Urteil: Server-Inhaber haftet für DDoS-Angriffe

Nach einem Urteil des Amtsgerichts Gelnhausen vom 6. Oktober 2005 haftet der Inhaber eines Servers gegenüber dem Hosting-Provider für Traffic-Kosten, die durch einen DDos-Angriff eines Dritten entstehen (Az. 51 C 202/05).

Die Klägerin des Verfahrens hatte an den Beklagten Webserver vermietet und eine Gesamt-Traffic-Menge von 250 GByte vereinbart. Der Beklagte trat damit als Reseller auf und vermittelte Webhosting-Dienstleistungen an eigene Kunden. Ende Juli 2004 kam es zu DDoS-Attacken auf Server des Beklagten, woraufhin die Klägerin das gesamte Rechnersystem des Beklagten vom Netz nahm, sodass dieser seinen Kunden gegenüber keine Dienste mehr erbringen konnte. Nachdem der Beklagte die Klägerin wiederholt erfolglos zur Wiederanbindung seiner Server aufgefordert hatte, erklärte er Mitte August 2004 die außerordentliche Kündigung des Vertrags mit der Klägerin.

Dessen ungeachtet verklagte die Klägerin den Beklagten auf Zahlung von 1.232,42 Euro. Hierin enthalten waren neben den Mietkosten für die Server in den Monaten August bis Oktober auch Kosten für 57 GByte zusätzlichen Datenverkehrs in Höhe von rund 27,93 Euro sowie 92,50 Euro für "Dienstleistungen wegen der DDoS-Attacken".

Nach dem Urteil des Amtsgerichts hat der Beklagte im vorliegenden Fall die Kosten für den zusätzlichen Datenverkehr sowie für die Dienstleistungen im Zusammenhang mit dem Angriff zu übernehmen. Dieser erfolgte auf den Server des Beklagten und läge damit nach Ansicht des Gerichts grundsätzlich in seinem Risikobereich. Der erhöhte Datentransfer und die Leistungen zur Analyse und dem Stoppen der Attacken seien daher nicht der Klägerin anzulasten, sondern erfolgten im Vertragsverhältnis zwischen den Parteien zu Gunsten des Beklagten. Wegen dieser Kosten könne der Beklagte Rückgriff nur bei den Verursachern der Angriffe nehmen, nicht aber die Leistung gegenüber der Klägerin verweigern.

Im Übrigen sei die außerordentliche Kündigung durch den Beklagten aber rechtmäßig. Die Klägerin habe unstreitig das komplette Rechnersystem des Beklagten ohne Vorankündigung vom Netz genommen mit der Folge, dass der Beklagte gegenüber seinen Kunden keine Leistungen mehr erbringen konnte. Dazu sei die Klägerin nicht berechtigt gewesen. Dies ergebe sich auch nicht aus den AGB, da diese ein Fehlverhalten des Beklagten voraussetzten, das im vorliegenden Fall nicht nachgewiesen werden könnte. Demnach habe die Klägerin auch keinen Anspruch auf Mietkosten für die Zeit nach der Kündigung.

Das Urteil stellt eine der ersten Entscheidungen zu dem unter Juristen strittigem Thema der Haftung bei Server-Angriffen dar.

Fragen der rechtlichen Einordnung etwa von DDoS- oder Viren-Angriffen sowie die dadurch entstehende Haftung sind auch ein Thema der Workshops "Internet-Recht für technische Führungskräfte", die der Heise Zeitschriften Verlag zwischen dem 4. November und dem 2. Dezember 2005 in fünf Städten veranstaltet. Weitere Informationen und die Möglichkeit zur Anmeldung finden Sie auf den Webseiten zur Veranstaltung.

(Joerg Heidrich) / (jk)