DDoS (Distributed Denial of Service)-Attacken sind einer der „Renner“ des modernen Cybercrime. Dabei werden einzelne Rechner oder (häufiger) Server mit so vielen Anfragen „überschüttet“, dass einzelne Funktionen oder die gesamte Funktionalität des betroffenen Systems zusammenbricht. Häufig werden derartige Attacken über ein sog. Bot-Netzwerk durchgeführt, also mittels der Nutzung von mit Schadsoftware infizierten, fremden Computersystemen ohne die Kenntnis der Inhaber der Systeme. Durch die zunehmende (teils existentielle) Wichtigkeit funktionierender Computer-Systeme für Unternehmen und Behörden, fungieren angedrohte DDoS-Attacken immer häufiger auch als Erpressungswerkzeug.

Aktuell fordert eine Gruppe, die sich „RedDoor“ nennt, eine Zahlung von zunächst drei (ca. 1200 Euro), nach Ablauf einer Zahlungsfrist von 10 Bitcoins (ca. 4000 Euro). Bei Nichtzahlung wird mit der Lahmlegung des Computersystems des bedrohten Unternehmens durch eine DDoS-Attacke gedroht. Unklar ist bislang allerdings, ob es bei Nichtzahlung tatsächlich zu einer solchen Attacke kommt oder ob es sich nur um einen „Bluff“ handelt. (Nachrichtenquelle: heise.de)

Anknüpfungspunkt für eine Strafbarkeit können dabei Handlungen in verschiedenen „Phasen“ der „DDoS-Erpressung“ sein. Im Vorfeld kommen bei der Infizierung der Fremd-Rechner zur Errichtung eines Botnetzwerks die Straftatbestände des Ausspähens von Daten (§ 202a StGB) und der Datenveränderung (§ 303a StGB) in Betracht. Im Vorbereitungsstadium ist eine strafrechtliche Ahndung der Verschaffung oder Herstellung der Schadprogramme nach § 202c StGB möglich. Die Zahlungsaufforderung in Verbindung mit der Androhung des DDoS-Angriffs stellt, je nachdem, ob es zur Zahlung kommt, eine versuchte oder vollendete Erpressung dar (§ 253 Abs. 1 StGB). Nicht selten wird es sich wegen der gewerbsmäßigen Ausführung um einen besonders schweren Fall handeln (§ 253 Abs. 4 S. 2 Alt. 1 StGB). Die Ausführung eines DDoS-Angriffs lässt sich strafrechtlich über den Tatbestand der Computersabotage (§ 303b Abs. 1  Nr. 2 StGB („Übermittlung von Daten“)) erfassen. Häufig wird dabei auch ein besonders schwerer Fall durch gewerbsmäßige Begehung zu bejahen sein (§ 303b Abs. 4 Nr. 2 Alt. 1 StGB).

Vgl. vertiefend: LG Düsseldorf, MMR 2011, 624 m. Anm. Bär.