Die materiellstrafrechtliche Relevanz des DDoS-Angriffs

(1)

U NIVERSITÄT Z ÜRICH Rechtswissenschaftliches Institut

Seminar zum Thema „Strafverfolgung zu Beginn des 21. Jahrhunderts – Staatstrojaner, geheime Überwachung, Cybercrime“ im Frühlingssemester 2016

Die materiellstrafrechtliche Relevanz des DDoS-Angriffs

Informationstechnische und rechtliche Einführung ins Thema sowie Prüfung relevanter Tatbestände des Schweizerischen Strafgesetzbuchs bei erfolgtem oder angekündigtem

DDoS-Angriff

Thomas R IEDIKER

Alte Poststrasse 7 8172 Niederglatt

E-Mail: thomas.riediker@uzh.ch Matrikel-Nr.: 04-729-380

8. Semester

Dozierende:

Prof. Dr. iur. Marc T

HOMMEN

/ Prof. Dr. iur. Christian S

CHWARZENEGGER

Betreuungsperson:

lic. iur. Sandra S

CHWEINGRUBER

Eingereichtam 10. März 2016

(2)

Mit herzlichem Dank an meine Eltern für die stetige verständnis- und liebevolle Unterstützung, Florian WICKIund Philipp TUDORfür die administrative Hilfe sowie das Gegenlesen, lic. iur. Beat HOCHHEUSER, RA für die unterstützenden Worte, die Teams von cyon.ch und HOSTPOINT.ch, insbesondere Philipp ZEDERund Stefanie SCHULTE, für die freundliche und überaus rasche Beantwortung meiner Vertiefungsfragen, sowie Dr. Paola BIANCHIfür ihre liebevolle Geduld und ihre unschätzbar wertvolle moralische und vor allem technische Unterstützung bei der Umsetzung der Arbeit in L^ATEX.

Ihr sei dieses Werk gewidmet.

(3)

Inhaltsverzeichnis

Abkürzungsverzeichnis . . . VI Literaturverzeichnis . . . VIII Fachliteratur . . . VIII Lehre . . . VIII Kommentare . . . IX Dissertationen . . . IX Interviews . . . IX Internetquellen . . . X Materialienverzeichnis . . . XV Begriffsverzeichnis . . . XVI

A. Einleitung 1

B. Der DDoS-Angriff 3

1. Technische Grundlagen . . . 3

1.1. Begriffsdefinitionen und technische Einführung . . . 3

a) Denial of Service (DoS) . . . 3

b) DDoS . . . 4

aa) Definition und Vorgehen . . . 4

bb) Geschichte und mögliche Motive . . . 5

1.2. DDoS und andere Formen der Cyberkriminalität . . . 6

2. Tätertypen . . . 6

2.1. Scriptkiddies . . . 6

2.2. Professionelle Angreifer . . . 7

2.3. Regierungsagenten . . . 8

3. DDoS-Angriffe in der Schweiz . . . 8

4. Exkurs: Ist wirksamer Schutz vor DDoS-Angriffen möglich? . . . 9

C. Materiellstrafrechtliche Relevanz 12

III

(4)

1. Grundlagen . . . 12

1.1. Rezeption ins Schweizerische materielle Strafrecht . . . 12

a) Vor 2001 . . . 12

b) Cybercrime Convention und StGB . . . 13

c) Systematik heute . . . 13

1.2. Grundlegende relevante Legaldefinitionen . . . 15

a) Der Begriff der Daten und der Datenverarbeitungsan- lage . . . 15

b) Berechtigung an den Daten resp. der Datenverarbei- tungsanlage . . . 15

c) Vorsatz beim DDoS-Angriff . . . 16

d) Versuch . . . 17

e) Angriff . . . 17

2. Die Computerstraftatbestände und die erfolgten DDoS-Angriffe . . 17

2.1. Art. 143 StGB: Unbefugte Datenbeschaffung . . . 18

a) Analyse und Prüfung . . . 18

b) Fazit . . . 19

2.2. Art. 143^bis StGB: Unbefugtes Eindringen in ein Datenver- arbeitungssystem . . . 19

b) Fazit . . . 20

2.3. Art. 144^bisStGB: Datenbeschädigung . . . 20

aa) Veränderung und Löschung . . . 21

bb) Unbrauchbarmachen . . . 22

b) Fazit . . . 22

2.4. Art. 147 StGB: Betrügerischer Missbrauch einer Datenver- arbeitungsanlage . . . 23

aa) Unrichtige, unvollständige oder unbefugte Ver- wendung . . . 23

bb) unrechtmässige Bereicherung resp. deren Ver- deckung . . . 24

b) Fazit . . . 25 IV

(5)

2.5. Art. 150 Abs. 4 StGB: Erschleichen einer Leistung . . . 25

b) Fazit . . . 26

2.6. Zwischenfazit zu den (Computer-)Straftatbeständen bei erfolgtem DDoS-Angriff . . . 26

3. Möglicherweise relevante Tatbestände beim angekündigten DDoS- Angriff . . . 27

3.1. Zweiter Titel: Art. 156 Abs. 1 und 2 StGB . . . 27

b) Fazit . . . 28

3.2. Vierter Titel: Art. 180 u. 181 StGB . . . 29

a) Art. 180 StGB: Drohung . . . 29

aa) Analyse und Prüfung . . . 29

bb) Fazit . . . 30

b) Art. 181 StGB: Nötigung . . . 30

aa) Analyse und Prüfung . . . 30

bb) Fazit . . . 31

4. Fazit zur materiellstrafrechtlichen Relevanz des erfolgten oder an- gekündigten DDoS-Angriffs . . . 31

Anhänge 33 A E-Mail-Interview mit Philipp ZEDER(cyon.ch) vom 03. März 2016 33 B E-Mail-Interview mit Stefanie SCHULTE (HOSTPOINT.ch) vom 04. März 2016 . . . 36

Eigenständigkeitserklärung i

V

(6)

Abkürzungsverzeichnis

a.A. anderer Ansicht Abs. Absatz

Art. Artikel

Bd. Band

BGE Amtliche Sammlung der Bundesgerichtsentscheide BGer Bundesgericht

bspw. beispielsweise bzw. beziehungsweise

C&C Command & Control Server

CCC „Cybercrime Convention“, Übereinkommen über Cyberkriminalität vom 23. November 2001 (SEV Nr. 185)

CDPC European Committee on Crime Problems DDoS Distributed Denial of Service

Diss. Dissertation DoS Denial of Service

E. Erwägung

EDV Elektronische Datenverarbeitung etc. et cetera

evtl. eventuell

f. folgende

ff. fortfolgende

Gbps Gigabit pro Sekunde gem. gemäss

ggf. gegebenenfalls

VI

(7)

i.c. in casu i.d.R. in der Regel i.S. im Sinne

i.S.d. im Sinne der/des i.S.v. im Sinne von i.V.m. in Verbindung mit inkl. inklusive

Kap. Kapitel

KOBIK Schweizerische Koordinationsstelle zur Bekämpfung der Internet- kriminalität

MIPS Millions of Instructions Per Second N Randziffer(n)

nArt. neuer/n Artikel o.a. oder andere resp. respektive

s. siehe

S. Seite(n)

SEV Sammlung der Europäischen Verträge sog. so genannt

StGB Schweizerisches Strafgesetzbuch vom 21. Dezember 1937 (SR 311.0)

u. und

u.U. unter Umständen z.B. zum Beispiel

VII

(8)

Literaturverzeichnis

Fachliteratur

a) Juristisch

BRENNER, Susan W.: Cybercrime and the Law, Northeastern University Press, New England 2012 (zitiert: BRENNER, Cybercrime, S. ...).

MARBERTH-KUBICKI, Annette: Computer- und Internetstrafrecht (Strafvertei- digerpraxis), C.H. Beck, München 2005 (zitiert: MARBERTH-KUBICKI, C&I- Strafrecht, S. ...).

WANDTKE, Artur-Axel (Hrsg.): Medienrecht Praxishandbuch, 2. Aufl., Walter de Gruyter GmbH, Berlin 2011 (zitiert: Praxishandbuch – BEARBEITER/IN, Kap. ... § ... N ...).

WERNER, Dennis: Verkehrspflichten privater IT-Nutzer in Bezug auf die Ver- breitung von Schadsoftware, Nomos Verlagsgesellschaft, Baden-Baden 2010 (= Internet und Recht Bd. 6) (zitiert: WERNER, Verkehrspflichten, S. ...).

b) Informationstechnisch

STIENNON, Richard: Surviving Cyberwar, Government Institutes, Plymouth 2010 (zitiert: STIENNON, Cyberwar, S. ...).

STUDER, Bruno: Netzwerkmanagement und Netzwerksicherheit, vdf Hochschul- verlag AG, Zürich 2010 (zitiert: STUDER, Netzwerksicherheit, S. ...).

YU, Shui: Distributed Denial of Service Attack and Defense, Springer, New York 2014 (zitiert: YU, DDoS-Attack/Defense, S. ...).

Lehre

DONATSCH, Andreas: Strafrecht III, Delikte gegen den Einzelnen, 3. Aufl., Schul- thess Verlag, Zürich 2013 (zitiert: DONATSCH, Strafrecht III, S. ...).

DONATSCH, Andreas/TAG, Brigitte: Strafrecht I, Verbrechenslehre, 9. Aufl., Schul- thess Verlag, Zürich 2013 (zitiert: DONATSCH/TAG, Strafrecht I, S. ...).

HUGUENIN, Claire: Obligationenrecht Allgemeiner und Besonderer Teil, Schul- thess Verlag, Zürich 2013 (zitiert: HUGUENIN, OR, N ...).

VIII

(9)

HUSER, Meinrad: Schweizerisches Sachenrecht, Vorlesungsunterlagen an der ETH Zürich, Frühjahrssemester 2015, Eidgenössische Technische Hochschu- le, Zürich 2015 (zitiert: HUSER, Skript, S. ...).

Kommentare

NIGGLI, Marcel Alexander/WIPRÄCHTIGER, Hans (Hrsg.): Basler Kommentar, Strafrecht II, Art. 111 – 392 StGB, Jugendstrafrecht, 3. Aufl., Helbing Lich- tenhahn Verlag, Basel 2013 (zitiert: BSK-StGB – BEARBEITER/IN, Art. ...

N ...).

TRECHSEL, Stefan (Hrsg.): Schweizerisches Strafgesetzbuch. Praxiskommentar, 2. Aufl., Dike Verlag AG, Zürich 2012 (zitiert: StGB-Praxiskommentar – BEARBEITER/IN, Art. ... N ...).

Dissertationen

BALTISSER, Annina: Datenbeschädigung und Malware im Schweizer Strafrecht (Diss. Universität Zürich, 2012), Schulthess, Zürich 2013 (= Zürcher Studien zum Strafrecht Bd. 69) (zitiert: BALTISSER, Datenbeschädigung, S. ...).

FASSBENDER, Marcel: Die strafrechtliche Relevanz der sogenannten Distributed Denial of Service Angriffe auf Datenangebote im Internet (Diss. Universität Potsdam, 2002), Dr. Kovac, Hamburg 2003 (zitiert: FASSBENDER, DDoS- Relevanz, S. ...).

Interviews

SCHULTE, Stefanie (HOSTPOINT.ch): Interview mit RIEDIKER, Thomas, durch- geführt per E-Mail, 4. März 2016 (Kopie im Anhang B) (zitiert: SCHULTE, Interview).

ZEDER, Philipp (cyon.ch): Interview mit RIEDIKER, Thomas, durchgeführt per E-Mail, 3. März 2016 (Kopie im Anhang A) (zitiert: ZEDER, Interview).

IX

(10)

Internetquellen

Botfrei (Erstellungsdatum unbekannt): Schützen <https : / / www . botfrei . de / schuetzen.html> (besucht am 25. Feb. 2016) (zitiert: Botfrei, Schützen).

Bullguard (Erstellungsdatum unbekannt): Cyberkriminalität - was ist das? <http:

/ / www . bullguard . com / de / bullguard - security - center / internet - security / security - tips / cybercrime . aspx> (besucht am 23. Feb. 2016) (zitiert: Bull- guard, Cyberkriminalität).

CloudFlare (12. Mai 2015): How does CloudFlare work? <https : / / support . cloudflare.com/hc/en-us/articles/205177068-Step-1-How-does-CloudFlare- work -> (besucht am 25. Feb. 2016) (zitiert: CloudFlare, How does Cloud- Flare work?).

Cloudflare (Erstellungsdatum unbekannt): Plans <https://www.cloudflare.com/

plans/> (besucht am 26. Feb. 2016) (zitiert: Cloudflare, Plans).

Council of Europe (23. Nov. 2001): Explanatory Report to the Convention on Cybercrime <https : / / rm . coe . int / CoERMPublicCommonSearchServices / DisplayDCTMContent?documentId=09000016800cce5b> (besucht am 23. Feb.

2016) (zitiert: Council of Europe, Report, S. ...).

Council of Europe (23. Feb. 2016): Unterschriften und Ratifikationsstand des Vertrags 185 <http://www.coe.int/de/web/conventions/full-list/-/conventions/

treaty/185/signatures?p_auth=DmOZgkZm> (besucht am 23. Feb. 2016) (zitiert: Council of Europe, Unterschriften/Ratifikationsstand 185).

Council of Europe (23. Feb. 2016): Unterschriften und Ratifikationsstand des Vertrags 189 <http://www.coe.int/de/web/conventions/full-list/-/conventions/

treaty/189/signatures?p_auth=DmOZgkZm> (besucht am 23. Feb. 2016) (zitiert: Council of Europe, Unterschriften/Ratifikationsstand 189).

CPU-World (Erstellungsdatum unbekannt): Sandra Dhrystone Benchmark <http:

//www.cpu-world.com/benchmarks/browse/910_80,965_61,993_80,1035_

96 / ?c _ test = 6 & PROCESS = Show + Selected> (besucht am 25. Feb. 2016) (zitiert: CPU-World, Benchmark).

DUNN, John E. (27. Jan. 2015): World’s largest DDoS attack reached 400Gbps, says Arbor Networks <http://www.techworld.com/news/security/worlds- largest - ddos - attack - reached - 400gbps - says - arbor - networks - 3595715/>

(besucht am 18. Dez. 2015) (zitiert: DUNN, DDoS attack).

X

(11)

Finanzen.ch (Erstellungsdatum unbekannt): Kurs Bitcoin - Schweizer Franken

<http : / / www . finanzen . ch / devisen / bitcoin - franken - kurs> (besucht am 12. Feb. 2016) (zitiert: Finanzen.ch, BTC Kurs).

FOSTER, Peter (26. Nov. 2015): Anonymous group takes down Isis website, replaces it with Viagra ad along with message to calm down, in: Indepen- dent <http://www.independent.co.uk/life- style/gadgets- and- tech/news/

anonymous- group- takes- down- isis- website- replaces- it- with- viagra- ad- and- message- to- calm- down- a6749486.html> (besucht am 22. Jan. 2016) (zitiert: FOSTER, Isis website).

GAUNTT, Wendy (9. Apr. 2008): The difference between a server and a desktop computer, in: Tech Zest <https : / / techzestblog . com / 2008 / 04 / 09 / the - difference - between - a - server - and - a - desktop - computer/> (besucht am 1. März 2016) (zitiert: GAUNTT, Server/Desktop).

GovCERT.ch (8. Mai 2015): Increase in DDoS extortion (DD4BC) <http : / / www.govcert.admin.ch/blog/6/increase-in-ddos-extortion-dd4bc> (besucht am 18. Feb. 2016) (zitiert: GovCERT.ch, DDOS extortion).

GRIFFIN, Andrew (23. Jan. 2015): Anonymous hackers turn fire on global paedophile menace, in: The Telegraph <http : / / www. telegraph . co . uk / news / worldnews / northamerica / usa / 11363303 / Anonymous - hackers - turn - fire - on - global - paedophile - menace . html> (besucht am 22. Jan. 2016) (zitiert:

GRIFFIN, Anonymous).

GRÖFLIN, Simon (28. Apr. 2014): 42 Prozent Schweizer surfen mit mehr als 10Mbit/s, in: PCtipp.ch <http://www.pctipp.ch/news/gesellschaft/artikel/42- prozent- schweizer- surfen- mit- mehr- als- 10- mbit- s- 80035/> (besucht am 26. Feb. 2016) (zitiert: GRÖFLIN, Bandbreite Schweiz).

Honeynet.org (Erstellungsdatum unbekannt): Die Tools und Methoden der „Script Kiddies“ <http://old.honeynet.org/papers/trans/erkennen_I.txt> (besucht am 13. Jan. 2016) (zitiert: Honeynet.org, Script Kiddies).

ITwissen (Erstellungsdatum unbekannt): Gigabit pro Sekunde <http : / / www.

itwissen.info/definition/lexikon/Gbps-Gigabits-pro-Sekunde-Gbit-s-gigabits-per-second.html> (besucht am 26. Feb. 2016) (zitiert: ITwissen, Gigabit pro Sekunde).

ITwissen (Erstellungsdatum unbekannt): MIPS (million instructions per second)

<http : / / www. itwissen . info / definition / lexikon / million - instructions - per - XI

(12)

second - MIPS - Millionen - Anweisungen - pro - Sekunde . html> (besucht am 25. Feb. 2016) (zitiert: ITwissen, MIPS).

ITwissen (Erstellungsdatum unbekannt): Webhosting <http : / / www. itwissen . info / definition / lexikon / Web - Hosting - web - hosting . html> (besucht am 18. Feb. 2016) (zitiert: ITwissen, Webhosting).

JOOS, Thomas (1. Mai 2015): So schützen Sie Windows vor Botnet-Angriffen

<http://www.pcwelt.de/ratgeber/So_schuetzen_Sie_Windows_vor_Botnet- Angriffen - Botnet - Removal - Tools - 8989267 . html> (besucht am 25. Feb.

2016) (zitiert: JOOS, Botnet-Angriffe).

KOBIK (März 2015): Jahresbericht 2014 <http : / / www. heise . de / newsticker / meldung/Operation-Payback-Anonymous-Hacker-bekennen-sich-schuldig- 2062559 . html> (besucht am 4. Feb. 2016) (zitiert: KOBIK, Jahresbericht 2014, S. ...).

KREMPL, Stefan (10. Feb. 2000): Rätselraten um die Hintermänner der Cyber- attacken auf US-Sites <http : / / www. heise . de / tp / artikel / 6 / 6616 / 1 . html>

(besucht am 8. Feb. 2016) (zitiert: KREMPL, Cyberattacken).

Langmeier Software (Erstellungsdatum unbekannt): Was ist ein Backup?, in:

Backup FAQ <https : / / www. langmeier - software . com / seiten / langmeier - backup-faq/was-ist-ein-backup> (besucht am 13. Feb. 2016) (zitiert: Lang- meier Software, Backup).

LIU, Cricket (30. Okt. 2013): The ultimate guide to preventing DNS-based DDoS attacks <http://www.infoworld.com/article/2612835/security/the-ultimate- guide- to- preventing- dns- based- ddos- attacks.html> (besucht am 16. Dez.

2015) (zitiert: LIU, Guide).

Medienmitteilungen des Bundesrats (15. Sep. 2011): Die Cyberkriminalität ver- stärkt bekämpfen <https://www.bj.admin.ch/bj/de/home/aktuell/news/2011/

ref_2011-09-15.html> (besucht am 24. Feb. 2016) (zitiert: Medienmitteilun- gen des Bundesrats, Cyberkriminalität).

MELANI/GovCERT.ch (20. Mai 2015): Massnahmen gegen DDoS Attacken

<https : / / www. melani . admin . ch / dam / melani / de / dokumente / 2015 / 04 / Massnahmen_gegen_DDoS_Attacken.pdf> (besucht am 27. Feb. 2016) (zitiert: MELANI/GovCERT.ch, Massnahmen, S. ...).

MELLOY, John (5. Nov. 2015): Facebook tops General Electric in market value <http://www.cnbc.com/2015/11/05/facebook- tops- general- electric- XII

(13)

in-market-value.html> (besucht am 1. März 2016) (zitiert: MELLOY, Face- book).

Microsoft (Erstellungsdatum unbekannt): Was ist eine Firewall?, in: Hilfe & An- leitung <http://windows.microsoft.com/de- ch/windows/what- is- firewall#

1TC=windows-7> (besucht am 14. Feb. 2016) (zitiert: Microsoft, Firewall).

Notebookcheck (Erstellungsdatum unbekannt): Intel Core i7-4770K Desktop Pro- cessor <http : / / www. notebookcheck . net / Intel - Core - i7 - 4770K - Desktop - Processor. 93553 . 0 . html> (besucht am 25. Feb. 2016) (zitiert: Notebook- check, i7-4770K).

Radware (Erstellungsdatum unbekannt): Scrubbing Center, in: DDoSPedia <https:

/ / security . radware . com / ddos - knowledge - center / ddospedia / scrubbing - center/> (besucht am 14. Feb. 2016) (zitiert: Radware, Scrubbing Center).

SILLER, Helmut (Erstellungsdatum unbekannt): Malware, in: Gabler Wirtschafts- lexikon <http : / / wirtschaftslexikon . gabler. de / Definition / malware . html>

(besucht am 8. Jan. 2016) (zitiert: SILLER, Malware).

STEVENSON, Alastair (24. Juli 2015): It looks like the US government just got hacked again – and this time Anonymous is claiming responsibility, in: Busi- ness Insider UK <//http://uk.businessinsider.com/anonymous-hackers-leak- 4200-us-government-workers-alleged-details-to-protest-ttip-and-tpp-2015- 7?IR=T> (besucht am 22. Jan. 2016) (zitiert: STEVENSON, Anonymous).

Swisscom (Erstellungsdatum unbekannt): Nehmen Sie sich vor Phishing-Mails in Acht <https : / / www . swisscom . ch / de / privatkunden / hilfe / loesung / schuetzen-sie-sich-vor-phishing-e-mails.html> (besucht am 14. Feb. 2016) (zitiert: Swisscom, Phishing).

Was-ist-malware.de (Erstellungsdatum unbekannt): Der Computerwurm – ge- fährlicher Bruder des Computervirus <http : / / www . was - ist - malware . de/computerwurm/> (besucht am 5. Feb. 2016) (zitiert: Was-ist-malware.de, Computerwurm).

WeUseCoins (Erstellungsdatum unbekannt): Was ist Bitcoin? <https : / / www.

weusecoins.com/de/> (besucht am 13. Feb. 2016) (zitiert: WeUseCoins, Bit- coin).

WILKENS, Andreas (9. Dez. 2013): Operation Payback: Anonymous-Hacker bekennen sich schuldig, in: heise online <http : / / www. heise . de / newsticker / meldung/Operation-Payback-Anonymous-Hacker-bekennen-sich-schuldig- XIII

(14)

2062559 . html> (besucht am 22. Jan. 2016) (zitiert: WILKENS, Operation Payback).

ZoneAlarm (28. Mai 2014): 8 Signs Your PC Might Be A Zombie <http://www.

zonealarm . com / blog / 2014 / 05 / 8 - signs - your - pc - might - be - a - zombie/>

(besucht am 26. Feb. 2016) (zitiert: ZoneAlarm, Zombie).

XIV

(15)

Materialienverzeichnis

BOTSCHAFT über die Aenderung des Schweizerischen Strafgesetzbuches und des Militärstrafgesetzes vom 24. Apr. 1991, BBl 1991 II 969 (zitiert: BOT-

SCHAFT1991, S. ...).

BOTSCHAFTüber die Genehmigung und die Umsetzung des Übereinkommens des Europarates über die Cyberkriminalität vom 8. Juni 2010, BBl 2010 4697 (zitiert: BOTSCHAFT2010, S. ...).

BUNDESBESCHLUSSüber die Änderung des Schweizerischen Strafgesetzbuchs und des Militärstrafgesetzes vom 17. Juni 1994, BBl 1994 III 256 (zitiert:

BUNDESBESCHLUSS1994, S. ...).

BUNDESBESCHLUSS über die Genehmigung und die Umsetzung des Überein- kommens des Europarates über die Cyberkriminalität vom 18. März 2011, BBl 2011 2765 (zitiert: BUNDESBESCHLUSS2011, S. ...).

XV

(16)

Begriffsverzeichnis

Die folgenden Begriffe sind bei ihrem ersten Auftreten im Textkursivgedruckt.

Lateinische Begriffe, ebenfallskursivgedruckt, wurden nicht aufgenommen.

Backup

Sicherheitskopien von Daten.¹ Bitcoin

Eine virtuelle globale Währung mit dem Kürzel BTC, welche ohne zentra- le Kontrolle auskommt²; Umrechnungskurs: 1 BTC = 412.37 Fr. (Stand 8.

März 2016)³. Botnet

Ein Netz von durch einen Virus infizierten und so für einen DDoS unbe- merkt steuerbaren Computern. Ein einzelner Teilnehmer eines Botnet wird Zombiegenannt.⁴

Command & Control Server

Ein solcher C&C-Server kontrolliert mehrereZombiesund kommuniziert mit ihnen, um ihre Verfügbarkeit zu überwachen, ihre Kontrollsoftware aktuell zu halten oder den Befehl für einen Angriff zu geben.⁵

Denial of Service

Ein Angriff auf einen Server in einem lokalen oder globalen Netzwerk, welcher darauf abzielt, den Zielserver zu überlasten und so in die Knie resp. zur Verweigerung des Dienstes („Denial of Service“) zu zwingen.

Üblicherweise von einem oder wenigen Rechnern aus gestartet, ansonsten einDDoS-Angriff.⁶

1 Langmeier Software, Backup.

2 WeUseCoins, Bitcoin.

3 Finanzen.ch, BTC Kurs.

4 YU, DDoS-Attack/Defense, S. 3.

6 FASSBENDER, DDoS-Relevanz, S. 31.

XVI

(17)

Distributed Denial of Service

Kurz DDoS; ein virtueller Angriff über ein lokales oder globales Netz- werk, der bezweckt, einen Zielrechner durch stetige Anfragen von vielen verschiedenen dafür missbrauchten anderen Rechnern zu überlasten. Eine Weiterentwicklung des -Angriffs.⁷

Firewall

Zu Deutsch: Feuerwand; Software, welche den Datenstrom filtert und nach vordefinierten Sicherheitsregeln überprüft und ggf. blockiert.⁸

Gbps

Gigabit pro Sekunde; eine Masseinheit für die Datenübertragungsgeschwin- digkeit resp. Bandbreite einer Verbindung.⁹ Zum Vergleich: Die durch- schnittliche Internetgeschwindigkeit eines Schweizer Benutzers liegt bei 44,2 Megabit pro Sekunde (Mbps)¹⁰, also 0,0442 Gbps.

Hacking

Das unbefugte Eindringen in fremde Datenverarbeitungsanlagen mithilfe anderer solcher Anlagen i.S.v. Art. 143^bisStGB.¹¹

Hosting

Die Bereitstellung und infolgedessen Vermietung von Speicherplatz oder Serverhardware. Hoster stellen überdies den reibungslosen Betrieb der Hard- ware sicher.¹²

Malware

Wortkreation aus „Mal“ als ursprünglich lateinisches Präfix („malus“), welches eine schädliche Eigenschaft benennt, sowie „ware“ von Software;

8 Microsoft, Firewall.

9 ITwissen, Gigabit pro Sekunde.

10 GRÖFLIN, Bandbreite Schweiz.

11 BOTSCHAFT1991, S. 972.

12 ITwissen, Webhosting.

XVII

(18)

beschreibt Programme, welche geschrieben wurden, um Schaden anzurichten¹³. Wird üblicherweise in Subtypen wie „Virus“, „Wurm“ und weitere unterteilt.¹⁴

Millions of Instructions Per Second

Zu Deutsch „Millionen Befehle pro Sekunde“, also eine Masseinheit dar- über, wie viele Millionen Berechnungen ein Prozessor in einer Sekunde ausführen kann.¹⁵

Phishing

Zu Deutsch etwa „Fischen“, Stilisierung des Wortes „Fishing“. Bezeichnet den Versuch, mittels gefälschter E-Mails an Zugangsdaten wie Passwörter zu kommen, um mit diesen in ein System einzudringen und es alsZombie zu verwenden.¹⁶

Scanning

Das automatisierte Auffinden schlecht gesicherter, verwundbarer Rechner in einem Netzwerk, um diese danach für einenDDoS-Angriff zu missbrau- chen.¹⁷

Scriptkiddie

Abschätzige Bezeichnung für einen informationstechnischen Laien, welcher durch gefundene, fremde Programme oft aus Abenteuerlust und zumeist wahllosDDoS-Angriffe ausführt.¹⁸

Scrubbing Center

Zu Deutsch: Schrubbzentrum; Anbieter, welcher Datenstrom eines Ser- vers überprüft, Angriffe erkennt und diese umleitet oder blockiert, also den Strom gewissermassen „sauber schrubbt“.¹⁹

13 BRENNER, Cybercrime, S. 36; SILLER, Malware.

14 SILLER, Malware.

15 ITwissen, MIPS.

16 Swisscom, Phishing.

19 Radware, Scrubbing Center.

XVIII

(19)

Virus

Eine Form derMalware, die dafür geschrieben wurde, einen ungenügend gesicherten Computer zu „infizieren“ und danach zu schädigen und/oder zu kontrollieren.²⁰

Wurm

Eine Form derMalware, welche sich selbstständig auf dem Zielcomputer verbreitet und dort Schaden anrichtet.²¹

Zombie

Ein Computer, welcher mit einem Virus oder Wurm infiziert wurde, um ihn zusammen mit anderen ebenso infizierten Computern im Hintergrund gegen den Willen des Benutzers zu aktivieren und ihn die für einenDDoS- Angriff nötigen Internetabfragen ausführen zu lassen.²² Ein Netzwerk solcher Zombies wird alsBotnetbezeichnet.

20 MARBERTH-KUBICKI, C&I-Strafrecht, S. 56.

21 Was-ist-malware.de, Computerwurm.

XIX

(20)

A. Einleitung

Dank des kometenhaften Aufstiegs der elektronischen Datenverarbeitung (EDV) zum Hauptarbeits- und Kommunikationsmittel einer ganzen Generation war es nie einfacher, anonym und ohne die Voraussetzung tatsächlicher physischer An- wesenheit grosse Massen an heiklen Informationen einzusehen oder empfind- lichen wirtschaftlichen Schaden anzurichten. Was vielleicht als ein Kräftemes- sen innerhalb einer Randgruppe angefressener Technikenthusiasten begann, birgt heute ein enormes kriminelles Potential. Das Internet wurde weltweit zum priva- ten und geschäftlichen Alltag: Facebook – eine global tätige Internetfirma, deren Börsenwert auf über 300 Milliarden US-Dollar geschätzt wird²³ und die wohl zweifellos eine finanzielle Erfolgsgeschichte darstellt – würde ohne das Internet gar nicht existieren.

Ein auch nach rund 20 Jahren noch immer sehr populärer Weg, Anbietern von Informationen im Internet zu schaden, ist der sog. DDoS-Angriff. Mit ver- gleichsweise wenig Aufwand²⁴und niedrigem technischem Vorwissen kann heute praktisch jeder Anwender eine solche Attacke auf einen unliebsamen (oder gar zufällig gewählten) Internetserver ausführen und diesen zum Erliegen bringen.

Statt Daten zu „stehlen“, zu ändern oder zu veröffentlichen, werden sie damit einfach nur unterdrückt. Dies kann weitreichende Folgen haben: Ein kommer- zielles Internetangebot, welches bspw. von seiner ständigen Verfügbarkeit lebt, verliert durch einen solchen Absturz massiv an Glaubwürdigkeit, was ein ganzes Unternehmen in den Ruin treiben kann.

Dass auch das Schweizer Strafrecht auf diese recht junge und spezialisierte Form der Bedrohung eingehen muss, liegt auf der Hand – allerdings tut es sich noch schwer: Die Suche nach Entscheiden des Bundesgerichts (BGE) oder anderen Schweizerischen Gerichtsinstanzen ist erfolglos (Stand 7. März 2016), was

23 MELLOY, Facebook.

24 LIU, Guide.

1

(21)

auch mit der höchst schwierigen Strafverfolgung bei DDoS-Angriffen zusam- menhängen dürfte.

In diesem Sinne soll die vorliegende Arbeit einen verständlichen Überblick über die Technik, die Geschichte sowie die materiellstrafrechtliche Einschlägig- keit der DDoS-Angriffe – genauer, die Anwendbarkeit von Bestimmungen im Zweiten und Vierten Titel des Besonderen Teils des StGB, aufgeteilt in bereits erfolgte und erst angedrohte DDoS-Angriffe – verschaffen und damit aufzeigen, ob und inwiefern die Schweizerische Strafrechtsprechung von heute dem wohl kaum bald an Popularität abnehmenden DDoS-Angriff grundsätzlich beikom- men kann. Abgerundet wird die Arbeit durch ein Begriffsverzeichnis, welches dem Leser die verwendete technische Fachsprache vereinfachen soll.

2

(22)

B. Der DDoS-Angriff

1. Technische Grundlagen

1.1. Begriffsdefinitionen und technische Einführung

a) Denial of Service (DoS)

Zunächst ist festzuhalten, dass Denial of Service (DoS) für „Dienstverweige- rung“ steht.²⁵ Damit ist ein DoS-Angriff die willentliche Ausnutzung bekann- ter oder vermuteter Leistungsgrenzen von Rechnern bis zu ihrer Überlastung.²⁶ Hiermit soll eine mindestens temporäre Unerreichbarkeit der vom Server ange- botenen Daten wie Webseiten, Maildienste etc. für Benutzer erreicht werden.²⁷ Dazu wird gem. BALTISSER die „eigentliche Funktion der Internetangebote“

ausgenutzt: Regelmässig automatisiert, also durch die Verwendung verschiedener Angriffsmethoden und -programme²⁸, missbraucht der Angreifer den Benut- zungszweck des Servers, welcher bspw. darin liegt, die Webseite anzuzeigen, die Mailingdienste anzubieten etc., um ihn derart mit Anfragen zu überlasten, dass dessen Rechenkapazität überfordert ist und er somit die weitere Arbeit verwei- gert.²⁹

Der erste bekannte DoS-Angriff fand im Jahr 1988 statt. Hierbei wurden durch einen Wurm namens „Morris Worm“, benannt nach seinem Autoren Ro- bert Morris, ungefähr 5000 Computer betroffen und unterdrückt.³⁰

27 BALTISSER, Datenbeschädigung, S. 31.

28 FASSBENDER, DDoS-Relevanz, S. 32ff.

29 BALTISSER, Datenbeschädigung, S. 31; FASSBENDER, DDoS-Relevanz, S. 31f.;

MARBERTH-KUBICKI, C&I-Strafrecht, N 87.

3

(23)

b) DDoS

aa) Definition und Vorgehen

Der Angriff namens Distributed Denial of Service(DDoS), also wörtlich „ver- teilte Dienstverweigerung“, stellt, wie es der Name suggeriert, eine technische Weiterentwicklung des DoS dar. Die „Verteilung“ liegt dabei darin, dass der Angriff nicht nur von einem einzigen, sondern einer Mehrzahl von Rechnern gleichzeitig ausgeht.³¹ Dies birgt für den Angreifer den Vorteil, die Rechen- und Sendeleistung vieler verschiedener Computer in Anspruch nehmen und so eine massiv erhöhte Zahl an Aufrufanfragen senden zu können, was den Zielserver noch rascher ausser Gefecht setzt. So wurden DoS-Angriffe bald von solchen des Typus DDoS verdrängt. Ausserdem lassen sich Angriffe leichter verschlei- ern: Der Täter versucht im Vorfeld, per automatisiertem Scanning eine grosse Zahl ungenügend gesicherter Computer³² auf der ganzen Welt auffindbar zu ma- chen, welche er im Hintergrund mit Malware infiziert und über diese kontrolliert. So einen sozusagen versklavten Computer nennt man einenZombie, wobei auch andere Termini gebräuchlich sind; ein ganzes Netz von Zombies wird als Botnetbezeichnet. Zwischen seinem eigenen Computer und den Zombies hat er noch weitere Instanzen geschaltet, sog.Command & Control Server(C&C). Die- se üben gewissermassen als Leutnants stellvertretend Kontrolle („Control“) und Befehlsgewalt („Command“) aus und reagieren auf einen einzigen Befehl des Angreifers hin mit dem Auftrag an die Zombies, die DDoS-Attacke zu lancie- ren.³³ Diese Struktur ermöglicht es dem Angreifer, sein Vorgehen in aller Ruhe zu planen, einen Blitzangriff zu starten und praktisch unidentifizierbar zu blei- ben, denn die Rekonstruktion des gesamten Weges zurück zum ursprünglichen Quellcomputer ist äusserst mühsam und zeitintensiv.³⁴ Sollte der Angreifer den Befehl sogar von einem vielleicht unbewilligt gekaperten, fremden verfügbaren Computer mit eigens dafür erstelltem Benutzerkonto aus geben,³⁵ besteht keine nachweisbare direkte Verbindung zum Täter mehr und die nötigen, unumstössli- chen Beweise zu seiner Überführung sind fast unmöglich zu erbringen.

31 FASSBENDER, DDoS-Relevanz, S. 35; Praxishandbuch – HEINRICH, Kap. 5 § 3 N 300.

32 Praxishandbuch – HEINRICH, Kap. 5 §3 N 300; YU, DDoS-Attack/Defense, S. 3.

33 YU, DDoS-Attack/Defense, S. 3; STUDER, Netzwerksicherheit, S. 117ff.

35 STUDER, Netzwerksicherheit, S. 117; a.A. BRENNER, Cybercrime, S. 44.

4

(24)

Zur tiefergehenden Erläuterung der unterschiedlichen Subtypen von DDoS- Angriffen und deren technischen Vorgehensweisen sei auf die sehr umfangreiche und übersichtliche Aufzählung von STUDER³⁶ verwiesen.

bb) Geschichte und mögliche Motive

Software zur Unterstützung der Ausführung eines DDoS-Angriffs kann im In- ternet seit 1998 gefunden werden.³⁷ Während im Jahr 2002 Angriffe von über 2000 Zombies aus noch als „Einzelfälle“ betrachtet wurden,³⁸ stieg die Anzahl von Zombies in einem Botnet über die Jahre drastisch an: 2010 berichtete STI-

ENNON von Angriffen mit einer Bandbreite von über 60 Gigabit pro Sekunde (Gbps), vermutlich von einigen Tausend Computern aus gestartet,³⁹2013 wurde dann bereits der bislang grösste gemessene Angriff mit knapp 400 Gbps ver- zeichnet,⁴⁰was mehrere Hunderttausend infizierte Computer miteinbezogen haben dürfte. Botnets dieser Grösse sind heute keine Seltenheit mehr: Ende 2010 schaltete die niederländische Polizei das riesige Botnet „Bredolab“ ab – es hatte aus ungefähr 30 Millionen Zombies und über 150 C&C-Servern bestanden.⁴¹

Heute sind ganze Gangs von Cyberkriminellen bekannt, z.B. „DD4BC“, „Ar- mada Collective“⁴²oder auch das berühmt-berüchtigte „Anonymous-Kollektiv“.

Die ersten beiden Gruppen gehen der virtuellen Erpressung mit angedrohten massiven DDoS-Angriffen nach,⁴³ letztere üben Selbstjustiz in Form von „virtuellen Vendetten“ aus: Sie greifen Computersysteme von Kinderpornografierin- gen⁴⁴, religiös extremistischen Gruppen⁴⁵ oder gar der US-Regierung⁴⁶ an und lassen sie mit DDoS-Angriffen abstürzen.⁴⁷

36 STUDER, Netzwerksicherheit, S. 110ff.

39 STIENNON, Cyberwar, S. 66.

40 DUNN, DDoS attack.

41 BRENNER, Cybercrime, S. 47.

42 ZEDER, Interview.

44 GRIFFIN, Anonymous.

45 FOSTER, Isis website.

46 STEVENSON, Anonymous.

47 WILKENS, Operation Payback.

5

(25)

1.2. DDoS und andere Formen der Cyberkriminalität

Im Unterschied zu anderen Formen der „Cyberkriminalität“⁴⁸ „im engeren Sin- ne“⁴⁹ werden beim DoS- oder DDoS-Angriff keine fremden Daten wie Kunden- informationen oder Passwörter eingesehen, abgefangen oder gar beschädigt.⁵⁰ Es wird lediglich die Funktion des angegriffenen Rechners, Daten überhaupt anzubieten, unterdrückt. Dies stellt, wie aufzuzeigen sein wird,⁵¹ einen integral wichtigen Knackpunkt in der materiellstrafrechtlichen Würdigung des DDoS- Angriffs dar.

2. Tätertypen

Verschiedene Quellen unterscheiden bei Tätern zwischen sog.Scriptkiddiesund professionelle(re)n Herstellern von Malware.⁵² Einige Quellen und Experten zählen Regierungsagenten zu der Gruppe der möglichen Täter hinzu.⁵³

2.1. Scriptkiddies

Bei Scriptkiddies handelt es sich um technische Laien, deren Fähigkeiten zur Planung, Programmierung und Ausführung von Schadsoftware nicht über das über einschlägige Internetforen angeeignete Wissen hinaus geht und welche An- griffe oft ohne klares Wissen um deren Folgen ausführen. Zuweilen wird ihnen nachgesagt, nur „auf den schnellen, einfachen Erfolg aus zu sein“.⁵⁴ Die Täter besorgen sich vorgeschriebene Angriffs-„Scripts“ (Programme), ohne sie voll- ständig zu verstehen.

Der abschätzige Begriff „Kiddie“ (zu Deutsch etwa „Kindchen“) bezeichnet dabei das oft junge Alter der Täter,⁵⁵ welchen es wohl eher um das Abenteuer und das – so BALTISSER – „Austesten ihrer Programmierfähigkeiten“⁵⁶ geht.

48 Bullguard, Cyberkriminalität.

49 KOBIK, Jahresbericht 2014, S. 5.

50 BRENNER, Cybercrime, S. 44f.; FASSBENDER, DDoS-Relevanz, S. 38.

51 Siehe hinten C. (S. 12ff.).

52 FASSBENDER, DDoS-Relevanz, S. 46f.

54 Honeynet.org, Script Kiddies.

55 Exemplarisch der Fall „Mafiaboy“, bei dem der 15-jährige Täter gefasst wurde, weil er nach seiner Tat in Onlineforen damit prahlte: BRENNER, Cybercrime, S. 114f.; BRENNER, Cybercrime, S. 45ff.; allgemeiner FASSBENDER, DDoS-Relevanz, S. 47.

56 BALTISSER, Datenbeschädigung, S. 39.

6

(26)

Die Hemmschwelle liegt bei DDoS-Angriffen tief, denn anders als im klassi- schen Verständnis einer Straftat muss nicht mit vielleicht physischen Vermö- genswerten einer anderen Person oder sogar mit einem Opfer direkt interagiert werden – das Verständnis, eine strafrechtlich relevante Tat zu begehen, fehlt.⁵⁷ Überdies dürfte die Verbindung zwischen der raschen Ausführbarkeit eines An- griffs in den eigenen vier Wänden und dem Nervenkitzel, etwas Verbotenes zu tun, gerade junge Menschen besonders ansprechen.⁵⁸

Die Gruppe der Scriptkiddies kann nicht scharf umrissen werden; Haupt- merkmal ist, dass dieser Tätertypus oft wahllos ungenügend gesicherte und ge- wartete Rechner angreift.

2.2. Professionelle Angreifer

Dem gegenüber werden diejenigen Angreifer gestellt, welche über professionelle technische Erfahrung und Ausbildung verfügen und diese für kriminelle Zwecke verwenden.⁵⁹Dieser Tätertypus hat das Know-how, um DDoS-Attacken von riesigem Ausmass durchzuführen und überhaupt erst Botnets massiven Um- fangs zu produzieren. DDoS-Attacken werden von diesem Tätertypus oftmals als Auftragstat begangen,⁶⁰beispielsweise um einen unliebsamen Konkurrenten des Auftraggebers zumindest temporär auszuschalten oder seinem Ansehen Schaden zuzufügen und so einen wirtschaftlichen Vorteil zu erlangen⁶¹.

Berichtet wird von Drohungen ohne Bereicherungsabsicht, jedoch auch der Erpressung von Schutzgeldern, wobei bei initialem Nichteinlenken des Ziels zu- nächst schwache DDoS-Angriffe durchgeführt werden, um das gewünschte Ni- veau an Einschüchterung zu erreichen.⁶² Es handelt sich hier also um Täter, welche der Cyberkriminalität zumindest semiprofessionell nachgehen. Wie anzu- nehmen ist, nutzen sie ihre vertieften Kenntnisse auch dazu, um ihre „Spuren“

effizient(er) zu verwischen.

58 FASSBENDER, DDoS-Relevanz, S. 47f.

60 Praxishandbuch – KUTZSCHBACH, Kap. 4 § 1 N 2.

62 Praxishandbuch – KUTZSCHBACH, Kap. 4 § 1 N 2.

7

(27)

2.3. Regierungsagenten

Als dritte Täterklasse werden bisweilen Regierungsagenten – DDoS-Angreifer im Auftrag einer Staatsregierung – diskutiert.⁶³ FASSBENDER nennt hier bspw.

ein Interesse von mit der „Sicherheit im Internet“ betrauten „staatliche[n] Stel- len“, „ihre Daseinsberechtigung unter Beweis zu stellen“⁶⁴, also die Staatsho- heit im Internet zu festigen. Denkbar – und im Falle der USA in einigen Krei- sen sogar als sehr wahrscheinlich betrachtet⁶⁵ – sind DDoS-Attacken zur Unter- drückung unliebsamer staatsinterner oder -externer Ziele aus Gründen des modernen Machtspiels oder sogar der elektronischen Kriegführung.⁶⁶

3. DDoS-Angriffe in der Schweiz

Der erste Auftritt eines DDoS-Angriffs in der Schweiz ist gem. Expertenmei- nung nicht datierbar.⁶⁷Die Schweizerische Koordinationsstelle zur Bekämpfung der Internetkriminalität KOBIK verzeichnete im Jahr 2014 insgesamt 10’214 Meldungen wegen cyberkrimineller Handlungen, wovon ungefähr 0.02%, also ca. 204, auf DDoS-Angriffe fielen.⁶⁸ Die Dunkelziffer ungemeldeter Angriffe dürfte allerdings hoch sein: Einerseits sind sich viele Geschädigte bewusst, dass sauber durchgeführte DDoS-Attacken kaum zu erfolgreichen Strafverfolgungen führen,⁶⁹andererseits werden DDoS-Angriffe oftmals als reine „technische Stö- rung“⁷⁰ abgetan. Im selben Jahr wurden gem. KOBIK 6’837 von 7’932 Mel- dungen zum Zweiten Titel des Besonderen Teils des StGB über die strafbaren Handlungen gegen das Vermögen gezählt.⁷¹Tatsächlich befinden sich in diesem Titel die direkt auf Daten, deren Verarbeitung und die nötigen Anlagen Bezug nehmenden Tatbestände.⁷²

65 KREMPL, Cyberattacken.

66 STIENNON, Cyberwar, S. 96ff. inkl. einer versuchten Subsumierung von Cyberattacken zwischen Staaten unter die Definitionen der „Gewaltanwendung“ oder der „bewaffneten Gewalt“ i.S.d. UN-Charta.

67 ZEDER, Interview; SCHULTE, Interview.

69 Siehe vorne B.1.1.b) aa) (S. 4).

72 Siehe dazu hinten C.1.1.c) (S. 13).

8

(28)

Einer der führenden Schweizer Hostinganbieter, cyon.ch, gibt an, pro Jahr von zwischen zehn bis 15 DDoS-Attacken betroffen zu sein.⁷³Das Unternehmen erstattet bei Angriffen, welche seine „gesamte Infrastruktur beeinträchtig[en]“⁷⁴, Meldung beim KOBIK und Strafanzeige bei der Polizei – kleinere Angriffe werden also nicht gemeldet, was die bereits angesprochene Dunkelziffer noch weiter vergrössern dürfte. Indes empfiehlt cyon.ch den Betroffenen bei Angriffen, welche offensichtlich nur gegen ein bestimmtes Ziel gerichtet sind, in jedem Fall die Online-Meldestelle MELANI⁷⁵ des KOBIK zu informieren.⁷⁶ Ein anderer sehr erfolgreicher Anbieter in der Schweiz, HOSTPOINT.ch, merkt an, dass zu den Opfern in der Schweiz vorwiegend „politische oder religiöse Parteien“ gehören;

„[a]uch Websites aus dem Rotlicht-Milieu sind häufiger von Attacken betroffen“.⁷⁷ Beide Unternehmen nennen als Motive für die Angriffe die Schädigung konkurrierender Unternehmen oder Gruppen mit anderslautenden Meinungen zu politischen, religiösen o.a. Fragen.⁷⁸ cyon.ch berichtet überdies, dass „erst seit Kurzem verlässliche Zahlen zur Grösse von Angriffen“ bekannt seien und dass das Unternehmen bislang Angriffe mit einer Höchststärke von 16 Gbps messen konnte.

4. Exkurs: Ist wirksamer Schutz vor DDoS-Angriff- en möglich?

DDoS-Angriffe stellen für jeden Betreiber von Webseiten oder Server und sogar für einfache Computerbenutzer ein ernstzunehmendes Problem dar. Erstere Gruppe zählt zwar viel häufiger zu den Opfern als letztere, jedoch werden DDoS- Angriffe zumeist von infizierten regulären Personal Computern in ihrer Funktion als Zombie ausgeführt – Webseiten und ganze Server werden öfters von Perso- nal geführt und gewartet, welches technisch geschult ist und um die Gefahren weiss. Allerdings sind Existenz und Funktionsweise der DDoS-Angriffe längst nicht allen Computerbesitzern bekannt.⁷⁹

75 Siehe dazu <https://www.melani.admin.ch>.

77 SCHULTE, Interview.

78 ZEDER, Interview; SCHULTE, Interview.

79 ZoneAlarm, Zombie.

9

(29)

Durch die im Hintergrund ausgeführten Prozesse im Dienste des Angrei- fers resp. seines Command & Control Servers wird ein wenig Rechenleistung des Computers verbraucht. Der technische Fortschritt im Bereich der Computer- hardware ist in den letzten 20 Jahren rasant vorangeschritten: Ein Prozessor des Typs „Pentium 4“ des Herstellers Intel, im Jahr 2002 einer der Schnellsten seiner Zunft, schafft 10 Milliarden Berechnungen pro Sekunde (gemessen in Millions of Instructions Per SecondMIPS, also 10’000 MIPS).⁸⁰Ein im Jahr 2013 aktuel- ler Prozessor mit der Bezeichnung „Core i7 4770K“, ebenfalls von Intel, schafft mit ungefähr 125 Milliarden Berechnungen pro Sekunde bereits mehr als das Zehnfache.⁸¹ Der rechnerische Aufwand, eine Anfrage an einen Server im Inter- net abzusetzen, hat sich indes nicht gross geändert; höchstens werden heute von einem einzigen Zombie mehr Aufrufanfragen an einen Zielrechner gestartet als früher.

Um die regulären Computer also davor zu schützen, Teil eines Botnets zu werden, müssen die oftmals ahnungslosen Benutzer aufgeklärt werden. Verschie- dene Webseitenbetreiber bieten ihren Lesern bereits jetzt Informationen, wie sie ihren Rechner vor dem Befall schützen⁸² oder von einer bereits geschehenen In- fektion mit entsprechender Malware befreien.⁸³ Der Schutz vor dem Befall lässt sich hierbei so zusammenfassen, dass das Betriebssystem stets aktuell gehalten – also mit allen verfügbaren Updates ausgerüstet – werden soll, alle Browser auf dem neusten Stand sind, Links auf Webseiten und in E-Mails vor dem Anklicken auf ihre Legitimität kontrolliert werden und eineFirewall⁸⁴installiert wird. Ähn- lich verhält es sich für Server- und Webseitenbetreiber: Auch sie müssen darauf achten, die eingesetzte Software stets auf dem neusten Stand zu halten.⁸⁵ Ohne die Aufklärung der breiten Masse von Computernutzern unterschiedlicher Infor- matikkenntnisse dürfte die Prävention von DDoS-Angriffen allerdings schwierig bis unmöglich sein.⁸⁶

Wer indes einen Server betreibt, möchte ungern von einem DDoS-Angriff getroffen werden. Die Experten von cyon.ch bspw. vertrauen auf einen deut-

80 ITwissen, MIPS.

81 Notebookcheck, i7-4770K; CPU-World, Benchmark.

82 Botfrei, Schützen.

83 JOOS, Botnet-Angriffe.

84 Microsoft, Firewall.

86 WERNER, Verkehrspflichten, S. 97.

10

(30)

schen Anbieter, welcher ihren Datenverkehr überwacht und bei Anzeichen von DDoS-Angriffen eine zusätzliche Kapazität von 20 Gbps dazuschaltet,⁸⁷ was die Überlastung ihrer Server verhindert.⁸⁸ Bekannt ist ausserdem der amerika- nische Anbieter CloudFlare, ebenfalls ein sog.Scrubbing Center, welches nach der Erkennung maliziöser Anfragen den Datenstrom des Angriffs auf die eigene äusserst starke Serverinfrastruktur umleitet und so sozusagen als „Blitzableiter“

fungiert.⁸⁹ Das Grundangebot für den Basisschutz vor Angriffen ist hierbei ko- stenlos.⁹⁰ MELANI stellt eine nützliche Verhaltensliste zum Schutz vor DDoS- Angriffen und deren Abwehr zur Verfügung.⁹¹

88 Siehe vorne B.3. (S. 9).

89 CloudFlare, How does CloudFlare work?; ZEDER, Interview; SCHULTE, Interview.

90 Cloudflare, Plans.

91 MELANI/GovCERT.ch, Massnahmen, S. 2ff.

11

(31)

C. Materiellstrafrechtliche Relevanz

1. Grundlagen

1.1. Rezeption ins Schweizerische materielle Strafrecht

a) Vor 2001

Die ersten Richtlinien zum Schutze von unkörperlich gespeicherten Informatio- nen traten 1995 in Kraft.⁹² Die bundesrätliche BOTSCHAFT zur Revision von 1991 räumt den neuen Einträgen in der Kodifikation „besonderes Gewicht“ ein, da die „neuen technischen Erscheinungen [...] früher unbekannte Formen von Straftaten ermöglichen“⁹³ und in diesem Bereich „empfindliche Strafbarkeits- lücken“⁹⁴ erkannt wurden. In der am 1. Januar 1995 in Kraft getretenen Teilre- vision des StGB wurden u.a. fünf (auch) auf Computerkriminalität anwendbare Haupttatbestände⁹⁵, nämlich die Art. 143, 143^bis, 144^bis, 147 sowie 150 Abs. 4 ins StGB übernommen.⁹⁶ Die Änderungsvorschläge wurden „mehrheitlich be- grüsst“ und „fand[en] grösstenteils Zustimmung“, da unbestritten eine „wirksa- mere Bekämpfung der Wirtschaftskriminalität“ vonnöten war.⁹⁷

92 StGB-Praxiskommentar – TRECHSEL/CRAMERI, Art. 143 N 1; dazu auch BOTSCHAFT

1991, S. 1009.

95 So auch in DONATSCH, Strafrecht III, S. 193.

96 Siehe vorne B.1.1.a) (S. 3).

12

(32)

b) Cybercrime Convention und StGB

Mit dem Übereinkommen über Computerkriminalität von 2001, auch „Cyber- crime Convention“ (CCC) genannt, startete der Europarat den Versuch, die the- menbezogene Straflegislative auf internationaler Ebene zu harmonisieren. Das europäische Komitee zur Bearbeitung von Cyberkriminalität (CDPC) arbeitete bis 2001 einen Entwurf für ein Übereinkommen aus, welches es an seiner fünf- zigsten Plenarsitzung annahm und zur Unterzeichnung überwies.⁹⁸Die Schweiz unterzeichnete den am 1. Juli 2004 in Kraft getretenen Vertrag⁹⁹, in der Samm- lung der Europäischen Verträge (SEV) mit der Nummer 185 indiziert, am 23.

November 2001, ratifizierte ihn jedoch erst am 21. September 2011¹⁰⁰. Danach trat er am 1. Januar 2012 hierzulande in Kraft.¹⁰¹ Das Zusatzprotokoll SEV Nr.

189, welches die Bestimmungen auf in der Cybersphäre begangene Handlungen rassistischer und fremdenfeindlicher Art erweitert, wurde von der Schweiz zwar 2003 unterzeichnet, jedoch bislang nicht ratifiziert.¹⁰²

Das Übereinkommen ist in vier Kapitel gegliedert, wobei das zweite Kapi- tel die vorzunehmenden Anpassungen des lokalen materiellen Strafgesetzes beschreibt.¹⁰³ Neben deren Wiedergabe auf Deutsch¹⁰⁴ beschreibt der Bundesrat, wie er die Vorgaben der CCC mit dem bereits bestehenden Schweizer Strafrecht verbinden möchte und welche Änderungen er für notwendig erachtet.¹⁰⁵

c) Systematik heute

Zunächst fällt auf, dass die Haupttatbestände im Bereich der Computerdelik- te in den Zweiten Titel zum Schutz des Rechtsguts des Vermögens niederge- schrieben wurden. Bereits in seiner BOTSCHAFT von 1991 legte der Bunderat die neuen Computerstraftatbestände sowie die vorgeschlagene Bestimmung zum Check- und Kreditkartenmissbrauch¹⁰⁶ in den Bereich der „Wirtschaftskrimina- lität“. Weitere Analogien zum bestehenden Strafrecht zum Schutze des Vermö-

98 Council of Europe, Report, S. 4.

99 Council of Europe, Unterschriften/Ratifikationsstand 185.

100Council of Europe, Unterschriften/Ratifikationsstand 185.

101Medienmitteilungen des Bundesrats, Cyberkriminalität.

102Council of Europe, Unterschriften/Ratifikationsstand 189.

103Council of Europe, Report, S. 6ff.

104BOTSCHAFT2010, S. 4703ff.

105Siehe sogleich C.1.1.c) (S. 13).

106In derselben Revision als nArt. 148 StGB eingefügt.

13

(33)

gens finden sich im bundesrätlichen Anliegen zu Art. 143 StGB, wo er mit dem Begriff des „Datendiebstahls“ einen frappanten teleologischen Zusammenhang mit Art. 139 StGB aufstellt. Damit bestätigt er seine allgemeine Ansicht der Daten als Vermögenswert zusätzlich, lässt jedoch die Frage nach deren Sach- lichkeit i.S.d. Rechts aufkommen, welche durch die systematische Platzierung des für die hier bearbeitete Thematik der materiellstrafrechtlichen Relevanz des DDoS-Angriffs relevanten Art. 144^bisStGB als Einschub zurSachbeschädigung (Art. 144 StGB) bereits im Raum steht.¹⁰⁷Allerdings sind sich Lehre und Praxis darüber einig, dass die reine Existenz von Art. 144^bis StGB und dessen Formu- lierung – gerade auch im Randtitel, wo nur der Begriff „Sache“ durch „Daten“

ersetzt wurde – befehlen, Daten nicht als Sachen i.S.d. Gesetzes zu betrachten.¹⁰⁸ Bundesversammlung und Bundesrat verfolgten bei der Implementierung der Vorgaben der CCC einen konservativen Weg: Bestehende Gesetzesbestimmun- gen sollten nicht übermässig geändert werden, da sie bereits „weit und unscharf formuliert worden“¹⁰⁹ waren, um der sich technisch rasant entwickelnden The- matik der Cyberkriminalität Genüge zu tun. Im BUNDESBESCHLUSS zur Rati- fizierung der CCC gibt die Schweiz an, die in der CCC dargelegten Ziele durch eine angepasste Anwendung der entsprechenden StGB-Kodifikation zu erreichen.¹¹⁰ Tatsächlich geändert wurde lediglich Art. 143^bis StGB: Der Straftatbe- stand wurde um einen Abs. 2 erweitert; der leicht veränderte Originaltext bildet nun den Abs. 1 des Artikels. Dieser stellt nun auch das Verbreiten von Daten mit expliziter Bereicherungsabsicht unter Strafe.¹¹¹ Der neue zweite Absatz behandelt und pönalisiert die willentliche Verbreitung von Daten, von denen der Täter annehmen muss, dass sie für die Begehung einer Straftat nach Abs. 1 verwendet werden. Damit soll die Strafbarkeit bei solchen Delikten vorverlagert werden, was nicht zuletzt die strafrechtliche Prävention von Straftaten nach Art. 143^bis Abs. 1 StGB erst ermöglicht.

107BOTSCHAFT1991, S. 1012 setzt computergespeicherte Daten noch direkt neben die Sachbeschädigung; in BUNDESBESCHLUSS1994, S. 259 dann Art. 144^bis.

108Siehe auch die Abgrenzung in BOTSCHAFT1991, S. 1012 sowie die Beschreibung in DONATSCH, Strafrecht III, S. 195 und Dreiteilung in HUSER, Skript, S. 19.

109BSK-StGB – WEISSENBERGER, Art. 143 N 1.

110BUNDESBESCHLUSS2011, S. 6293.

111BSK-StGB – WEISSENBERGER, Art. 143^bisN 2.

14

(34)

1.2. Grundlegende relevante Legaldefinitionen

a) Der Begriff der Daten und der Datenverarbeitungsanlage

Der Gesetzgeber sieht die Daten grundsätzlich als Vermögenswert an.¹¹² Wel- che Werte allerdings genau durch den Begriff des „Datums“ umrissen werden, liess er offen und machte diesen so zum Gegenstand einiger Diskussionen. Für die Frage der materiellstrafrechtlichen Relevanz des DDoS-Angriffs muss der rechtliche Datenbegriff (wie übrigens auch der damit verbundene Begriff der

„Datenverarbeitungsanlagen“) behandelt werden.

Unstrittig beschreiben bspw. sowohl DONATSCH¹¹³wie auch WEISSENBER-

GER¹¹⁴ und TRECHSEL/CRAMERI¹¹⁵ den Begriff der Daten als Aufzeichnun- gen, welche grundsätzlich zur Hinterlegung oder Übermittlung jeglicher Formen von humaner Kommunikation gedacht sind. Da Daten in ihrer binären Form für den Menschen nicht von blossem Auge entschlüsselbar (also gem. WEISSEN-

BERGER „codiert“ und damit „nicht sinnlich wahrnehmbar“) sind, müssen sie durch eine dazu fähige „Datenverarbeitungsanlage“ – nach dem Willen des Bun- desrats sowie des BGer z.B. ein Computer¹¹⁶und sinngemäss auch ein Server¹¹⁷ – empfangen, visualisiert und weitergegeben werden (können).¹¹⁸ Digitalisierte Bilder, Ton- und Videoaufnahmen waren nicht unter den Datenbegriff subsu- miert worden,¹¹⁹ gehören heute jedoch unbestritten dazu.¹²⁰ Ebenfalls werden Programme als für den Betrieb des Computers notwendig erachtet und somit als Daten angesehen.¹²¹

b) Berechtigung an den Daten resp. der Datenverarbeitungsanlage

WEISSENBERGERhält fest, dass es schwierig ist, exakt zu definieren, wann die Berechtigung an Daten gegeben ist.¹²² Das Gesetz nennt den Zugriff auf Daten

112Siehe dazu vorne C.1.1.c) (S. 13).

113DONATSCH, Strafrecht III, S. 194.

114BSK-StGB – WEISSENBERGER, Art. 143 N 8ff.

115StGB-Praxiskommentar – TRECHSEL/CRAMERI, Art. 143 N 3.

116BOTSCHAFT1991, S. 986f.; BGE 129 IV 315 S. 320.

117GAUNTT, Server/Desktop.

118DONATSCH, Strafrecht III, S. 194; siehe auch BOTSCHAFT2010, S. 987.

119BOTSCHAFT1991, S. 988.

120BSK-StGB – WEISSENBERGER, Art. 143 N 9; DONATSCH, Strafrecht III, S. 194.

121BOTSCHAFT1991, S. 988; DONATSCH, Strafrecht III, S. 194.

122BSK-StGB – WEISSENBERGER, Art. 143 N 14.

15

(35)

dann „unbefugt“ i.S.v. Art. 143, 143^bis, 144^bis etc. StGB, wenn die Daten für den Zugreifenden „nicht bestimmt“ sind. Nach DONATSCH’ Formulierung ist dies der Fall, wenn der Täter „weder nach Zivil- noch nach öffentlichem Recht über die Daten verfügen oder über deren Verwendung bestimmen kann“.¹²³Dem Bundesrat zufolge ist nicht automatisch der „Betreiber der Datenverarbeitungs- anlage“, im modernen Sinne also ein Hostinganbieter, der damit Verfügungsbe- rechtigte¹²⁴. Analog lässt sich auch der Gehalt des Begriffs der „fremden“ Da- tenverarbeitungsanlage i.S.v. Art. 143^bisStGB festlegen, nur dass hier von einer gleich der Verfügungsberechtigung zu definierenden „Benutzungsberechtigung“

die Rede sein muss. Für die Prüfung von DDoS-Angriffen ist also massgeblich, ob der Angreifer die Verfügungsmacht über die tangierten Daten und/oder die verwendete(n) Datenverarbeitungsanlage(n) hat. Die konkrete Berechtigung ist aufgrund der bislang weder legislativ noch judikativ sauberen Festhaltung je- weils fallbezogen zu finden – beim Hostinganbieter, welcher dem Webseiten- oder Serverhostingkunden den Server für die Webseite zur Verfügung stellt, dürf- te das Vertragsverhältnis zum diesem als Indiz für dessen Verfügungsberechti- gung gelten.¹²⁵

c) Vorsatz beim DDoS-Angriff

Die Prüfung des Vorsatzes i.S.v. Art. 12 Abs. 2 StGB ist im Strafrecht von grös- ster Bedeutung, um die Strafbarkeit des Täters festzustellen. Die erfolgreiche Ausführung eines DDoS-Angriffs hängt, wie vorne erklärt,¹²⁶vom entsprechenden technischen Sachverständnis ab. Dieses mag gerade zwischen Scriptkiddies und den anderen beiden genannten Tätertypen massiv unterschiedlich gross sein, allerdings ist ein Minimum an Vorwissen vonnöten, um an entsprechende An- griffssoftware zu gelangen – sprich, um zu wissen, wonach man überhaupt im Internet suchen muss – geschweige denn um verschiedene ungesicherte Rech- ner zu finden, aus welchen ein schlagkräftiges Botnet erstellt werden kann. Um überhaupt eine sinnvolle Prüfung einzelner Tatbestände des StGB auf ihre An- wendbarkeit auf DDoS-Angriffe durchführen zu können, soll im Folgenden rea-

123DONATSCH, Strafrecht III, S. 195f.

124BOTSCHAFT1991, S. 1012.

125So auch BALTISSER, Datenbeschädigung, S. 74.

126Siehe vorne B.2. (S. 6ff.).

16

(36)

litätsnah immer vom Vorhandensein des subjektiven Tatbestands des Vorsatzes ausgegangen werden, wobei nicht tiefer auf die Unterteilung in die Intensitätsstu- fen „Absicht“, „direkter Vorsatz“ und „Eventualvorsatz“¹²⁷eingegangen werden muss: Wer einen DDoS-Angriff durchführt, trägt ein Mindestmass an technischer Versiertheit in sich, um zu wissen, dass sein Handeln nicht ohne Folgen ist.

d) Versuch

Die Verkümmerung des objektiven Tatbestands bei erfülltem subjektivem Tatbe- stand führt regelmässig zur Weiterprüfung der Versuchsvariante des Tatbestands i.S.v. Art. 22 StGB.¹²⁸Im Folgenden soll, wo nicht anders vermerkt, immer vom vollendeten objektiven Tatbestand ausgegangen werden.

e) Angriff

Zur kurzen Klarstellung der Definition des „Angriffs“ i.S.d. DDoS-Angriffs bleibt nur zu sagen, dass dieser als Attacke i.S. einer vom Verfügungsberechtigten un- gewollten da schädlichen, bisweilen sogar massiven Einflussnahme oder Interak- tion mit einem digitalen Vermögenswert des genannten Berechtigten durch einen Unbefugten verstanden wird. Mit der Legaldefinition des Angriffs i.S.v. Art. 134 StGB hat er sonst keinen Zusammenhang.

2. Die Computerstraftatbestände und die erfolgten DDoS-Angriffe

Zunächst soll geprüft werden, unter welchen Voraussetzungen die Computer- straftatbestände im Zweiten Titel des Besonderen Teils des StGB (strafbare Hand- lungen gegen das Vermögen) auf einen DDoS-Angriff anwendbar sind. Mithilfe dieser Prüfungen soll(en) der/die Straftatbestände des StGB, welche bei einem bereits erfolgten DDoS-Angriff primär einschlägig sind, gefunden werden.

127DONATSCH/TAG, Strafrecht I, S. 113ff.

128Hierzu ausführlich DONATSCH/TAG, Strafrecht I, S. 133ff.

17