Server-Haftung

[uhu]

Habt ihr auch nur eine Kleinigkeit übersehen und jemand baut Mist mit eurem Server, dann haftet ihr in vollem Umfang (!!!!) als Server-Betreiber. Also, wenn ihr auch nur den Verdacht habt, dass etwas nicht koscher ist, dann ist sofortiges Handeln angesagt.

In welchem Gesetz steht das eigentlich? Jeder Serveradmin, der den Newbies Angst machen will, droht damit. Aber:
Ich kann mir irgendwie schwer vorstellen, dass ein Gericht jemanden verurteilt weil jemand anderes seinen Server gekapert hat aufgrund einer Sicherheitslücke, die man auch nicht selber verschuldet hat.

Wenn jemand mein Auto klaut und jemanden damit umfährt, bin ich da auch nicht schuld dran

 

[Whistler]

Wenn jemand mein Auto klaut und jemanden damit umfährt, bin ich da auch nicht schuld dran

Auch hier irrst Du: §7(3) StVG.

 

[uhu]

Auch hier irrst Du: §7(3) StVG.

Dem entnehme ich:

Benutzt jemand das Fahrzeug ohne Wissen und Willen des Fahrzeughalters, so ist er anstelle des Halters zum Ersatz des Schadens verpflichtet;

Die Sicherheitslücke ist ja nicht von mir da einprogrammiert worden. Also ist das auch nicht mein Verschulden.

Um beim Autovergleich zu bleiben: das wäre so, als hätte Audi ein Fehlerhaftes Schloss eingebaut, welches man ohne meinen Originalschlüssel starten kann

 

[PapaBaer]

Die Sicherheitslücke ist ja nicht von mir da einprogrammiert worden. Also ist das auch nicht mein Verschulden.

Das ist ja mal ne abenteuerliche Sichtweise. Hast du schon einmal die Lizenzen zu der Software gelesen, die du einsetzt? In dieser Lizenz (in dem Fall die GPL) ist geregelt, dass der Programmierer keine Haftung übernimmt und du das weißt, wenn du die Software einsetzt.

Es stellt sich an dieser Stelle auch die Frage, über welche "Schuld" wir hier reden. So gibt es durchaus die Möglichkeit, dass man dadurch, dass man Dinge unterlässt grob fahrlässig oder sogar schuldhaft handelt und dann natürlich haftet.

[...] daneben bleibt der Halter zum Ersatz des Schadens verpflichtet, wenn die Benutzung des Fahrzeugs durch sein Verschulden ermöglicht worden ist.

So haftet man z.B. dadurch, dass man es unterlässt sich in dem Maße um die Sicherheit seines Servers zu kümmern, wie man das zu tun hat. Da hilft dann auch keine Unwissenheit. Und das sind auch keine Geschichten, um jemanden Angst zu machen. Jeder, ob Newbee oder erfahrener Admin hat sich um die Sicherheit zu kümmern. Auch ich stehe in der Verantwortung und hafte im Zweifelsfall. Wenn dir das Angst macht, dann frage dich, ob du der Verantwortung gewachsen bist und beschuldige nicht andere der Panikmache.

Wo das steht? Zu aller erst in allen AGB der Anbieter:

http://www.server-lab.de/rootserver-und-verantwortung/
http://serverzeit.de/FreeBSD/admins-haften/
http://www.remodding.de/technik/was-bedeutet-haftung-als-server-betreiber_684

Und die schreiben das sicher nicht zum Spaß dort rein. Ich bin kein Anwalt, mir aber sicher, es wird sich eine entsprechende Stelle in den Gesetzen finden lassen, die alle Anbieter von Root-Servern dazu bringt, eine solche Klausel in ihre AGB aufzunehmen.

Es scheint mir mehr als logisch, dass ich als Betreiber von irgend einer Sache dafür verantwortlich bin, dass kein anderer dadurch zu Schaden kommt und nicht hinterher sagen kann: Sorry, hab ich halt nicht auf die Reihe bekommen. Aus gutem Grund brauche ich einen Architekten, wenn ich ein Haus baue oder einen Führerschein, um Auto zu fahren.

Gegenfrage: Was hast du denn konkret unternommen, um deiner Pflicht nachzukommen für Sicherheit zu sorgen? Was sind deine Strategien? Wie begegnest du der Tatsache, dass Sicherheitslücken auftreten? Wie stellst du fest, wenn dein Server Mist baut?

 

[voodoo44]

Es scheint mir mehr als logisch, dass ich als Betreiber von irgend einer Sache dafür verantwortlich bin, dass kein anderer dadurch zu Schaden kommt und nicht hinterher sagen kann: Sorry, hab ich halt nicht auf die Reihe bekommen. Aus gutem Grund brauche ich einen Architekten, wenn ich ein Haus baue oder einen Führerschein, um Auto zu fahren.

Achso - wenn also jemand einen Windows-PC kapert (ohne, dass diese Sicherheitslücke MS oder dem Betreiber des PCs bekannt wäre) und damit einen DDoS auf Webhoster XYZ startet, so hat JEDER, dessen PC gekapert wurde (wohlgemerkt: unbekannte Sicherheitslücke), also im schlimmsten Fall ein Problem mit einem fremden Anwalt? Na sicher :|
Gleicher Fall dürfte eintreten, wenn man die Lücke kennt - es aber noch keinen Patch dagegen gibt (siehe Fall Plesk - da hat es auch eine Weile gedauert). Was macht man in dem Fall? PC ausgeschaltet lassen?

Gegenfrage: Was hast du denn konkret unternommen, um deiner Pflicht nachzukommen für Sicherheit zu sorgen? Was sind deine Strategien? Wie begegnest du der Tatsache, dass Sicherheitslücken auftreten? Wie stellst du fest, wenn dein Server Mist baut?

Man kann nicht feststellen, wenn jemand auf dem eigenen Server "Mist baut". Immerhin können die Logfiles und Dienste so umgeschrieben worden sein, dass man es einfach nicht merkt. Im schlimmsten Fall ist es dann zu spät.

Ist sicher ein wenig OT - evtl. sollte man den Thread hier durch einen Moderator mal "abspalten" lassen. Oder gab es diese Diskussion schon einmal - ggf. mit kompetenteren Antworten als den von uns Rechtslaien?

 

[PapaBaer]

Spannend, wie die Problematik immer weiter eingeengt wird. Ja, es gibt einen eng umrissenen Fall, wo es auch mir schwer fällt eine saubere Antwort auf die Fragestellung zu finden: Zero-Day-Exploits geknüpft an einen sauber ausgeführten Angriff.

Jemand benutzt eine unbekannte Sicherheitslücke und legt einen Angriff hin, den ich mit meinen Gegenmaßnahmen nicht zu erkennen in der Lage bin.

Das ganze an einem System, an dem ich nachweisen kann, dass ich alles mir Mögliche unternommen habe, um einen hohen Grad an Sicherheit herzustellen. Die Antwort auf die Frage fände ich auch spannend.

Aber dieser Fall ist im hier diskutierten Zusammenhang mehr als eine Ausnahme. Zero-Days sind extrem selten, und der Angriff müsste auch Systeme wie verteiltes Logging und Host Base Intrusion Detection wie z.B. tripwire austricksen. Sicher, all das ist möglich, hat aber, wie bereits beschrieben, mit den gängigen Problemen wenig zu tun.

Desweiteren kann man sich sehr wohl in die Lage versetzen, auch solche Angriffe zu erkennen. Allerdings mit einem enormen Aufwand und nicht mehr auf einem einzigen Root-Server.

Wir diskutieren hier aber völlig andere Dinge und Situationen. Updates werden verschlafen oder überhaupt nicht eingespielt, es fehlt das Wissen über grundsätzliche Zusammenhänge, alles wird über Plesk gemanaged, weil das KnowHow zur Konsole fehlt, Leute behaupten in einer Tour, dass sie zwar einen Root haben, aber keine Ahnung von Linux, weitergehende Ansätze zum Erhöhen der Sicherheit sind unbekannt und werden überhaupt nicht genutzt.

Auch ohne ein Plesk-Update hätte das Problem zumindest zeitweise umgangen werden können, im Notfall halt erstmal FTP-Server runterfahren. In jedem Fall besser, als von nem Angriff zerlegt zu werden.

Bleibt das Fazit zu diesem Zeitpunkt: 99% haftet der Betreiber, 1% ist unklare Rechtslage.

Ich bin gespannt auf weitere Erkenntnisse.

 

[voodoo44]

Das Problem ist genau das, was du angesprochen hast:

an dem ich nachweisen kann, dass ich alles mir Mögliche unternommen habe, um einen hohen Grad an Sicherheit herzustellen

Und das ist in meinen Augen der Knackpunkt an der ganzen Sache. Ab wann hast du denn alles DIR mögliche unternommen, um einen hohen Grad an Sicherheit herzustellen? In meinen Augen ist genau das das Problem.
Ich drück es mal ein wenig unsauber aus: Wann bist du an einer Lücke deines Servers schuld und wann nicht?
Das macht das ganze (wie ich finde) ein wenig untransparent.

im Notfall halt erstmal FTP-Server runterfahren

So habe ich es im Endeffekt auch gemacht. Es kann aber mal vorkommen, dass man einen Tag zu lang braucht (weil man eben nicht 24/7 auf Security-Pages unterwegs ist). Im schlimmsten Fall hat man dann ein infiltriertes System - von dem man erstmal nichts weiß, da die Logs + Programme manipuliert wurden. Dann steht man natürlich dumm da - und im Grunde dürfte eben genau DAS das aktuell angesprochene Problem sein.

Essenz meiner Aussage:
Ab wann ist man haftbar für Dinge, die durch fremde mit dem Server gemacht werden und wann nicht? In welcher Zeit MÜSSEN Patches (oder was auch immer, bzw. allgemein: Gegenmaßnahmen - und sei es das herunterfahren des FTP-Dienstes) eingespielt werden und welche sonstigen Sicherungsmaßnahmen muss ich unbedingt vornehmen, um mich für den schlimmsten Fall persönlich abzusichern?
Ich bin ehrlich: Ich schaue nicht ständig in's Plesk-Forum, ob da jemand einen Bug entdeckt hat. Und es kann auch schonmal vorkommen, dass Bugs per eMail gemeldet werden - dann steht man natürlich doof da, weil man keine Quelle hat (zumindest binnen der ersten 24-48 Stunden), die über den Bug berichtet - in Insider-Kreisen mag sich das dann aber schon verteilt haben.

Das ist in meinen Augen die eigentliche Problematik, die auch hier Anwendung finden dürfte. Da sollte man imho ein paar klarere Richtlinien einführen. Aktuell kann man damit ja alles und jeden verknacken

 

[Huschi]

<Moderation>
Diskussion über Haftung vom Thema abgetrennt.
</Moderation>

Ab wann ist man haftbar

Genau das ist der Kern. Und diese Frage kann ausschließlich ein Richter in einem ganz speziellen Fall beantworten. Ob seine Entscheidung allgemeine Gültigkeit hat, ist wieder eine ganz andere Frage.
Dummerweise stehen aber vorher noch Anwälte auf der Türschwelle: Abmahnungen, unfreundliche Briefe und die Aussicht auf hohe Gerichtskosten.
Auch wenn man sich im Recht glaubt, lässt man es viel zu selten darauf ankommen.

Zu der wesentlichen Frage: Ab wann ist man verantwortlich?
In den verschiedenen Gesetzbüchern steht jeweils: "Ab bekannt werden."
Also ist die Frage: Wann ist es bekannt?
Antwort in diesem Fall: spätestens nach Veröffentlichung.
Ausrede: Aber wenn ich nicht ständig hier oder dort oder jenes lese, dann kann ich es gar nicht wissen!
Auflage: Jeder hat eine Selbstinformationspflicht.

Hilft das wirklich als Antwort? Nein.
Grundsätzlich sollte man sich einfach als Server-Betreiber über Eins im klaren sein:
Man steht immer mit halben Bein im Gefängnis.

huschi.

 

[Huschi]

Und noch ein paar Gedanken zur Server-Haftung:

Stellt Euch vor, über eine solche Lücke werden Filme verteilt:
Erst kommt "Beteiligung am File-Sharing" welches man evtl. noch in "Mitstörer" umwandeln kann.
Wenn diese Filme sexuellen Inhalt haben, kommt noch der Jugendschutz dazu.
Bei entsprechenden Filmen mit Kindern ist sogar der "Besitz" strafbar; die Verteilung davon sowieso. Da kommt man um den Knast schon nicht mehr rum.

Wem dieses Szenario zu extrem ist:
Wie sieht es aus mit Webhosting-Kunden? Sobald der Server gesperrt ist - auch wenn der Admin ja so rein gar nicht daran schuld ist - ist dies keine gute Situation. Denn die Kunden haben einen direkten Vertrag mit dem Server-Betreiber, den dieser in solch einer Situation nicht mehr erfüllt.

Immer noch zu extrem, weil es keine Kunden auf dem Server gibt?
Und wie sieht es mit Emails aus? Wenn der Server kompromittiert wurde um Spam-Mails zu verschicken? Schon ist der Server bei SORBS oder sonst wo gelistet und Ihr bekommt eure eigenen Emails nicht mehr an Eure Freunde zugestellt.

Der Ärger ist definitiv da, wenn der Server "gehackt" wurde. Egal in welchem Rahmen, egal in welchem Ausmaß. Als Server-Admin/-Betreiber trägt man eine große Verantwortung. Und dieser Verantwortung sollte man sich im klaren sein!

huschi.

 

[voodoo44]

Natürlich hat man diesbezüglich immer Ärger, das ist ganz klar.

Es geht doch hier aber eher um das Thema "Haftung", als um irgendwelche Blacklists a la SORBS.

Und ich bin trotzdem der Meinung, dass man jemanden nicht für etwas Haftbar machen kann, wo er eventuell garnichts dafür kann. Wenn meine verwendete Software irgendeinen Bug hat, der noch nicht weiter bekannt ist (evtl. in bestimmten "Insider-Kreisen") - eventuell aber z.B. über Nacht bekannt wird. Ich als namenhafter Autohersteller stehe dann natürlich dumm da - da ich nicht davon ausgehen kann, dass mein Admin um 03.00 Uhr am Rechner sitzt (irgendwann soll er ja mal auch schlafen) - aber hier natürlich jetzt der Server gehacked wird. Was passiert dann? Wer ist dafür zur Verantwortung zu ziehen? Der Admin, weil die Sicherheitslücke ja schon 4 Stunden bekannt war und ich nichts dagegen unternommen habe?

 

[CentY]

http://www.heise.de/newsticker/meldung/Urteil-Server-Inhaber-haftet-fuer-DDoS-Angriffe-141629.html

 

[djchrisnet]

Man steht immer mit halben Bein im Gefängnis.

Ist in vielen anderen Berufen täglich Brot und dort beschwert sich komischerweise niemand =) Ich z.B. habe Betriebselektroniker gelernt und eins der ersten dinge die man als frischer Azubi vom Chef lernt ist: "Du steht mit einem Bein im Gefängnis und mit dem anderen um Grab"

 

[Huschi]

Und ich bin trotzdem der Meinung, dass man jemanden nicht für etwas Haftbar machen kann, wo er eventuell garnichts dafür kann.

Man kann "recht haben", muss aber nicht zwangsweise auch "recht erhalten".
Diesen feinen Unterschied sollte man eigentlich schon in der Grundschule unterrichten. Das würde uns (schätzungsweise) die Hälfte der Doku-Soaps im Fernsehen ersparen.

Und voodoo44, es ist mir egal, was Du denkst und wie sehr Du Dich im Recht fühlst.
Denn genauso egal ist es Deinem Provider, wenn er Dir in einem solchen Fall den Server sperrt.
Und sobald Du die Rechnung von 20 EUR Bearbeitungsgebühren für die Entsperrung in der Hand hältst, wirst Du evtl. erkennen, dass Du gerade in Haftung genommen wurdest.

huschi.

 

[Joe User]

Und ich bin trotzdem der Meinung, dass man jemanden nicht für etwas Haftbar machen kann, wo er eventuell garnichts dafür kann.

Nehmen wir mal an, Du sitzt in der Kneipe und Dir rutscht Dein Autoschlüssel aus der Hosentasche. Diesen findet nun ein Fahruntüchtiger und fährt dennoch mit Deinem Fahrzeug los. Fünf Minuten später, noch weit bevor Du das Fehlen Deines Schlüssels bemerkst, baut der Fahruntüchtige einen Unfall mit Personenschaden. Kannst Du etwas für den Unfall? Nein. Bist Du dafür haftbar zu machen? Ja, zumindest zum Teil, denn Du hast es versäumt, Dein Fahrzeug ausreichend gegen Misbrauch zu sichern, indem Du den Schlüssel nicht sicher verwahrt hast.

 

[Perry_Rhodan]

Lustige Diskussion...

Nach meinem Kenntnisstand ist man immer haftbar, denn man muß 24/7 für die Sicherheit sorgen.

Nicht ohne Grund haben viele (alle) größeren Firmen eine "rundumdieuhrerreichbar" IT-Abteilung.

Sobald man einen Server geschäftlich betreibt, ist man immer haftbar, denn Unwissenheit schütz vor Strafe nicht! Bei privatem Betreiben hängt es, meines Erachtens, vom nachweisbaren Vorsatz ab. Wer seinen Server gut sichert, dürfte keine Sorgen haben, sollte durch einen neuen, unbekannten Fehler etwas passiert sein.

Und dann hängt es vom jeweiligen Gericht ab. In Hamburg wirste als Schwerstkrimineller verurteilt, im Rest des Landes je nach eigenem Verschulden.

Fazit, bei gewerbsmäßigem Gebrauch muß man 24/7 für Sicherheit sorgen, bei Privatgebrauch sage ich mal innerhalb von 2 Tagen.

Dies ist meine Meinung und kein Gesetz!

Gruß

Ulf

 

[PapaBaer]

Und trotzdem bleibt eine Frage offen, da springe ich voodoo4 bei: Was ist denn (rein rechtlich, nicht rein stress-technisch), wenn ich wirklich alles mir mögliche unternommen habe, und das auch z.B. durch Backups oder Prüfsummen nachweisen kann?

Am Beispiel des Autos: Ich habe den Autoschlüssel eben in einen Save gepackt, weil ich auf Nummer sicher gehen will. Den bricht einer auf und baut dann einen Unfall.

Ich sehe das Problem darin, dass viele Root-Server betreiber nicht im Ansatz einen Save bedienen können, geschweige denn ihren Autoschlüssel dort hintun, fände die Antwort auf die Frage trotzdem spannend.

 

[voodoo44]

Nehmen wir mal an, Du sitzt in der Kneipe und Dir rutscht Dein Autoschlüssel aus der Hosentasche.

... und was ist nun, wenn ich den Autoschlüssel in der Tasche habe - jemand anderes aber mein Auto aufbricht, weil er weiß dass die Schlösser - die dort verbaut sind - einen Fehler haben und man mit einem XYZ-Schlüssel ALLE Autos dieser Baureihe öffnen kann? Hierauf habe ich keinen Einfluss, da ich das Auto nicht sofort in die Werkstatt geben kann. Warum kann ich das nicht? Weil der Autohersteller mir noch nicht bescheid gegeben hat, dass eine Rückrufaktion samt Schloss- und Schlüsseltausch stattfindet.
Und nun? Was kann ich dafür, dass der Autobauer ein falsches Schloss verbaut? Bin ich dann trotzdem dafür zur Haft zu nehmen? Wahrscheinlich ja, weil ich mein eigenes Auto nicht gesichert habe und ich nicht stündlich in der Werkstatt anrufe, weil ein Fehler am Auto existieren könnte? In der Regel läuft sowas nämlich durch Briefe, die an alle verschickt werden. Der eine bekommt ihn eher, der andere später. Und dann?

@huschi
Man kann "im recht sein", muss aber nicht "recht bekommen" ... recht haben dürfte etwas anderes sein *hust*

"Und sobald Du die Rechnung von 20 EUR Bearbeitungsgebühren für die Entsperrung in der Hand hältst, wirst Du evtl. erkennen, dass Du gerade in Haftung genommen wurdest."
Das bringt uns in der Diskussion trotzdem nicht weiter. Ob man nun das Recht hat, sich das Geld vom Angreifer wieder zu holen? Auf nichts anderes läuft es doch hinaus ...

@PapaBaer
Genau das dürfte die interessanteste aller Fragen sein. Denn ein perfektes System gibt es nicht. Und wenn der Safe geknackt wurde - was passiert dann? Hätte ich mich drum kümmern müssen, dass ich einen "unknackbaren" Safe kaufe?

 

[svenr]

Abschließend wird sich das in diesem Rahmen hier nicht klären lassen.
Schlussendlich wirds immer eine Einzelfallenscheidung (vor Gericht) sein.
Jedoch sollte einem bewusst sein und ich denke das wollen die meisten hier sagen, das man in der Haftung schnell dabei ist.
Insbesondere die Leute welche ein System kaufen und denken damit ist alles getan. War ja schliesslich vom Hoster so vorinstalliert, wird schon auf ewig passen und wenn was ist soll es der Hoster gefälligst richten.
Denn das las ich in den letzten Tagen öfter hier im Forum.

Gruß Sven

 

[Joe User]

Und trotzdem bleibt eine Frage offen, da springe ich voodoo4 bei: Was ist denn (rein rechtlich, nicht rein stress-technisch), wenn ich wirklich alles mir mögliche unternommen habe, und das auch z.B. durch Backups oder Prüfsummen nachweisen kann?

Wenn Du nachweislich wirklich Alles Dir zumutbare unternommen hast, dann kannst Du jeglichen Dir zivilrechtlich entstandenen Schaden gegenüber dem Täter geltend machen. Eventuelle strafrechtliche Konsequenzen hängen trotzdem vom jeweiligen Straftatbestand und Richter ab. Bei KiPo wirst Du vermutlich trozdem bestraft, bei Spam und DoS eher nur milde verwarnt oder gar wegen Geringfügigkeit freigesprochen.
Ein Restrisiko besteht grundsätzlich immer, egal ob in Hamburg oder sonstwo...

 

[siradlib]

Wobei der Vergleich KiPo-DoS wieder interessant ist. Aufs Auto übertragen: Sollte es für das mir(!) Zustehende Strafmaß nicht egal sein, ob der Autodieb "nur" ein anderes Auto rammt oder einen Menschen überfährt? Was kann denn ich für das Verhalten des Diebes