Da würde ich sagen, ein guter Login-Mechanismus muss viele Versuche aushalten. Eventuell kannst du da ein Throttling einbauen, sodass nach 10 Versuchen in 2 Minuten jeder weitere Versuch 5 Sekunden extra dauert (ohne den Server zu blocken).

Bringt ja nix, ultimativ kann man ja ein komplett eigenes Programm schreiben. Der Login muss kryptographisch sicher sein, dann ist das alles kein Problem. Man könnte auch überlegen, dem Client eine Challenge zu geben, das 1 Sekunde Rechenzeit verbrät aber einfach zu prüfen ist (bcrypt hashing?).

Ich denke, im Allgemeinen greift die Frage nach dem Gesetz zu kurz. Auch wenn du jetzt wissen solltest, wer der Angreifer ist und dass er sich an deutsche Gesetze halten muss - wenn deine Anwendung im Internet hängt, helfen dir deutsche Gesetze nicht mehr.