Denial-of-Service-Attacken straffrei?

Die Denial-of-Service-Attacken (DoS) der letzten Tage, die nicht nur die U.S.-Amerikanischen Web-Sites von Yahoo, Amazon, CNN oder eBay betrafen, sondern auch den Internet-Zugang bei NetCologne lahm legten, werfen die Frage nach der Strafbarkeit des „Angreifers“ nach deutschem Recht auf.

Fraglich ist in diesem Zusammenhang, ob durch einen solchen DoS-Angriff, wie er mit Hilfe der Programme „trin00“, „TFN“ („Tribe Flood Network“) oder „Stacheldraht“ ausgeführt wurden, ein Tatbestand des Strafgesetzbuches (StGB) erfüllt wird.

1.
In tatsächlicher Hinsicht funktioniert eine DoS-Attacke am Beispiel „trin00“ vereinfacht dargestellt wie folgt: Zunächst wird eine Client-Server-Architektur dergestalt aufgebaut, dass durch die Benutzung von arrays kompromittierter Systeme eine Vielzahl einzelner Rechner zusammengeschaltet werden. Hierbei macht sicht der Angreifer Schwächen im TCP/IP-Protokoll zunutze und richtet eine „schlafende Armee“ von einzelnen Maschinen ein. Alternativ kann ein Angreifer das Protokoll Remote Procedure Call (RPC) zu diesem Zweck auf Maschinen nutzen, die dieses Protokoll, das nicht auf TCP/IP basiert, unterstützen. Im nächsten Schritt – dem Broadcast – werden die so zusammengeschalteten Rechner aktiviert, um jeweils eine Flut von Datenpaketen auf die vordefinierte Zielmaschine zu senden, das sog. UDP-Flooding. Durch die Beantwortung der riesigen Anzahl einzelner UDP-Pakete von beispielsweise eintausend zusammengeschalteter Rechner kommt es beim angegriffenen Server zu einem Speicherüberlauf, der zum Absturz des Systems führt und es zeitweise lahm legt.

2.
In strafrechtlicher Hinsicht kämen hier zunächst die Tatbestände der Computersabotage § 303b StGB oder der Datenveränderung § 303a StGB in Betracht.

a) Problematisch hierbei ist jedoch im Hinblick auf die Computersabotage, dass nicht nur der Server durch die konkrete Angriffshandlung gestört werden muss, sondern zusätzlich die Störung der Datenverarbeitungsanlage durch deren Zerstörung, Beschädigung, Veränderung, Beseitigung oder Unbrauchbarmachung verursacht sein muss. Sämtliche Tatbestandsmerkmal sind hier nach diesseitiger Ansicht nicht gegeben, da durch das „Überfluten“ mit Datenpaketen kein unmittelbarer Eingriff der vorbeschriebenen Form erfolgt. Der „Absturz“ des Rechnern durch Speicherüberlauf ist nur mittelbare Folge des UDP-Flooding, so dass nach der hier vertretenen Ansicht eine Computersabotage tatbestandlich nicht vorliegt.

b) Ebenfalls erscheint als einziger Tatbestand der Datenveränderung i.S.d. § 303a StGB das Unterdrücken von Daten diskussionsfähig. Ein Unterdrücken von Daten liegt vor, wenn diese dem Zugriff des Berechtigten entzogen und deshalb nicht mehr verwendet werden können. Ein diesbezüglich zielgerichteter Eingriff erfolgt jedoch nicht, infolgedessen nach diesseitiger Ansicht die Datenveränderung ebenfalls ausscheidet.

c) Schließlich wäre allerdings an eine Sachbeschädigung nach § 303 StGB zu denken. Die Auslegung des Beschädigungsbegriffes ist äußerst umstritten. Früher war nach der engen Auslegung zunächst eine substanzverletzende Einwirkung erforderlich (RGSt 13, 27). Im weiteren Verlauf der Rechtsprechung wurde jedoch auch schon in der Minderung der Gebrauchsfähigkeit zu dem bestimmungsgemäßen Zweck eine Sachbeschädigung erblickt (RGSt. 64, 205). Die neuere Rechtsprechung stellt aus dem Schutzzweck des Eigentums auf die körperliche Unversehrtheit ab (BGH St. 29, 129). Weitgehend auf Ablehnung gestoßen ist dagegen die Funktionsvereitelungstheorie, die eine Einwirkung auf die Sachsubstanz für entbehrlich hält. Da bereits das Unterbrechen einer Stromzufuhr in konsequenter Anwendung zu einer Sachbeschädigung der von der Strohmzufuhr abhängigen Maschine führt, widerspricht diese Ansicht dem dargelegten Schutzzweck und ist abzulehnen.

Als maßgebliche Elemente ist daher für den Beschädigungsbegriff auf die unmittelbare Einwirkung und die dadurch verursachte Beeinträchtigung ihrer körperlichen Brauchbarkeit abzustellen. Hiernach liegt ein Beschädigung vor, wenn der Täter auf eine Sache in solcher Weise einwirkt, dass der bestimmungsgemäße Gebrauch nicht nur unerheblich beeinträchtigt wird (BGH St. 13, 207; OLG Hamburg NJW 1982, 395). Als ein diese Merkmale erfüllendes Beispiel für eine solche Beeinträchtigung wird das Ablassen von Luft aus Reifen angeführt, da das Aufheben der bestimmungsgemäßen Verwendung ausschlaggebend sei. Begründet wird dieses Ergebnis im wesentlichen mit dem erheblichen Aufwand an Zeit und Mühe, der durch die Einwirkung verursacht wird.

Auf den attackierten Server angewendet ließe sich folglich argumentieren, dass die Einwirkung durch die UDP-Flut die bestimmungsgemäße Brauchbarkeit mehr als nur unerheblich beeinträchtige. Problematisch bleibt nach diesseitiger Ansicht dennoch, dass anders als in den bisher entschiedenen Fällen keinerlei physische Einwirkung auf den Server erfolgt. Für ähnliche Sachverhalte wurden vielmehr die Normen §§ 303 a und b StGB geschaffen, die gerade diesen Umstand der unkörperlichen Einwirkung erfassen können.

Es bleibt daher abzuwarten, ob durch das derzeitige Fehlen einer auf die vorliegenden Fallkonstellation speziell anwendbaren Norm, die Rechtsprechung eine dahingehende Erweiterung vornehmen wird. Vor dem Hintergrund des gesetzlichen Bestimmtheitsgebotes erscheint dies zweifelhaft.

Als Ergebnis muss daher festgehalten werden, dass nach dem derzeitigen Stand zumindest Zweifel an der Strafbarkeit einer DoS-Attacke bestehen. Ergänzend sei jedoch darauf hingewiesen, dass Angreifer – unbeschadet der ohnehin problematischen Beweisbarkeit – bei Überführung sich ganz erheblichen zivilrechtlichen Forderungen auf Schadensersatz ausgesetzt sehen müssen.

Dazu auch:

Die grundsätzliche Funktionsweise einer DDoS-Attacke
Maßnahmenkatalog gegen verteilte Denial of Service Angriffe