Eignen sich DDoS-Attacken zur Notwehr? Der WebStandard ist dieser Frage nachgegangen.
Monika Hupfauf ist Rechtsanwältin bei DLA Piper.
Sie sind ein Problem für viele Webseitenbetreiber. Sie dienen zum Angriff auf politische Gegner oder können selbst die Spielenetzwerke großer Unternehmen wie Sony oder Microsoft in die Knie zwingen: DDoS-Attacken.
Die Abkürzung steht für "Distributed Denial of Service", technisch handelt es sich um ein meist von zahlreichen Rechnern ausgehendes Bombardement mit Daten. Damit sollen die Server des jeweiligen Zieles überfordert und sein Online-Angebot zum Erliegen gebracht werden.
Wenn die Server in die Knie gehen
DDoS kennt man als Waffe von Cyberkriminellen, etwa Gruppierungen wie Lizard Squad, die 2014 zur Weihnachtszeit Millionen von Xbox Live-Nutzern die Weihnachtszeit verdarben. Auch österreichische Unternehmen hatten schon unter solchen Angriffen zu leiden. Anfang Februar führten sei beim Telekom-Anbieter A1 sogar zu Internet-Ausfällen für dessen Kunden.
Doch gibt es neben kriminellen Absichten auch legitime Einsatzmöglichkeiten für DDoS-Angriffe? Wäre es vorstellbar, die "Datenbombe" als Notwehrmaßnahme zu zünden? Der WebStandard hat sich zu dieser Frage mit Monika Hupfauf, Rechtsanwältin mit IT-Schwerpunkt bei DLA Piper, unterhalten.
DDoS-Angriffe nach Sony-Leaks
Möglicherweise gab es solche Fälle bereits. Ende 2014 war es Unbekannten gelungen, tief in die Infrastruktur des Konzerns Sony Pictures einzudringen. Neben Daten über Mitarbeiter, Schauspieler und internen Dokumenten gelangten so auch zahlreiche neue, teils unveröffentlichte Filme in fremde Hände und kursierten alsbald auf verschiedenen Webseiten.
Einige dieser Seiten, erklärt Hupfauf, wurden nachweislich bald selber zum Ziel von großen DDoS-Angriffen. Der Beschuss mit Datenpaketen machte die dubiosen Plattformen teils unbenutzbar. Letztlich konnte damit die Verbreitung der Werke aber nicht nachhaltig unterbunden werden, zu schnell wurden sie von immer mehr Seiten angeboten und wurden außerdem auch über P2P-Filesharing-Netzwerke verteilt. Ob Sony Pictures selbst hinter den DDoS-Angriffen steckt, ist bis heute ungeklärt, da es diesbezüglich natürlich nie zu gerichtlichen Verfahren kam.
Gesetzlich möglich
Im österreichischen Gesetz definiert Notwehr die "private Gewaltausübung zur Sicherstellung des effektiven individuellen Rechtsgüterschutzes", sagt Hupfauf. Eine "an sich rechtswidrige Tat" wird bei gegebener Notwendigkeit und Verhältnismäßigkeit also legalisiert, um einen "Angriff auf ein notwehrfähiges Rechtsgut" abzuwehren – und als solches zählt grundsätzlich auch Vermögen.
Dem entgegen steht allerdings der ebenfalls gesetzlich festgelegte Schutz von Vermögen. Hinsichtlich des IT-Bereichs ist dieser unter anderem dadurch gewährleistet, dass es eigene Tatbestände für die "Beeinträchtigung der Funktionsfähigkeit eines Computersystems" sowie "vorbereitenden Handlungen" dazu gibt, was DoS an sich illegal macht.
Grundsätzlich wäre ein DDoS-Angriff als Notwehrhandlung potenziell trotzdem anerkennbar, wenn er als einziges probates Mittel gegen die Abwehr eines "unmittelbar bevorstehenden" oder bereits laufenden Angriff auf ein als notwehrfähig angesehenes Gut argumentiert werden kann.
Legalität erst nachträglich feststellbar
Damit bleibt die Frage natürlich heikel, denn ob Notwendigkeit und Verhältnismäßigkeit gegeben waren, kann erst im Nachhinein gerichtlich erörtert werden – so wie auch bei Notwehr gegenüber einem körperlichen Angriff. Für diese Methode spricht, dass DDoS-Angriffe üblicherweise keine dauerhaften Beschädigungen verursachen, sondern Systeme nur temporär beeinträchtigen. Da sie aufrecht erhalten werden müssen, sind sie zudem kein Mittel mit langfristiger Wirksamkeit. Zudem gibt es diverse Dienstleister, die helfen können, eigene Infrastruktur gegen diese Gefahr abzuschirmen.
Dazu müsste außerdem die betroffene Seite den Nachweis erbringen, dass die DDoS-Attacke auch vom beschuldigten Angreifer initiiert wurde. Der Ursprung solchen Datenbombardements ist jedoch ganz allgemein nur schwer lokalisierbar. In Österreich soll es bisher noch zu keiner Verurteilung wegen eines DDoS-Angriffs gekommen sein.
Eher ungeeignet
In Summe ergibt sich ein gemischtes Bild. Datenbombardement kann eine sehr mächtige Waffe sein. Sie lässt sich gemäß Gesetzeslage potenziell auch für digitale Notwehr einsetzen. Unter Berücksichtigung des notwendigen Aufwands und des Risikos der erst rückwirkend feststellbaren Legalität dürfte sie in den meisten realistischen Szenarien als Mittel für lautere Zwecke wohl nicht in Frage kommen. (gpi, 24.07.2016)