DDoS-Aktionen, was sind sie denn nun? Schwarz, Weiß und viele kleine Graustufen

Distributed Denial of Service (DDoS) Angriffe sind umstritten: Sind sie virtuelle Sit-ins, eine Form zivilen Ungehorsams? Unvereinbar mit der Hackerethik? Sind es Online-Demos? Und kann es Online-Demos überhaupt geben?

‚Mitglieder‘ von Anonymous starteten in den USA eine Petition zur Legalisierung von DDoS-Angriffen: „Make, distributed denial-of-service (DDoS), a legal form of protesting“. Etwas mehr als 4500 Menschen haben diese seit ihrem Start am 7. Januar unterzeichnet, 25.000 sind nötig, damit die Regierung sich zu dem Anliegen der Petition äußert und es an die zuständige Abteilung verweist. In dem Petitionstext heißt es:

In diesem Fenster soll ein YouTube-Video wiedergegeben werden. Hierbei fließen personenbezogene Daten von Dir an YouTube. Wir verhindern mit dem WordPress-Plugin "Embed Privacy" einen Datenabfluss an YouTube solange, bis ein aktiver Klick auf diesen Hinweis erfolgt. Technisch gesehen wird das Video von YouTube erst nach dem Klick eingebunden. YouTube betrachtet Deinen Klick als Einwilligung, dass das Unternehmen auf dem von Dir verwendeten Endgerät Cookies setzt und andere Tracking-Technologien anwendet, die auch einer Analyse des Nutzungsverhaltens zu Marktforschungs- und Marketing-Zwecken dienen.

Zur Datenschutzerklärung von YouTube/Google

Zur Datenschutzerklärung von netzpolitik.org

Video gab es hierzu natürlich auch. Interessant ist, dass nicht etwa das Recht auf Protest in den Vordergrund gestellt wird, dass in einer digitalisierten und globalisierten Welt auch online realisiert werden müsse, was durchaus ein Diskussionspunkt ist. Stattdessen wird das Recht auf DDoS dadurch begründet, dass es sich ja nur um das Drücken der „Refresh“-Taste handle und dies nicht illegal sein könne. Im Video heißt es: „Es ist kein Hacken. Es ist das Äquivalent zum Drücken der ‚Reload‘-Taste auf einer Website, was jeder von uns mindestens ein Mal in seinem Leben getan hat. Sollten wir ins Gefängnis gesteckt werden, weil wir auf diese Taste drücken können, 1000 Mal in einer Sekunde?“. Daraus wird die Äquivalenz zum Sit-in begründet. Dabei gibt es weitaus bessere Argumente für eine Legalisierung von DDoS-Angriffen, wie sie zum Beispiel von Molly Sauter beim 29c3 in ihrem Vortrag: „The Ethics of Activists DDoS Actions“ genannt wurden:

http://www.youtube.com/watch?v=ifXYYqCz-Nc

Andererseits gibt es auch Argumente, die den Vergleich mit Sit-ins erschweren, zum Beispiel die Anonymität von DDoS-Ausführenden:

Haben die Aktivisten tatsächlich keine Möglichkeit, Veränderungen auf den normalen, d.h. legalen Wegen der Willensbildung zu fordern und ist es nicht gerade die Lust an der Illegalität und am Spektakel, die sie treibt? Diese Fragen sind sicherlich nicht einfach zu beantworten und gerade die spezifische Form des Netzraums erschwert das einmal mehr. Nicht-virtuelle ältere Formen zivilen Ungehorsams verlangten ein klares Bekenntnis der Aktivisten zu ihrem Tun, das proaktive Handeln und das Einstehen für die eigenen Überzeugungen. Im Netz und insbesondere bei DDoS-Attacken wird das relativiert, wenn nicht teils unmöglich.

Weiterhin wird Befürwortern von DDoS-Aktionen vorgeworfen, sie übten selbst Zensur aus. Die Online-Präsenz eines Unternehmens beispielsweise vom Netz zu nehmen sei nicht vergleichbar mit einem Sitzstreik vor dem Unternehmensgebäude, da bei letzterem noch immer die Gesamtsituation beobachtbar ist.

Ist DDoS lediglich ein Instrument, um Aufmerksamkeit für ein Thema zu schaffen? Es ist eines, ja, und ein recht effektives. Doch ist es auch legitim? Wäre es legitim, wenn ein DDoS-Angriff vorher angemeldet werden würde? Wenn keine Tools verwendet würden, sondern jeder Mitmachende die URL immer wieder manuell aktualisieren würde? Wenn es um ein politisches Anliegen ginge? Und wo beginnt politischer Aktivismus im Netz?

Fragen über Fragen, und bisher wenige befriedigende Antworten. Auch die Bundesregierung hilft hier nicht wirklich weiter, denn da heißt es zum Beispiel in der Antwort auf eine kleine Anfrage:

Ob eine DDoS-Attacke eine Straftat im Sinne des § 303b StGB (Computersabotage) darstellt, obliegt der Prüfung im Einzelfall durch die zuständigen Strafverfolgungsbehörden und Gerichte. Allgemeine Vorschriften zur Einschätzung gibt es bei Bundesbehörden nicht.

Und weiter:

Was die Frage des Versammlungsrechts angeht, so ist darauf hinzuweisen, dass eine Versammlung im Sinne von Artikel 8 des Grundgesetzes die gleichzeitige körperliche Anwesenheit mehrerer Personen an einem Ort erfordert. Mangels Körperlichkeit sind virtuelle Versammlungen etwa im Internet daher im verfassungsrechtlichen Sinne keine „Versammlungen“.

Es besteht also noch einiges an Diskussionsbedarf, der die Anonymous-Petition keinesfalls gerecht wird. Nichtsdestotrotz klingt die Lösung „Computersabotage“ auch nicht wirklich zeitgemäß. Diskutiert wurde auch auf Netzpolitik bereits darüber, doch gibt es auch Initiativen o.ä., die sich für eine Definition von DDoS und deren Beziehung zu z.B. zivilem Ungehorsam auseinandersetzen?

Update

Oh, und noch eine Diskussion bei Netzpolitik: Bundesregierung: Webseiten lahmlegen ist keine Online-Demonstration, lieber Massen-E-Mail-Proteste

6 Ergänzungen

  1. Die richtigen Fragen stehen im Raum. Befriedigende Antworten gibt es wohl bisher nicht. . Auf einfachgesetzlicher Ebene scheint sich der Gesetzgeber mit der Neufassung des 303b StGB klar positioniert zu haben.
    Verfassungsrechtlich scheint die Situation auf absehbare Zeit auch festgefahren. Der jetzige Versammlungsbegriff kennt keine Onlineversammlung.
    Persönlich könnte ich mir DosAttacken unter engen Voraussetzungen als schutzwürdig vorstellen.
    1.expliziter Bezug zur online-Welt. Angeprangerte verhalten darf nicht nur im RL zu verorten sein.
    2. Aktion muss sowohl Verantwortlichen hinter der Seite,als auch zuständigen versammlugsbehörde angezeigt werden.
    3. Identifizierung der Teilnehmer um Authentizität des Protestes zu untermalen.
    4. Begrenzung der Aktion auf einen engen zeitlichen Rahmen. Ziel muss Generierung von Aufmerksamkeit und nicht Schädigung des Betreibers sein.
    5. Protest muss manuell durchgeführt werden.

    Ich weiß,ist sehr restriktiv-aber vielleicht ein erster Schritt.

  2. Wie würden Sie reagieren, sehr geehrte Frau Jonjic, wenn Netzpolitik.org das Ziel von DDoS-Attacken würde?

    1. Ich denke zu wissen, worauf Sie hinauswollen und antworte mal dementsprechend:

      Hätten sich Menschen zusammengetan, um Netzpolitik zu DDoSen, „for teh lulz“, würde mich das ziemlich stören.

      Gäbe es jedoch einen triftigen Grund, weil wir irgendetwas krasses getän hätten und wären alle Kommunikationsversuche wegen uns gescheitert, dann fände ich DDoS-Aktionen als „letztes Mittel“ um Aufmerksamkeit zu generieren, verbunden mit einer Erklärung, vielleicht gar nicht so verwerflich. Aber wie man schon sieht, ich denke, dass vor DDoS erstmal andere Mittel herangezogen werden sollten und lehne selbst den Vergleich mit Sit-ins ab.

  3. Da hier noch mal der ältere Blogeintrag verlinkt wurde, dass die Bundesregierung DDoS nicht für legitim hält, sondern elektronischen Protest lieber per Email sähe: Was würde sich an dieser Einschätzung/Empfehlung ändern, wenn Protestler sich einen gemeinsamen Zeitpunkt zum Senden vorgefertigter Protestmails vereinbaren?

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.