Freitag, 10. Dezember 2010, von Thiemo Wenck

Wikileaks: Gegenschlag per DDoS – wer zahlt die Zeche?

Nach den jüngsten Wikileaks-Veröffentlichungen ist ein regelrechter Cyber-Krieg entbrannt. Während Unternehmen Wikileaks die Zusammenarbeit aufkündigen, schlafen auch die Unterstützer nicht. Nach der breit angelegten Spiegelung von Wikileaks, gibt es nun Protestaktionen gegen wikileaks-feindliche Unternehmen. In den vergangenen Tagen wurden z.B. die Internetseiten von Paypal, Amazon und Mastercard angegriffen.

Im Rahmen der von anonymen Hackern initiierten Operation „Payback“ wird derzeit dazu aufgerufen, seinen Rechner freiwillig in ein Botnetz einzubinden und so zu den Aktionen beizutragen. Eine noble Geste oder ein teurer Fehler?
Denial of Service

Denial-of-Service-Attacken haben das Ziel, eine Internetseite durch dauernde Anfragen zu überlasten und damit unerreichbar zu machen. Durch DoS-Attacken entstehen große finanzielle Schäden. Jeder der mit macht, verursacht diese Schäden mit und es ist nicht zu erwarten, dass alle Angriffsopfer das auf sich sitzen lassen.

Strafbarkeit

Zunächst werden die Unternehmen wahrscheinlich Anzeige gegen Unbekannt erstatten, bzw. die Strafverfolgungsbehörden von sich aus ermitteln. Schlimmstenfalls kann man für die Teilnahme an einem DDoS-Angriff also strafrechtlich belangt werden. Da man verhindert, dass die Anfragen der normalen Besucher der Internetseite ankommen, bzw. bearbeitet werden, kommt z.B. eine Datenveränderung nach § 303a StGB in Betracht, für die bis zu zwei Jahre Freiheitsstrafe oder Geldstrafe vorgesehen sind. Hat der Angriff Erfolg, handelt es sich sogar um eine Computersabotage gem. § 303b StGB, womit sich das Strafmaß auf bis zu drei Jahre erhöht. Daneben können im Einzelfall noch weitere Straftatbestände verwirklicht sein, weiterführend dazu ein etwas älterer Beitrag im Law-blog.

Zivilrechtliche Haftung – Jeder trägt das volle Risiko

Daneben haben die Unternehmen auch einen Schadensersatzanspruch gegen die Teilnehmer. Dieser ergibt sich etwa aus § 823 Abs. 1 BGB wegen eines rechtswidrigen Eingriffs in den eingerichteten und ausgeübten Gewerbebetrieb, aus § 823 Abs. 2, da auch gegen eine Strafnorm verstoßen wird und aus § 826 BGB, weil es sich um eine vorsätzliche sittenwidrige Schädigung des Unternehmens handelt.

Die Unternehmen sind außerdem in der komfortablen Lage, gar nicht alle Angreifer ermitteln zu müssen, um an ihr Geld zu kommen. Die Angreifer haften nämlich gem. §§ 840, 421 BGB „gesamtschuldnerisch”. Das heißt, dass jeder zunächst gegenüber dem Opfer verpflichtet ist, für den vollen Schaden aufzukommen. Das Unternehmen kann sich also einen Einzelnen oder ein paar Aktivisten greifen, die es überführen kann und von diesen den gesamten Schaden ersetzt verlangen.

Dies kann für die Betroffenen den sicheren Ruin bedeuten. Zwar könnten sie von den anderen Teilnehmern deren jeweiligen Schadensanteil verlangen, tragen aber auch das Risiko, wenn dies nicht gelingt. Zum Beispiel, weil sich nicht alle „Mittäter” ermitteln lassen oder einzelne zahlungsunfähig sind. An dieser Stelle ist nicht mehr so viel Solidarität zu erwarten. Wer sich erwischen lässt, wird zum Bauernopfer. Und das wären wahrscheinlich die unerfahrenen Mitläufer, nicht die versierten Hacker. Konkret kann man bei einem Angriff auf ein Großunternehmen mit mindestens fünfstelligen Forderungen rechnen. Wer schon in die Mühlen der Strafjustiz geraten ist, kann sich ziemlich sicher sein, in Folge auch noch mit den Schadensersatzansprüchen konfrontiert zu werden, hat also gleich doppelt Pech.

Unterstützen, aber anders!

Wer die Aktionen als Online-Demonstrationen versteht, hat die falschen Parallelen gezogen. Wer seine Meinung kundtun will, kann dies selbstverständlich auch im Internet frei tun, genauso wie man offline die Möglichkeit hat, demonstrieren zu gehen. Die Teilnahme an DDoS-Attacken ist aber keine friedliche Demonstration, sondern ein steinewerfender Mob. Und da versteht unsere Rechtsordnung keinen Spaß.

Wer legal und ohne das Ansehen der Sache zu beschädigen für Wikileaks und die Meinungs- und Pressefreiheit kämpfen will, der hat dazu die Möglichkeit. Man kann Öffentlichkeit schaffen, informieren, aufklären. Man kann auch rein verbal zum großen Shitstorm beitragen, so dass dieser auch offline spürbar wird. Auch der persönliche Boykott der Unternehmen ist ein probates Mittel. Die Masse der Unterstützer hat ein gewaltiges Machtpotential. Diese Energie in DDoS-Attacken verpuffen zu lassen bringt nichts. Wer klug ist und wirklich etwas bewegen will, macht sich nicht strafbar, sondern engagiert sich sinnvoll und produktiv. Und am besten über den momentanen Hype hinaus.

„Das Arsenal des digitalen zivilen Ungehorsams” bei metronaut.de.