Ddos Strafe

Überblick über die rechtliche Situation mit Entscheidungen

Nach der Verhaftung des zweiten jugendlichen "Hackers", der angeblich an einem solchen DDoS-Angriff teilgenommen hat, in den Niederlanden wird in zunehmendem Maße auch die strafrechtliche Verantwortung angesprochen. Kurz gesagt: Es ist nichts Spezielles, dass eine Website nicht zu erreichen ist, weil der Webserver aufgrund massiver Nachfrage stark belastet ist.

Dies ist Teil des täglichen Lebens im Internet und kann unterschiedliche Gründe haben, die strafrechtlich nicht relevant sind. Sie können aber auch einen Termin mit einer unbegrenzten Anzahl von Benutzern für den Zugriff auf eine Website innerhalb eines gewissen Zeitfensters ausmachen.

Auch gibt es Websites, auf denen solche Anforderungen über eine Website gesteuert werden können. Jetzt stellt sich die Frage: Ist ein solcher Anschlag überhaupt zu ahnden? Aufgrund des Angriffsmotivs kommt man nicht umhin, 240 Stück §240 SGB ("Nötigung") zu überprüfen. Lehne ich 303b StrGB auf den für mich wichtigen Teil, heißt es:

In der Tat gibt es hier einen sehr praxisbezogenen Disput über die Begriffsbestimmung (siehe Marberth-Kubicki, Rn. 163 und Fischer, 303b, Rn. 6&7; Glossner, 8/47). Betrachtet man zum Beispiel die Website von Mastercard, die meiner Meinung nach eine rein werbliche Funktion hatte, während die betrieblichen IT-Strukturen noch vorhanden waren, wird die Fragestellung sehr umständlich.

Fordert Fischer dann auch, dass die betroffene Datenbearbeitung nur dann notwendig ist, wenn die entsprechende Aufgabe oder Einrichtung von der Funktionsfähigkeit der Datenbearbeitung abhängig ist, wird sie schwieriger als plausibel. Letztendlich ist man sich aber heute einig, dass "Materialität" nur eine ausschließende Funktion für "Bagatelldelikte" haben soll (auch Marberth-Kubicki, Rn. 163 und Fischer, 303b, Rn. 6&7; Glossner, 8/47) und in dieser Hinsicht ist es richtig, mit Marberth-Kubicki zu sagen, dass man die Materialität letztendlich nicht ablehnt, sondern akzeptieren wird.

Vor allem im Bankensektor ist eine Website mit Kontaktdaten und als erste Anlaufstelle ein wichtiger Teil des Unternehmenskonzeptes, nicht zuletzt, weil eine fehlerhafte Website oder eine immer wieder " zusammenbrechende " Website einen sensiblen Einfluss auf das Firmenimage, also die Kundentreue, haben kann. Es wird - wie immer im strafrechtlichen Bereich - spannend, wenn die Absicht, Nachteile zu verursachen, gefordert wird.

Aber wenn jemand (hier ist der Has im Pfeffer) mit einer Anwendung Massenanfragen an eine Web-Adresse schickt, kann es sein, dass man hier keine Nachteile hat. Dies ist der erste große Stolperstein in der Unterscheidung des Verfahrens: Wenn Sie eine Website aufrufen und 100 Mal in Folge den "Reload"-Button drücken, wird es Ihnen nicht leicht fallen, diese Intention zu beweisen:

Der wird sich mit den Worten wehren: "Die Website war nicht verfügbar, also habe ich nur ein paar Mal auf den Reload-Button geklickt". Abschließend bemerkt man schon einmal bis hierhin: ein (D)DoS-Angriff wird rasch auf den §303b I Nr.2 StGB fallen. Fakt ist, dass das Oberlandesgericht Frankfurt a. M. im Jahr 2006 (1 Ss 319/05; MMR 2006, S.547) feststellte, dass (!) ein zielgerichteter (D)DoS-Angriff auf eine Website (übrigens über eine Website der Lufthansa) keine Straftat darstellt.

Wer das Gutachten aber sorgfältig durchliest, sollte beachten, dass nur von "Datenänderung" und § 303 a Abs. 1 Nr. 1 StGB gesprochen wird. Das §303b wurde nicht einmal zur Diskussion gestellt - aber nicht, weil die Jurymitglieder "blind" waren, sondern weil der heutige 303b-SGB damals noch nicht einmal existierte.

Unter anderem ist zu beachten, dass das Oberlandesgericht Frankfurt a. M. damals berücksichtigte, dass die Angaben nicht dauerhaft, sondern nur unterhaltsam zurückgezogen wurden (die Website war für eine verhältnismäßig geringe Zeit nicht verfügbar). Dies wird jedoch im Zusammenhang mit dem "neuen" 303b Statut nicht mehr beachtet. Ich möchte auch darauf hinweisen, dass ich konzeptionelle Schwierigkeiten habe, von einer "Online-Demonstration" zu reden, wenn eine Website mit Hilfe von Software-Skripten "abgeschossen" wird.

Auf der einen Seite, wenn sich auf einer Website mehrere tausend Benutzer "treffen" und den Webserver durch häufige Seitenaufrufe überfordern, erkenne ich eine Parallele zu einer Vorführung im " realen Alltag ", wo die Demonstratoren eine Straße sperren und den Datenverkehr stoppen. Allerdings schlägt dieses Image fehl, wenn nur wenige Benutzer mit einer bestimmten Anwendung Massenanfragen zur Erzeugung des Bildes ausgeben.

Das §240 Statut lautet: Wer eine Person mit Zwang oder Androhung eines sensiblen Übels zu einer Tat, Toleranz oder Versäumnis zwingt, wird mit Gefängnis bis zu drei Jahren oder mit Geldbuße geahndet. An dieser Stelle nun noch die Überraschung: Wer bestätigt den 303b SGB - m. E. derzeit in Bezug auf die Fachliteratur unwiderstehlich!

• der §129a StrGB beachten muss. Da lesen Sie: Wenn Sie es so durchlesen, werden Sie verhältnismäßig rasch verstehen, warum 129a ff. auf erhebliche rechtspolitische Belange trifft. Natürlich fallen Sie nicht unmittelbar darunter, nur weil Sie einem Twitter-Anruf folgen und an einem (D)DoS-Angriff teilnehmen. Mein einziges Anliegen ist es, kurz darauf zu verweisen, dass eine permanente Zusammenarbeit mit einer solchen Gruppierung wie "Anonymous" bei entsprechenden Angriffen sehr rasch zu beträchtlichen Schwierigkeiten führt.

So absurd diese Tatsache auch ist, es ging mir hier doch darum zu klären, wie rasch man mit 303b SGB in den Begriff des "Terrorismus" schlüpfen kann - was heute sicherlich kein großes Thema ist, da unsere Zeit von Terrorhysterie durchdrungen ist. Im Grunde genommen, wenn eine bestimmte Anwendung zur zielgerichteten Beeinträchtigung verwendet wird, erkenne ich eine kriminelle Bedeutung.

Letztlich wird eine Unterscheidung keinen Einfluß auf die gesamte Straffähigkeit haben, ob man nun ein "Rädelsführer" oder nur ein "Nachfolger" war, die gemeinsame Begehung des Verbrechens im Erfolgsfalle steht außer Zweifel, insoweit beziehe ich mich nur auf 25 II SGB. Ich habe an dieser Stelle nicht bedacht, wie es mit einer Aufforderung nach 303b BGB sein kann.

Das ist nicht verwunderlich, wenn man an den harmlos erscheinenden Re-Tweet des Anrufs zur Teilnahme an einem (D)DoS-Angriff zu einem gewissen Zeitpunkt erinnert. Im internationalen Vergleich wird die Gesetzeslage daher im Hinblick auf 303b StrGB vergleichbar sein, was hier als kurze Beanstandung ausreicht. Als Strafrechtsanwalt und Spezialanwältin für IT-Strafrecht bin ich insbesondere im IT-Strafrecht beschäftigt und betreue Cyberkriminalität sowie Digital- und Wirtschaftsstrafrecht.

Ich bin neben dem IT-Recht vor allem im Bereich des Strafrechts mit mehreren hundert strafrechtlichen Abwehrmaßnahmen aktiv. Das Rechtsanwaltsbüro Ferner Alsdorf ist seit seiner Firmengründung vor 20 Jahren im Bereich des Strafrechts aktiv.