Denial of Service (DoS) und deutsches Strafrecht

BEITRAG TEILEN

Viel­leicht haben Sie in den letz­ten Tagen auch die Mel­dung gele­sen, dass ein bri­ti­sches Straf­ge­richt im Fall einer Deni­al-of-Ser­vice-Atta­cke (DoS) den Ver­ur­sa­cher der­sel­ben frei­ge­spro­chen hat. Der Com­pu­ter-Misu­se-Act von 1990 erfas­se die­sen Fall schlicht nicht, es feh­le daher an einem Gesetz, das die Straf­bar­keit des Angriffs begrün­de.

Da ist es viel­leicht ganz span­nend, sich ein paar Gedan­ken zu der Fra­ge zu machen, wie das nach deut­schem Straf­recht aus­sä­he. Wahr­schein­lich bewegt man sich auf halb­wegs gesi­cher­tem Ter­rain, wenn man davon aus­geht, dass das Ver­an­stal­ten von Deni­al-of-Ser­vice-Atta­cken und Dis­tri­bu­ted-Deni­al-of-Ser­vice-Atta­cken (DDoS) bestraft wer­den soll­te. Aber kann es das auch, gibt es eine pas­sen­de Vor­schrift im deut­schen Straf­ge­setz­buch? Unter­neh­men wir doch eine klei­ne juris­ti­sche Rund­rei­se.

Sachbeschädigung

Der Beginn der Betrach­tung mag viel­leicht ein über­ra­schen­der sein. Bei nähe­rem Hin­se­hen ist die Sach­be­schä­di­gung aber durch­aus ein logi­scher Start­punkt der Betrach­tung.

§ 303 — Sach­be­schä­di­gung

(1) Wer rechts­wid­rig eine frem­de Sache beschä­digt oder zer­stört, wird mit Frei­heits­stra­fe bis zu zwei Jah­ren oder mit Geld­stra­fe bestraft.
(2) Eben­so wird bestraft, wer unbe­fugt das Erschei­nungs­bild einer frem­den Sache nicht nur uner­heb­lich und nicht nur vor­über­ge­hend ver­än­dert.
(3) Der Ver­such ist straf­bar.

Kann man in einem DoS-Angriff die Beschä­di­gung einer Sache sehen? Man kann, ein Gericht wird die­ser Ansicht aber wohl nicht fol­gen.

Nach gän­gi­ger Defi­ni­ti­on ist die Sach­be­schä­di­gung eine nicht ganz uner­heb­li­che Ver­let­zung der Sub­stanz, der äuße­ren Erschei­nung oder der Form einer Sache, durch wel­che die Brauch­bar­keit der Sache zu ihrem bestimm­ten Zweck beein­träch­tigt wird.

Bei einer DoS-Atta­cke sind aber weder Sub­stanz, noch Erschei­nung oder Form des ange­grif­fe­nen Ser­vers oder Com­pu­ters beein­träch­tigt.

Nun steht die Defi­ni­ti­on, was eine Sach­be­schä­di­gung genau ist, nicht im Gesetz und auch der BGH oder das Reichs­ge­richt, von denen die gän­gi­gen Defi­ni­tio­nen stam­men, sind nicht unfehl­bar. Also gibt es auch abwei­chen­de, wei­ter gehen­de Ansich­ten. Eine ist die sog. Funk­ti­ons­ver­ei­te­lungs­theo­rie. Die­se behaup­tet, dass eine Ein­wir­kung auf die Sach­sub­stanz nicht erfor­der­lich ist, son­dern es voll­auf genü­ge, wenn die Gebrauchs­taug­lich­keit der Sache auf­ge­ho­ben wird. In gewis­ser Wei­se folgt die­ser Theo­rie in einer gemä­ßig­ten Vari­an­te auch die Recht­spre­chung, ins­be­son­de­re der BGH. Er meint, es genü­gen auch kör­per­li­che Ein­wir­kun­gen, durch wel­che die tech­ni­sche Brauch­bar­keit der Sache nach­hal­tig beein­träch­tigt wird.

Nun beein­träch­tigt eine DoS-Atta­cke zwar die Brauch­bar­keit des ange­grif­fe­nen Ser­vers. Sie tut das aber nicht nach­hal­tig. Hört die Atta­cke auf, ist der Ser­ver in aller Regel wie­der erreich­bar.

Viel wei­ter wird man die Begriff­lich­kei­ten auch kaum deh­nen kön­nen: zum einen ist jeden­falls die nur vor­über­ge­hen­de Ein­wir­kung auf die Gebrauchs­taug­lich­keit schlicht vom Begriff der „Beschä­di­gung“ bei halb­wegs natür­li­chem Ver­ständ­nis nicht mehr so recht umfasst. Damit ver­stößt eine sol­che wei­te Aus­le­gung aber gegen das sog. Ana­lo­gie­ver­bot im Straf­recht: Straf­ge­set­ze muss man lesen und ver­ste­hen kön­nen, die juris­ti­sche Aus­le­gung darf nicht zu „ver­spin­nert“ sein, sonst weiß der Bür­ger nicht mehr, was erlaubt und was ver­bo­ten ist.

Wei­ter­hin ver­lö­re der Begriff der Sach­be­schä­di­gung aber auch jede Kon­tur, er wür­de uner­mess­lich weit. Schon das Abschal­ten des Stroms eines Com­pu­ters könn­te im Extrem­fall als Sach­be­schä­di­gung ange­se­hen wer­den, was natür­lich Unsinn ist.

Zuletzt gibt es aber gera­de für die Fäl­le, in denen Com­pu­ter zwar gestört, aber nicht in ihre Sach­sub­stanz ein­ge­grif­fen wird (jeden­falls nicht auf makro­sko­pi­scher Ebe­ne), Spe­zi­al­vor­schrif­ten. Deren blo­ße Exis­tenz zeigt im Rück­schluss, dass der Gesetz­ge­ber die dort gere­gel­ten Sach­ver­hal­te nicht als Sach­be­schä­di­gung im stren­gen Sinn sieht.

Vorschriften zur Computerkriminalität

Schau­en wir uns die­se wei­te­ren Vor­schrif­ten ein­mal an.

§ 303a — Daten­ver­än­de­rung

(1) Wer rechts­wid­rig Daten (§ 202a Abs. 2) löscht, unter­drückt, unbrauch­bar macht oder ver­än­dert, wird mit Frei­heits­stra­fe bis zu zwei Jah­ren oder mit Geld­stra­fe bestraft.
(2) Der Ver­such ist straf­bar.

Das klingt erst ein­mal nicht schlecht. Im Detail zei­gen sich aber doch eini­ge Pro­ble­me, Deni­al-of-Ser­vice-Atta­cken hier zu sub­su­mie­ren.

Daten wer­den jeden­falls nicht „gelöscht“ oder „unbrauch­bar gemacht“. So rich­tig „ver­än­dert“ eigent­lich auch nicht. Zwar wer­den die bei einer DoS-Atta­cke ein­ge­hen­den Schad­mails natür­lich emp­fan­gen bzw. bei Pin­g­at­ta­cken die Ser­ver­an­fra­gen pro­to­kol­liert. Das ändert den Zustand von Mail­da­tei­en, Log­files und Pro­to­kol­len natür­lich. Dies ist aber schlicht eine Funk­ti­on die­ser Pro­to­koll­funk­tio­nen, gleich­sam die „natür­li­che“ Ver­än­de­rung von Daten, wie sie auch bei regu­lä­ren Anfra­gen oder Mails auf­tritt.

Bleibt als Alter­na­ti­ve das „Unter­drü­cken“ von Daten. Das ist gege­ben, wenn die Daten dem Zugriff des Berech­tig­ten auf Dau­er oder zeit­wei­lig ent­zo­gen wer­den und er sie daher nicht mehr ver­wen­den kann.

Gera­de das scheint bei DoS-Atta­cken statt­zu­fin­den. Im Ein­zeln muss man natür­lich sehr genau hin­se­hen. So müs­sen die Daten „dem Berech­tig­ten“ vor­ent­hal­ten wer­den. Aber wer ist das eigent­lich? Im Fall eines Web­ser­vers sicher nicht jeder, der die Web­sei­te anse­hen möch­te. Viel­mehr wohl der Betrei­ber der Web­sei­te. Aber ist der auch an der Nut­zung der Daten gehin­dert? In aller Regel eher nicht: er kann ein­fach die Sei­te gegen Zugrif­fe von außen sper­ren. Dann kann sie zwar nie­mand von außen mehr anse­hen, er selbst aber schon: und das reicht m.E: die Daten sind nicht mehr unter­drückt, also kei­ne Daten­ver­än­de­rung.

Anders bei Angrif­fen auf Mail­ser­ver. Wird hier der wei­te­re Emp­fang von Mails abge­schal­tet, dann kom­men auch „regu­lär“ an den Emp­fän­ger gerich­te­te Mails zeit­wei­se (und mög­li­cher­wei­se auch end­gül­tig) nicht durch. Die Daten sind also dem Zugriff des Berech­tig­ten ent­zo­gen. Hier mag man sich theo­re­tisch noch ein wenig strei­ten, ob der, der eine Mail noch gar nicht emp­fan­gen hat, auch wirk­lich schon „Berech­tig­ter“ in die­sem Sin­ne ist. Mit fol­gen­dem „Tot­schlag­ar­gu­ment“ gehe ich davon aus: nie­mand sonst kann es sein. Die Mail ist vom Sen­der bereits abge­sen­det wor­den, sie ist aus sei­nem Herr­schafts­be­reich „ent­las­sen“. Sie kann aber kaum her­ren­los sein.

Inter­es­san­ter­wei­se wird an eini­gen Stel­len bestrit­ten, dass DoS-Atta­cken unter § 303a StGB fal­len sol­len.

So geht etwa Rau­schen­ho­fer davon aus, dass eine DoS-Atta­cke in aller Regel bezüg­lich des „Unter­drü­ckens“ von Daten nicht ziel­ge­rich­tet sei. Das klingt für mich aber eher nach einem Pro­blem des Vor­sat­zes als der Sub­sum­ti­on unter den Tat­be­stand. In eine ähn­li­che Rich­tung geht Sie­bert. Anders das Bun­des­amt für Sicher­heit in der Infor­ma­ti­ons­tech­nik (BSI), das die Straf­bar­keit recht pau­schal bejaht, was wohl auch ein wenig forsch ist.

Ich mei­ne, dass DoS-Atta­cken ein Fall des § 303a StGB sind. Mit Luck­hardt und Raba­nus bin auch ich der Mei­nung, dass der Geset­zes­text kla­rer sein könn­te. Er erfasst die hier dis­ku­tier­ten Sach­ver­hal­te aber durch­aus, ohne dass man die Gren­ze zur (ver­bo­te­nen) Ana­lo­gie über­schrei­tet.

Vor­sicht ist den­noch gebo­ten: die Vor­schrift kommt nur dann in Betracht, wenn die DoS-Atta­cke ihr Ziel auch tat­säch­lich erreicht, der Ser­ver also lahm gelegt wird. Wer­den dage­gen nur ton­nen­wei­se Mails ver­sandt, die­se kom­men aber alle durch, auch die regu­lä­ren Mails wer­den letzt­lich nicht beein­träch­tigt, gibt es kei­ne Straf­bar­keit. Die Daten blei­ben ja zugäng­lich, auch wenn viel Spam aus­sor­tiert wer­den muss. Aber natür­lich liegt hier zivil­recht­lich Scha­den­er­satz nahe.

Computersabotage

Wei­ter­hin anse­hen soll­ten wir uns die Vor­schrift des § 303b StBG.

§ 303b — Com­pu­ter­sa­bo­ta­ge

(1) Wer eine Daten­ver­ar­bei­tung, die für einen frem­den Betrieb, ein frem­des Unter­neh­men oder eine Behör­de von wesent­li­cher Bedeu­tung ist, dadurch stört, daß er

1. eine Tat nach § 303a Abs. 1 begeht oder
2. eine Daten­ver­ar­bei­tungs­an­la­ge oder einen Daten­trä­ger zer­stört, beschä­digt, unbrauch­bar macht, besei­tigt oder ver­än­dert,

wird mit Frei­heits­stra­fe bis zu fünf Jah­ren oder mit Geld­stra­fe bestraft.

(2) Der Ver­such ist straf­bar.

Das ist eine sog. Qua­li­fi­ka­ti­on zum eben dis­ku­tier­ten § 303a StGB. Qua­li­fi­ka­ti­on klingt toll, meint aber nur, dass alles noch viel schlim­mer wird. Und so kommt hier als Erfor­der­nis hin­zu, dass durch eine Tat wie in § 303a StGB behan­delt eine Daten­ver­ar­bei­tung mit wesent­li­cher Bedeu­tung gestört wer­den muss.

„Stö­rung“ meint dabei das nicht nur uner­heb­li­che Beein­träch­ti­gen des Ablaufs. Das wird in aller Regel bei einer erfolg­rei­chen DoS-Atta­cke gege­ben sein. Die Vor­schrift wird also dann, wenn § 303a StGB erfüllt ist, in der Regel auch ein­schlä­gig sein.

Viel­leicht gibt es aber noch mehr straf­recht­li­che Ansatz­punk­te. Was hal­ten Sie denn bit­te von Nöti­gung?

Nötigung

Eini­ge DoS-Atta­cken mögen ja unge­zielt sein, wer­den so aus einer Lau­ne her­aus zum Spaß ver­an­stal­tet. Sehr häu­fig wer­den aber kon­kre­te Zie­le ver­folgt: man will etwa Micro­soft dazu brin­gen, bes­se­re Soft­ware zu schrei­ben oder die Luft­han­sa dazu, kei­ne abge­scho­be­nen Asy­lan­ten mehr aus­zu­flie­gen. Das kann eine Nöti­gung sein.

§ 240 — Nöti­gung

(1) Wer einen Men­schen rechts­wid­rig mit Gewalt oder durch Dro­hung mit einem emp­find­li­chen Übel zu einer Hand­lung, Dul­dung oder Unter­las­sung nötigt, wird mit Frei­heits­stra­fe bis zu drei Jah­ren oder mit Geld­stra­fe bestraft.
(2) Rechts­wid­rig ist die Tat, wenn die Anwen­dung der Gewalt oder die Andro­hung des Übels zu dem ange­streb­ten Zweck als ver­werf­lich anzu­se­hen ist.
(3) Der Ver­such ist straf­bar.

Eine DoS-Atta­cke ist sicher ein „emp­find­li­ches Übel“ im Sin­ne des § 240 StGB. Wenn ich also damit dro­he, eine sol­che zu star­ten, dass ist das Nöti­gung. Wie aber, wenn die Atta­cke schon läuft? Dann liegt kei­ne Dro­hung, also kein „Inaus­sichts­tel­len“ des Übels, mehr vor, son­dern schon die Anwen­dung des­sel­ben (wobei es dem Täter natür­lich frei steht, damit zu dro­hen, es noch ein­mal zu tun, sich außer­dem span­nen­de Fra­gen des Han­delns durch Unter­las­sen stel­len).

Bleibt also Gewalt. Ist eine DoS-Atta­cke „Gewalt“? Dann müss­te sie ein phy­sisch ver­mit­tel­ter Zwang zur Über­win­dung eines geleis­te­ten oder erwar­te­ten Wider­stands sein. Das Pro­blem ist hier natür­lich die phy­si­sche Ver­mitt­lung. Denn viel Phy­sis gibt es bei DoS-Angrif­fen ja nicht. Aber ein klein wenig eben doch: den Maus­klick des Täters, der das „Go“ gibt.

Ist das Gewalt, kann das sein? Auf den ers­ten Blick wirkt das fern­lie­gend. Aber ist es das wirk­lich? Sicher wür­den weni­ge zwei­feln, dass das Abdrü­cken des Abzugs eines Revol­vers eine Gewalt­an­wen­dung ist. Die phy­si­sche Ver­mitt­lung ist dabei kaum grö­ßer als beim Maus­klick.

Lei­der ist hier nicht der Platz, eine Abhand­lung zu den Irrun­gen und Wir­run­gen des Gewalt­be­griffs zu schrei­ben, nur soviel: die Fra­ge berei­tet Jura­stu­den­ten sehr unru­hi­ge Stun­den in diver­sen Exami­na und beglückt unzäh­li­ge Dok­tor­an­ten seit Jahr­zehn­ten mit Mate­ri­al.

Jeden­falls exis­tiert min­des­tens eine Ent­schei­dung, die den Maus­klick als Gewalt ansieht. Das ist das Urteil des Amts­ge­richts Fran­furt am Main vom 01.07.2005, AZ Az. 991 Ds 6100. In der Sache ging es um den Auf­ruf zu besag­ter Online-Demons­tra­ti­on gegen die Luf­han­sa (der guten Ord­nung hal­ber: der Link dient der Infor­ma­ti­on, der Autor distan­ziert sich vom Inhalt der ver­link­ten Sei­te) gegen die Unter­stüt­zung von Abschie­bun­gen durch die Luft­han­sa. Die­se Demons­tra­ti­on war in der Sache nichts wei­ter, als eine DDoS-Atta­cke durch ein Netz­werk von Men­schen anstel­le des sonst übli­chen Netz­werks von Bots: die Teil­neh­mer soll­ten alle­samt die Web­sei­te der Luft­han­sa von Hand ankli­cken, um die Sei­te so zu über­las­ten. Das reicht nach Ansicht des Amts­ge­richts, um den Gewalt­be­griff zu erfül­len.

Das Urteil hat viel Kri­tik erfah­ren, die viel­leicht auch an man­cher Stel­le gerecht­fer­tigt sein mag, ins­be­son­de­re scheint mir das Gericht doch etwas leicht­fü­ßig im Umgang mit Art. 5 und 8 des Grund­ge­set­zes (Mei­nungs- und Ver­samm­lungs­frei­heit) zu sein. Die Sub­sum­ti­on des Maus­klicks unter den Begriff der „Gewalt“ hal­te ich aber für rich­tig.

DoS kann also auch Nöti­gung sein.

Erpressung

Wo Nöti­gung ist, da ist auch Erpres­sung nicht weit. Letz­te­re ist eine Nöti­gung, bei der Ver­mö­gen des Geschä­dig­ten einen Nach­teil erlei­det.

§ 253 — Erpres­sung

(1) Wer einen Men­schen rechts­wid­rig mit Gewalt oder durch Dro­hung mit einem emp­find­li­chen Übel zu einer Hand­lung, Dul­dung oder Unter­las­sung nötigt und dadurch dem Ver­mö­gen des Genö­tig­ten oder eines ande­ren Nach­teil zufügt, um sich oder einen Drit­ten zu Unrecht zu berei­chern, wird mit Frei­heits­stra­fe bis zu fünf Jah­ren oder mit Geld­stra­fe bestraft.
(2) Rechts­wid­rig ist die Tat, wenn die Anwen­dung der Gewalt oder die Andro­hung des Übels zu dem ange­streb­ten Zweck als ver­werf­lich anzu­se­hen ist.
(3) Der Ver­such ist straf­bar.
(4) In beson­ders schwe­ren Fäl­len ist die Stra­fe Frei­heits­stra­fe nicht unter einem Jahr. Ein beson­ders schwe­rer Fall liegt in der Regel vor, wenn der Täter gewerbs­mä­ßig oder als Mit­glied einer Ban­de han­delt, die sich zur fort­ge­setz­ten Bege­hung einer Erpres­sung ver­bun­den hat.

Sol­che Fäl­le gibt es, auch das Law-Blog hat etwa über den Fall der Andro­hung von DDoS-Atta­cken gegen Wett­bü­ros berich­tet. Wenn DoS-Atta­cken Gewalt sein kön­nen, dann läge in die­sem Fall in der Tat eine wasch­ech­te Erpres­sung vor.

Fazit

Deni­al-of-Ser­vi­ve-Atta­cken kön­nen nach einer gan­zen Rei­he von Vor­schrif­ten straf­bar sein. Wenn viel­fach Vor­be­hal­te gegen die Anwen­dung der §§ 303a f. StGB bestehen, schei­nen mir die­se nicht gerecht­fer­tigt. Wei­ter­hin kön­nen DoS-Atta­cken auch die Tat­be­stän­de von Nöti­gung und Erpres­sung erfül­len.

Der hier gege­be­ne Über­blick ist sicher nicht voll­stän­dig, je nach Fall kön­nen wei­te­ren Tat­be­stän­de ein­schlä­gig sein. Ins­be­son­de­re bei DDoS-Atta­cken wird in aller Regel auch das Kar­pern der Zom­bi-Rech­ner bereits Straf­tat­be­stän­de erfül­len.

Zu mög­li­chen zivil­recht­li­chen Ansprü­chen darf ich zuletzt noch kurz auf einen ähn­li­chen Bei­trag hier im Law-Blog ver­wei­sen. Zwar geht es dort um Refer­rer-Spam, die Anspruchs­grund­la­gen dürf­ten aber ähn­lich sein.

Edit (13.7.2007): Bit­te beach­ten Sie, dass sich die oben dis­ku­tier­te Rechts­la­ge auf eine alte Fas­sung des StGB — eben die zum Zeit­punkt der Erstel­lung des Arti­kels rele­van­te — bezieht. Eini­ge der behan­del­ten Fra­gen stel­len sich nicht mehr in der dis­ku­tier­ten Form.

BEITRAG TEILEN