Internet-Law

Onlinerecht und Bürgerrechte 2.0

12.6.11

Strafbarkeit von DDoS-Attacken

Das Landgericht Düsseldorf hat in einer neuen Entscheidung (Urteil vom 22.03.2011, Az.: 3 KLS 1/11) die Strafbarkeit von Distributed Denial Of Service Attacken nach § 303b Abs. 1 Nr. 2, Abs.2 StGB (Computersabotage) bejaht, freilich ohne nähere Begründung.

Das Fehlen einer Begründung hinterlässt speziell in Strafurteilen immer einen Beigeschmack, zumal die Frage der Strafbarkeit von DDoS-Attacken, so eindeutig nicht ist. Der Gesetzgeber wollte dieses Phänomen mit der Schaffung von § 303 b Abs. 1 Nr. 2 StGB erkennbar unter Strafe stellen. Darüber, ob ihm dies gelungen ist, kann man sicherlich diskutieren. Die Tathandlung wird von der Strafvorschrift als Dateneingabe oder Datenübermittlung, in der Absicht, einem anderen Nachteil zuzufügen, umschrieben. Der objektive Tatbestand besteht also lediglich in einer Dateneingabe oder -übermittlung, also einem grundsätzlich sozialadäquaten Verhalten. Damit wird also noch kein zu missbilligendes Verhalten beschrieben. Ob sich die gebotene Einschränkung allein auf subjektiver Ebene durch die zusätzlich notwendige Nachteilszufügungsabsicht ausreichend bewerkstelligen lässt, kann man bezweifeln. Mit Blick auf den Bestimmtheitsgrundsatz ergeben sich Zweifel an der Verfassungsmäßigkeit der Vorschrift.

Nachdem der Wortlaut des § 303b Abs. 1 Nr. 2 StGB DDoS-Angriffe allerdings durchaus umfasst, droht eine strafrechtliche Ahndung, wie das Urteil des LG Düsseldorf zeigt.

posted by Stadler at 22:50  

5 Comments »

  1. Die Frage bleibt, wenn man nun „unbewusst“ Teil eines Botnetzes ist welches den eigenen Rechner für solche Attacken missbraucht….

    Comment by mac — 12.06, 2011 @ 23:00

  2. @mac: Wenn man unwissentlich Opfer von Rootkits ist, die die Aktivitäten des Botnetzes verschleiern, fehlt es zur Strafbarkeit nach § 303b Abs. 1 Nr. 2 StGB jedenfalls an der „Absicht“, einem anderen einen Nachteil zuzufügen. Dramatisch und im Ergebnis wohl verfassungswidrig bleibt allerdings, dass der sehr weit reichende objektive Straf-Tatbestand bereits bei sozial adäquatem Verhalten erfüllt sein kann.

    Comment by Ralf Petring — 12.06, 2011 @ 23:22

  3. Mal abgesehen von der Frage der Absicht, stellt sich mit Blick auf die Technik auch die Frage nach den „Daten“ und deren „Eingabe“. Eine DDOS-Attacke besteht ja nicht zwangsläufig darin, einem Webserver Daten zu schicken, indem man etwa skriptgestuert ein Formular auf der angegriffenen Webseite „ausfüllt“ und somit Daten „eingibt“. Ist ein HTTP-GET-Request schon das Übermitteln von Daten? Technisch ist das ja eher ein Datenabruf. Und wenn man noch eine Protokollschicht tiefer geht, wird das, in meinen Augen, noch komplizierter. Bei einem Synflood-Angriff etwa, mag man als Techniker überhaupt nicht mehr von Daten reden, weil hier ja Mechanismen genutzt werden, die unter normalen Umständen lediglich der Vorbereitung eines Austauschs von Daten dienen.
    Für mich ist an dem Paragraphen vielleicht die Absicht SQL-Injections strafbar zu machen erkennbar. Die DDOS-Interpretation krankt aber schon am Daten-Begriff.

    Comment by Manni — 13.06, 2011 @ 12:24

  4. @Manni: Daten Übermittlung setzt kein ausgefülltes Formular voraus, sondern liegt schon unzweifelhaft in einem Request. Ohne Datenübermittlung ist auch kein Datenabruf möglich, es handelt sich um das zu veranschaulichen nicht um Radiostationen die permanent an alle senden und man nur Empfönger benötigt.

    Comment by Franz — 13.06, 2011 @ 13:46

  5. Da steht u.a. folgende stilschöne Sentenz:

    „Ob sich die gebotene Einschränkung allein auf subjektiver Ebene durch die zusätzlich notwendige Nachteilszufügungsabsicht ausreichend bewerkstelligen lässt, kann man bezweifeln.“

    Bezweifeln kann man vieles, aber wie würde man den Zweifel begründen? Man wird ja wohl wissen, ob man jemandem schaden will oder nicht. Damit besteht für den Bürger doch zu keinem Zeitpunkt ein Zweifel, ob ein bestimmtes Verhalten strafbar ist oder nicht. Jedenfalls nicht aus diesem Punkt heraus. Ob er die Datenverarbeitung tatsächlich „erheblich stört“, d.h. ob der objektive Tatbestand überhaupt verwirklicht wird, kann er sicher oft gar nicht erkennen. Das ist aber ein anderes Problem.

    Also: Auch nur ein einziges Mal F5 zu drücken kann schon strafbar sein, und zwar in dem (zugegeben völlig unrealistischen) Fall, daß man den Server damit in die Knie zwingt UND auch wußte, daß das passieren würde (oder auch nur es „billigend in Kauf genommen“ hat) UND man jemandem anderes damit schaden wollte.

    Comment by Sebastian — 14.06, 2011 @ 22:51

RSS feed for comments on this post.

Leave a comment