Wikileaks: DDoS-Attacken gegen eingefrorene Gelder

Die Veröffentlichung der sogenannten Cablegate-Dokumente durch Wikileaks ist wenig schmeichelhaft für die betroffenen Politiker und peinlich vor allem für die US-Regierung. Doch die Amerikaner schlagen zurück. Für konservative Kreise hat die Pressefreiheit enge Grenzen.

Einige Unternehmen versagen Wikileaks die Zusammenarbeit. Mastercard, Visa und die eBay-Tochter PayPal drehen den Geldhahn zu. Der DNS-Dienst EveryDNS hat die Namensauflösung eingestellt. Ob aus Überzeugung oder Angst vor Repressalien durch US-Behörden lässt sich derzeit nicht genau feststellen.

Zumindest bei Visa und Mastercard ist durchaus Eigeninteresse vorhanden: So haben die beiden Unternehmen davon profitiert, dass sich die US-Regierung in Russland dafür stark gemacht hat, kein eigenes Zahlungssystem zu etablieren.

Unterstützung bekommt die Whistleblower-Website hingegen von Internetnutzern weltweit. Zahlreiche Freiwillige stellen kostenlos Mirror-Sites zur Verfügung. Zudem erklären viele Nutzer auf Twitter und Facebook, ihre Kreditkarten und PayPal vorerst nicht mehr nutzen zu wollen, oder haben ihre Konten bereits gekündigt.

Viele Internetanwender haben auch eine andere Form des Protests gefunden: DDoS-Angriffe. Die Website mastercard.de ist bis dato nicht erreichbar. Allerdings ist mastercard.com/de derzeit von Angriffen nicht lahmgelegt. Auch Visa, PayPal und die schwedische Staatsanwaltschaft haben mit Problemen zu kämpfen.

Die aktuellen Angriffe werden über ein Tool namens LOIC (Low Orbit Ion Cannon) koordiniert. Die ursprüngliche Version ist in C# geschrieben und benötigt das Microsoft .NET-Framework. LOIC bombardiert eine Website mit TCP-, UDP- und HTTP-Paketen mit dem Ziel sie zu überlasten.

Damit das Programm effektiv funktioniert, sind allerdings Änderungen an den TCP-Parametern von Windows erforderlich, insbesondere bei Windows 7. Später haben die Hacker auch eine Java-Version entwickelt, die kein .NET-Framework benötigt und auf allen Betriebssystemen mit einer Java-VM läuft.

Ein einzelner User, der eine DoS-Attacke fährt, kann wenig ausrichten. Um eine Site wie mastercard.de wirklich in die Knie zu zwingen, müssen tausende Rechner gemeinsam eine Website angreifen. Um das zu koordinieren, haben die Hacker Newfag und NewEraCracker das sogenannte "Hivemind-Feature" entwickelt, das in sowohl in der .NET- als auch in der Java-Version vorhanden ist.

Das sogenannte IRC-LOIC reagiert auf Befehle in einem IRC-Channel. Somit lässt sich von zentraler Stelle steuern, welche Website gerade angegriffen werden soll, denn eine manuelle Koordinierung, etwa über Twitter, ist schwierig – insbesondere auch deshalb, weil alle Teilnehmer an einem solchen Angriff ständig online sein müssen, um zu erfahren, wem die Attacke derzeit gilt.

IRC-LOIC wurde ursprünglich für die Operation Payback entwickelt, mit der Aktivisten im September Websites der Musikindustrie angriffen. Bei den Angriffen gegen die Zahlungsdienstleister hat das Programm erneut seine Effektivität bewiesen. Obwohl die meisten Websites wieder online sind, müssen die Betreiber aufwändige und kostspielige Abwehrmaßnahmen einleiten.

Ein DDoS-Angriff ist natürlich nicht die "feine englische Art". Abgesehen davon handelt es um eine Straftat. In Deutschland verbietet § 303b StGB die Computersabotage und sieht dafür Freiheitsstrafen vor. Derzeit wird über IRC-LOIC vielfach als Botnet berichtet.

Doch IRC-LOIC verbreitet sich nicht über Trojaner, sondern muss vom Benutzer willentlich installiert werden. Bei einer Strafanzeige wird man sich nicht damit herausreden können, dass man nicht wissen könne, was der IRC-Channel-Admin mit dem Programm vorhat, denn LOIC kann grundsätzlich nur DoS-Angriffe fahren.

Doch auch die "Gegenseite" kämpft jenseits der Legalität: Nach deutschem Recht gilt das Diskriminierungsverbot und das Verbot unbilliger Behinderung nach § 20 GWB. Marktbeherrschende Unternehmen (wie Visa und Mastercard) dürfen ein anderes Unternehmen (Wikileaks) in einem Geschäftsverkehr, der gleichartigen Unternehmen üblicherweise zugänglich ist, weder unmittelbar noch mittelbar unbillig behindern. Der Unternehmensbegriff ist nach allgemeinen Rechtsgrundsätzen weit auszulegen, so dass auch Wikileaks als Unternehmen zählt.

Wikileaks muss sich keiner Schuld bewusst sein. Es hat zugespielte Dokumente im Rahmen der Pressefreiheit veröffentlicht. Kein zivilisierter Staat hat bisher Anklage gegen die Whistleblower-Site erhoben, nicht einmal die USA. Wenn Zahlungsdienstleister jetzt Guthaben einfrieren mit der Begründung, Wikileaks habe gegen die AGB verstoßen, weil die Gelder nicht für illegale Zwecke verwendet werden dürfen, bewegen sie sich juristisch auf ganz dünnem Eis.

PayPal hat inzwischen die eingefrorenen Spendengelder wieder freigegeben, allerdings erst nach juristischem Druck durch die Wau-Holland-Stiftung. Neue Spenden über das PayPal-Konto sind jedoch nicht möglich.

Das Einfrieren von Geldern wirft natürlich zivilrechtliche Fragestellungen auf. Mehrere Spender kündigten ein Klage gegen Visa und Mastercard an, wenn die Unternehmen die Gelder nicht an die Spender zurück- oder an Wikileaks auszahlen. Auch der Dienstleister DataCell EHF will rechtliche Schritte einleiten.