Archive.today: Betreiber setzt Nutzer für DDoS-Attacke ein

Der anonyme Betreiber von Archive.today setzt Besucher seiner Internetseite in einer Distributed-Denial-of-Service-Attacke (DDoS) unwissentlich gegen einen finnischen Blogger ein. Auf einer Vorschaltseite, die per Google reCaptcha Bots fernhalten soll, ist JavaScript versteckt, das im Browser des Nutzers alle 300 Millisekunden eine HTTP-Anfrage an die Seite Gyrovague.com richtet. Hintergrund der Attacke ist offenbar ein missliebiger Blogpost des Betroffenen. Hinter der attackierten URL verbirgt sich der Blog des Finnen Janni Patokallio, der im Jahr 2023 in einem Beitrag Ergebnisse einer Recherche über Archive.today veröffentlicht hatte. Deutsche Nutzer, die Archive.today verwenden, bewegen sich dadurch in einer rechtlichen Grauzone und könnten sich strafbar machen, sagt ein Fachanwalt für IT-Recht.

Gegenüber einem Sicherheitsforscher erklärte der Betreiber von Archive.today, dass die DDoS-Attacke dazu diene, die Hosting-Kosten des Finnen „etwas“ in die Höhe zu treiben. Er fühle sich durch dessen Blogpost „gedoxxed“ und reagiere mit der DDoS-Attacke darauf. In dem offiziellen Tumblr-Blog von Archive.today, in das vor Kurzem nach zwei Jahren Pause erstmals wieder gepostet wurde, werden Patokallio und seine Familie scharf attackiert. In dem Post werden wirre Zusammenhänge zwischen Patokallio, einer angeblichen Nazi-Vergangenheit seines Großvaters, Waffenhandel und der Ukraine hergestellt.

Sperren gegen Medienunternehmen

Der Betreiber von Archive.today war für heise online über die auf der Seite angegebene E-Mail-Adresse nicht zu erreichen. In seinem Tumblr-Blog schreibt er, dass er Büros des Verlags Condé Nast gesperrt habe, weil diese „Propaganda“ über seinen Dienst veröffentlicht hätten. Von einer solchen Sperre ist seit einigen Tagen offenbar auch heise online betroffen. Aus dem Firmennetz ist die Seite nicht mehr aufrufbar, E-Mails an den Betreiber können nicht zugestellt werden. Stein des Anstoßes bei heise online ist offenbar ein Bericht vom November 2025, in dem es um Ermittlungen von US-Behörden gegen Archive.today ging.

In diesem Bericht wurde auch der Blogpost von Janni Patokallio erwähnt und verlinkt. Dieser erklärt darin unter anderem, dass Archive.today ein Botnetz mit wechselnden IP-Adressen betreibt, um Abwehrmaßnahmen gegen das Scraping zu umgehen. Mit Archive.today können frühere Versionen einer Website aufgerufen werden, in vielen Fällen aber auch Bezahlschranken von Publikationen umgangen werden. Patokallio schrieb außerdem, dass der oder die Betreiber in Russland sitzen – eine These, die im Netz allerdings umstritten ist.

So reagiert der Betroffene

Janni Patokallio erklärte in seinem Blog, dass ihm die DDoS-Attacke finanziell nichts ausmache, da er ein Webhosting zum Pauschalpreis nutze. Hinzu kommt, dass Adblocker wie uBlock Origin die DDoS-Anfragen inzwischen blockieren. Der Attacke war offenbar eine E-Mail des Archive.today-Betreibers vorausgegangen, die er zunächst übersehen habe. Als er schließlich antwortete, habe ihn der Betreiber mit rufschädigenden Maßnahmen bedroht.

Mit seiner Aktion bringt der Betreiber von Archive.today möglicherweise auch Nutzer aus Deutschland in rechtliche Schwierigkeiten. DDoS-Angriffe sind strafbar. „Wenn man nun arglos in einen solchen Angriff verwickelt wird, kann das mangels Vorsatz schon nicht strafrechtlich relevant sein; wenn man aber sowohl hinsichtlich des Angriffs als auch hinsichtlich seines eigenen Förderungsbeitrags in Form des Aufrufens des Formulars erkennt und billigend in Kauf nimmt, dass sich dies als unterstützender Bestandteil realisiert, läge eine Straftat vor“, ordnete der IT-Anwalt Jens Ferner die rechtliche Situation auf Anfrage von heise online ein. Zwar sei es in der Praxis eher so, dass eine strafrechtliche Verfolgung wegen des Aufwands nicht erfolgen wird. Allerdings dürfte das Bekanntwerden der Attacke durch Medienberichte dazu beitragen, dass ein Vorsatz leichter nachzuweisen ist.

Ferner weist auf einen anderen Nebeneffekt hin: Dadurch, dass Archive.today die Nutzer unwissentlich die URL des finnischen Bloggers aufrufen lässt, werden deren IP-Adressen an diesen übertragen. Dies könnte ein Angriffspunkt für die Verfolgung von Urheberrechtsverletzungen sein.

(mki)