DDoS-Angriffe im Strafrecht: Wie werden Täter belangt?

Bereits seit längerer Zeit sind DDoS-Angriffe (Distributed Denial of Service) zu einer allgegenwärtigen Bedrohung für Unternehmen, Regierungen und individuelle Internetnutzer geworden. Diese Angriffe zielen darauf ab, Online-Dienste durch Überlastung mit Datenverkehr unzugänglich zu machen. Die Motive hinter diesen Angriffen reichen von politischem Aktivismus bis hin zu finanzieller Erpressung, was ihre Bekämpfung zu einem ständigen Wettrennen zwischen Angreifern und Verteidigern macht und zugleich eine ernsthafte Herausforderung für die Cybersicherheit darstellt.  

Nachfolgend soll nach einer genauen Begriffsdefinition von DDoS-Angriffen dargestellt werden, welche Angriffsmuster bestehen, welche Tätergruppen es gibt und wie DDoS-Angriffe abgewehrt werden können. Abschließend erfolgt eine strafrechtliche Einordnung von DDoS-Angriffen. 

Was sind DDoS-Angriffe?

DDoS-Angriffe sind Cyberangriffe, bei denen mehrere kompromittierte Computersysteme (oft als Botnetz bezeichnet) verwendet werden, um ein Ziel – etwa einen Webserver – mit einem Übermaß an Anfragen zu überfluten. Ziel ist es, den normalen Verkehr zu stören oder komplett zu blockieren, indem die Ressourcen des Zielsystems erschöpft werden. Technisch gesehen können DDoS-Angriffe unterschiedliche Arten von Anfragen nutzen, um ein Ziel zu überlasten. Unter anderem: 

• ICMP Echo-Request Messages (sogenannte Ping-Nachrichten). ICMP steht für Internet Control Message Protocol. 

• Massenhafte SYN-Anfragen – um eine Internet-Verbindung zwischen zwei Hosts aufzubauen – führen dazu, dass der Server nicht mehr in der Lage ist, die SYN-Anfragen zu beantworten, und dass die Ressourcen des Servers durch zu hohe Auslastung erschöpft werden. 

• Legitime HTTP-GET-Anfragen oder HTTP-POST-Anfragen, um die Webserver-Ressourcen zu erschöpfen.  

Jede Anfrageart zielt darauf ab, spezifische Ressourcen oder Dienste des Zielsystems zu überlasten, sei es die Netzwerkbandbreite, die CPU (Central Processing Unit) oder das Speichersystem. Diese koordinierten Angriffe können von einfachen Unannehmlichkeiten für Nutzer bis hin zu ernsthaften, langfristigen Ausfällen von Diensten führen, was erhebliche finanzielle und reputative Schäden zur Folge haben kann. Letztlich sorgt ein DDoS-Angriff dafür, dass die angegriffenen Webseiten im Regelfall langsamer oder gar nicht erreichbar sind. 

Ein DDoS-Angriff unterscheidet sich von einem einfachen DoS-Angriff (Denial of Service) hauptsächlich durch die Anzahl der verwendeten Computer. Während ein DoS-Angriff typischerweise von einem einzigen System ausgeht, nutzt ein DDoS-Angriff eine Vielzahl von kompromittierten Computern, um das Ziel mit Anfragen zu überfluten. Diese dezentralisierte Methode macht DDoS-Angriffe weitaus schwieriger zu stoppen, da die Angriffe gleichzeitig von mehreren Standorten aus erfolgen. 

DDoS-Attacke: Wer sind die Angreifer?

Die üblichen Angreifer bei DDoS-Angriffen lassen sich in verschiedene Kategorien einteilen, basierend auf ihren Fähigkeiten, Motivationen und Zielen: 

Cyber-Kriminelle 

Am häufigsten dürften derzeit DDoS-Angriffe von Personen begangen werden, bei denen die DDoS-Angriffe auf Webseiten von Unternehmen als Mittel zur Erpressung von Lösegeld – meistens in Form von Kryptowährungen wie Bitcoin – verwendet werden (sogenannte Ransom-DDoS-Angriffe). Als Beispiel für diese Art von DDoS-Angriffen kann die Entscheidung des Landgerichts (LG) Düsseldorf herangezogen werden. Das Gericht hatte in der Vergangenheit einen Fall von DDoS-Angriffen strafrechtlich zu entscheiden, bei dem der Angeklagte mehrere Anbieter von Online-Pferdewetten mit angedrohten sowie zum Teil durchgeführten DDoS-Attacken wiederholt erpresste. Konkret drohte der Angeklagte sechs Internetanbietern von Pferdewetten in der Hochzeit der Wettsaison an, ihre Websites durch DDoS-Angriffe lahmzulegen, sollten sie ihm nicht jeweils bis zu 2500 Euro zahlen. Diese DDoS-Attacken führte der Angeklagte über ein sogenanntes Botnetz aus, wozu er bei einem russischen Provider Serverkapazitäten angemietet hatte. Von diesem russischen Server aus wählte er sich in einen – illegal betriebenen – Kontrollserver („Bot-Herder“) ein und gab an die infizierten Privatrechner des Botnetzes den Befehl, die Server der Anbieter mit Anfragen zu überfluten und lahmzulegen (Urteil vom 22.03.2011, Az.: 3 KLs 1/11). 

Advanced Persistent Threats (APT) 

Dieser Begriff bezeichnet hochqualifizierte Angreifer, die – oft staatlich gesponsert – gezielte Angriffe mit dem Ziel durchführen, Daten zu stehlen oder langfristig Schaden anzurichten.  

Hacktivisten 

Hacktivismus bezieht sich auf Angreifer, die DDoS-Angriffe aus politischen oder sozialen Beweggründen begehen.  

Script Kiddies 

Dieser Begriff bezieht sich auf eher unerfahrene Hacker, die vorgefertigte Skripte oder Programme nutzen, um DDoS-Angriffe durchzuführen, ohne notwendigerweise das technische Verständnis oder die Fähigkeiten zu haben, diese Angriffe selbst zu entwickeln. 

Abwehr von DDoS-Angriffen

Die Abwehr von DDoS-Angriffen kann in präventive und reaktive Maßnahmen eingeteilt werden. Zu den präventiven Maßnahmen gehört die Implementierung von Netzwerkarchitekturen, die schwer zu überlasten sind, wie z. B. die Verteilung von Ressourcen auf mehrere Standorte oder die Nutzung von cloudbasierten Diensten sowie die Überwachung des Datenverkehrs auf ungewöhnliche Muster, die auf einen DDoS-Angriff hindeuten. Ferner das Begrenzen der Anzahl an Anfragen, die von einer einzelnen Quelle in einem bestimmten Zeitraum akzeptiert werden. 

Die reaktiven Maßnahmen gegen DDoS-Angriffe umfassen unter anderem die Identifizierung und Filterung des Angriffsverkehrs, die Anpassung von Firewall- und Routing-Regeln zur Blockierung bösartiger IP-Adressen und die Verwendung von Rate Limiting, um die Anzahl der Anfragen pro Sekunde zu begrenzen. In jedem Fall erforderlich ist auch die Erstellung eines DDoS-Notfallplans, der klar definierte Schritte und Verantwortlichkeiten enthält, um im Falle eines Angriffs schnell und effizient reagieren zu können. 

Strafrechtliche Einordnung von DDoS-Angriffen

Strafrechtlich dürften DDoS-Angriffe regelmäßig u. a. den Tatbestand der Computersabotage nach § 303b Abs. 1 Nr. 2 Strafgesetzbuch (StGB) erfüllen. Der Straftatbestand der Computersabotage (§ 303b StGB) schützt vor allem die Datenverarbeitung selbst. Die Tatvariante des § 303b Abs. 1 Nr. 2 StGB, die einschlägig ist, wenn eine Datenverarbeitung, die für einen anderen von wesentlicher Bedeutung ist, dadurch erheblich gestört wird, dass Daten in der Absicht, einem anderen Nachteil zuzufügen, eingegeben oder übermittelt werden, erfasst nach der überwiegenden Meinung auch die weitverbreiteten DDoS-Angriffe.* 

Liegt keine Störung einer Datenverarbeitung vor, ist der Tatbestand von § 303b Abs. 1 Nr. 2 StGB nicht erfüllt. Auch eine Strafbarkeit nach § 202a StGB (Ausspähen von Daten) dürfte entfallen. Bei einem DDoS-Angriff (mit oder ohne erhebliche Störung eines Datenverarbeitungsvorgangs) verschafft sich der Täter in der Regel keinen Zugang zu Daten – die nicht für den Täter bestimmt und gegen unberechtigten Zugang besonders gesichert sind – unter Überwindung einer Zugangssicherung. 

Im Ergebnis dürfte in den meisten Fällen ein DDoS-Angriff nur den Tatbestand des § 303b Abs. 1 Nr. 2 StGB erfüllen. Zugleich ist die Qualifikation des § 303b Abs. 2 StGB erfüllt, wenn die Datenverarbeitung für einen fremden Betrieb, ein fremdes Unternehmen oder eine Behörde von wesentlicher Bedeutung ist. Schließlich liegt ein besonders schwerer Fall im Sinne des § 303b Abs. 4 Nr. 1 bis Nr. 3 StGB vor, wenn der Täter einen Vermögensverlust großen Ausmaßes herbeiführt, gewerbsmäßig oder als Mitglied einer Bande handelt, die sich zur fortgesetzten Begehung von Computersabotage verbunden hat oder durch die Tat die Versorgung der Bevölkerung mit lebenswichtigen Gütern oder Dienstleistungen oder die Sicherheit der Bundesrepublik Deutschland beeinträchtigt. Einschlägig ist häufig auch der Tatbestand des § 253 Abs. 1 StGB, zum Beispiel dann, wenn sich der Täter sich durch den DDoS-Angriff am Geschädigten bereichert. 

^{* Vgl. Bär, Wolfgang: Tatort Internet: Herausforderungen bei der Bekämpfung von Cybercrime. In: DRiZ 2015, S. 432.}