DDoS bedeutet Sabotage

SabotageStatt brennender Fabrikhallen liegen heute die Server lahm. Und Sabotage heißt heute Computersabotage, strafbar gem. § 303b StGB.

 

 

Eine Erpressergruppe, die sich „caremini“ nennt, verschickt momentan E-Mails, die dem Empfänger mit Distributed-Denial-of-Service-Angriffen (DDoS) auf seine Web-Präsenz drohen, sollte dieser nicht eine Bitcoin „für einen guten Zweck spenden“. Opfer haben laut der Mail fünf Tage Zeit, die umgerechnet knapp 400 Euro zu zahlen, sonst würden Webauftritt und E-Mail-Adressen des Opfers „über Wochen gestört“.

(Quelle: heise.de vom 11.05.2016)

Mit Emails dieser Art machen sich die Absender wegen (versuchter) Erpressung gem. § 253 StGB strafbar. Führen sie die angedrohte DDoS-Attacke tatsächlich aus, machen sie sich dafür wegen Computersabotage gem. § 303b StGB strafbar, weil der reibungslose Ablauf der Datenverarbeitung beeinträchtigt wird (Quelle: BT-Drs. 10/5058, S. 35). Eine DDoS-Attacke zielt darauf ab, dem Betreiber des angegriffenen Systems und der dort stattfindenden Datenverarbeitungsvorgänge einen Schaden zuzufügen. Dient der Web-Auftritt eines Unternehmens etwa dazu, eigene Waren bzw. Dienstleistungen zu bewerben oder zu vertreiben, Kunden zu informieren und zu beraten oder sonstige Service-Leistungen zu erbringen, so können durch die Verschlechterung oder gar durch den (vorübergehenden) Totalausfall der betreffenden Website erhebliche Image- und Vermögensschäden die Folge sein (Quelle: Popp, jurisPR-ITR 25/2011 Anm. 6).

DDoS-Attacken werden häufig über Bot-Netze ausgeführt:

Ein Bot-Netz, also eine Vielzahl infizierter Rechner, wird zeitgleich über die jeweilige „Backdoor“ veranlasst, auf denselben Internet-Server zuzugreifen, etwa durch den Abruf einer Webseite. Die schiere Masse tausender gleichzeitiger Anfragen lässt den betroffenen Server schließlich zusammenbrechen oder beeinträchtigt zumindest seine vorgesehene Nutzung erheblich. Damit lassen sich (…) Schutzgelder von den Betreibern kommerzieller Internet-Angebote erpressen, die einen verlustträchtigen Ausfall ihrer Seite unbedingt vermeiden wollen.

(Quelle: Buermeyer, HRRS 2007, S. 154, 157)

Botnetz

 

Das Landgericht Düsseldorf verurteilte im Jahr 2011 einen Hobby-Programmierer wegen Computersabotage, der ein Bot-Netz organisiert hatte, welches er über einen in Russland angemieteten Server kontrollieren konnte. Auf diese Weise war es ihm möglich, DDoS-Angriffe auf verschiedene Online-Wettportale zu steuern:

Durch die ausgeführten DDos-Attacken hat er Daten übermittelt in der Absicht, den betroffenen Firmen einen Nachteil zuzufügen und dadurch deren Datenverarbeitung – deren Online-Wettportale-, die für die betroffenen Firmen von einigem Wert war, gestört (§ 303b Abs. 2 StGB).

(Quelle: LG Düsseldorf, Urteil vom 22.03.2011, Az. 3 KLs 1/11, Rn. 63)

Obwohl die Rechtslage eindeutig ist, blieb dieses Urteil vereinzelt. Ausnahmsweise konnte hier der Täter ermittelt werden, der von den angegriffenen Wettportalen U1-Voucher verlangt hatte, die an Tankstellen anonym gekauft und eingelöst werden können. Der verurteilte Hacker ließ den Wert des Vouchers jedoch auf seine Kreditkarte buchen und wurde damit überführt.