Erste Hilfe gegen DDoS-Attacken

Online-Shopbetreiber sind in der Regel Verkaufsprofis und keine Netzwerkspezialisten. Deswegen stehen sie gezielten DDoS-Angriffen oft hilflos gegenüber. Ein Ratgeber sagt, was im Notfall zu tun ist.

Der spektakulärste DDoS-Angriff der letzten Zeit betraf den Provider Strato, dessen Systeme von Kriminellen für mehr als eineinhalb Stunden lahmgelegt wurden. Doch nicht nur die ganz großen Namen werden Opfer von Cyber-Kriminellen. Immer öfter erwischt es auch kleine und mittlere Online-Shops, die mit der Drohung von entsprechenden Angriffen erpresst werden.

Da das Phänomen der Online-Schutzgelderpressung leider nicht neu ist sind die Aussichten, dass es bald wieder verschwindet, leider sehr gering. Eine Art "Erste Hilfe"-Ratgeber für Betroffene bietet das Online-Portal Shopanbieter.de auf seiner Seite zum kostenlosen Download an.

So sollte der erste Schritt beim Eintreffen einer DDoS-Ankündigung – oder auch, wenn eine unerklärliche Downtime des Webshops auftritt – immer die Information des Hosting-Providers sein. Denn auf technischer Ebene könne vieles unternommen werden, um Angriffe zu erkennen, zu analysieren und abzuwehren. Auch sei das eine Frage der Fairness: Denn auf dem Server liegen ja auch Seiten Dritter, die bei Angriffen automatisch in Mitleidenschaft gezogen werden. Eine Anzeige bei der Polizei sollte man ebenfalls erstatten, so der Tipp.

Leider scheint das nur den wenigsten Erpressungsopfern in den Sinn zu kommen. So weisen beispielsweise die Statistiken des Landeskriminalamt NRW für 2010 nur 102 entsprechende Anzeigen auf.

Dabei sind solche Angriffe und Störungen auch ohne dazugehörigen Erpressungsversuch keinesfalls ein Kavaliersdelikt. Auch wer kein Geld erpressen, sondern eine Website "nur" vorübergehend lahmlegen will, macht sich strafbar. Nach § 303b des StGB können entsprechende Handlungen je nach Schwere des Vergehens mit einer Freiheitsstrafe zwischen drei und fünf Jahren oder einer entsprechend hohen Geldbuße geahndet werden. In besonders schweren Fällen – und dazu zählen in der Regel auch die Erpressungsversuche – kann die Freiheitsstrafe sogar bis zu zehn Jahre betragen. Schon der Versuch ist übrigens strafbar.

Auch stellt der § 303a die rechtswidrige Datenveränderung, -löschung, -unterdrückung unter Strafe. Unter Umständen kommt hier auch der Tatbestand der Nötigung (§ 240) oder gar der Erpressung (§ 253) zum Zuge.

DDoS-Attacken sind also auf jeden Fall strafbar, Betroffene können ggf. auch Schadensersatzansprüche geltend machen. Auch stehen sie im Kampf gegen die Angreifer oder Erpresser nicht alleine da, denn die Polizei verfügt mittlerweile über geschultes Personal zur IuK-Kriminalität, die die Beweismittel (das ist zunächst einmal die Erpressermail) auswerten können. Doch damit die Täter bestraft werden, müssen sich die Opfer auch bei der Polizei melden und Anzeige erstatten. (Marzena Sicking) / (map)
(masi)