Laut [Urteil vom 06.10.](http://www.dr-bahr.com/download/ag-gelnhausen-haftung-kosten-eigener-server-bei-ddos-attacken-51-C-202-05.pdf) zahlt, zumindest in diesem Falle, der Mieter des Servers. Im vorliegenden Fall ist das ein Reseller, der einen bzw. mehrere Server bei einem Webhoster stehen hat.
Auf einen seiner Server wurde eine DDoS-Attacke unternommen, woraufhin der Hoster sämtliche Server dieses Kunden vom Netz nahm — und offline stehen lies. In der Klage ging es nun um Rechnungen, die zu zahlen der Reseller verweigerte. Teils zu Recht, was die Mietkosten für die offline stehenden Server angeht — Teils zu Unrecht, wo es um die Kosten für den Traffic geht.
Im Mietpreis enthalten waren hier 250GB. Durch den DDoS wurden knapp 500GB Traffic erzeugt. Der Reseller wollte die dadurch entstandenen Mehrkosten (0,49 EUR pro GB) jedoch nicht übernehmen, hat doch er den DDoS nicht zu verantworten.
Das hat er jedoch, jedenfalls gegenüber seinem Hoster. Das Gericht verurteilt ihn also zur Zahlung dieses Rechnungspostens.
> Dieser erfolgte auf den Server des Beklagten und läge damit nach Ansicht des Gerichts grundsätzlich in seinem **Risikobereich**. Der erhöhte Datentransfer und die Leistungen zur Analyse und dem Stoppen der Attacken seien daher nicht der Klägerin anzulasten, sondern erfolgten im Vertragsverhältnis zwischen den Parteien zu Gunsten des Beklagten. Wegen dieser Kosten könne der Beklagte Rückgriff nur bei den Verursachern der Angriffe nehmen, nicht aber die Leistung gegenüber der Klägerin verweigern.
>
> heise online - Urteil: Server-Inhaber haftet für DDoS-Angriffe
Mit dem Trend zum eigenen Server, und sei er auch managed, wird dieses Thema immer brisanter. Viel zu oft erlebe ich, dass Unbedarfte sich einen Server mieten, davon ausgehend, dass sie mit Confixx und Co. doch alles prima im Griff haben. Das reicht aber nicht. Weiterhin verschärft dieses Urteil im Grunde den Druck, der auf den Admins lastet. Wer seinen Server nicht absichert, zahlt.