Beteiligten an DDoS-Attacken drohen bis zu drei Jahren Haft
Wer in DDoS-Attacken (Distributed Denial of Service) der Aktivistengruppe "Anonymous" gegen Ziele wie die Filmindustrie oder PayPal involviert ist, riskiert empfindliche Strafen. "In Deutschland ist Computersabotage mittlerweile ein einschlägiger Straftatbestand", erklärt Benedikt Klas, IT-Rechtsexperte bei der Anwaltskanzlei Küster, Klas & Kollegen http://kkk-law.de, im Gespräch mit pressetext. Mitläufer, die sich nur mit dem Tool "Low Orbit Ion Cannon" (LOIC) an einer Aktion beteiligen, drohen immerhin drei Jahre Gefängnis. Für Organisatoren greift vom Buchstaben des Gesetzes her sogar der Antiterror-Paragraph.
Eine Strafverfolgung ist dabei aber seiner Ansicht nach nicht unbedingt das größte Risiko. "In Deutschland hat das Opfer zivilrechtlichen Schadensersatzanspruch gegen die Angreifer",, erläuter der IT-Rechtsanwalt. Nach dem Gesamtschuld-Prinzip kann die Ersatzleistung einem einzelnen ermittelten Beteiligten aufgebürdet werden. "Das kann einen Einzelnen in den Ruin treiben", warnt Klas.
{jumi [plugins/content/jumi/newsgrafik.php]}
Europa schafft Klarheit
In Deutschland war lange strittig, ob DDoS-Angriffe strafbar sind. Die Frage war dabei, ob es sich um Nötigung handelt. "Man könnte argumentieren, Mastercard und PayPal sollten genötigt werden, Spenden freizugeben", erklärt Klas mit Blick auf den Wikileaks-Krieg. Allerdings hatte das Oberlandesgericht Frankfurt in einem Fall 2006 gegen eine derartige Auslegung entschieden. Inzwischen hat aber die Umsetzung der "Convention on Cybercrime" des Europarates auf anderem Wege für Klarheit gesorgt. Diese Konvention sollte auch in anderen Ländern in nationalem Recht ähnlichen Niederschlag finden.
Hierzulande gilt seit 2007 für Computersabotage Paragraph 303b des Strafgesetzbuchs (StGB). "Dieser ist ausdrücklich auch für DDoS-Attacken gedacht", sagt Klas. Dabei ist auch der Versuch eines Angriff prinzipiell strafbar. Grundsätzlich drohen somit bis zu drei Jahre Gefängnis oder eine Geldbuße. "Dieses Strafmaß ist vergleichbar mit fahrlässiger Körperverletzung", meint der IT-Anwalt. In der Praxis sei es aber wahrscheinlich, dass ein einfacher LOIC-Nutzer mit einer Geldauflage oder einem Strafbefehl davonkommen würde.
Eskalation
Auf der anderen Seite können die Vorwürfe und somit das Strafmaß härter ausfallen. Wenn ein angegriffenes System für einen fremden Betrieb, Unternehmen oder Behörde "von wesentlicher Bedeutung" ist, sind sogar fünf Jahre Gefängnis denkbar. Das wäre beispielsweise im Fall von PayPal wohl argumentierbar. Wenn ein Täter " gewerbsmäßig oder als Mitglied einer Bande handelt, die sich zur fortgesetzten Begehung von Computersabotage verbunden hat", drohen sogar zehn Jahre Freiheitsstrafe. "Das trifft auf den normalen User nicht zu", betont Klas.
Gegen Anonymous-Organisatoren könnte der Banden-Vorwurf aber potenziell erhoben werden, wenngleich die Gruppe nach Ansicht des Rechtsanwalts nicht unbedingt strukturiert genug ist. Hinzu kommt, dass das deutsche Gesetz zur Bildung terroristischer Vereinigungen (§129a StGB) explizit Gruppen mit dem Zweck der Computersabotage einschließt. "Ich hätte die Hoffnung, dass der Staat nicht so weit geht. Das wäre, wie mit Kanonen auf Spatzen zu schießen", meint Klas zwar. Auszuschließen ist es aber nicht. Ein Blick nach Österreich zeigt, dass nach dem dortigen Antiterror-Paragraphen bereits Tierschützer angeklagt wurden.
(ck)
.