Textversion

Sie sind hier:

Framing

Impressum - facebook

Strafbarkeit von DDoS-Angriffen

Phishing

Domainpfändung

Ärzte am digitalen Pranger

Autocomplete - Haftung für Predictions?

Suchen nach:

Allgemein:

Startseite

Bild: M.F., Panzer, 06.10.2008

Die englische Formulierung "denial of service" (kurz: DoS) bedeutet Dienste-Verweigerung. Im vorliegenden Zusammenhang geht es um die Art und Weise, einen Dienst über ein Netzwerk unerreichbar zu machen. Dies geschieht bei sog. DoS-Angriffen zumeist dadurch, dass die Serverkapazität eines Rechners durch eine Vielzahl von Anfragen innerhalb eines sehr kurzen Zeitraumes zusammenbricht. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt insbesondere vor drei Formen von DoS-Angriffen:

Mailbombing
Pingflooding
Synflooding

Wer über ein E-Mail-Konto verfügt und eine E-Mail mit einem sehr speicherintensiven Anhang erhalten hat, kennt das Problem, dass die Übermittlung einer solchen E-Mail zu erheblichen Schwierigkeiten bei der Fernkommunikation führen kann. Eine weitere Variante des Mailbombing ist es, innerhalb weniger Millisekunden eine Vielzahl von E-Mails an ein bestimmtes E-Mail-Konto zu übermitteln. Der Umfang der Beeinträchtigung des Mailbombing hängt naturgemäß von der Intensität des Angriffes ab. Diese Methode des DoS-Angriffes ist bereits seit geraumer Zeit bekannt. In einem Fall, den das AG Tiergarten zu entscheiden hatte, ging es um 20.000 automatisch generierte E-Mails, die der Täter am 10.09.1999 in den frühen Morgenstunden an die E-Mail-Adresse von PC-Welt geschickt hatte.
Ping (packet internet groper) ist ein Programm, das prüft, ob andere Rechner im Netz überhaupt erreichbar sind. Beim Ping Flooding attackiert der Angreifer den Zielrechner mit einer gewaltigen Menge von Pings. Der Zielrechner ist dadurch nur noch damit beschäftigt die Pings zu beantworten (mit dem so genannten Pong). Dies kann je nach Art, Anzahl und Größe der Pings pro Sekunde bei Rechnern mit älteren Betriebssystemen innerhalb kürzester Zeit zu einem Systemabsturz führen (ping of death).

Bei einem SYN-flooding zielt der Angriff auf den Verbindungsaufbau ab.
Zahlreiche Internetdienste, namentlich das, für das Surfen im Internet bedeutsame HTTP- (hypertext transfer protocol, dt. Hypertext-Übertragungsprotokoll) und das, für E-Mail-Korrespondenz wesentliche SMTP-Protokoll (simple mail transfer protocol, dt. einfaches Übertragungsprotokoll für E-Mails), basieren auf TCP (transmission control program, dt. Übertragungssteuerungsprotokoll). Wer mit seinem Rechner (client) eine Verbindung zu einem Server aufbaut, führt einen Dreiwege-Datenabgleich (TCP-Handshake) durch, um die Internetverbindung herzustellen. Zuerst schickt der client ein Paket mit Flag (binäre Variable) SYN (synchronize, dt. Datenabgleichung) an den Server. Der Server schickt ein Paket mit Flags SYN, ACK (synchronize acknowledge, dt. Bestätigung des Datenabgleichs) zurück. Danach schickt der client ein Paket mit Flag ACK (acknowledge, Bestätigung) zurück. Sodann ist die Verbindung zwischen client und Server hergestellt. Beim SYN-flooding wird diese Initialisierung nie vollständig ausgeführt. Der Angreifer sendet eine Vielzahl von SYN-Messages mit nicht exististenten IP-Adressen. Dadurch erreichen die SYN-ACK-Messages des Servers kein Ziel und der Server wartet auf Antwort. In der Regel akzeptieren Server fünf bis zehn solcher 'halboffenen' Verbindungen und nehmen danach keine neuen Verbindungen mehr an. Damit sind Server, auf die ein SYN-flooding gestartet wurde, für andere Teilnehmer nicht mehr erreichbar.
Hintergrund solcher DoS-Angriffe können unterschiedliche Motive sein. Sie reichen von moderner Kriegsführung über organisierte Kriminalität bis hin zur privaten Auseinandersetzung (vgl. Denis, Denial of Service, in: Carle/Schmitt, Proceedings of Seminar "Future Internet, München, 2009, S. 33).

Angreifer, die im Verborgenen bleiben wollen und besonders effektive DoS-Angriffe betreiben wollen, setzen zunehmend auf DDoS-Attacken. Von distributed denial of service (DDoS)-Attacken spricht man, wenn der Angreifer anstelle von einzelnen Systemen eine Vielzahl von unterschiedlichen Systemen in einem großflächig koordinierten Angriff zum Einsatz bringt. Ein solcher Angriff setzt dabei voraus, dass der Angreifer sich eines Netzwerkes oder mehrerer Netzwerke, die von ihm beherrscht werden, bedient. Im Jahre 2007 berichtete der SPIEGEL über einen Angriff auf Server der estnischen Regierung (SPIEGEL, Cyber-Angriffe auf Estland alarmieren EU und Nato, 17.05.2007). Inzwischen sind DDoS-Attacken auch von der deutschen Privatwirtschaft zu befürchten. So wurde etwa das Weihnachtsgeschäft mancher Versandhändler von Erpressungen unter Androhung von DDoS-Attacken begleitet (DDoS-Angriff vermiest Conrad die Weihnachtsstimmung, heise News-Meldung vom 22.12.2011).

Sogar die Justiz musste sich mit diesem Phänomen bereits beschäftigen: Das LG Düsseldorf verurteilte einen Täter, der mittels eines sog. Bot-Netzes die Websites einzelner Pferdewetten-Anbieter lahm legte, nachdem diese nicht auf eine zuvor geäußerte und mit einer entsprechenden Drohung verbundene Zahlungsaufforderung positiv reagiert hatten, wegen versuchter und vollendeter Erpressung (§§ 253, 12, 22, 23 StGB) und Computersabotage (§ 303b StGB) zu einer mehrjährigen Freiheitsstrafe (LG Düsseldorf, Urt. v. 22.03.2011 - 3 KLs 1/11 -). Was die Computersabotage anbelangt, so steht die Entscheidung für eine Abkehr von der Rechtsprechung des OLG Frankfurt (vgl. MMR 2006, 547), das das kurzfristige Vorenthalten von Daten für straflos erachtete. Hintergrund dieses Rechtsprechungswandels dürfte die Neufassung des § 303b Abs. 1 Nr. 2 StGB sein, der nunmehr - seit Inkrafttreten des Strafrechtsänderungsgesetzes zur Bekämpfung der Computerkriminalität mit Wirkung zum 11.08.2007 - auch die Eingabe oder Übermittlung von Daten, die in der Absicht erfolgt, einem anderen einen Nachteil zuzufügen, unter Strafe stellt (zur Entstehungsgeschichte: Ernst, Das neue Computerstrafrecht, NJW 2007, 2661-2666, insbesondere S. 2664 f.). Mit den zivilrechtlichen Fragen einer DDoS-Attacke befasste sich das AG Gelnhausen und bürdete das Risiko einer DDoS-Attacke im Verhältnis zwischen einem IT-Unternehmen und einem Reseller dem IT-Unternehmen auf (AG Gelnhausen, Urt. v. 06.10.2005 - 51 C 202/05 -).

Bild: Landgericht Köln, 03.12.2013, Natascha Kovac