Server Support Forum
Anzeige:
Server-Haftung

Zurück   Server Support Forum > >


Antwort
 
Themen-Optionen Thema bewerten
  #1  
Alt 13.11.2010, 13:44
uhu uhu ist offline
Registered User
 
Registriert seit: 11.2009
Beiträge: 22
Zitat:
Zitat von PapaBaer Beitrag anzeigen
Habt ihr auch nur eine Kleinigkeit übersehen und jemand baut Mist mit eurem Server, dann haftet ihr in vollem Umfang (!!!!) als Server-Betreiber. Also, wenn ihr auch nur den Verdacht habt, dass etwas nicht koscher ist, dann ist sofortiges Handeln angesagt.
In welchem Gesetz steht das eigentlich? Jeder Serveradmin, der den Newbies Angst machen will, droht damit. Aber:
Ich kann mir irgendwie schwer vorstellen, dass ein Gericht jemanden verurteilt weil jemand anderes seinen Server gekapert hat aufgrund einer Sicherheitslücke, die man auch nicht selber verschuldet hat.

Wenn jemand mein Auto klaut und jemanden damit umfährt, bin ich da auch nicht schuld dran
Mit Zitat antworten

  #2  
Alt 13.11.2010, 15:54
Whistler Whistler ist offline
Support Guru
 
Registriert seit: 10.2008
Beiträge: 2.618
Zitat:
Zitat von uhu Beitrag anzeigen
Wenn jemand mein Auto klaut und jemanden damit umfährt, bin ich da auch nicht schuld dran
Auch hier irrst Du: §7(3) StVG.
Mit Zitat antworten
  #3  
Alt 13.11.2010, 17:08
uhu uhu ist offline
Registered User
 
Registriert seit: 11.2009
Beiträge: 22
Zitat:
Zitat von Whistler Beitrag anzeigen
Auch hier irrst Du: §7(3) StVG.
Dem entnehme ich:

Zitat:
Benutzt jemand das Fahrzeug ohne Wissen und Willen des Fahrzeughalters, so ist er anstelle des Halters zum Ersatz des Schadens verpflichtet;
Die Sicherheitslücke ist ja nicht von mir da einprogrammiert worden. Also ist das auch nicht mein Verschulden.

Um beim Autovergleich zu bleiben: das wäre so, als hätte Audi ein Fehlerhaftes Schloss eingebaut, welches man ohne meinen Originalschlüssel starten kann
Mit Zitat antworten
  #4  
Alt 13.11.2010, 17:39
PapaBaer PapaBaer ist offline
Registered User
 
Registriert seit: 09.2010
Ort: Halle (Saale)
Beiträge: 1.762
Zitat:
Zitat von uhu Beitrag anzeigen
Die Sicherheitslücke ist ja nicht von mir da einprogrammiert worden. Also ist das auch nicht mein Verschulden.
Das ist ja mal ne abenteuerliche Sichtweise. Hast du schon einmal die Lizenzen zu der Software gelesen, die du einsetzt? In dieser Lizenz (in dem Fall die GPL) ist geregelt, dass der Programmierer keine Haftung übernimmt und du das weißt, wenn du die Software einsetzt.

Es stellt sich an dieser Stelle auch die Frage, über welche "Schuld" wir hier reden. So gibt es durchaus die Möglichkeit, dass man dadurch, dass man Dinge unterlässt grob fahrlässig oder sogar schuldhaft handelt und dann natürlich haftet.

Zitat:
[...] daneben bleibt der Halter zum Ersatz des Schadens verpflichtet, wenn die Benutzung des Fahrzeugs durch sein Verschulden ermöglicht worden ist.
So haftet man z.B. dadurch, dass man es unterlässt sich in dem Maße um die Sicherheit seines Servers zu kümmern, wie man das zu tun hat. Da hilft dann auch keine Unwissenheit. Und das sind auch keine Geschichten, um jemanden Angst zu machen. Jeder, ob Newbee oder erfahrener Admin hat sich um die Sicherheit zu kümmern. Auch ich stehe in der Verantwortung und hafte im Zweifelsfall. Wenn dir das Angst macht, dann frage dich, ob du der Verantwortung gewachsen bist und beschuldige nicht andere der Panikmache.

Wo das steht? Zu aller erst in allen AGB der Anbieter:

http://www.server-lab.de/rootserver-und-verantwortung/
http://serverzeit.de/FreeBSD/admins-haften/
http://www.remodding.de/technik/was-...-betreiber_684

Und die schreiben das sicher nicht zum Spaß dort rein. Ich bin kein Anwalt, mir aber sicher, es wird sich eine entsprechende Stelle in den Gesetzen finden lassen, die alle Anbieter von Root-Servern dazu bringt, eine solche Klausel in ihre AGB aufzunehmen.

Es scheint mir mehr als logisch, dass ich als Betreiber von irgend einer Sache dafür verantwortlich bin, dass kein anderer dadurch zu Schaden kommt und nicht hinterher sagen kann: Sorry, hab ich halt nicht auf die Reihe bekommen. Aus gutem Grund brauche ich einen Architekten, wenn ich ein Haus baue oder einen Führerschein, um Auto zu fahren.

Gegenfrage: Was hast du denn konkret unternommen, um deiner Pflicht nachzukommen für Sicherheit zu sorgen? Was sind deine Strategien? Wie begegnest du der Tatsache, dass Sicherheitslücken auftreten? Wie stellst du fest, wenn dein Server Mist baut?

Geändert von PapaBaer (13.11.2010 um 17:53 Uhr)
Mit Zitat antworten
  #5  
Alt 13.11.2010, 19:38
voodoo44 voodoo44 ist offline
Registered User
 
Registriert seit: 03.2006
Alter: 30
Beiträge: 774
Zitat:
Zitat von PapaBaer Beitrag anzeigen
Es scheint mir mehr als logisch, dass ich als Betreiber von irgend einer Sache dafür verantwortlich bin, dass kein anderer dadurch zu Schaden kommt und nicht hinterher sagen kann: Sorry, hab ich halt nicht auf die Reihe bekommen. Aus gutem Grund brauche ich einen Architekten, wenn ich ein Haus baue oder einen Führerschein, um Auto zu fahren.
Achso - wenn also jemand einen Windows-PC kapert (ohne, dass diese Sicherheitslücke MS oder dem Betreiber des PCs bekannt wäre) und damit einen DDoS auf Webhoster XYZ startet, so hat JEDER, dessen PC gekapert wurde (wohlgemerkt: unbekannte Sicherheitslücke), also im schlimmsten Fall ein Problem mit einem fremden Anwalt? Na sicher :|
Gleicher Fall dürfte eintreten, wenn man die Lücke kennt - es aber noch keinen Patch dagegen gibt (siehe Fall Plesk - da hat es auch eine Weile gedauert). Was macht man in dem Fall? PC ausgeschaltet lassen?

Zitat:
Zitat von PapaBaer Beitrag anzeigen
Gegenfrage: Was hast du denn konkret unternommen, um deiner Pflicht nachzukommen für Sicherheit zu sorgen? Was sind deine Strategien? Wie begegnest du der Tatsache, dass Sicherheitslücken auftreten? Wie stellst du fest, wenn dein Server Mist baut?
Man kann nicht feststellen, wenn jemand auf dem eigenen Server "Mist baut". Immerhin können die Logfiles und Dienste so umgeschrieben worden sein, dass man es einfach nicht merkt. Im schlimmsten Fall ist es dann zu spät.

Ist sicher ein wenig OT - evtl. sollte man den Thread hier durch einen Moderator mal "abspalten" lassen. Oder gab es diese Diskussion schon einmal - ggf. mit kompetenteren Antworten als den von uns Rechtslaien?
Mit Zitat antworten
  #6  
Alt 13.11.2010, 19:59
PapaBaer PapaBaer ist offline
Registered User
 
Registriert seit: 09.2010
Ort: Halle (Saale)
Beiträge: 1.762
Spannend, wie die Problematik immer weiter eingeengt wird. Ja, es gibt einen eng umrissenen Fall, wo es auch mir schwer fällt eine saubere Antwort auf die Fragestellung zu finden: Zero-Day-Exploits geknüpft an einen sauber ausgeführten Angriff.

Jemand benutzt eine unbekannte Sicherheitslücke und legt einen Angriff hin, den ich mit meinen Gegenmaßnahmen nicht zu erkennen in der Lage bin.

Das ganze an einem System, an dem ich nachweisen kann, dass ich alles mir Mögliche unternommen habe, um einen hohen Grad an Sicherheit herzustellen. Die Antwort auf die Frage fände ich auch spannend.

Aber dieser Fall ist im hier diskutierten Zusammenhang mehr als eine Ausnahme. Zero-Days sind extrem selten, und der Angriff müsste auch Systeme wie verteiltes Logging und Host Base Intrusion Detection wie z.B. tripwire austricksen. Sicher, all das ist möglich, hat aber, wie bereits beschrieben, mit den gängigen Problemen wenig zu tun.

Desweiteren kann man sich sehr wohl in die Lage versetzen, auch solche Angriffe zu erkennen. Allerdings mit einem enormen Aufwand und nicht mehr auf einem einzigen Root-Server.

Wir diskutieren hier aber völlig andere Dinge und Situationen. Updates werden verschlafen oder überhaupt nicht eingespielt, es fehlt das Wissen über grundsätzliche Zusammenhänge, alles wird über Plesk gemanaged, weil das KnowHow zur Konsole fehlt, Leute behaupten in einer Tour, dass sie zwar einen Root haben, aber keine Ahnung von Linux, weitergehende Ansätze zum Erhöhen der Sicherheit sind unbekannt und werden überhaupt nicht genutzt.

Auch ohne ein Plesk-Update hätte das Problem zumindest zeitweise umgangen werden können, im Notfall halt erstmal FTP-Server runterfahren. In jedem Fall besser, als von nem Angriff zerlegt zu werden.

Bleibt das Fazit zu diesem Zeitpunkt: 99% haftet der Betreiber, 1% ist unklare Rechtslage.

Ich bin gespannt auf weitere Erkenntnisse.
Mit Zitat antworten
  #7  
Alt 13.11.2010, 23:17
voodoo44 voodoo44 ist offline
Registered User
 
Registriert seit: 03.2006
Alter: 30
Beiträge: 774
Das Problem ist genau das, was du angesprochen hast:
Zitat:
an dem ich nachweisen kann, dass ich alles mir Mögliche unternommen habe, um einen hohen Grad an Sicherheit herzustellen
Und das ist in meinen Augen der Knackpunkt an der ganzen Sache. Ab wann hast du denn alles DIR mögliche unternommen, um einen hohen Grad an Sicherheit herzustellen? In meinen Augen ist genau das das Problem.
Ich drück es mal ein wenig unsauber aus: Wann bist du an einer Lücke deines Servers schuld und wann nicht?
Das macht das ganze (wie ich finde) ein wenig untransparent.

Zitat:
im Notfall halt erstmal FTP-Server runterfahren
So habe ich es im Endeffekt auch gemacht. Es kann aber mal vorkommen, dass man einen Tag zu lang braucht (weil man eben nicht 24/7 auf Security-Pages unterwegs ist). Im schlimmsten Fall hat man dann ein infiltriertes System - von dem man erstmal nichts weiß, da die Logs + Programme manipuliert wurden. Dann steht man natürlich dumm da - und im Grunde dürfte eben genau DAS das aktuell angesprochene Problem sein.

Essenz meiner Aussage:
Ab wann ist man haftbar für Dinge, die durch fremde mit dem Server gemacht werden und wann nicht? In welcher Zeit MÜSSEN Patches (oder was auch immer, bzw. allgemein: Gegenmaßnahmen - und sei es das herunterfahren des FTP-Dienstes) eingespielt werden und welche sonstigen Sicherungsmaßnahmen muss ich unbedingt vornehmen, um mich für den schlimmsten Fall persönlich abzusichern?
Ich bin ehrlich: Ich schaue nicht ständig in's Plesk-Forum, ob da jemand einen Bug entdeckt hat. Und es kann auch schonmal vorkommen, dass Bugs per eMail gemeldet werden - dann steht man natürlich doof da, weil man keine Quelle hat (zumindest binnen der ersten 24-48 Stunden), die über den Bug berichtet - in Insider-Kreisen mag sich das dann aber schon verteilt haben.

Das ist in meinen Augen die eigentliche Problematik, die auch hier Anwendung finden dürfte. Da sollte man imho ein paar klarere Richtlinien einführen. Aktuell kann man damit ja alles und jeden verknacken
Mit Zitat antworten
  #8  
Alt 14.11.2010, 12:16
Benutzerbild von Huschi
Huschi Huschi ist offline
Moderator
 
Registriert seit: 09.2003
Ort: Nürnberg
Beiträge: 15.412
Blog-Einträge: 5
<Moderation>
Diskussion über Haftung vom Thema abgetrennt.
</Moderation>

Zitat:
Zitat von voodoo44 Beitrag anzeigen
Ab wann ist man haftbar
Genau das ist der Kern. Und diese Frage kann ausschließlich ein Richter in einem ganz speziellen Fall beantworten. Ob seine Entscheidung allgemeine Gültigkeit hat, ist wieder eine ganz andere Frage.
Dummerweise stehen aber vorher noch Anwälte auf der Türschwelle: Abmahnungen, unfreundliche Briefe und die Aussicht auf hohe Gerichtskosten.
Auch wenn man sich im Recht glaubt, lässt man es viel zu selten darauf ankommen.

Zu der wesentlichen Frage: Ab wann ist man verantwortlich?
In den verschiedenen Gesetzbüchern steht jeweils: "Ab bekannt werden."
Also ist die Frage: Wann ist es bekannt?
Antwort in diesem Fall: spätestens nach Veröffentlichung.
Ausrede: Aber wenn ich nicht ständig hier oder dort oder jenes lese, dann kann ich es gar nicht wissen!
Auflage: Jeder hat eine Selbstinformationspflicht.

Hilft das wirklich als Antwort? Nein.
Grundsätzlich sollte man sich einfach als Server-Betreiber über Eins im klaren sein:
Man steht immer mit halben Bein im Gefängnis.

huschi.
__________________
huschi.net - Linux-Server-Admin FAQ
Consult-N.de - kommerzieller Linux-Support
Mit Zitat antworten
  #9  
Alt 15.11.2010, 07:20
Benutzerbild von Huschi
Huschi Huschi ist offline
Moderator
 
Registriert seit: 09.2003
Ort: Nürnberg
Beiträge: 15.412
Blog-Einträge: 5
Und noch ein paar Gedanken zur Server-Haftung:

Stellt Euch vor, über eine solche Lücke werden Filme verteilt:
Erst kommt "Beteiligung am File-Sharing" welches man evtl. noch in "Mitstörer" umwandeln kann.
Wenn diese Filme sexuellen Inhalt haben, kommt noch der Jugendschutz dazu.
Bei entsprechenden Filmen mit Kindern ist sogar der "Besitz" strafbar; die Verteilung davon sowieso. Da kommt man um den Knast schon nicht mehr rum.

Wem dieses Szenario zu extrem ist:
Wie sieht es aus mit Webhosting-Kunden? Sobald der Server gesperrt ist - auch wenn der Admin ja so rein gar nicht daran schuld ist - ist dies keine gute Situation. Denn die Kunden haben einen direkten Vertrag mit dem Server-Betreiber, den dieser in solch einer Situation nicht mehr erfüllt.

Immer noch zu extrem, weil es keine Kunden auf dem Server gibt?
Und wie sieht es mit Emails aus? Wenn der Server kompromittiert wurde um Spam-Mails zu verschicken? Schon ist der Server bei SORBS oder sonst wo gelistet und Ihr bekommt eure eigenen Emails nicht mehr an Eure Freunde zugestellt.

Der Ärger ist definitiv da, wenn der Server "gehackt" wurde. Egal in welchem Rahmen, egal in welchem Ausmaß. Als Server-Admin/-Betreiber trägt man eine große Verantwortung. Und dieser Verantwortung sollte man sich im klaren sein!

huschi.
__________________
huschi.net - Linux-Server-Admin FAQ
Consult-N.de - kommerzieller Linux-Support
Mit Zitat antworten
  #10  
Alt 15.11.2010, 10:30
voodoo44 voodoo44 ist offline
Registered User
 
Registriert seit: 03.2006
Alter: 30
Beiträge: 774
Natürlich hat man diesbezüglich immer Ärger, das ist ganz klar.

Es geht doch hier aber eher um das Thema "Haftung", als um irgendwelche Blacklists a la SORBS.

Und ich bin trotzdem der Meinung, dass man jemanden nicht für etwas Haftbar machen kann, wo er eventuell garnichts dafür kann. Wenn meine verwendete Software irgendeinen Bug hat, der noch nicht weiter bekannt ist (evtl. in bestimmten "Insider-Kreisen") - eventuell aber z.B. über Nacht bekannt wird. Ich als namenhafter Autohersteller stehe dann natürlich dumm da - da ich nicht davon ausgehen kann, dass mein Admin um 03.00 Uhr am Rechner sitzt (irgendwann soll er ja mal auch schlafen) - aber hier natürlich jetzt der Server gehacked wird. Was passiert dann? Wer ist dafür zur Verantwortung zu ziehen? Der Admin, weil die Sicherheitslücke ja schon 4 Stunden bekannt war und ich nichts dagegen unternommen habe?
Mit Zitat antworten
  #11  
Alt 15.11.2010, 10:32
Benutzerbild von CentY
CentY CentY ist offline
Registered User
 
Registriert seit: 10.2007
Beiträge: 2.296
http://www.heise.de/newsticker/meldu...fe-141629.html
Mit Zitat antworten
  #12  
Alt 15.11.2010, 10:48
djchrisnet djchrisnet ist offline
Registered User
 
Registriert seit: 07.2010
Ort: Schleswig
Beiträge: 5
djchrisnet eine Nachricht über ICQ schicken djchrisnet eine Nachricht über Skype™ schicken
Zitat:
Zitat von Huschi Beitrag anzeigen
Man steht immer mit halben Bein im Gefängnis.
Ist in vielen anderen Berufen täglich Brot und dort beschwert sich komischerweise niemand =) Ich z.B. habe Betriebselektroniker gelernt und eins der ersten dinge die man als frischer Azubi vom Chef lernt ist: "Du steht mit einem Bein im Gefängnis und mit dem anderen um Grab"
Mit Zitat antworten
  #13  
Alt 15.11.2010, 13:37
Benutzerbild von Huschi
Huschi Huschi ist offline
Moderator
 
Registriert seit: 09.2003
Ort: Nürnberg
Beiträge: 15.412
Blog-Einträge: 5
Zitat:
Zitat von voodoo44 Beitrag anzeigen
Und ich bin trotzdem der Meinung, dass man jemanden nicht für etwas Haftbar machen kann, wo er eventuell garnichts dafür kann.
Man kann "recht haben", muss aber nicht zwangsweise auch "recht erhalten".
Diesen feinen Unterschied sollte man eigentlich schon in der Grundschule unterrichten. Das würde uns (schätzungsweise) die Hälfte der Doku-Soaps im Fernsehen ersparen.

Und voodoo44, es ist mir egal, was Du denkst und wie sehr Du Dich im Recht fühlst.
Denn genauso egal ist es Deinem Provider, wenn er Dir in einem solchen Fall den Server sperrt.
Und sobald Du die Rechnung von 20 EUR Bearbeitungsgebühren für die Entsperrung in der Hand hältst, wirst Du evtl. erkennen, dass Du gerade in Haftung genommen wurdest.

huschi.
__________________
huschi.net - Linux-Server-Admin FAQ
Consult-N.de - kommerzieller Linux-Support
Mit Zitat antworten
  #14  
Alt 15.11.2010, 14:02
Benutzerbild von Joe User
Joe User Joe User ist offline
R​o​o​t​F​o​r​u​m Team
 
Registriert seit: 11.2008
Ort: Hamburg
Alter: 37
Beiträge: 3.401
Zitat:
Zitat von voodoo44 Beitrag anzeigen
Und ich bin trotzdem der Meinung, dass man jemanden nicht für etwas Haftbar machen kann, wo er eventuell garnichts dafür kann.
Nehmen wir mal an, Du sitzt in der Kneipe und Dir rutscht Dein Autoschlüssel aus der Hosentasche. Diesen findet nun ein Fahruntüchtiger und fährt dennoch mit Deinem Fahrzeug los. Fünf Minuten später, noch weit bevor Du das Fehlen Deines Schlüssels bemerkst, baut der Fahruntüchtige einen Unfall mit Personenschaden. Kannst Du etwas für den Unfall? Nein. Bist Du dafür haftbar zu machen? Ja, zumindest zum Teil, denn Du hast es versäumt, Dein Fahrzeug ausreichend gegen Misbrauch zu sichern, indem Du den Schlüssel nicht sicher verwahrt hast.
Mit Zitat antworten
  #15  
Alt 15.11.2010, 15:36
Perry_Rhodan Perry_Rhodan ist offline
Registered User
 
Registriert seit: 10.2007
Ort: Berlin
Alter: 43
Beiträge: 367
Lustige Diskussion...

Nach meinem Kenntnisstand ist man immer haftbar, denn man muß 24/7 für die Sicherheit sorgen.

Nicht ohne Grund haben viele (alle) größeren Firmen eine "rundumdieuhrerreichbar" IT-Abteilung.

Sobald man einen Server geschäftlich betreibt, ist man immer haftbar, denn Unwissenheit schütz vor Strafe nicht! Bei privatem Betreiben hängt es, meines Erachtens, vom nachweisbaren Vorsatz ab. Wer seinen Server gut sichert, dürfte keine Sorgen haben, sollte durch einen neuen, unbekannten Fehler etwas passiert sein.

Und dann hängt es vom jeweiligen Gericht ab. In Hamburg wirste als Schwerstkrimineller verurteilt, im Rest des Landes je nach eigenem Verschulden.

Fazit, bei gewerbsmäßigem Gebrauch muß man 24/7 für Sicherheit sorgen, bei Privatgebrauch sage ich mal innerhalb von 2 Tagen.

Dies ist meine Meinung und kein Gesetz!

Gruß

Ulf
Mit Zitat antworten
Antwort

Lesezeichen


Themen-Optionen
Thema bewerten
Thema bewerten:

Forumregeln
Es ist dir nicht erlaubt, neue Themen zu verfassen.
Es ist dir nicht erlaubt, auf Beiträge zu antworten.
Es ist dir nicht erlaubt, Anhänge hochzuladen.
Es ist dir nicht erlaubt, deine Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist aus.
HTML-Code ist aus.

Gehe zu

Ähnliche Themen
Thema Autor Forum Antworten Letzter Beitrag
.htacces mit passwortabfrage "login incorrect" Torbenslein Webserver 3 29.04.2009 14:14
[APACHE2 PROBLEM] Caught SIGTERM, shutting down Aquafresh Webserver 5 03.06.2008 19:47
Kann mir mahl jemand weiter helfen ktr453 Dedizierte Server 16 31.03.2008 21:52
VirtualHost wurmi Virtuelle Server 7 01.10.2003 22:20


Server-Haftung
Server-Haftung
Server-Haftung Server-Haftung
Powered by vBulletin® Version 3.8.9 (Deutsch)
Copyright ©2000 - 2016, vBulletin Solutions, Inc.
Search Engine Optimisation provided by DragonByte SEO (Pro) - vBulletin Mods & Addons Copyright © 2016 DragonByte Technologies Ltd.