Denial of Service (DoS) und deutsches Strafrecht

BEITRAG TEILEN

Vielle­icht haben Sie in den let­zten Tagen auch die Mel­dung gele­sen, dass ein britis­ches Strafgericht im Fall ein­er Denial-of-Ser­vice-Attacke (DoS) den Verur­sach­er der­sel­ben freige­sprochen hat. Der Com­put­er-Mis­use-Act von 1990 erfasse diesen Fall schlicht nicht, es fehle daher an einem Gesetz, das die Straf­barkeit des Angriffs begründe.

Da ist es vielle­icht ganz span­nend, sich ein paar Gedanken zu der Frage zu machen, wie das nach deutschem Strafrecht aussähe. Wahrschein­lich bewegt man sich auf halb­wegs gesichertem Ter­rain, wenn man davon aus­ge­ht, dass das Ver­anstal­ten von Denial-of-Ser­vice-Attack­en und Dis­trib­uted-Denial-of-Ser­vice-Attack­en (DDoS) bestraft wer­den sollte. Aber kann es das auch, gibt es eine passende Vorschrift im deutschen Strafge­set­zbuch? Unternehmen wir doch eine kleine juris­tis­che Run­dreise.

Sachbeschädigung

Der Beginn der Betra­ch­tung mag vielle­icht ein über­raschen­der sein. Bei näherem Hin­se­hen ist die Sachbeschädi­gung aber dur­chaus ein logis­ch­er Start­punkt der Betra­ch­tung.

§ 303 — Sachbeschädi­gung

(1) Wer rechtswidrig eine fremde Sache beschädigt oder zer­stört, wird mit Frei­heitsstrafe bis zu zwei Jahren oder mit Geld­strafe bestraft.
(2) Eben­so wird bestraft, wer unbefugt das Erschei­n­ungs­bild ein­er frem­den Sache nicht nur uner­he­blich und nicht nur vorüberge­hend verän­dert.
(3) Der Ver­such ist straf­bar.

Kann man in einem DoS-Angriff die Beschädi­gung ein­er Sache sehen? Man kann, ein Gericht wird dieser Ansicht aber wohl nicht fol­gen.

Nach gängiger Def­i­n­i­tion ist die Sachbeschädi­gung eine nicht ganz uner­he­bliche Ver­let­zung der Sub­stanz, der äußeren Erschei­n­ung oder der Form ein­er Sache, durch welche die Brauch­barkeit der Sache zu ihrem bes­timmten Zweck beein­trächtigt wird.

Bei ein­er DoS-Attacke sind aber wed­er Sub­stanz, noch Erschei­n­ung oder Form des ange­grif­f­e­nen Servers oder Com­put­ers beein­trächtigt.

Nun ste­ht die Def­i­n­i­tion, was eine Sachbeschädi­gung genau ist, nicht im Gesetz und auch der BGH oder das Reichs­gericht, von denen die gängi­gen Def­i­n­i­tio­nen stam­men, sind nicht unfehlbar. Also gibt es auch abwe­ichende, weit­er gehende Ansicht­en. Eine ist die sog. Funk­tionsvere­it­elungs­the­o­rie. Diese behauptet, dass eine Ein­wirkung auf die Sach­sub­stanz nicht erforder­lich ist, son­dern es vol­lauf genüge, wenn die Gebrauch­stauglichkeit der Sache aufge­hoben wird. In gewiss­er Weise fol­gt dieser The­o­rie in ein­er gemäßigten Vari­ante auch die Recht­sprechung, ins­beson­dere der BGH. Er meint, es genü­gen auch kör­per­liche Ein­wirkun­gen, durch welche die tech­nis­che Brauch­barkeit der Sache nach­haltig beein­trächtigt wird.

Nun beein­trächtigt eine DoS-Attacke zwar die Brauch­barkeit des ange­grif­f­e­nen Servers. Sie tut das aber nicht nach­haltig. Hört die Attacke auf, ist der Serv­er in aller Regel wieder erre­ich­bar.

Viel weit­er wird man die Begrif­flichkeit­en auch kaum dehnen kön­nen: zum einen ist jeden­falls die nur vorüberge­hende Ein­wirkung auf die Gebrauch­stauglichkeit schlicht vom Begriff der „Beschädi­gung“ bei halb­wegs natür­lichem Ver­ständ­nis nicht mehr so recht umfasst. Damit ver­stößt eine solche weite Ausle­gung aber gegen das sog. Analo­gie­ver­bot im Strafrecht: Strafge­set­ze muss man lesen und ver­ste­hen kön­nen, die juris­tis­che Ausle­gung darf nicht zu „ver­spin­nert“ sein, son­st weiß der Bürg­er nicht mehr, was erlaubt und was ver­boten ist.

Weit­er­hin ver­löre der Begriff der Sachbeschädi­gung aber auch jede Kon­tur, er würde uner­messlich weit. Schon das Abschal­ten des Stroms eines Com­put­ers kön­nte im Extrem­fall als Sachbeschädi­gung ange­se­hen wer­den, was natür­lich Unsinn ist.

Zulet­zt gibt es aber ger­ade für die Fälle, in denen Com­put­er zwar gestört, aber nicht in ihre Sach­sub­stanz einge­grif­f­en wird (jeden­falls nicht auf makroskopis­ch­er Ebene), Spezialvorschriften. Deren bloße Exis­tenz zeigt im Rückschluss, dass der Geset­zge­ber die dort geregel­ten Sachver­halte nicht als Sachbeschädi­gung im stren­gen Sinn sieht.

Vorschriften zur Computerkriminalität

Schauen wir uns diese weit­eren Vorschriften ein­mal an.

§ 303a — Daten­verän­derung

(1) Wer rechtswidrig Dat­en (§ 202a Abs. 2) löscht, unter­drückt, unbrauch­bar macht oder verän­dert, wird mit Frei­heitsstrafe bis zu zwei Jahren oder mit Geld­strafe bestraft.
(2) Der Ver­such ist straf­bar.

Das klingt erst ein­mal nicht schlecht. Im Detail zeigen sich aber doch einige Prob­leme, Denial-of-Ser­vice-Attack­en hier zu sub­sum­ieren.

Dat­en wer­den jeden­falls nicht „gelöscht“ oder „unbrauch­bar gemacht“. So richtig „verän­dert“ eigentlich auch nicht. Zwar wer­den die bei ein­er DoS-Attacke einge­hen­den Schad­mails natür­lich emp­fan­gen bzw. bei Pin­gat­tack­en die Server­an­fra­gen pro­tokol­liert. Das ändert den Zus­tand von Mail­dateien, Log­files und Pro­tokollen natür­lich. Dies ist aber schlicht eine Funk­tion dieser Pro­tokoll­funk­tio­nen, gle­ich­sam die „natür­liche“ Verän­derung von Dat­en, wie sie auch bei reg­ulären Anfra­gen oder Mails auftritt.

Bleibt als Alter­na­tive das „Unter­drück­en“ von Dat­en. Das ist gegeben, wenn die Dat­en dem Zugriff des Berechtigten auf Dauer oder zeitweilig ent­zo­gen wer­den und er sie daher nicht mehr ver­wen­den kann.

Ger­ade das scheint bei DoS-Attack­en stattzufind­en. Im Einzeln muss man natür­lich sehr genau hin­se­hen. So müssen die Dat­en „dem Berechtigten“ voren­thal­ten wer­den. Aber wer ist das eigentlich? Im Fall eines Web­servers sich­er nicht jed­er, der die Web­seite anse­hen möchte. Vielmehr wohl der Betreiber der Web­seite. Aber ist der auch an der Nutzung der Dat­en gehin­dert? In aller Regel eher nicht: er kann ein­fach die Seite gegen Zugriffe von außen sper­ren. Dann kann sie zwar nie­mand von außen mehr anse­hen, er selb­st aber schon: und das reicht m.E: die Dat­en sind nicht mehr unter­drückt, also keine Daten­verän­derung.

Anders bei Angrif­f­en auf Mailserv­er. Wird hier der weit­ere Emp­fang von Mails abgeschal­tet, dann kom­men auch „reg­ulär“ an den Empfänger gerichtete Mails zeitweise (und möglicher­weise auch endgültig) nicht durch. Die Dat­en sind also dem Zugriff des Berechtigten ent­zo­gen. Hier mag man sich the­o­retisch noch ein wenig stre­it­en, ob der, der eine Mail noch gar nicht emp­fan­gen hat, auch wirk­lich schon „Berechtigter“ in diesem Sinne ist. Mit fol­gen­dem „Totschla­gar­gu­ment“ gehe ich davon aus: nie­mand son­st kann es sein. Die Mail ist vom Sender bere­its abge­sendet wor­den, sie ist aus seinem Herrschafts­bere­ich „ent­lassen“. Sie kann aber kaum her­ren­los sein.

Inter­es­san­ter­weise wird an eini­gen Stellen bestrit­ten, dass DoS-Attack­en unter § 303a StGB fall­en sollen.

So geht etwa Rauschen­hofer davon aus, dass eine DoS-Attacke in aller Regel bezüglich des „Unter­drück­ens“ von Dat­en nicht ziel­gerichtet sei. Das klingt für mich aber eher nach einem Prob­lem des Vor­satzes als der Sub­sum­tion unter den Tatbe­stand. In eine ähn­liche Rich­tung geht Siebert. Anders das Bun­de­samt für Sicher­heit in der Infor­ma­tion­stech­nik (BSI), das die Straf­barkeit recht pauschal bejaht, was wohl auch ein wenig forsch ist.

Ich meine, dass DoS-Attack­en ein Fall des § 303a StGB sind. Mit Luck­hardt und Rabanus bin auch ich der Mei­n­ung, dass der Geset­zes­text klar­er sein kön­nte. Er erfasst die hier disku­tierten Sachver­halte aber dur­chaus, ohne dass man die Gren­ze zur (ver­bote­nen) Analo­gie über­schre­it­et.

Vor­sicht ist den­noch geboten: die Vorschrift kommt nur dann in Betra­cht, wenn die DoS-Attacke ihr Ziel auch tat­säch­lich erre­icht, der Serv­er also lahm gelegt wird. Wer­den dage­gen nur ton­nen­weise Mails ver­sandt, diese kom­men aber alle durch, auch die reg­ulären Mails wer­den let­ztlich nicht beein­trächtigt, gibt es keine Straf­barkeit. Die Dat­en bleiben ja zugänglich, auch wenn viel Spam aus­sortiert wer­den muss. Aber natür­lich liegt hier zivil­rechtlich Schaden­er­satz nahe.

Computersabotage

Weit­er­hin anse­hen soll­ten wir uns die Vorschrift des § 303b StBG.

§ 303b — Com­put­ersab­o­tage

(1) Wer eine Daten­ver­ar­beitung, die für einen frem­den Betrieb, ein fremdes Unternehmen oder eine Behörde von wesentlich­er Bedeu­tung ist, dadurch stört, daß er

1. eine Tat nach § 303a Abs. 1 bege­ht oder
2. eine Daten­ver­ar­beitungsan­lage oder einen Daten­träger zer­stört, beschädigt, unbrauch­bar macht, beseit­igt oder verän­dert,

wird mit Frei­heitsstrafe bis zu fünf Jahren oder mit Geld­strafe bestraft.

(2) Der Ver­such ist straf­bar.

Das ist eine sog. Qual­i­fika­tion zum eben disku­tierten § 303a StGB. Qual­i­fika­tion klingt toll, meint aber nur, dass alles noch viel schlim­mer wird. Und so kommt hier als Erforder­nis hinzu, dass durch eine Tat wie in § 303a StGB behan­delt eine Daten­ver­ar­beitung mit wesentlich­er Bedeu­tung gestört wer­den muss.

„Störung“ meint dabei das nicht nur uner­he­bliche Beein­trächti­gen des Ablaufs. Das wird in aller Regel bei ein­er erfol­gre­ichen DoS-Attacke gegeben sein. Die Vorschrift wird also dann, wenn § 303a StGB erfüllt ist, in der Regel auch ein­schlägig sein.

Vielle­icht gibt es aber noch mehr strafrechtliche Ansatzpunk­te. Was hal­ten Sie denn bitte von Nöti­gung?

Nötigung

Einige DoS-Attack­en mögen ja ungezielt sein, wer­den so aus ein­er Laune her­aus zum Spaß ver­anstal­tet. Sehr häu­fig wer­den aber konkrete Ziele ver­fol­gt: man will etwa Microsoft dazu brin­gen, bessere Soft­ware zu schreiben oder die Lufthansa dazu, keine abgeschobe­nen Asy­lanten mehr auszu­fliegen. Das kann eine Nöti­gung sein.

§ 240 — Nöti­gung

(1) Wer einen Men­schen rechtswidrig mit Gewalt oder durch Dro­hung mit einem empfind­lichen Übel zu ein­er Hand­lung, Dul­dung oder Unter­las­sung nötigt, wird mit Frei­heitsstrafe bis zu drei Jahren oder mit Geld­strafe bestraft.
(2) Rechtswidrig ist die Tat, wenn die Anwen­dung der Gewalt oder die Andro­hung des Übels zu dem angestrebten Zweck als ver­w­er­flich anzuse­hen ist.
(3) Der Ver­such ist straf­bar.

Eine DoS-Attacke ist sich­er ein „empfind­lich­es Übel“ im Sinne des § 240 StGB. Wenn ich also damit dro­he, eine solche zu starten, dass ist das Nöti­gung. Wie aber, wenn die Attacke schon läuft? Dann liegt keine Dro­hung, also kein „Inaus­sicht­stellen“ des Übels, mehr vor, son­dern schon die Anwen­dung des­sel­ben (wobei es dem Täter natür­lich frei ste­ht, damit zu dro­hen, es noch ein­mal zu tun, sich außer­dem span­nende Fra­gen des Han­delns durch Unter­lassen stellen).

Bleibt also Gewalt. Ist eine DoS-Attacke „Gewalt“? Dann müsste sie ein physisch ver­mit­tel­ter Zwang zur Über­win­dung eines geleis­teten oder erwarteten Wider­stands sein. Das Prob­lem ist hier natür­lich die physis­che Ver­mit­tlung. Denn viel Physis gibt es bei DoS-Angrif­f­en ja nicht. Aber ein klein wenig eben doch: den Mausklick des Täters, der das „Go“ gibt.

Ist das Gewalt, kann das sein? Auf den ersten Blick wirkt das fern­liegend. Aber ist es das wirk­lich? Sich­er wür­den wenige zweifeln, dass das Abdrück­en des Abzugs eines Revolvers eine Gewal­tan­wen­dung ist. Die physis­che Ver­mit­tlung ist dabei kaum größer als beim Mausklick.

Lei­der ist hier nicht der Platz, eine Abhand­lung zu den Irrun­gen und Wirrun­gen des Gewalt­be­griffs zu schreiben, nur soviel: die Frage bere­it­et Juras­tu­den­ten sehr unruhige Stun­den in diversen Exam­i­na und beglückt unzäh­lige Dok­toran­ten seit Jahrzehn­ten mit Mate­r­i­al.

Jeden­falls existiert min­destens eine Entschei­dung, die den Mausklick als Gewalt ansieht. Das ist das Urteil des Amts­gerichts Fran­furt am Main vom 01.07.2005, AZ Az. 991 Ds 6100. In der Sache ging es um den Aufruf zu besagter Online-Demon­stra­tion gegen die Lufhansa (der guten Ord­nung hal­ber: der Link dient der Infor­ma­tion, der Autor dis­tanziert sich vom Inhalt der ver­link­ten Seite) gegen die Unter­stützung von Abschiebun­gen durch die Lufthansa. Diese Demon­stra­tion war in der Sache nichts weit­er, als eine DDoS-Attacke durch ein Net­zw­erk von Men­schen anstelle des son­st üblichen Net­zw­erks von Bots: die Teil­nehmer soll­ten alle­samt die Web­seite der Lufthansa von Hand anklick­en, um die Seite so zu über­las­ten. Das reicht nach Ansicht des Amts­gerichts, um den Gewalt­be­griff zu erfüllen.

Das Urteil hat viel Kri­tik erfahren, die vielle­icht auch an manch­er Stelle gerecht­fer­tigt sein mag, ins­beson­dere scheint mir das Gericht doch etwas leicht­füßig im Umgang mit Art. 5 und 8 des Grundge­set­zes (Mei­n­ungs- und Ver­samm­lungs­frei­heit) zu sein. Die Sub­sum­tion des Mausklicks unter den Begriff der „Gewalt“ halte ich aber für richtig.

DoS kann also auch Nöti­gung sein.

Erpressung

Wo Nöti­gung ist, da ist auch Erpres­sung nicht weit. Let­ztere ist eine Nöti­gung, bei der Ver­mö­gen des Geschädigten einen Nachteil erlei­det.

§ 253 — Erpres­sung

(1) Wer einen Men­schen rechtswidrig mit Gewalt oder durch Dro­hung mit einem empfind­lichen Übel zu ein­er Hand­lung, Dul­dung oder Unter­las­sung nötigt und dadurch dem Ver­mö­gen des Genötigten oder eines anderen Nachteil zufügt, um sich oder einen Drit­ten zu Unrecht zu bere­ich­ern, wird mit Frei­heitsstrafe bis zu fünf Jahren oder mit Geld­strafe bestraft.
(2) Rechtswidrig ist die Tat, wenn die Anwen­dung der Gewalt oder die Andro­hung des Übels zu dem angestrebten Zweck als ver­w­er­flich anzuse­hen ist.
(3) Der Ver­such ist straf­bar.
(4) In beson­ders schw­eren Fällen ist die Strafe Frei­heitsstrafe nicht unter einem Jahr. Ein beson­ders schw­er­er Fall liegt in der Regel vor, wenn der Täter gewerb­smäßig oder als Mit­glied ein­er Bande han­delt, die sich zur fort­ge­set­zten Bege­hung ein­er Erpres­sung ver­bun­den hat.

Solche Fälle gibt es, auch das Law-Blog hat etwa über den Fall der Andro­hung von DDoS-Attack­en gegen Wet­tbüros berichtet. Wenn DoS-Attack­en Gewalt sein kön­nen, dann läge in diesem Fall in der Tat eine waschechte Erpres­sung vor.

Fazit

Denial-of-Ser­vive-Attack­en kön­nen nach ein­er ganzen Rei­he von Vorschriften straf­bar sein. Wenn vielfach Vor­be­halte gegen die Anwen­dung der §§ 303a f. StGB beste­hen, scheinen mir diese nicht gerecht­fer­tigt. Weit­er­hin kön­nen DoS-Attack­en auch die Tatbestände von Nöti­gung und Erpres­sung erfüllen.

Der hier gegebene Überblick ist sich­er nicht voll­ständig, je nach Fall kön­nen weit­eren Tatbestände ein­schlägig sein. Ins­beson­dere bei DDoS-Attack­en wird in aller Regel auch das Karpern der Zom­bi-Rech­n­er bere­its Straftatbestände erfüllen.

Zu möglichen zivil­rechtlichen Ansprüchen darf ich zulet­zt noch kurz auf einen ähn­lichen Beitrag hier im Law-Blog ver­weisen. Zwar geht es dort um Refer­rer-Spam, die Anspruchs­grund­la­gen dürften aber ähn­lich sein.

Edit (13.7.2007): Bitte beacht­en Sie, dass sich die oben disku­tierte Recht­slage auf eine alte Fas­sung des StGB — eben die zum Zeit­punkt der Erstel­lung des Artikels rel­e­vante — bezieht. Einige der behan­del­ten Fra­gen stellen sich nicht mehr in der disku­tierten Form.

BEITRAG TEILEN