Recht im Internet: Wenn Zombies Websites attackieren
Artikel erschienen in Swiss IT Magazine 2001/32
Fremde Computersysteme anzugreifen, scheint immer mehr zu einem Volkssport zu werden. So zählten die Sicherheitsexperten des amerikanischen CERT im Jahre 1999 fast 10'000 gemeldete Attacken, im ersten Halbjahr 2001 sogar über 15'000. Dieser Tendenz verleiht die stetig fortschreitende Verbreitung des Internet Rückenwind. In der Anonymität und der Grenzenlosigkeit des Internet scheinen aber viele User zu vergessen, dass das Eindringen in fremde Computersysteme (Hacking), das Zerstören, Verändern oder Unbrauchbarmachen von Daten strafrechtliche Konsequenzen haben kann.
"Wer auf dem Wege von Datenübertragungseinrichtungen unbefugterweise in ein fremdes, gegen seinen Zugriff besonders gesichertes Datenverarbeitungssystem eindringt", wird auf entsprechenden Antrag mit Gefängnis oder Busse bestraft - so will es Art. 143bis des Strafgesetzbuches (StGB). Ebenfalls bestraft wird, wer unbefugt Daten löscht, verändert oder unbrauchbar macht (Art. 144bis StGB) oder wer in der Absicht, sich zu bereichern, sich fremde, gegen unbefugten Zugriff geschützte Daten beschafft (Art. 143 StGB). Diese drei Strafnormen werden gemeinhin als "Computerdelikte" bezeichnet.
Vorbereitung für einen Angriff aufs Computersystem ist meist ein sogenannter Port-Scan, bei dem die Zugänge zum Rechner auf ihren Status hin (offen/geschlossen) überprüft werden. Ein Port-Scan allein ist nach gängiger Meinung noch keine strafbare Handlung. Es lässt sich mit einem Spaziergang entlang eines Veloständers vergleichen, wo es lediglich darum geht, herauszufinden, ob alle Velos abgeschlossen sind. Ein strafbares Eindringen in das Computersystem über offene Ports setzt aber voraus, dass das System gegen unbefugte Zugriffe besonders gesichert ist, beispielsweise durch eine passwortgeschützte Benutzerkennung. Vielfach bestehen bei solchen Systemen bereits ab Werk installierte Benutzerkennungen mit Standardpasswörtern oder sogar ohne Passwörter. So anscheinend beim berühmt-berüchtigten "WEF-Hack", wo eine ab Werk konfigurierte und öffentlich bekannte Benutzerkennung sich Zugang zu einer brisanten Datenbank verschaffte. In solchen Fällen dürfte der Tatbestand nicht greifen. Die konkreten Anforderungen an den "Schutzgrad" von Computersystemen, die überhaupt ein strafrechtlich relevantes Eindringen in einen fremden Rechner rechtfertigen würden, wurden bisher noch nicht richterlich beurteilt. Wer aber Passwortsperren aktiv überwindet, kann davon ausgehen, dass er sich strafbar macht.
Eine andere, immer populärere Form des Angriffs auf fremde Rechner ist die DDoS-Attacke (Distributed Denial of Service). Dabei setzt der Angreifer mittels Hunderten von fremden Rechnern, sogenannten "Zombies", die im Vorfeld durch ein Trojanisches Pferd kompromittiert wurden und nun fernsteuerbar sind, einen Webserver ausser Gefecht. Diese Zombies senden gleichzeitig und unablässig grosse, meist modifizierte Datenpakete an den Server und bringen diesen durch den so generierten Datentransfer zum Erliegen. Strafrechtlich scheint es gegen solche indirekten Angriffe auf fremde Rechner im Augenblick wenig Handhabe zu geben. Bei DDoS-Attacken dringt der Täter nämlich nicht in das angegriffene Computersystem ein, wie es von Art. 143bis StGB vorausgesetzt wird. Was die Zombies anbelangt, kann ebenfalls meist nicht von "Eindringen" die Rede sein, da diese Systeme eben nicht besonders geschützt sind oder die Trojanischen Pferde vielfach über E-Mail-Anhänge oder Software-Raubkopien, also durch den Benutzer selbst, eingeschleust werden.
Strafrechtlich ebenfalls ins Leere zielt die Datenbeschädigung, konkret das Unbrauchbarmachen von Daten. Voraussetzung wäre in diesem Fall z.B. die Verschlüsselung der Daten durch den Täter, oder, bei temporärer Unterbindung des Zugriffs, zumindest eine längere Zeitspanne. Dies ist bei DDoS-Attacken, die in der Regel nur einige Stunden dauern, nicht gegeben.
Das Strafrecht scheint dieser speziellen Form der Computerkriminalität zur Zeit nicht gewachsen zu sein. Erschwerend kommt hinzu, dass der im Hintergrund operierende Täter dank den Zombies seine Spuren verwischt und deshalb meist nicht identifiziert werden kann. Griffige Tatbestände wie die "Computersabotage", die das deutsche Recht seit längerem kennt, fehlen in der Schweiz gänzlich. Deshalb erstaunt es nicht, dass hierzulande auch kaum Urteile zu Computerdelikten bestehen.