Sollten alle DDoS-Aktionen als Computersabotage bestraft werden?

Werden DDoS-Aktionen wie kürzlich von Anonymous als Protestformen ausgeführt, wären sie Sitzblockaden und ähnlichen Versammlungen vergleichbar

Schnell war die Rede von Hackern im negativen Sinn, von Kriminellem und – noch mehr nach Erregung gierend - vom Krieg oder Cyberwar, als die Gruppe Anonymous mit der Operation Payback dazu aufrief, mit dem Programm Low Orbit Ion Cannon (LOIC) einige Websites von Unternehmen wie PayPal, PostFinance, Visa oder MasterCard lahm zu legen, die ihre Unterstützung für WikiLeaks aus politischem Grund aufgekündigt hatten.

Allerdings haben sie damit das gemacht, was im realen Leben ein legitimer Akt des zivilen Ungehorsams sein kann und mit einem Sit-in oder einer Sitzblockade vergleichbar wäre. Neu ist auch der Versuch keineswegs, die Protestformen der alten Welt in die neue virtuelle zu übernehmen (Infowar und politischer Aktivismus, Die Zukunft des zivilen elektronischen Widerstands). Aber während es sonst immer heißt, dass im Cyberspace auch die Gesetze gelten müssen, die auch sonst existieren, scheint man sich da im Hinblick auf die bürgerlichen Rechte, abgesehen vom Datenschutz, keine so großen Gedanken zu machen. Was noch in den 90er Jahren während der "digitalen Revolution" diskutiert wurde (Widerstand aus dem Cyberspace), ist mit den Anschlägen vom 11.9. erst einmal ad acta gelegt worden.

Immerhin hat Malte Spitz, Mitglied im Bundesvorstand Bündnis 90/Die Grünen, in einem Interview mit dem Deutschlandradio den Mut gehabt, das Lahmlegen von Websites durch DDoS-Aktionen auch in den Rahmen des zivilen Ungehorsams zu stellen, auch wenn er dies jeweils als "Gratwanderung" bewertet wissen will:

Also es wird ja sowohl versucht, bestimmte Internetseiten erst mal quasi lahmzulegen, um sie zu blockieren, was ich zumindest in Ansätzen vielleicht noch als eine Form des zivilen Ungehorsams sehen würde. Weil ob man jetzt quasi den Castor blockiert und damit etwas aufhält, beziehungsweise für zwei, drei, vier, fünf Stunden eine Internetseite blockiert, ist das vielleicht noch ähnlich zu sehen. Aber klar, es muss da auch ganz klar ein Abrüsten geben, es kann nicht sein, dass quasi Daten abgegriffen und verändert werden.

Es werden allerdings bei den Protesten im Kontext von Operation Payback keine Daten abgegriffen oder verändert, was die Hacktivisten auch in ihrem Manifest und in einer Video-Mitteilung betont haben und was gerne miteinander vermischt wird. Auch Transaktionen seien nicht betroffen gewesen. Ausgebeutet wird lediglich der Mechanismus, dass die Kapazität eines Servers durch zu viele Anfragen überlastet werden. Die normalen DDoS-Angriffe, vor allem wenn sie kriminellen Zwecken dienen, werden durch eine Vielzahl von manipulierten Computern (Botnetze) ausgeführt, wobei sich die Angreifer meist dahinter verstecken und kaum identifiziert werden können.

Bei LOIC ist das allerdings anders. Wenn das Programm auf einen Computer heruntergeladen wird und ein Ziel eingegeben ist, dann richten die einzelnen Computer unabhängig voneinander Anfragen an eine Website. Machen genug mit, kann die Website lahm gelegt werden, so dass sie von anderen nicht mehr benutzt werden kann. In diesem Fall wird aber nicht in Anonymität gehandelt, sofern die Benutzer nicht noch zusätzlich ein Anonymisierungprogramm wie Tor verwenden. Wissenschaftler der niederländischen Universität Twente konnten zeigen, dass die Nutzer leicht zu identifizieren sind, wenn LOIC ohne Anonymisierungsnetzwerke verwenden. Dann werden also nicht nur viele Briefe an den Empfänger gesendet, sondern diese enthalten auch den Absender. Bislang ist allerdings nur ein Sechzehnjähriger in den Niederlanden verhaftet worden, weil er sich an dem Angriff/Protest beteiligt hatte, der sich gegen die Website von MasterCard richtete.

LOIC kann allerdings auch dazu verwendet werden, koordinierte Aufrufe auszuführen, indem ein Koordinierungsserver eingerichtet wird, über den die Aktion dann zentral gesteuert laufen kann.

Evgeny Morozov erklärt in Foreign Policy, dass die Aktion von Anonymous als Angriff missverstanden werde, dass sie nicht notwendig unmoralisch oder illegal sei und vergleicht die DDoS-Aktion mit einem Sit-in:

Beide zielen darauf, eine Dienstleistung oder eine Institution kurzzeitig zu stören, um eine Botschaft zu senden. Wenn wir nicht alle Sit-ins kriminalisieren, sollten wir auch nicht alle DDoS-Aktionen kriminalisieren.

Evgeny Morozov

Nach deutschem Recht sind DDoS-Angriffe oder –Aktionen seit 2007 eine Straftat und gelten, über zivilrechtlichen Schadensersatzansprüche hinaus, nach Paragraph 303b des Strafgesetzbuches (StGB) als Computersabotage – jenseits aller politischen und rechtstaatlichen Fragen:

Die DDoS-Aktionen stellen auf jeden Fall erneut die Frage, wie man nicht nur das Internet befrieden, die Sicherheit schützen und Kriminalität bekämpfen kann, sondern wie man Demonstrationen und andere Protestformen, die durchaus stören und nötigen können, auch im Cyberspace wahren kann und muss. Schließlich sollte auch hier Artikel 8 des Grundgesetzes gelten: "(1) Alle Deutschen haben das Recht, sich ohne Anmeldung oder Erlaubnis friedlich und ohne Waffen zu versammeln." Bislang aber ist es so, dass hier nur (2) des Artikels exekutiert wird: "Für Versammlungen unter freiem Himmel kann dieses Recht durch Gesetz oder auf Grund eines Gesetzes beschränkt werden." Das kann virtuell eigentlich nur international nach dem Vorbild der Terror- und Verbrechensbekämpfung gelöst werden, beispielsweise durch eine Erklärung der Bürger- und Menschenrechte im Cyberspace.