und zu guter Letzt kann man natürlich auch mit (selbstgeschriebenen) Skripten Server mit Anfragen quasi bombardieren. Solche Skripte sind nicht schwer zu finden, ebenfalls für halbwegs erfahrene Programmierer auch alles andere als schwer selber zu schreiben. Es gibt auch Webseiten, auf denen man solche Anfragen mittels einer Webseite steuern kann. Hier können dann einige weniger Nutzer Anfragen in einer Masse produzieren, die man selbst mit zehntausenden Nutzern “manuell” nicht hinbekommen würde.

Mit diesen Möglichkeiten im Hinterkopf rufen nun manche Gruppen oder Fanclubs dazu auf, zu einer bestimmten Zeit (manuell oder mit Skripten) gezielt Webseiten “abzuschiessen”. Die Frage ist nun: Ist so ein Angriff überhaupt strafbar? Und macht es einen Unterschied, ob man nun als 16Jähriger aus Spass auf Grund eines Twitter-Aufrufs mitmacht, oder man zum “Führungskader” der entsprechenden Gruppe gehört?

Mögliche Tatbestände bei DDOS

Um nicht zu viel Aufhebens zu betreiben, verweise ich direkt auf die m.E. zuerst einmal entscheidenden Normen:

  1. Wegen dem was man da technisch tut, muss man sich den §303b StGB (Computersabotage) in Ruhe ansehen
  2. Wegen des Motivs für den Angriff kommt man nicht umhin, den §240 StGB (Nötigung) zu prüfen.

Und wenn ich damit durch bin, werde ich noch etwas ansprechen, was sicherlich überraschen wird.

DDOS-Attacke: Computersabotage

Wenn ich den §303b StGB auf den für mich relevanten Teil stutze, liest man:

Wer eine Datenverarbeitung, die für einen anderen von wesentlicher Bedeutung ist, dadurch erheblich stört, dass er […] Daten (§ 202a Abs. 2) in der Absicht, einem anderen Nachteil zuzufügen, […] übermittelt […] wird mit Freiheitsstrafe bis zu drei Jahren oder mit Geldstrafe bestraft.

Da merkt schon der juristische Laie beim Lesen plötzlich: Das könnte ganz gut zu einer (D)DOS-Attacke passen. Ich gehe mal flott mit üblicher Kommentierung die einzelnen Tatbestandsmerkmale durch:

  1. Datenverarbeitung ist jedes Daten verarbeitende System (Marberth-Kubicki, Rn.161), also problemlos der “abgeschossene” Server. Die hin und wieder zu findende Diskussion, ob als solches System nur das Gesamtsystem (Hardware & Software im Verbund) sein kann, oder auch der konkrete Verarbeitungsprozess (Überforderter Apache-Dienst etwa, während alles andere noch läuft) ist m.E. eher akademischer Natur und zur Recht in der Praxis bedeutungslos. Zumal letztlich auch der in sich geschlossene Apache-Webserver-Dienst (oder IIS etc. ;)) ein in sich geschlossener Daten verarbeitender Vorgang ist.
  2. Interessant ist die Frage, ob der Prozess von wesentlicher Bedeutung ist. Hier gibt es in der Tat einen sehr praxisrelevanten Streit um die Definition dieses Begriffs (dazu Marberth-Kubicki, Rn.163 sowie Fischer, §303b, Rn.6&7; Leupold/Glossner, 8/47). Wenn man etwa auf die nicht mehr erreichbare Webseite des Unternehmens Mastercard blickt, die nach meinem Eindruck eine reine Werbefunktion hatte während die operativen IT-Strukturen weiter verfügbar waren, wird die Frage durchaus problematisch. Wenn dann Fischer noch verlangt, die betreffende Datenverarbeitung sei nur dann wesentlich, wenn die jeweilige Aufgabenstellung oder Organisation von der Funktionstüchtigkeit der Datenverarbeitung abhängt, wird es eher problematischer als einleuchtender. Aber letztlich ist man sich heute einig, dass die “Wesentlichkeit” nur noch eine Ausschlussfunktion für “Bagatelldelikte” haben soll (dazu ebenfalls Marberth-Kubicki, Rn.163 sowie Fischer, §303b, Rn.6&7; Leupold/Glossner, 8/47) und insofern ist mit Marberth-Kubicki zu Recht festzustellen, dass man letztlich die Wesentlichkeit eher annehmen als ablehnen wird. Und ich denke, gerade im Bankenbereich ist eine Webseite mit Kontaktinformationen sowie als erste Support-Anlaufstelle ein wesentlicher Bestandteil des Firmenkonzepts, nicht zuletzt, da eine schlechte Webseite oder eine ständig “abstürzende” Webseite empfindlichen Einfuss auf das Firmen-Image, also die Kundenbindung haben kann.
  3. Tathandlung ist die Übermittlung von Daten in Nachteilszufügungsabsicht. Der Gesetzgeber hatte seinerzeit ausdrücklich in der Begründung darauf verwiesen (BT-Drs. 16/3656), mit dieser Formulierung (D)DoS-Attacken erfassen zu wollen und wage zu behaupten, es ist ihm gelungen: Die massenhaften Anfragen sind Daten-Übermittlungen. Interessant wird es – wie immer im Strafrecht – wenn dann noch die Nachteilszufügungsabsicht verlangt wird. Grds. richtig ist es, wenn Marberth-Kubicki hier darauf verweist, dass dies “immer Schwierigkeiten” verursacht. Wenn aber jemand nachweislich (hier liegt der Hase im Pfeffer) mit einer Software massenhaft Anfragen an eine Webadresse sendet, dürfte es schwierig sein, hier keine Nachteilszufügungsabsicht zu erkennen. Das ist der erste grosse Knackpunkt in der Differenzierung des Vorgehens: Wer eine Webseite aufruft und 100 Mal hintereinander den “Reload”-Button drückt, dem wird man diese Absicht schwer nachweisen können: Er wird sich verteidigen mit den Worten “Die Webseite war nicht erreichbar, da habe ich einfach ein paar Mal auf den Reload-Knopf geklickt”. Wer dagegen ein entsprechendes Skript eingesetzt hat, der hat ein gewisses Problem in der verteidigenden Argumentation.

Im Fazit merkt man schon einmal bis hier: ein (D)DoS-Angriff wird schnell dem §303b I Nr.2 StGB unterfallen. Nun gibt es aber einige Stimmen, die auf das Recht von “Online-Demonstrationen” verweisen, und da gab es ja auch dieses eine Urteil aus Frankfurt, weswegen man das angeblich darf. Klingt auch alles gut, aber wenn man sich das im Detail ansieht, ist das eher dünnes Eis. Wenn überhaupt.

Tatsache ist, dass das OLG Frankfurt a.M. im Jahr 2006 (1 Ss 319/05; MMR 2006, S.547) festgestellt hat, dass damals (!) ein gezielter (D)DoS-Angriff auf eine Webseite (es ging übrigens um eine Seite der Lufthansa) keine strafbare Handlung darstellte. Doch wer das Urteil aufmerksam liest, dem sollte auffallen, dass dort nur von “Datenveränderung” und dem §303a StGB die Rede ist. Der §303b StGB wurde gar nicht erst thematisiert – allerdings nicht, weil die Richter “blind” waren, sondern weil es den heutigen §303b StGB damals noch gar nicht gegeben hat. Heute ist es einhellige Meinung, dass sich diesbezüglich diese Entscheidung des OLG Frankfurt a.M. erledigt hat (repräsentativ dazu Marberth-Kubicki, Rn.155 mit sehr deutlichen Worten). Dabei ist u.a. festzustellen, dass das OLG Frankfurt a.M. seinerzeit berücksichtigt hat, dass die Daten ja nicht auf Dauer, sondern nur kurzweilig entzogen waren (die Webseite war nur relativ kurze Zeit nicht verfügbar). Das aber findet im Rahmen des “neuen” §303b StGB keine Beachtung mehr.

Daneben möchte ich Anmerken, auch begrifflich Probleme zu haben, von einer “Online-Demonstration” zu sprechen, wenn mittels Software-Skripte eine Webseite “abgeschossen” wird. Zum einen, wenn Millionen User sich (verabredet) auf einer Webseite “treffen” und durch häufigem Seiten-Reload den Server überlasten, sehe ich eine Analogie zu einer Demonstration im “echten Leben”, wo die Demonstranten eine Strasse blockieren und den Verkehr aufhalten. Dieses Bild scheitert aber, wenn wenige Nutzer mit einer Software massenhaft Anfragen senden, um so das B ild zu erzeugen, einige tausend währen Millionen. An dieser Stelle sehe ich auch die Gefahr bei manchem Juristen, auf Grund von Sympathie für das Ergebnis zu zielorientiert die Augen vor dem Problem zu verschliessen, dass bei Software-Einsatz durchaus eine andere Sachlage vorliegt.

Was heisst das hier im Fazit: Zumindest wenn eine Software eingesetzt wird sehe ich den §303b I Nr.2 StGB problemlos (!) als gegeben an, also ist die Strafbarkeit einer “Denial of Service”-Attacke zu bejahen (so auch Landgericht Düsseldorf, 3 KLs 1/11, hier besprochen)

DDOS: Nötigung

Der §240 StGB lautet:

Wer einen Menschen rechtswidrig mit Gewalt oder durch Drohung mit einem empfindlichen Übel zu einer Handlung, Duldung oder Unterlassung nötigt, wird mit Freiheitsstrafe bis zu drei Jahren oder mit Geldstrafe bestraft.

Die Angriffe werden sicherlich vor allem aus dem Motiv der “Rache” stattfinden, z.B. weil Mastercard Zahlungen an Wikileaks unterbunden hat. Darüber hinaus will man vielleicht auch erreichen, dass Zahlungen wieder ermöglicht werden bzw. andere Unternehmen “gewarnt” werden, sich gegen Wikileaks zu stellen. Jedenfalls das Zahlungen wieder ermöglicht werden, wäre ein geeigneter Nötigungserfolg. Da der aber (noch) nicht eingetreten ist, reden wir hier maximal über einen Versuch.

Der Knackpunkt an der Sache hier ist die Frage, ob “Gewalt” vorliegt. Zwar ist auch Gewalt gegen Sachen möglich, aber ich neige an diesem Punkt dazu, dem OLG Frankfurt a.M. in oben benannter Entscheidung zuzustimmen. Dieses erkannte nämlich keine Nötigung, da in dem Stören des Servers – wenn überhaupt – nur eine zeitweilige Sachentziehung zu erkennen sei, die nicht als Gewalt gegen eine Sache (hier den Server) qualifiziert werden könne. Eine vertretbare und m.E. auch zutreffende Einschätzung.

Allerdings muss man hier durchaus Vorsichtig sein: Noch vorher sah das das AG Frankfurt a.M. (MMR 2005, 863) nämlich ganz anders und erkannte relativ problemlos eine nötigende Handlung, wie man in der Entscheidung des OLG Frankfurt a.M. auch nachlesen kann. Die Sache dürfte also durchaus keineswegs “klar” sein, wenn man sich vor (irgendeinem) Amtsgericht mit diesem Vorwurf konfrontiert sieht.

DDOS: Der überraschende Tatbestand

Hier nun noch die Überraschung: Wer den §303b StGB bejaht – m.E. zur Zeit mit Blick auf die Literatur zwingend! – der muss zum §129a StGB sehen. Dort liest man nämlich:

Ebenso wird bestraft, wer eine Vereinigung gründet, deren Zwecke oder deren Tätigkeit darauf gerichtet sind […] Straftaten nach den §§ 303b […] zu begehen, oder wer sich an einer solchen Vereinigung als Mitglied beteiligt, wenn eine der in den Nummern 1 bis 5 bezeichneten Taten bestimmt ist, […] eine internationale Organisation rechtswidrig mit Gewalt oder durch Drohung mit Gewalt zu nötigen […]

Wenn man sich das so durchliest, versteht man relativ schnell, warum der §129a StGB erheblichen rechtspolitischen Bedenken begegnet. Und natürlich fällt man nicht direkt darunter, nur weil man einem Twitter-Aufruf folgt und an einem (D)DoS-Angriff teilnimmt. Mir geht es an dieser Stelle nur darum, kurz schon einmal darauf hinzuweisen, dass bei geeigneten Angriffszielen sehr schnell die dauerhafte Mitarbeit bei einer Gruppe wie “Anonymous” zu erheblichen Problemen führen kann. Ich denke da mit ein wenig Gänsehaut an Szenarien wie derzeit in den Niederlanden, wie Kinderzimmer “Hochgenommen” werden und man bei der Durchsuchung des Zimmers nicht nur den Rechner einkassiert, sondern diverse T-Shirts mit Anonymous-Logo und Slogans. Freilich aber wird das nur eine Rolle spielen, wenn wie erwähnt ein geeignetes Angriffsziel ausgesucht wird. Ich habe mich oben z.B. auf “internationale organisationen” konzentriert bei der Kürzung des Gesetzestextes, das sind – anders als man es vielleicht liest – keine Organisationen der Privatwirtschaft, sondern nur solche der öffentlichen Hand. Es kann also z.B. problematisch werden, wenn Anonymous die UNO ins Auge fassen würde. Gleichwohl wie abwegig dieser Tatbestand gilt, war es mir hier ein Anliegen zu verdeutlichen, wie schnell man mit dem §303b StGB in den begrifflichen Raum des “Terrorismus” rutschen kann – was freilich heute in sich kein grösseres Problem ist, da unsere Zeit von Terror-Hysterie geprägt ist.

Fazit: Strafbarkeit von DDOS

Was heisst das im Ergebnis? Ich glaube fest, dass man in Deutschland dieses Phänomen erst einmal weniger für Ermittlungen als den erneuten Ruf nach einer Vorratsdatenspeicherung nutzen wird. Grundsätzlich, wenn eine Software zur gezielten Störung eingesetzt wird, sehe ich eine strafrechtliche Relevanz. Die Hinweise auf die angeblich anerkannte “Online-Demonstration” kann ich in ihrer Sympathie zwar nachvollziehen, juristisch muss ich davon aber Abstand nehmen. Insofern möchte ich auch davor warnen, allzu blauäugig einem Aufruf zu Folgen und eine (zweifelhafte) Software aus vermeintlichem Spass eine gewisse Zeit einzusetzen, das Risiko von Ermittlungsmaßnahmen ist hier schlicht unkalkulierbar. Am Ende wird eine Differenzierung, ob man nun “Rädelsführer” oder nur “Mitläufer” war keinen Einfluss auf die Frage der Strafbarkeit insgesamt haben, die gemeinschaftliche Tatbegehung im Erfolgsfall steht außer Zweifel, insofern verweise ich nur auf §25 II StGB.

Unberücksichtigt habe ich an dieser Stelle, wie es mit einer Anstiftung zum §303b StGB aussehen kann. Die ist keineswegs Abwegig wenn man etwa an den scheinbar harmlosen Re-Tweet des Aufrufs denkt, sich an einem (D)DoS-Angriff zu einer bestimmten Zeit zu beteiligen. Die Frage, ob ein solcher Re-Tweet eine Anstiftung wäre, bleibt an dieser Stelle aussen vor, weil ich seit einigen Tagen an einem Artikel zum Thema “Haftung für Re-Tweets” arbeite, in dem ich das gesondert aufgreife.

Anmerkung zum internationalen Recht: Stadler verweist zu Recht auf die Cybercrime-Convention, ich kann hier noch um einen EU-Rahmenbeschluss (2005/222/JI) ergänzen. International wird die Rechtslage mit Blick auf den §303b StGB somit ähnlich sein, was hier als kurzer Einwurf genügen soll.

Hinweis: Wozu ich hier nichts geschrieben habe, worauf aber Telemedicus eingeht, ist die Frage zivilrechtlicher Schadensersatzansprüche. Auch diese Gefahr sollte man im Auge haben, wenn man darüber nachdenkt, sich an solchen “Aktionen” zu beteiligen. Ich kann daher nur davor warnen und dazu aufrufen, von einer Teilnahme abzusehen.

mm

Ich bin als Strafverteidiger und Fachanwalt für Informationstechnologierecht speziell im IT-Strafrecht tätig und berate rund um Cybercrime sowie das digitale und Wirtschafts-Strafrecht. Neben dem IT-Recht bin ich vorwiegend im Strafrecht tätig mit inzwischen mehreren hundert Strafverteidigungen. Die Anwaltskanzlei Ferner Alsdorf bietet seit ihrer Gründung vor 20 Jahren eine eindeutig fokussierte Tätigkeit auf das Strafrecht.

7 Replies to “Distributed Denial of Service (DDoS) Attacken: DDoS Strafbar?”

  1. Pingback: ZAPP: Anonyme Massenblockade im Netz | Daniel Bröckerhoff

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.