In letzter Zeit traf es Kreditkartenfirmen, das BKA, die GVU und die spanische Polizei. Ihre Webseiten waren einige Zeit nicht erreichbar, weil “Hacker” DDoS-Attacken gestartet hatten. Dabei werden Server so mit Anfragen überflutet, dass sie die Segel strecken. Bislang war fraglich, ob und wie sich deutsche Organisatoren oder Teilnehmer von DDoS-Attacken strafbar machen. Das Landgericht Düsseldorf hat das jetzt als erstes Gericht bejaht und einen Angeklagten wegen Computersabotage verurteilt.
Der Angeklagte hatte die Webseiten von Firmen lahmgelegt. Dann forderte er Geld, um weitere Probleme dieser Art zu vermeiden. Neben der DDoS-Attacke ein klarer Fall von Erpressung, und um dieses weit schwerere Delikt ging es dem Landgericht Düsseldorf vorrangig. Deshalb enthält die Urteilsbegründung auch keine näheren Ausführungen zu der Frage, ob die Datenangriffe des Angeklagten tatsächlich unter § 303b Strafgesetzbuch fallen. Das Landgericht Düsseldorf sieht dies offensichtlich als unproblematisch an.
Jedoch liegt es nahe, dass auch andere Gerichte DDoS-Angriffe als strafbar betrachten. Abseits von Auslegungsfragen enthält nämlich die Gesetzesbegründung der vor einigen Jahren geänderten Vorschrift ausdrücklich den Hinweis, dass mit ihr auch DDoS-Attacken erfasst sein sollen.
Bislang gab es zu dem Thema nur ein anderes Urteil, auf das sich Hacker immer gern beriefen. Das Oberlandesgericht Frankfurt hatte 2006, es galt noch altes Recht, Organisatoren einer Online-Demo auf der Webseite der Lufthansa freigesprochen. Die damaligen Angeklagten hatten dazu aufgerufen, zu einer bestimmten Zeit für zwei Stunden massenweise online bei der Lufthansa vorbei zu schauen. Das Gericht sah diese zeitlich befristete Störung noch als hinnehmbar an.
Allerdings unterscheidet sich der Fall der Online-Demo auch von einer DDoS-Attacke im engeren Sinn. Letztere wird nämlich nicht über die Mausklicks einzelner Besucher gesteuert. Vielmehr wird Software eingesetzt, die quasi maschinengewehrartig Anfragen an den Server richtet. Andererseits können natürlich auch normale “Nutzer” während einer DDoS-Attacke als vermeintliche Angreifer mit ihrer IP-Adresse auffallen, bloß weil sie die Seite besuchen (wollen). Eine andere Möglichkeit: Vielleicht ist der Computer des Betroffenen ebenfalls gehackt und nun Teil eines Botnetzes, das die Rechenpower für den DDoS-Angriff dezentral bereitstellt.
Gerade die unabsichtliche Teilnahme an einer DDoS-Attacke kann juristische Probleme aufwerfen. Denn an sich tun erst einmal alle Computer, die mit Servern Kontakt aufnehmen, ständig genau das, was im Strafgesetzbuch steht. Sie übermitteln Daten. Als Abgrenzungsmerkmal bleibt somit nur die “Absicht, einem anderen Nachteil zuzufügen”. Es kommt also darauf an, ob und was der User mit seiner “Anfrage” bezweckte.
Die Sache liegt demnach nicht anders als beim Hackerparagrafen. Ob es sich um ein strafbares Hackertool oder ein zulässiges Programm handelt, machen die Gerichte im Grenzbereich an der Absicht des Verdächtigen fest. Das ist natürlich hochproblematisch, weil auch Volljuristen Menschen noch nicht in den Kopf schauen können. Fehlurteile sind also programmiert, und zwar in beide Richtungen.
Klar ist nunmehr jedoch: Wer sich an DDoS-Attacken aktiv und wissentlich beteiligt, geht ein strafrechtliches Risiko ein.