Sind DDOS-Attacken strafbar: Relativ leicht können selbst Anfänger eine Distributed Denial of Service Attacke starten – doch ist dies gleich eine Straftat? Die Rechtsprechung geht inzwischen den Weg, ich möchte im Folgenden kurz darlegen, ob bei einem DDOS-Angriff von einer Straftat auszugehen ist.
Dabei sind DDOS-Angriffe nicht nur durchaus strafbar, sondern es droht auch für Akteure im Randgeschehen eine Strafbarkeit, etwa wegen Beihilfe. In diesem Beitrag erhalten Sie eine juristische Übersicht zur Strafbarkeit von DDOS-Attacken.
Weitere Beiträge zum Thema IT-Sicherheit im Unternehmen:
- Juristische Konsequenzen für Provider und Diensteanbieter bei IT-Sicherheitslücke
- Haftung der Geschäftsführung für IT-Sicherheitslücken
- NIS2-Richtlinie und NIS2-Umsetzungsgesetz
- DORA
- Bug-Bounty-Programme – Strafbarkeit des Suchens nach Sicherheitslücken
- Aktualisierungspflicht für Software
- Neues Kaufrecht: Sicherheit als Mangel
- Pentesting: Vertrag über Penetrationstest
- Wie Unternehmen mit Ransomware erpresst werden
- Ransomware: Soll man das Lösegeld zahlen?
- Haftung des Arbeitnehmers bei Installation von Malware
- Fahrlässige Tötung und Schadsoftware im Krankenhaus
- Was tun nach einem Hackerangriff?
- Wie schützt man sich vor einem Hackerangriff?
- Einhaltung interner Sicherheits-/Compliance Vorgaben für Arbeitnehmer verpflichtend
Strafbarkeit von DDOS: Worum geht es
In aller Kürze worum es geht: Es ist durchaus nichts Besonderes, dass eine Webseite nicht erreichbar ist, weil der Server aufgrund massenhafter Anfragen überlastet ist. Wer ein nur „kleines“ Webhostingpaket nutzt und überraschend einen Link in einem Heise-Artikel erhält, der kennt das Problem (gemeinhin dann auch als „geheised“ bezeichnet). So etwas gehört zum Alltag im Netz und kann verschiedene Ursachen haben, die keine strafrechtliche Relevanz haben.
Es ist aber sehr wohl auch möglich, sich zum einen zu verabreden, also mit einer unbestimmten Zahl von Nutzern zu vereinbaren, in einem bestimmten Zeitfenster auf eine Webseite zuzugreifen (und dann im Sekundentakt durch einen Reload die Anfragen hochzuhalten). Hierbei umgeht man den „äußeren Anlass“, ersetzt also bildlich gesprochen den Heise-Link durch die Verabredung (etwa via Twitter).
Und zu guter Letzt kann man natürlich auch mit (selbst geschriebenen) Skripten Server mit Anfragen gewissermaßen bombardieren. Solche Skripte sind nicht schwer zu finden, ebenfalls für halbwegs erfahrene Programmierer auch alles andere als schwer selber zu schreiben. Es gibt auch Webseiten, auf denen man solche Anfragen mittels einer Webseite steuern kann. Hier können dann einige weniger Nutzer Anfragen in einer Masse produzieren, die man selbst mit zehntausenden Nutzern „manuell“ nicht hinbekommen würde.
DDOS-Angriffen kommen auch 2022 nicht aus der Mode – dabei gibt es zahlreiche Risiken einer Strafbarkeit!
Mit diesen Möglichkeiten im Hinterkopf rufen nun manche Gruppen oder Fanclubs dazu auf, zu einer bestimmten Zeit (manuell oder mit Skripten) gezielt Webseiten „abzuschießen“. Die Frage ist jedoch: Ist so ein Angriff überhaupt strafbar? Und macht es einen Unterschied, ob man jetzt als 16-Jähriger aus Spaß aufgrund eines Twitter-Aufrufs mitmacht, oder man zum „Führungskader“ der entsprechenden Gruppe gehört?
Mögliche Tatbestände bei DDOS
Um nicht zu viel Aufhebens zu betreiben, verweise ich direkt auf die m.E. zuerst einmal entscheidenden Normen:
- Wegen dem was man da technisch tut, muss man sich den §303b StGB (Computersabotage) in Ruhe ansehen
- Wegen des Motivs für den Angriff kommt man nicht umhin, den §240 StGB (Nötigung) zu prüfen.
Und wenn ich damit durch bin, werde ich noch etwas ansprechen, was sicherlich überraschen wird.
DDOS-Attacke: Computersabotage
Wenn ich den §303b StGB auf den für mich relevanten Teil stutze, liest man:
Wer eine Datenverarbeitung, die für einen anderen von wesentlicher Bedeutung ist, dadurch erheblich stört, dass er […] Daten (§ 202a Abs. 2) in der Absicht, einem anderen Nachteil zuzufügen, […] übermittelt […] wird mit Freiheitsstrafe bis zu drei Jahren oder mit Geldstrafe bestraft.
Da merkt schon der juristische Laie beim Lesen plötzlich: Das könnte ganz gut zu einer (D)DOS-Attacke passen. Ich gehe mal flott mit üblicher Kommentierung die einzelnen Tatbestandsmerkmale durch:
- Datenverarbeitung ist jedes Daten verarbeitende System (Marberth-Kubicki, Rn.161), also problemlos der „abgeschossene“ Server. Die hin und wieder zu findende Diskussion, ob als solches System nur das Gesamtsystem (Hardware & Software im Verbund) sein kann, oder auch der konkrete Verarbeitungsprozess (überforderter Apache-Dienst etwa, während alles andere noch läuft) ist m.E. eher akademischer Natur und zu Recht in der Praxis bedeutungslos. Zumal letztlich auch der in sich geschlossene Apache-Webserver-Dienst (oder IIS etc. ;)) ein in sich geschlossener Daten verarbeitender Vorgang ist.
- Interessant ist die Frage, ob der Prozess von wesentlicher Bedeutung ist. Hier gibt es in der Tat einen sehr praxisrelevanten Streit um die Definition dieses Begriffs (dazu Marberth-Kubicki, Rn.163 sowie Fischer, §303b, Rn.6&7; Leupold/Glossner, 8/47). Wenn man etwa auf die nicht mehr erreichbare Webseite des Unternehmens Mastercard blickt, die nach meinem Eindruck eine reine Werbefunktion hatte, während die operativen IT-Strukturen weiter verfügbar waren, wird die Frage durchaus problematisch. Wenn dann Fischer noch verlangt, die betreffende Datenverarbeitung sei nur dann wesentlich, wenn die jeweilige Aufgabenstellung oder Organisation von der Funktionstüchtigkeit der Datenverarbeitung abhängt, wird es eher problematischer als einleuchtender. Aber letztlich ist man sich heute einig, dass die „Wesentlichkeit“ nur noch eine Ausschlussfunktion für „Bagatelldelikte“ haben soll (dazu ebenfalls Marberth-Kubicki, Rn.163 sowie Fischer, §303b, Rn.6&7; Leupold/Glossner, 8/47) und insofern ist mit Marberth-Kubicki zu Recht festzustellen, dass man letztlich die Wesentlichkeit eher annehmen als ablehnen wird. Und ich denke, gerade im Bankenbereich ist eine Webseite mit Kontaktinformationen sowie als erste Support-Anlaufstelle ein wesentlicher Bestandteil des Firmenkonzepts, nicht zuletzt, da eine schlechte Webseite oder eine ständig „abstürzende“ Webseite empfindlichen Einfluss auf das Firmen-Image, also die Kundenbindung haben kann.
- Tathandlung ist die Übermittlung von Daten in Nachteilszufügungsabsicht. Der Gesetzgeber hatte seinerzeit ausdrücklich in der Begründung darauf verwiesen (BT-Drs. 16/3656), mit dieser Formulierung (D)DoS-Attacken erfassen zu wollen und wage zu behaupten, es ist ihm gelungen: Die massenhaften Anfragen sind Daten-Übermittlungen. Interessant wird es – wie immer im Strafrecht – wenn dann noch die Nachteilszufügungsabsicht verlangt wird. Grundsätzlich richtig ist es, wenn Marberth-Kubicki hier darauf verweist, dass dies „immer Schwierigkeiten“ verursacht. Wenn aber jemand nachweislich (hier liegt der Hase im Pfeffer) mit einer Software massenhaft Anfragen an eine Webadresse sendet, dürfte es schwierig sein, hier keine Nachteilszufügungsabsicht zu erkennen. Das ist der erste große Knackpunkt in der Differenzierung des Vorgehens: Wer eine Webseite aufruft und 100 Mal hintereinander den „Reload“-Button drückt, dem wird man diese Absicht schwer nachweisen können: Er wird sich verteidigen mit den Worten „Die Webseite war nicht erreichbar, da habe ich einfach ein paar Mal auf den Reload-Knopf geklickt“. Wer dagegen ein entsprechendes Skript eingesetzt hat, der hat ein gewisses Problem in der verteidigenden Argumentation.
Im Fazit merkt man schon einmal bis hier: Ein (D)DoS-Angriff wird schnell dem §303b I Nr.2 StGB unterfallen. Nun gibt es aber einige Stimmen, die auf das Recht von „Online-Demonstrationen“ verweisen, und da gab es ja auch dieses eine Urteil aus Frankfurt am Main, weswegen man das angeblich darf. Klingt auch alles gut, aber wenn man sich das im Detail ansieht, ist das eher dünnes Eis. Wenn überhaupt.
Tatsache ist, dass das OLG Frankfurt a.M. im Jahr 2006 (1 Ss 319/05; MMR 2006, S.547) festgestellt hat, dass damals (!) ein gezielter (D)DoS-Angriff auf eine Webseite (es ging übrigens um eine Seite der Lufthansa) keine strafbare Handlung darstellte. Doch wer das Urteil aufmerksam liest, dem sollte auffallen, dass dort nur von „Datenveränderung“ und dem §303a StGB die Rede ist. Der §303b StGB wurde gar nicht erst thematisiert – allerdings nicht, weil die Richter „blind“ waren, sondern weil es den heutigen §303b StGB damals noch gar nicht gegeben hat. Heute ist es einhellige Meinung, dass sich diesbezüglich diese Entscheidung des OLG Frankfurt a.M. erledigt hat (repräsentativ dazu Marberth-Kubicki, Rn.155, mit sehr deutlichen Worten).
Hierbei ist u.a. festzustellen, dass das OLG Frankfurt a.M. seinerzeit berücksichtigt hat, dass die Daten ja nicht auf Dauer, sondern nur kurzweilig entzogen waren (die Webseite war lediglich relativ kurze Zeit nicht verfügbar). Das aber findet im Rahmen des „neuen“ §303b StGB keine Beachtung mehr.
Daneben möchte ich anmerken, auch begrifflich Probleme zu haben, von einer „Online-Demonstration“ zu sprechen, wenn mittels Software-Skripte eine Webseite „abgeschossen“ wird. Zum einen, wenn Millionen User sich (verabredet) auf einer Webseite „treffen“ und durch häufigen Seiten-Reload den Server überlasten, sehe ich eine Analogie zu einer Demonstration im „echten Leben“, wo die Demonstranten eine Straße blockieren und den Verkehr aufhalten. Dieses Bild scheitert aber, wenn wenige Nutzer mit einer Software massenhaft Anfragen senden, um so das Bild zu erzeugen, einige tausend währen Millionen. An dieser Stelle sehe ich auch die Gefahr bei manchem Juristen, aufgrund von Sympathie für das Ergebnis zu zielorientiert die Augen vor dem Problem zu verschließen, dass bei Software-Einsatz durchaus eine andere Sachlage vorliegt.
Was heißt das hier im Fazit: Zumindest wenn eine Software eingesetzt wird, sehe ich den §303b I Nr.2 StGB problemlos (!) als gegeben an, also ist die Strafbarkeit einer „Denial of Service“-Attacke zu bejahen (so auch Landgericht Düsseldorf, 3 KLs 1/11, hier besprochen)
DDOS: Nötigung
Der §240 StGB lautet:
Wer einen Menschen rechtswidrig mit Gewalt oder durch Drohung mit einem empfindlichen Übel zu einer Handlung, Duldung oder Unterlassung nötigt, wird mit Freiheitsstrafe bis zu drei Jahren oder mit Geldstrafe bestraft.
Die Angriffe werden sicherlich vorwiegend aus dem Motiv der „Rache“ stattfinden, z.B. weil Mastercard Zahlungen an Wikileaks unterbunden hat. Weiterhin will man vielleicht auch erreichen, dass Zahlungen wieder ermöglicht werden bzw. andere Unternehmen „gewarnt“ werden, sich gegen Wikileaks zu stellen. Jedenfalls dass Zahlungen wieder ermöglicht werden, wäre ein geeigneter Nötigungserfolg. Da der aber (noch) nicht eingetreten ist, reden wir hier maximal über einen Versuch.
Der Knackpunkt an der Sache hier ist die Frage, ob „Gewalt“ vorliegt. Zwar ist auch Gewalt gegen Sachen möglich, aber ich neige an diesem Punkt dazu, dem OLG Frankfurt a.M. in oben benannter Entscheidung zuzustimmen. Dieses erkannte nämlich keine Nötigung, da in dem Stören des Servers – wenn überhaupt – nur eine zeitweilige Sachentziehung zu erkennen sei, die nicht als Gewalt gegen eine Sache (hier den Server) qualifiziert werden könne. Eine vertretbare und m.E. auch zutreffende Einschätzung.
Allerdings muss man hier durchaus Vorsichtig sein: Noch vorher sah das AG Frankfurt a.M. (MMR 2005, 863) nämlich ganz anders und erkannte relativ problemlos eine nötigende Handlung, wie man in der Entscheidung des OLG Frankfurt a.M. auch nachlesen kann. Die Sache dürfte also durchaus keineswegs „klar“ sein, wenn man sich vor (irgendeinem) Amtsgericht mit diesem Vorwurf konfrontiert sieht.
DDOS: Der überraschende Tatbestand
Hier nun noch die Überraschung: Wer den §303b StGB bejaht – m.E. zurzeit mit Blick auf die Literatur zwingend! – der muss zum §129a StGB sehen. Dort liest man nämlich:
Ebenso wird bestraft, wer eine Vereinigung gründet, deren Zwecke oder deren Tätigkeit darauf gerichtet sind […] Straftaten nach den §§ 303b […] zu begehen, oder wer sich an einer solchen Vereinigung als Mitglied beteiligt, wenn eine der in den Nummern 1 bis 5 bezeichneten Taten bestimmt ist, […] eine internationale Organisation rechtswidrig mit Gewalt oder durch Drohung mit Gewalt zu nötigen […]
Wenn man sich das so durchliest, versteht man relativ schnell, warum der §129a StGB erheblichen rechtspolitischen Bedenken begegnet. Und natürlich fällt man nicht direkt darunter, nur weil man einem Twitter-Aufruf folgt und an einem (D)DoS-Angriff teilnimmt. Mir geht es an dieser Stelle nur darum, kurz schon einmal darauf hinzuweisen, dass bei geeigneten Angriffszielen kurzfristig die dauerhafte Mitarbeit bei einer Gruppe wie „Anonymous“ zu erheblichen Problemen führen kann. Ich denke da mit ein wenig Gänsehaut an Szenarien wie derzeit in den Niederlanden, wie Kinderzimmer „Hochgenommen“ werden und man bei der Durchsuchung des Zimmers nicht nur den Rechner einkassiert, sondern diverse T-Shirts mit Anonymous-Logo und Slogans.
Freilich aber wird das nur eine Rolle spielen, wenn wie erwähnt ein geeignetes Angriffsziel ausgesucht wird. Ich habe mich oben z.B. auf „internationale Organisationen“ konzentriert bei der Kürzung des Gesetzestextes, das sind – anders als man es vielleicht liest – keine Organisationen der Privatwirtschaft, sondern nur solche der öffentlichen Hand. Es kann also z.B. problematisch werden, wenn Anonymous die UNO ins Auge fassen würde. Gleichwohl wie abwegig dieser Tatbestand gilt, war es mir hier ein Anliegen zu verdeutlichen, wie schnell man mit dem §303b StGB in den begrifflichen Raum des „Terrorismus“ rutschen kann – was freilich heute in sich kein größeres Problem ist, da unsere Zeit von Terror-Hysterie geprägt ist.
Fazit: Strafbarkeit von DDOS
Was heißt das im Ergebnis? Grundsätzlich, wenn eine Software zur gezielten Störung eingesetzt wird, sehe ich eine strafrechtliche Relevanz. Die Hinweise auf die angeblich anerkannte „Online-Demonstration“ kann ich in ihrer Sympathie zwar nachvollziehen, juristisch muss ich davon aber Abstand nehmen. Insofern möchte ich auch davor warnen, allzu blauäugig einem Aufruf zu folgen und eine (zweifelhafte) Software aus vermeintlichem Spaß eine gewisse Zeit einzusetzen, das Risiko von Ermittlungsmaßnahmen ist hier schlicht unkalkulierbar. Am Ende wird eine Differenzierung, ob man nun „Rädelsführer“ oder nur „Mitläufer“ war, keinen Einfluss auf die Frage der Strafbarkeit insgesamt haben, die gemeinschaftliche Tatbegehung im Erfolgsfall steht außer Zweifel, insofern verweise ich nur auf §25 II StGB.
Unberücksichtigt habe ich an dieser Stelle, wie es mit einer Anstiftung zum §303b StGB aussehen kann. Die ist keineswegs Abwegig wenn man etwa an den scheinbar harmlosen Re-Tweet des Aufrufs denkt, sich an einem (D)DoS-Angriff zu einer bestimmten Zeit zu beteiligen. Die Frage, ob ein solcher Re-Tweet eine Anstiftung wäre, bleibt an dieser Stelle außen vor, weil ich seit einigen Tagen an einem Artikel zum Thema „Haftung für Re-Tweets“ arbeite, in dem ich das gesondert aufgreife.
Anmerkung zum internationalen Recht: Stadler verweist zu Recht auf die Cybercrime-Convention, ich kann hier noch um einen EU-Rahmenbeschluss (2005/222/JI) ergänzen. International wird die Rechtslage mit Blick auf den §303b StGB somit ähnlich sein, was hier als kurzer Einwurf genügen soll.
Hinweis: Wozu ich hier nichts geschrieben habe, worauf aber Telemedicus eingeht, ist die Frage zivilrechtlicher Schadensersatzansprüche. Auch diese Gefahr sollte man im Auge haben, wenn man darüber nachdenkt, sich an solchen „Aktionen“ zu beteiligen. Ich kann daher nur davor warnen und dazu aufrufen, von einer Teilnahme abzusehen.
- Cybercrime in Asien - 11. September 2024
- Russische Militärische Cyber-Akteure nehmen US- und globale kritische Infrastrukturen ins Visier - 11. September 2024
- Ransomware Risk Report 2024 von Semperis - 11. September 2024