Strafbarkeit von DDoS-Attacken

Standen DDoS-Angriffe lange Zeit für kriminelle Machenschaften und Erpressungsversuche der Cybermafia, werden sie heute auch häufig als Mittel gesehen, seinen Unmut zu bekunden. So mancher User stellt seinen Rechner freiwillig für entsprechende Angriffe zur Verfügung, solange sie im Rahmen einer "offiziellen" Protestaktion stattfinden und damit der vermeintlich guten Sache dienen. Was viele dieser häufig recht jungen Menschen vergessen – oder nicht wissen – ist, dass DDoS-Angriffe eine strafbare Handlung darstellen. Das gilt auch dann, wenn es sich nicht um einen Erpressungsversuch handelt. Rechtsanwalt Thomas Feil erklärt die rechtliche Lage.

Immer wieder sind Internetauftritte von Unternehmen Ziele von Distributed Denial of Service-Angriffen (DDoS). Technisch wird der Zielserver durch eine höhere Anzahl von Anfragen belastet, als dieser verarbeiten kann. Dadurch kann es zu Problemen bei der Erreichbarkeit oder zu Systemausfällen kommen. Die Angreifer sind dabei Hacker, die entweder politische oder kriminelle Ziele verfolgen oder einfach nur Spaß am Ausnutzen von Systemlücken haben.

Thomas Feil ist seit 1994 als Rechtsanwalt in Hannover tätig. Er ist Fachanwalt für IT-Recht und Arbeitsrecht. Zu seinen Tätigkeitsschwerpunkten gehört auch das Vergaberecht.

So ist im August 2011 die Rechteverwertungsgesellschaft GEMA Opfer mehrerer solcher Angriffe durch die Gruppe Anonymous geworden, welche die GEMA nicht nur eines Hacker-Angriffs bezichtigt, sondern auch dafür verantwortlich macht, dass urheberrechtliche Musikwerke nicht auf Plattformen wie Youtube abgerufen werden können.

Ein Kavaliersdelikt war das sicher nicht. Jedenfalls nicht in den Augen des Gesetzgebers. Wer sich solchen Aktionen anschließt, sollte wissen: DDoS-Angriffe sind in Deutschland als Computersabotage gemäß § 303b StGB strafbar und mit bis zu fünf Jahren Gefängnisstrafe bedroht.

So heißt es im § 303b Abs. 1 Nr. 2, Abs. 2 StGB: "(1) Wer eine Datenverarbeitung, die für einen anderen von wesentlicher Bedeutung ist, dadurch erheblich stört, dass er (…) Daten (…) in der Absicht, einem anderen Nachteil zuzufügen, eingibt oder übermittelt (…) wird mit Freiheitsstrafe bis zu drei Jahren oder mit Geldstrafe bestraft. (2) Handelt es sich um eine Datenverarbeitung, die (…) von wesentlicher Bedeutung ist, ist die Strafe Freiheitsstrafe bis zu fünf Jahren oder Geldstrafe."

Und die Gerichte machen von diesem Instrument gebrauch: Wie kürzlich bekannt wurde, hat das Landgericht Düsseldorf einen Hacker zu zwei Jahren und zehn Monaten verurteilt. Er hatte sich in Russland für 65 Dollar im Monat einen Server gemietet. Anschließend hat er von einer ebenfalls russischen E-Mailadresse und unter dem Pseudonym "Klaus Störtebecker" mehrere Anbieter von deutschen Pferdewetten angeschrieben. Der Hacker forderte zwischen 2000 und 2500 Euro als "Ausfallschutz". Wenn ein Unternehmen nicht zahlte, wurden die Server über einen DDoS-Angriff teilweise über Tage lang blockiert (Urteil vom 22. März 2011, Az.: 3 KLs 1/11). (Marzena Sicking) / (map)
(masi)