Strafbaarheid van DDoS-aanvallen en botnets volgens het Duitse strafrecht

In een tijdperk waarin digitale infrastructuur van vitaal belang is, zijn Distributed Denial of Service (DDoS)-aanvallen en het gebruik van botnets symbolen geworden van moderne cybercriminaliteit. Hoewel deze daden vaak in technische termen worden besproken, is hun juridische dimensie – met name onder het Duitse strafrecht – zowel verfijnd als streng. Dit artikel biedt een gedetailleerde juridische analyse van DDoS-aanvallen en botnets, gebaseerd op de Duitse wetgeving, actuele jurisprudentie en cybercrime-rapporten.

DDoS-aanvallen als strafbare feiten

De kernbepaling in het Duitse recht met betrekking tot DDoS-aanvallen is § 303b van het Strafgesetzbuch (StGB), die de computersabotage strafbaar stelt. Deze bepaling criminaliseert het verstoren van gegevensverwerking die essentieel is voor ondernemingen, overheidsinstellingen of openbare voorzieningen. Een typische DDoS-aanval, waarbij een netwerk van computers een doelwit overspoelt met verkeer, valt binnen deze norm.

Om strafbaar te zijn, moet de aanval een “aanzienlijke verstoring” van de gegevensverwerking veroorzaken. Er is geen blijvende schade of vernietiging van gegevens vereist; het gaat om een functionele onderbreking of overbelasting van systemen. Duitse rechtbanken hebben zelfs tijdelijke uitval, mits die kritieke systemen raakt of economische schade veroorzaakt, als voldoende beschouwd.

Belangrijk is dat de opzet van de dader gericht moet zijn op het bewust veroorzaken van schade aan beschermde infrastructuur. In zaken rond zogenaamde “booter”-diensten of DDoS-aanvallen tegen betaling bleek uit vonnissen dat ook gebruikers van zulke diensten strafrechtelijk aansprakelijk kunnen zijn, afhankelijk van hun kennis en betrokkenheid.

De rol van botnets en §§ 202a e.v. StGB

Botnets – netwerken van geïnfecteerde computers – zijn niet alleen instrumenten, maar kunnen ook zelf onderwerp van strafrechtelijke aansprakelijkheid zijn. Het maken, verspreiden of gebruiken van malware om een botnet op te zetten, is strafbaar volgens §§ 202a, 202b en 202c StGB, die ongeautoriseerde toegang tot gegevens en de voorbereiding daarvan bestraffen.

Met name § 202c StGB stelt al de voorbereiding van hacking-tools strafbaar. Dit omvat ook de ontwikkeling en verspreiding van malware of remote-access tools. Duitse rechters interpreteren deze bepaling ruim, zeker als er sprake is van commerciële bedoelingen, zoals de verkoop van malware voor criminele doeleinden.

Wanneer een botnet wordt gebruikt om een DDoS-aanval uit te voeren, kan er sprake zijn van samenloop van strafbare feiten: de dader kan worden vervolgd voor computersabotage (§ 303b), ongeoorloofde toegang tot gegevens (§ 202a) en het vervaardigen van schadelijke software (§ 202c). Als de operatie structureel en commercieel is opgezet, kan ook § 129 StGB (criminele organisatie) van toepassing zijn.

Jurisprudentie en rechtspraak

Duitse jurisprudentie levert sprekende voorbeelden. In een belangrijke zaak werd de operator van een groot botnet vervolgd, die toegang verkocht aan derden voor DDoS-aanvallen en phishing. De rechtbank legde de nadruk op het commerciële karakter en de systematische aanpak, en paste naast § 303b ook § 263a StGB (computerfraude) en § 129 StGB toe.

In andere gevallen werden DDoS-aanvallen ingezet als middel tot afpersing van webwinkels. Hierop werden bepalingen zoals § 240 StGB (dwang) en § 253 StGB (afpersing) toegepast.

Bij aanvallen op vitale infrastructuur – zoals ziekenhuizen of nutsvoorzieningen – kan zelfs sprake zijn van verzwarende omstandigheden onder § 303b lid 4, zeker als mensenlevens of openbare orde in gevaar komen.

Juridische en bewijsrechtelijke uitdagingen

De vervolging van DDoS-aanvallen en botnets is in de praktijk lastig. De verspreide aard van de aanvallen, vaak met internationale componenten, vereist grensoverschrijdende samenwerking. Digitale forensische bewijslast moet zorgvuldig worden verzameld, omdat rechters hoge eisen stellen aan het bewijs van opzet en causaliteit.

Toch is Duitsland goed uitgerust. Instellingen zoals de Zentralstelle zur Bekämpfung der Internetkriminalität (ZIT) en de cybercrime-afdelingen van het BKA beschikken over geavanceerde middelen, zoals blijkt uit het jaarlijkse Bundeslagebild Cybercrime.

Conclusie

Het Duitse strafrecht biedt een doordacht en krachtig kader om DDoS-aanvallen en botnets aan te pakken. Dankzij de combinatie van algemene strafrechtelijke bepalingen en gespecialiseerde normen zoals §§ 202a–c en § 303b StGB kunnen daders effectief worden vervolgd. De rechtspraak ontwikkelt zich voortdurend en laat zien dat de Duitse autoriteiten niet alleen reageren, maar anticiperen op technologische dreigingen.

In essentie: de wet volgt de cybercrime niet alleen, maar loopt haar soms zelfs voor.

• Over
• Laatste berichten

Duitse Advocaat Jens Ferner

Advocaat bij Advocatenkantoor Ferner Alsdorf

Ik ben een gespecialiseerde advocaat voor strafrecht + gespecialiseerde advocaat voor IT-recht en wijd mijn professionele leven volledig aan strafrechtelijke verdediging - en IT-recht als advocaat voor creatieve & digitale bedrijven en greentech. Voordat ik advocaat werd, was ik softwareontwikkelaar. Ik ben auteur in een gerenommeerd StPO-commentaar en in vakbladen.

Ons kantoor is gespecialiseerd in strafrechtelijke verdediging, witteboordenstrafrecht en IT-recht. Let op ons werk in kunstrecht, digitaal bewijs en softwarerecht.

Laatste berichten van Duitse Advocaat Jens Ferner (alles zien)

• Cryptovaluta als belastbare activa in duitsland - mei 7, 2025
• Digitale Bewijsmiddelen in Duitsland: Juridisch Kader, Verzameling en Toelaatbaarheid in de Rechtbank - mei 6, 2025
• De Duitse rechtspraak over Kryptomessengers: Encrochat, SkyECC & ANOM - mei 2, 2025