AllgemeinAssambleia de Deus BerlinCyber CrimeCyber Hackingder Klemptnerladen PortugieseIT TechnikSpam Tanten

DDoS-Attacken (Distributed Denial of Service)

Prof. Dr. Thomas Hoeren
Institut für Informations-, Telekommunikations- und Medienrecht
Universität Münster
Leonardo-Campus 9
D-48149 Münster
hoeren@uni-muenster.de

 

DDoS-Attacken (Distributed Denial of Service)
Die Bezeichnung Denial of Service steht für einen Angriff auf einen Server mit dem Ziel,
dessen Arbeitsfähigkeit erheblich oder gar vollständig einzuschränken.

Wird dieser Angriff
koordiniert von einer großen Anzahl von Systemen durchgeführt, so spricht man von einem Distributed Denial of Service (DDoS). Üblicherweise erfolgen diese Angriffe in Zusammenhang mit Würmern, die sich einige Zeit vor der Durchführung des Angriffs verbreiten und so programmiert sind, dass gleichzeitig der DDoS-Angriff durchgeführt wird.

Bezüglich der Strafbarkeit von DoS-Attacken ist zwischen der Attacke selbst und der zumeist
mit einer solchen Attacke verbundenen Androhung, einen DDoS-Angriff auszuführen (oft
auch in Verbindung mit einer „Lösegeldforderung“), zu unterscheiden.

Die DoS-Attacke
selbst kann – abhängig von der jeweiligen Funktionsweise – eine Unterdrückung von Daten
gem. § 303a StGB bedeuten, wenn dadurch ein aktueller Datenübertragungsvorgang unter-
brochen wird oder der Betreiber der Webseite diese nicht mehr erreichen kann und die
Daten daher seiner Verfügungsmöglichkeiten entzogen sind.

Die Strafbarkeit ergibt sich
nunmehr auch aus § 303b Abs. 1 Nr. 2 StGB (Computersabotage), der die Eingabe oder
Übermittlung von Daten bestraft, wenn dies in der Absicht geschieht, einem anderen einen
Nachteil zuzufügen. Es sind also insbesondere DoS und DDoS-Angriffe erfasst.

Auch die
Veränderung des Datenbestandes an den manipulierten Computern, die zu einem vordefinier-
ten DDoS-Angriff führt, stellt eine Datenveränderung an diesem Computer gem. § 303a StGB
dar. 

Daneben werden insbesondere DDoS-Attacken oft mit einer vorherigen Ankündigung ver-
bunden, die wiederum die Forderung nach einem „Lösegeld“ zur Vermeidung des Angriffs
enthalten kann. Es stellt sich hierbei die Frage nach einer Strafbarkeit dieses Vorgehens we-
gen Nötigung. Das AG Frankfurt sah im Aufruf zu einer solchen „Online-
Demonstration“ einen öffentlichen Aufruf zur Straftat der Nötigung gem. § 111 StGB, weil
Dritte durch den Angriff von einem Besuch der Webseite abgehalten werden. Es handle sich
daher um „Gewalteinwirkung“, da der Internetnutzer durch vis absoluta von einem Besuch
der Webseite abgehalten würde. Daneben wäre aber auch das angegriffene Unternehmen
selbst Opfer einer Nötigung, weil durch die Beeinflussung der Internetnutzer dem Unterneh-
men – im vorliegenden Fall der Lufthansa – ein bestimmtes Verhalten aufoktroyiert werden
solle. Der Zusammenschluss mehrerer Personen im Onlinebereich zur Durchführung einer
„Onlinedemonstration“ (die einer DDos-Attacke entspricht) wäre auch nicht vom Grundrecht
der Versammlungsfreiheit gem. Art. 8 GG geschützt, weil es insoweit an einem gemeinsamen
Ort der Aktivität und der erforderlichen inneren Verbundenheit der Teilnehmer fehle.

Die Einordnung des Verhaltens als Nötigung wurde jedoch vom Revisionsgericht, dem OLG
Frankfurt, nicht geteilt. Es handle sich weder um „Gewalt“ noch um eine „Drohung mit
einem empfindlichen Übel“, sodass eine Strafbarkeit aus § 240 StGB wegen Nötigung entfal-
le. Dies läge daran, dass sich die Wirkung der DDos-Attacke beim Internetnutzer darin
erschöpfe, dass er (für die Zeit der Attacke) die Internetseite nicht aufrufen könne, was aber
keine psychische Beeinträchtigung bedeute, sondern lediglich eine Sachentziehung, die aber
nicht als Nötigung zu werten sei. Seit der Umsetzung des Art. 3 des EU-
Rahmenbeschlusses 2005/222/JI durch das Strafrechtsänderungsgesetz vom 20. September
2006 werden DDoS-Attacken vom Straftatbestand der Computersabotage gem. § 303b StGB
umfasst. Diese Umsetzung entspricht auch der diesbezüglichen Normierung in Art. 5   
Das LG Düsseldorf urteilte nun in einem Fall von einer Reihe von DDos-Attacken auf
Online-Wettportale, dass das Fordern von Geldbeträgen zur Vermeidung weiterer DDos-
Attacken eine versuchte Erpressung darstellt, die mit der Zahlung der geforderten Summen
zur vollendeten Tat i.S.d. § 253 StGB wird. Der Täter hatte durch gezielte DDos-Attacken
mehrere Server dieser Portale über ein sog. Botnetz zum Absturz gebracht. Die durchgeführ-
ten DDos-Attacken sind zudem in Tateinheit als Computersabotage nach § 303b StGB straf-
bar.