Seit der Operation Payback kennen sie auch die weniger technisch versierten Menschen. Die Rede ist von sog. »Distributed Denial of Service Attacks« (kurz DDoS Attacks, auch eingedeutscht DDoS-Attacken). Die Aktionen von Anonymous nutzen diese Methode immer wieder und die meisten Menschen empfinden sie als irgendwelche »bösen Hacker-Angriffe«. Doch die Gründe für solche Aktionen sind sehr vielschichtig und die Frage, ob DDoS-Attacken akzeptabel sind oder nicht, durchaus komplex.
Da ich davon ausgehe, dass nicht jeder hier weiß, worum es sich bei einer DDoS-Attacke handelt, will ich dies kurz zusammen fassen. Bei einer DDoS-Attacke senden viele verschiedene Computer gleichzeitig eine Vielzahl von Anfragen an einen Webdienst, meist einen WWW-Server, auf dem Webseiten gehostet werden. Durch die Masse der Anfragen, soll die Kapazität des Servers so stark ausgereizt werden, dass er nicht mehr in der Lage ist Anfragen zu beantworten, also den Dienst verweigert (daher der Name).
Der martialische Name rührt daher, dass nach dem klassischen Konzept ein Angreifer, der ein System lahmlegen will, sich fremder Rechner, auf denen sich ein Trojaner befindet (sog. Bots oder Zombies), bedient um einen solchen Angriff auszuführen. Die Gründe sind sicher vielfältig, aber meist handelt ein einzelner bzw. eine kleine Gruppe aus eigennützigen Motiven. Was dieses Vorgehen auf jeden Fall negativ besetzt, ist die Tatsache, dass dabei unbeteiligte Dritte bzw. deren Rechner und Bandbreite dafür missbraucht werden, den Angriff auszuführen.
Nach wohl einhelliger(?) Meinung verbietet das deutsche Recht durch den Straftatbestand »Computersabotage« (§303b StGB) DDoS-Attacken. Doch ist das gut so?
Bei der Operation Payback war der Fall allerdings schon ganz anders gelagert. Vereinfacht gesagt, hat sich hier eine Vielzahl von Menschen freiwillig zusammengetan, um für einen begrenzten Zeitraum eine Webseite lahmzulegen ohne bleibenden Schaden zu hinterlassen. Die ganze Aktion hatte nur indirekt den Zweck die Betroffenen zu schädigen, primär war es eine Protest-Aktion. Das Ganze wird gerne mit einer Sitzblockade verglichen. Wenn ich etwa das Werkstor eines Unternehmens blockiere, dann geht da ja auch nichts mehr.
Jetzt ist die Sitzblockade schon eine ziemlich umstrittene Protest-Methode. Der Blockierende befindet sich dabei gegen den Willen des Blockierten z.B. auf dem Werksgelände. Hier hinkt der Vergleich, aber wenn wir die Metaphern mal etwas weiter spinnen, können wir das vielleicht aushebeln.
Der Server ist (im Gegensatz zum Werkstor) willentlich dazu bereit gestellt worden um öffentliche Anfragen zu beantworten, er kriegt halt nur plötzlich sehr viele. Nehmen wir also zum Vergleich an, 3000 Leute würden aus Protest in einen kleinen Klamottenladen gehen, durch die Ware schauen, viele Teile in die Umkleidekabinen mitnehmen und extra lange anprobieren, die Verkäufer mit Fragen löchern und natürlich zum Schluss nichts kaufen. Der Knackpunkt ist an dieser Stelle: Wenn man vielleicht vom untypischen Verhalten absieht, können die Verkäufer halt die echten Kunden nicht von den Protestlern unterscheiden. Ein solches Vorgehen ist sicher schädlich fürs Geschäft, aber ist es wirklich strafwürdig?
Stellen wir uns doch einmal den Straftatbestand »Klamottenladensabotage« vor: »Wer einen Klamottenladen, der für einen anderen von wesentlicher Bedeutung ist, dadurch erheblich stört, dass er ihn mit der Absicht einem anderen einen Nachteil zuzufügen betritt, wird mit Freiheitsstrafe bis zu drei Jahren oder mit Geldstrafe bestraft.« Klingt irgendwie aberwitzig, aber übertragen auf Computer ist das strafbar.
Die Frage, in wie weit Behörden und Unternehmen Protest akzeptieren müssen bzw. ab wann eine Protesthandlung strafrechtlich relevant ist, war schon immer umstritten und wird es auch immer sein. Auch gibt es noch viele technische Details, wie das »Hive Mind«, welche die Sachlage bei DDoS-Attacken verändern und Vergleiche neigen sowieso immer zum Hinken. Fakt ist allerdings, dass man mit der Einstufung von DDoS-Attacken als »böse Hacker-Angriffe« an der Realität vorbei redet. Hier ist dringender Bedarf an einer differenzierten Diskussion.
Andis Blog 
5 Kommentare
2011-07-21 um 12:03 pm
Werner Niedermeier
Das Problem lässt sich nicht so einfach mit Schwarz-Weiß lösen. Denn wer gerade der „böse“ ist, ist subjektiv. Vor etwa einem Monat haben militante Antiraucher die Webseiten raucherfreundlicher Kämpfer gegen den Verbotswahn zum Teil wochenlang durch DDOS-Bot-Netzwerke lahm gelegt. Angeblich wurde derjenige, der die Netzwerke bedient hatte, dafür bezahlt.
Nun ist für militante Antiraucher eine Webseite, welche entgegen des Mainstreams die derzeitige Antiraucherwelle kritisch beurteilt, „böse“ und darf somit attackiert werden. Für den nächsten ist irgendeine katholische Webseite „böse“ und er darf sie attackieren. Und der nächste findet die Piratenpartei „böse“ und legt die entsprechenden Server lahm.
Gewaltloser Protest: Ja, jederzeit. Selbstjustiz dagegen lehne ich ab, egal gegen wen sie geht.
2011-07-21 um 12:26 pm
Andi
Das Fazit mit der Nichtmöglichkeit einer „Schwarz-Weiß-Lösung“ wollte ich mich in diesem Blogpost explizit anschließen
2011-07-21 um 1:22 pm
Christoph Stoll
Wir sollten uns bei dieser Frage am Besten einmal ein wenig von der strafrechtlichen Bewertung lösen und viel lieber schauen, ob man DDos-Attacken nicht vielmehr als Verhalten auffassen sollte, welches unter den Versammlungsbegriff fällt.
Hier bekommt man aber arge Probleme.
Knifflig wird es schon mit dem Begriff des „sich versammelns“. Hierfür ist es nach einhelliger Meinung notwendig, dass eine physische Zusammenkunft an einem Ort stattfindet.
Allerdings wird ja auch ganz gerne vom virtuellen Raum gesprochen. Fraglich ist also, ob man es schafft, diesen virtuellen Raum so zu definieren, dass das sich darin aufhalten, mit einer physischen Präsenz gleichgesetzt werden kann…Um dieses durchzusetzen, bedarf es aber _einiges_ an Überzeugungsarbeit.
Weiterhin wird es Probleme mit der wahrnehmbaren Meinungskundgabe geben.
Gehe ich als unbeteiligter Nutzer auf eine lahmgelegte Seite, so erscheint ja nicht der Hinweis „Diese website ist aufgrund einer politischen Demonstration nicht erreichbar“. Ich weiss also gar nicht, was dort von statten geht, sondern erfahre dies- wenn überhaupt- nur über Umwege. Allerdings weiss ich auch als Betroffener einer Sitzblockade nicht zwangsläufig, warum der Verkehr nicht läuft (- wenn ich nicht gerade in den ersten Reihen stehe), sondern merke nur: Stau.
Dieser Vergleich dürfte aber nicht ziehen, da ja zumindest die ersten Reihen mitbekommen, was vor sich geht.
Zum jetzigen Zeitpunkt wird es wohl unmöglich sein, sich mit der Ansicht „Dos-Attacken fallen unter den Versammlungsbegriff“ durchzusetzen. Allerdings wird sich auch das BVerfG irgendwann fragen müssen, ob die herrschende Meinung zum Versammlungsbegriff haltbar ist.
Meiner Meinung nach wird hier eine Erweiterung unter einigen Voraussetzungen nötig sein:
1. Es darf sich keiner Bots bedient werden. daraus folgend
2. Jeder Nutzer muss selbst klicken
3. Es muss einen direkten Online-Bezug geben
4. Die aktion muss breit kommuniziert werden, so dass auch der „Durchschnittuser“ eine Möglichkeit der Kenntnisnahme hat
Bis dahin ist es aber wie gesagt noch ein weiter Weg. Das ergebnis aber mEn zwingend.
P.S.: Dein Vergleich mit dem Klamottenladen ist zwar schön. Aber das von Dir geschilderte Verhalten wird aber wahrscheinlich auch einfach als Hausfreidensbruch abgekanzelt werden, da die Erlaubnis des Eigentümers, den Laden zu betreten sich idR wohl nur auf Leute erstrecken wird, die bei ihm einkaufen wollen, bzw sich kundig zu machen. Gehst du mit klarem Blockadevorsatz in den Laden, wird hier wohl eine Widerrechtlichkeit angenommen werden.
2011-07-21 um 2:51 pm
zepho17
Mal von Analogien zum realen Leben abgesehen:
Mich persönlich erschreckt mehr, wie wenig die User wissen müssen, was die Technik angeht und wie lange es noch dauert, bis aus vermeintlichen Protestaktionen bewusste Schädigung gegen Bares wird. Die ersten Emails flattern ja bereits in die Mailboxen. Hier wir man in feinstem Büro-Deutsch dazu aufgefordert bitte 500€ oder mehr zu zahlen, „andernseits sehen wir uns gezwungen Ihnen zu zeigen wie lange wir ihren Server blockieren können“.
In eine paar Blogs und Fachzeitschriften wird einem geraten die Polizei aufzusuchen und auf keinen Fall auf die Forderungen einzugehen. Technisch ist nach meinem Wissenstand eine heuristische URL-Analyse der einzige Weg sowas zu blockieren und dass auch nur mit Performanceverlusten, von den Kosten der entsprechenden Geräte mal ganz zu schweigen. Wie also will der Freund und Helfer hier tätig werden?
Weiter stellt sich die Frage: Selbst wenn die Administratoren eines Bot-netzes ausgehebelt werden können, wer sichert, dass nicht andere die Kontrolle übernehmen? Und was passiert mit Sympathisanten, die ihren Rechner freiwillig zu Verfügung stellen? Ein Beispiel aus der Vergangenheit: Digsby!
2011-07-27 um 9:49 am
Die Hacker-Gruppe, die keine ist « Andis Blog
[…] wie dieses Instrument als politisches Protest-Statement benutzt wird. Sicher ist diese Methode diskussionswürdig, aber eine Adresse in ein Tool einzugeben und einen Button zu klicken, mit dem Ziel eine Webseite […]