IT Week-Meinung
Die DDOS-Attacke von 1866

IT-ManagementIT-ProjekteNetzwerk-ManagementNetzwerkeSicherheitSicherheitsmanagement

Das Problem der Denial-of-Service-Attacken ließe sich verringern, wenn
die Gerichte einem bereits lange existierenden Grundsatz folgen würden,
die Besitzer von Computern, von denen Angriffe ausgehen, zu
Schadenersatz zu verpflichten.

IT Week-Meinung

Während der letzten paar Monate haben immer wieder organisierte
kriminelle Gruppen eine Serie von Online-Attacken gestartet, meist gegen
die Websites von Casinos und Wettbüros, und mehrere tausend Pfund
erpresst.

Websites in Europa, den USA und im Fernen Osten wurden
zu Zielscheiben von so genannten Distributed Denial of Service Attacks
(DDOS). Die Angreifer nutzen heutzutage das Netz als diskretes
Kommunikationstool und haben ihre Möglichkeiten als Hacker entdeckt.

Gegen Erpressung unter Androhung von DDOS-Attacken gibt es leider kein
einfaches Rezept. Wird mit Vorsicht und über eine Reihe von
zwischengeschalteten Computern vorgegangen, kann das Auffinden der
Angriffsquelle nahezu unmöglich werden. Natürlich ist es gerade das, was
die Kriminellen an diesem Vorgehen so anspricht. Sowohl Opfer als auch
Polizei sehen sich in der misslichen Lage, den Forderungen nachzukommen
und dann, als der einzigen Verfolgungsmöglichkeit, dem erpressten Geld
nachzugehen.

Aber es könnte, auf längere Sicht gesehen, eine
Lösung für das Problem DDOS-Attacken geben. Er wurde mir vor kurzem von
einem befreundeten Rechtsanwalt, Nick Lockett of DL Legal, vorgeschlagen.

Im Februar 1866 brachte ein gewisser Mr. Rylands eine Zivilklage wegen
fahrlässiger Handlung gegen seinen Nachbarn, Mr. Fletcher, vor Gericht.
Rylands besaß eine Mine, die aus ein paar alten Schächten bestand und
unter Mr. Fetchers Grund lag. Eines Tages beschloss Fletcher, einen
Wasserspeicher auf seinem Grund aufzustellen, genau über den Schächten.

Auf dem instabilen Grund zerbrach das Speicherbecken, überflutete Rylands Mine
und richtete gehörigen Schaden an. Rylands machte geltend, Fletcher habe
fahrlässig gehandelt, indem er keine Vorsichtsmaßnahmen gegen das
Überlaufen seines Speicherbeckens getroffen habe. Das Gericht stimmte
dem zu in einer Entscheidung des House of Lords vom 17. Juli 1868, mit
der Begründung: ?Wenn jemand auf seinem Grund irgendetwas errichtet, das
möglicherweise durch Auslaufen benachbarten Grundstücken Schaden zufügt,
ist der Besitzer für die Folgen verantwortlich, wie sorgfältig er auch
vorgegangen sein mag.?

Der Fall Rylands vs. Fletcher 1868
hatte einen fundamentalen Präzedenzfall für Fahrlässigkeitsverfahren
geschaffen: Jemand, der irgendein nichtnatürliches Gebilde auf seinem
Grund aufstellt, ist für einen möglichen von diesem Gebilde verursachten
Schaden verantwortlich. Dieser Präzedenzfall könnte auch im digitalen
Zeitalter noch Gültigkeit haben: wenn die Gerichte anerkennen würden,
dass jeder Besitzer eines Computers, der an das Netz angeschlossen ist,
für jeden Schaden aufkommen müsste, der durch das ?unkontrollierte
Verhalten? seines Computers (= das Überlaufen!) entstanden ist.

Der Präzedenzfall könnte die Auslegung erlauben, dass der Schadensersatz im
Falle einer DDOS-Attacke von denjenigen geleistet werden muss, deren
Computer so beschaffen sind, dass von ihnen auch unwissentlich –
derartige Attacken ausgehen. Das Opfer einer solchen Attacke könnte
demgemäß vor einem Zivilgericht die Besitzer der angegriffenen Computer
auf Schadensersatz verklagen und seine Verluste geltend machen.

Wird das funktionieren? Warum eigentlich nicht? Und es würde die Leute
vielleicht dazu animieren, ihre Computer sicher zu machen.