Meinem Mandanten wurde ein DDoS-Angriff vorgeworfen. Er hatte – freilich ohne dazu beauftragt worden zu sein – eine Webseite auf Sicherheitslöcher „prüfen“ wollen, indem er ein Penetrationstool (wie Acunetix) eingesetzt hat. Der etwas betagte Server ging in die Knie und brach letztlich ganz zusammen. Der Betreiber erstattete Strafanzeige, letztlich wurde Anklage erhoben wegen einer begangenen Computersabotage entsprechend §303b StGB. Mit der Anklageschrift kam ich ins Spiel.
Technisches WirrWarr
Bereits nach Einsicht der Ermittlungsakte zeigte sich, dass einige gewisse Fehlvorstellungen bei den Ermittlungsbehörden herrschten. So zeigte man sich „schockiert“ von den tausenden Zugriffen, die durch die Software verursacht wurden. Der Rückschluss war kurzerhand, dass offenkundig eine DDoS-Attacke vorlag, die „tausende Benutzer“ simulierte, wobei es meinem Mandanten angeblich darum ging, entweder seine Dienstleistung (Sicherheitsberatung) am Ende zu verkaufen oder gar zur Abnahme selbiger zu Erpressen.
Verteidigungstaktik
Ich wurde bereits im Zwischenverfahren, also bereits vor der Zulassung der Anklage tätig und habe einen recht umfangreichen Schriftsatz aufgesetzt, in dem ich die Arbeitsweise eines Apache-Servers unter Bezugnahme auf die offizielle Apache-Dokumentation erläutert habe. Das Ziel dabei war, zu verdeutlichen, dass „tausende Zugriffe“ für sich erst einmal keine Aussage sind. Vielmehr muss man betrachten, welche Zugriffszahl in welcher Zeiteinheit auftritt. Sodann habe ich erläutert, dass nicht „Ein Benutzer gleich einem Zugriff ist“, sondern dass jeder Benutzer bei jedem Aufruf mehrere Zugriff veranlasst, was bei normal ausgelasteten Webseiten zu massiven Zugriffszahlen führt – die aber systembedingt und problemlos für übliche Systeme zu verkraften sind. Abschliessend konnte ich erläutern, wie ein Apache-Server überhaupt funktioniert und auf welche Zugriffszahlen man hier vorbereitet ist.
Der Rückschluss dabei: Es waren lediglich bestimmungsgemäße Aufrufe, das System brach also zusammen, weil es hochgradig veraltet gewesen sein muss, nicht weil ein bestimmungswidriger Gebrauch vorlag. Die subjektive Vorstellung des Serverbetreibers spielt dabei keine Rolle, sobald er den Server der Öffentlichkeit zur Verfügung stellt, muss er mit jeder bestimmungsgemäßen Nutzung leben.
Hauptverhandlung
Die Hauptverhandlung liess sich bei meinem einschlägig unter Bewährung stehenden Mandanten erwartungsgemäß nicht verhindern, dies war auch nie das Ziel – das Ziel war von Beginn an die ordentliche Vorbereitung der Hauptverhandlung. Das Gericht hat zu dieser dann einen Sachverständigen geladen, mit dem ich – in sehr angenehmer Atmosphäre – Diskussionen zu den genauen technischen Umständen führen konnte. Am Ende stimmte dieser meiner Einschätzung zu: Der Server musste technisch veraltet gewesen sein, er hätte den vorliegenden Zugriffen problemlos trotzen müssen. Auch stimmte er mir darin zu, dass handelsübliche Sicherheitssoftware zwar viele Zugriffe verursacht, aber darauf ausgelegt ist, Server nicht zu überlasten. Dass der Mandant hierauf vertraute konnte ihm nicht widerlegt werden.
Die Entscheidung des Gerichts
Das Gericht tat sich zu Beginn sichtlich schwer mit der notwendigen Konsequenz, letztlich kam es zu einem Freispruch. Kurzzeitig wurde darüber diskutiert, ob durch die Verwendung der Sicherheitssoftware ein Fall des §202c StGB vorlag, hier genügte aber der Hinweis auf die Dual-Use-Rechtsprechung des Bundesverfassungsgerichts.
Fazit
Die ganze Angelegenheit war erheblich langwieriger als notwendig; der Vorteil allerdings ist bei technischen Fragen im IT-Bereich, dass Gerichte erfreulich offen Wissens-/Verständnisprobleme offenbaren und hier auch zugänglich sind. Der Freispruch war verdient und zwingend, keineswegs aber selbstverständlich. Insbesondere das grundlose „Abklopfen“ einer Webseite nach Sicherheitslücken stösst – nicht ohne Grund – bei Gerichten auf Unverständnis, das erst einmal abgebaut werden muss. Dies alleine ist ein Kraftakt, den Betroffene nicht unterschätzen sollten.
- Cybercrime in Asien - 11. September 2024
- Russische Militärische Cyber-Akteure nehmen US- und globale kritische Infrastrukturen ins Visier - 11. September 2024
- Ransomware Risk Report 2024 von Semperis - 11. September 2024