eRecht24 - Portal zum Internetrecht von Rechtsanwalt Sören Siebert

WikiLeaks - Operation Payback: Sind DDoS-Attacken auf Webseiten strafbar?

Die Auseinandersetzungen um Wikileaks haben in dieser Woche mit der Festnahme Julian Assange und der Operation Payback einen vorläufigen Höhepunkt erreicht. Die Webseiten zahlreicher Unternehmen, die Wikileaks etwa durch Einfrieren von Spendengeldern die Unterstützung verweigerten (Paypal, MasterCard und Visa, aber auch die Website der schwedischen Regierung) waren aufgrund so genannter Distributed Denial of Service-Angriffe, kurz DDoS-Attacken, nicht mehr erreichbar. Um die Frage, ob und wenn ja nach welcher Norm DDoS-Attacken strafbar sind, wird seit Jahren gestritten.

§ 303 StGB - Sachbeschädigung

Link zu § 303 StGB

Bei der Sachbeschädigung geht es darum, dass eine „Sache“ beschädigt wird. Nach der juristischen Definition sind Sachen aber körperliche Gegenstände, auf die dann körperlich eingewirkt werden muss. Durch eine DDoS-Attacke wird die „Sache“ selbst, also der Server, aber nicht körperlich beschädigt.

Hier wird von Juristen dann die Theorie der „Beeinträchtigung der Funktionsfähigkeit der Sache“ ins Spiel gebracht. Danach muss man nicht unbedingt auf den Server als Sache einwirken, es genügt wenn dieser dauerhaft in seiner Funktion beeinträchtigt wird. Da DDoS-Attacken aber zeitlich begrenzt sind, liegt keine dauerhafte Beeinträchtigung vor.

§ 303a StGB - Datenveränderung

Link zu § 303a StGB

Voraussetzung für eine Datenveränderung sind das Löschen, Unterdrücken, unbrauchbar Machen oder Verändern von Daten. Gelöscht, unbrauchbar gemacht oder verändert werden die Daten auf dem Server durch eine DDoS-Attacken allerdings nicht. Diese sind eben für einen gewisse Zeitraum nur nicht erreichbar.

Hier könnte allerdings eine Datenunterdrückung vorliegen. Es genügt dafür auch, wenn diese Daten zeitweilig nicht mehr genutzt werden können. Das Problem ist aber, dass diese Vorschrift nicht den Nutzer schützt, der die Seiten aufrufen will, sondern den „Berechtigten“. Das ist in der Regel der Betreiber des Servers oder der Website. Dieser kann aber seine Daten weiterhin nutzen, auch wenn die Daten während der Dauer des Angriffs nicht allen zugänglich gemacht werden können.

Weiter muss der Angriff auf die Daten „zielgerichtet“ erfolgen. Auch das ist bei DDoS-Attacken eine Problem, da hier gerade nicht zielgerichtet bestimmte Daten unterdrückt werden, sondern einfach der komplette Server lahmgelegt wird.

§ 303b StGB Computersabotage

Link § 303b StGB

Hierzu muss entweder eine Tat nach § 303a StGB vorliegen, was wie gerade gezeigt wohl nicht der Fall ist.

Die nächste Möglichkeit der Computersabotage wäre, eine Datenverarbeitungsanlage oder einen Datenträger „zu zerstören, zu beschädigen, unbrauchbar zu machen, zu beseitigen oder zu verändern“. Auch hier wird aber nichts zerstört, beschädigt, beseitigt, verändert oder dauerhaft unbrauchbar gemacht.

Die Dritte Möglichkeit ist, „Daten in der Absicht, einem anderen Nachteil zuzufügen, einzugeben oder zu übermittelt“. Und da wird es interessant. Diese Norm wurde nämlich 2007 druch den Gesetzgeber ergänzt, nachdem man bereits vor einigen Jahren bemerkt hat, dass den DDoS-Attacken mit den bestehenden Normen strafrechtlich kaum beizukommen ist.

Deswegen wurde das Strafgesetzbuch in § 303b Abs.1 Nr.2 ergänzt:

Wer eine Datenverarbeitung, die für einen anderen von wesentlicher Bedeutung ist, dadurch erheblich stört, dass er ... Daten in der Absicht, einem anderen Nachteil zuzufügen, eingibt oder übermittelt ... wird mit Freiheitsstrafe bis zu drei Jahren oder mit Geldstrafe bestraft.

Nach dieser Norm werden die meisten DDoS-Attacken also strafbar sein. Handelt es sich zudem um eine „Datenverarbeitung, die für einen fremden Betrieb, ein fremdes Unternehmen oder eine Behörde von wesentlicher Bedeutung ist“, liegt die Freiheitsstrafe bei bis zu fünf Jahren.

Wenn gewerbsmäßig oder als Mitglied einer Bande gehandelt wird, kommt  eine Freiheitsstrafe bis zu 10 Jahren in Betracht. Ein gewerbsmäßiges Handeln wird hier kaum vorliegen. Ob die Verantwortlichen einer DDoS-Attacke als Mitglied einer Bande gewertet werden, kann man nur im jeweiligen Einzelfall beurteilen.

Allerdings kann hier die Fallgruppe "Vermögensverlust großen Ausmaßes" gegeben sein, wenn die Webseiten von Kreditkartenunternehmen längere Zeit nicht erreichbar waren.

§ 303c StGB

Link zu § 303c StGB

Es sollte noch klargestellt werden, dass die in Betracht kommenden Delikte so genannte Antragsdelikte sind. Hier wird also nicht direkt von Amts wegen ermittelt, es muss sich erst jemand finden, der einen Strafantrag bei den zuständigen Behörden stellt.

Störung von TK-Anlagen, § 317 StGB

Link § 317 StGB

Auch dieser Paragraph wurde im Zusammenhang mit Denial-of-Service-Attacken diskutiert. Hier scheitern eine Strafbarkeit aber daran, dass es sich um „öffentlichen Zwecken dienenden Telekommunikationsanlagen“ handeln muss. Bei Server und Webseiten privatrechtlicher Unternehmen ist das zumindest fraglich. Wobei sich bei Webseiten von weltweit agierenden Kreditkartenunternehmen über diese Frage sicher trefflich streiten lässt.

Nötigung und Erpressung, § 240 StGB, § 253 StGB

Link zu § 240 StGB

Nicht vergessen sollte man aber auch die Frage der Nötigung. Hier hatte bereits vor Jahren das AG Frankfurt/ Main entscheiden, dass eine „menschliche DDoS-Attacke“ bzw. eine „Online-Demonstration“ als strafbare Nötigung gewertet werden kann. Hintergrund war damals ein Aufruf, die Webseite der Lufthansa durch massenhaften (manuellen) Aufruf lahmzulegen, um gegen Abschiebungsflüge der Lufthansa zu protestieren.

Das OLG Frankfurt hat das Urteil aber wieder aufgehoben. Die juristische Begründung betrifft im Kern den Gewaltbegriff der §§ 240 und 253 StGB und die Frage, ob unkörperliche Gewalt im Zusammenhang mit der Nötigung strafrechtlich relevant ist.

Fazit:

Es lassen sich eine Menge an Paragraphen aus dem Strafgesetzbuch finden, nach denen DDoS-Attacken strafbar sein können. In den meisten Fällen dürfte der § 303B Abs.1 Nr.2 (Computersabotage) einschlägig sein.

Neben der strafrechtlichen Diskussion sollte man aber auch die zivilrechtlichen Folgen (Schadensersatz usw.) nicht ausser acht lassen.

Autor: Rechtsanwalt Sören Siebert

www.kanzlei-siebert.de

Hier finden Sie unseren Artikel zum Thema "WikiLeaks: Ist das Spiegeln der WikiLeaks-Seiten strafbar?"