Sind DDoS-Attacken strafbar?
Eine neue Form des Payback-Systems haben Wikileaks-Unterstützer in den letzten Tagen praktiziert. Mittels sog. (Distributed) Denial Of Service Attacken hatte ein vermutlich loser und spontaner Verbund von Aktivisten, die sich „Anonymous“ nennen, die Webserver von Unternehmen wie VISA, Mastercard, PayPal oder Moneybookers lahmgelegt bzw. dies versucht. Diese Unternehmen haben ihre Geschäftsbeziehung zu Wikileaks fristlos beendet, offenbar mit dem Ziel, die Zahlungsströme zu Wikileaks zu blockieren. Dass dies auf unmittelbaren oder mittelbaren Druck der US-Regierung geschehen ist, liegt nahe.
Ich bin in den letzten Tagen in diesem Zusammenhang immer wieder gefragt worden, ob solche DDoS-Attacken denn strafbar sind. Bis vor einigen Jahren war diese Frage äußerst umstritten. Das OLG Frankfurt hat dann im Jahre 2006 entschieden, dass der öffentliche Aufruf dazu, zu einem bestimmten Zeitpunkt auf die Website der Lufthansa zuzugreifen, mit dem Ziel den Server lahmzulegen, keine Straftat darstellt.
Ob das auch für DDoS-Angriffe gilt, die softwaregestützt ablaufen, hatte das OLG Frankfurt allerdings nicht zu entscheiden. Außerdem wurde kurze Zeit später das Computerstrafrecht verschärft. Die 2007 in Kraft getretene Vorschrift des § 303 b Abs. 1 Nr. 2 StGB stellt mittlerweile auch das bloße Eingeben oder Übermitteln von Daten in Nachteilszufügungsabsicht unter Strafe. Damit sollte nach der Gesetzesbegründung ganz ausdrücklich die Strafbarkeit von DDoS-Attacken begründet werden. Allerdings ist hier nach wie vor umstritten, ob davon auch die manuelle Dateneingabe erfasst wird, zumal sich in den Fällen des „Online-Protests“ immer auch die Frage nach Art. 5 GG stellt. Die Vorschrift ist auch deshalb kritisiert worden, weil der Wortlaut eine enorme Ausdehnung der Strafbarkeit auf möglicherweise sozial-adäquate Verhaltensweisen ermöglicht. Da die Norm eine Umsetzung von Art. 5 der Cybercrime-Convention darstellt, existiert in anderen EU-Staaten eine vergleichbare gesetzliche Regelung.
Mal abgesehen von legal oder illegal würde es mich wundern wenn nach so einer Attacke die angegriffenen Unternehmen der Unternehmung Wikileaks plötzlich deutlich positiver gegenüberstehen… ;)
Comment by Dominik — 11.12, 2010 @ 18:40
Ich nehme mal an, dass die gesetzlichen Bestimmungen nie auf eine Privatperson angewendet werden würden die sich beteiligt haben.
Ein Bot-Netz Betreiber, der 1.000 oder 10.000 Computer steuert ist was anderes. Der macht das auch aus wirtschaftlicher Motivation.
Aber der „Ein-Mann-Computer“, der sich nur Flashmob-artig zusammenrottet kann am Ende nicht überführt werden. Es muss doch bestimmt auch Vorsatz vorliegen.
Jeder Windows Computer ist eine potentielle Bot-Schleuder. Insoweit haben da sicher auch unfreiwillige mitgemacht, die sich letztens den neuesten Harry-Potter-Screensaver runterladen mussten.
Trotzdem aber ein interessanter Artikel. Dass der Aufruf „straffrei“ ist, hätte ich jetzt nicht gedacht.
Comment by Andreas — 11.12, 2010 @ 20:05
Die Nürnberger hängen keinen – sie hätten ihn denn zuvor!
Comment by M. Boettcher — 11.12, 2010 @ 20:07
*PFFFT*… Akademisch kann man zu einer Strafbarkeit kommen, im Lichte der Grundrechte eher „weniger“.
Allerdings: Ein Großteil der verwendeten „Angreifer IP-Adressen“ dürfte schon aus den Logfiles der hiesigen ISP „verschwunden“ sein.
Im Bereich der Strafverfolgung klappt seit der Entscheidung des BVerfG im Frühjhar meines Wissens (und glaubt man den tränenreichen Berichten der Verfolger) nur noch die „Live-Auswertung“ mit zeitgleicher, händischer Anfrage beim ISP (Wenn überhaupt…Vodafone löscht nach jeder Zwangstrennung bei Flatrates vollständig)
Bis die Amis (zumindest Paypal) ihre Logfiles forensisch aufbereitet (und ausgedruckt *LOL*) haben und nebst eines Strafantrages, wenn überhaupt, an eine (welche) deutsche StA geschickt haben, dürften sogar die sieben Tage Speichervorhalt der Telekom verstrichen sein.
Bleibt technisch (u.a.) die Frage, was überhaupt geloggt noch werden konnte, wenn die „Abwehr“ nach der „ersten Salve“ die IP-Adresse/Bereiche gesperrt hat… ebenso fraglich, ob die Aktion überhaupt eine technische Wirkung hatte (offenbar haben manche die laut „Down“ getwittert haben, nicht gemerkt, dass sie geblogt wurden. Ich jedenfalls hatte zu keinem Zeitpunkt Schwierigkeiten paypal zu erreichen…)
Bei den hiesigen Behörden wird man, ohne echten Schaden, sicher kein Interesse haben sich selbst zu DDos´en mit einigen tausend sinnfreien IP-Anfangsverdachten, auf deren Grundlage kaum ein Durchsuchungsbeschluss zu bekommen sein dürfte…(vgl. LG Aachen zur „Operation Himmel“).
Ne, Ne, kein einziges Ermittlungsverfahren wird es geben… den Buben in Holland haben SIE wegen eines IRC-Servers (Richtig!) und wohl einiger anderer Aktivitäten (Unbekannt) „hops“ genommen…
Spannender ist freilich die beeindruckende FUD-Welle, die (offenbar) ein einziger dpa-Artikel ausgelöst hat. Nach meinem Eindruck basieren 90 Prozent aller Berichte („Erste Verhaftungen“…so ein Blödsinn) auf einer DPA-Meldung von Freitag. Es geht hier um ein Delikt der Kategorie „Ladendiebstahl“, das allerdings einigen juristischen „Sprengstoff“ enthält.
Wer die Entscheidung des BVerfG zu § 202c StGB kennt, wird überdies kein Ermittlungsverfahren „anleiern“, mit Auslandsbezug und einige technischen Rafinessen…
Nein, nein, der Kindheit unschuldige Spiele…
Allerdings: Die Aktion könnte weit reichende Folgen zeitigen, ich warte bis der erste Christdemokrat die Vorratsdatenspeicherung zum Schutz des internationalen Finanzverkehrs fordert…
Comment by Bedarfsträger — 11.12, 2010 @ 20:40
Im § 303b steht:
(1) Wer eine Datenverarbeitung, die für einen anderen von wesentlicher Bedeutung ist, dadurch erheblich stört, dass er
1. eine Tat nach § 303a Abs. 1 begeht,
2. Daten (§ 202a Abs. 2) in der Absicht, einem anderen Nachteil zuzufügen, eingibt oder übermittelt
oder
3. eine Datenverarbeitungsanlage oder einen Datenträger zerstört, beschädigt, unbrauchbar macht, beseitigt oder verändert,
In §§ 303a steht: löscht, unterdrückt, unbrauchbar macht oder verändert.
Es stellt sich die Frage, ob mit DDoS eine Unterdrückung erfolgt. Um eine Löschung oder Unbrauchbarmachung kann es sich wohl nicht handeln.
Oder doch?
Was den § 303b Abs.1 Nr. 2 betrifft, so wird dort Bezug auf § 202a genommen.
In § 202a heißt es aber: Wer unbefugt sich oder einem anderen Zugang zu Daten, die nicht für ihn bestimmt und die gegen unberechtigten Zugang besonders gesichert sind, unter Überwindung der Zugangssicherung verschafft, wird mit Freiheitsstrafe bis zu drei Jahren oder mit Geldstrafe bestraft.
Das ist bei den DDoS-Attacken offensichtlich nicht der Fall.
Lese ich die §§ falsch?
Comment by Rolf Schälike — 12.12, 2010 @ 09:18
…strafbar macht sich wer:
Daten [§ 202a: im Sinne des Absatzes 1 sind nur solche, die elektronisch, magnetisch oder sonst nicht unmittelbar wahrnehmbar gespeichert sind oder übermittelt werden] in der Absicht, einem anderen Nachteil, übermittelt…
_Das_ ist nicht die Frage… Aber:
Die Musik spielt a) in der Ermittlungswirklichkeit (s.o.), b) im subjektiven Tatbestand (Absicht! Immer schön an die Rechtsprechung des BGH zu § 315b StGB denken!), c) bei der Frage der Bestimmtheit (Nachteil! Schaden? Vermögensschaden, technischer Schaden…) und d) im Rahmen einer verfassungskonformen Auslegung (Art. 5 GG), okay, ist was für die Uni, aber spannend. M.E. ist die „Operation Payback“ der dogmatische Schritt ins Web 3.0.
Schließlich: Haben sich die Opfer geäußert? Oder hüpfen da ein paar Admins freudig kreischend im Gang rum, weil die Systeme den Stresstest bestanden haben? Ich glaube immer noch nicht, dass Paypal ernstlich beeinträchtigt war…ein Überseekabel kappen, o.k., aber hier gilt: Was kratzt es einen skalierten amerikanischen Server, wenn sich Borstenvieh an ihm wetzt…? Gibt es Strafanträge? Wie sollen bitteschön die Log-Dateien aufgearbeitet werden, damit nicht User und DAUs verfolgt werden, deren Rechner, im „Gewitter“ der Ionenkanonen selbst oder über F5 20-100 Mal versucht haben, die Seite zu erreichen? Die LOIC wurde im Hive-Modus (sagt man so?) offenbar mit Pausen und Rückantwort-Option „gefeuert“…
Die öffentliche Diskussion hat derzeit Heise-Troll-Niveau… Kurz: Operation Payback („Verhaftungen“) hat derzeit HOAX-Status.
So.
Comment by Bedarfsträger — 12.12, 2010 @ 10:50
@Rolf Schälike:
Ja, Sie lesen die Vorschrift in der Tat falsch, denn der Verweis auf 303 a bezieht sich nur auf die Nr. 1, während wir hier über den Tatbestand von Nr. 2 sprechen. § 303b Abs. 1 Nr. 2 ist folgendermaßen zu lesen:
Wer eine Datenverarbeitung, die für einen anderen von wesentlicher Bedeutung ist, dadurch erheblich stört, dass er Daten (§ 202a Abs. 2) in der Absicht, einem anderen Nachteil zuzufügen, eingibt oder übermittelt wird mit Freiheitsstrafe bis zu drei Jahren oder mit Geldstrafe bestraft.
Comment by Stadler — 12.12, 2010 @ 11:17
@stadler #7
In StGB § 202a Abs. 2 steht aber:
… und die gegen unberechtigten Zugang besonders gesichert sind …
Es steht auch nicht und/oder.
Die Daten von Mastercard und den anderen vorauseilenden Zensoren waren doch nicht besonders gesichert?
Oder, was heißt besonders gesichert?
Comment by Rolf Schälike — 12.12, 2010 @ 15:59
@Bedarfsträger, #6
Es geht hier nicht um Musik. Da wird das angeblich verbotene Runterladen bestraft.
Meine Frage bezieht sich auf DDoS-Attacken. Dabei wird nichts Verbotenes runtergeladen, es wird nicht geklaut oder missbräuchlich verwendet.
Comment by Rolf Schälike — 12.12, 2010 @ 16:03
§ 202a Abs. 2 lautet:
Daten im Sinne des Absatzes 1 sind nur solche, die elektronisch, magnetisch oder sonst nicht unmittelbar wahrnehmbar gespeichert sind oder übermittelt werden.
Der Verweis lautet nur auf Abs. 1 und nicht auf Abs. 2. Es geht nur um die allgemeine Definition von Daten in § 202a Abs. 2.
Comment by Stadler — 12.12, 2010 @ 20:31
@Stadler #10
Das Verbot ist im Abs 1 definiert. DDos-Attacken sind im Abs. 1 nicht erfasst.
Abs. 2 schränkt das Verbot noch weiter ein, indem definiert wird, was unter Daten zu verstehen ist.
Somit greift der § 303 b Abs. 1 Nr. 2 StGB nicht gegen die DDoS-Attacken.
Sehe ich das richtig?
Comment by Rolf Schälike — 13.12, 2010 @ 00:15
Jetzt habe ich es begriffen.
§ 303 b Abs. 1 Nr. 2 StGB greift, weil er ja Daten nach § 202a Abs. 2. definiert.
Bin eben manchmal schwer von kp.
Comment by Rolf Schälike — 13.12, 2010 @ 08:24
Soll das also heissen das das mehrfache, hintereinander drücken der Reloadtaste dann auch strafbar ist?
Wer will denn in dem Fall den Vorsatz nachweisen?
Comment by Mark — 15.12, 2010 @ 00:00
Sorry, wer will den wie den Vorsatz nachweisen?
Comment by Mark — 15.12, 2010 @ 00:02