Kategorie: IT-Sicherheit

Juristische Konsequenzen für Provider und Diensteanbieter bei IT-Sicherheitslücke

Welche Pflichten treffen eigentlich Provider, wenn eine IT-Sicherheitslücke in eingesetzter Software bekannt wird, die noch gar nicht ausgenutzt wurde? In der Tat ergeben sich dabei einige vertragsrechtliche Aspekte. Als Beispiel soll die im Jahr 2014 bekannt gewordene Sicherheitslücke mit dem treffenden Namen “Shellshock” dienen, die schnell ausgenutzt wurde,

Ein solcher Fall sollte Provider und Anbieter von Internetdiensten immer aufhorchen lassen – nicht nur in technischer Hinsicht. Denn es bieten sich durchaus juristische Konsequenzen. Die aufgezeigte Sicherheitslücke hatte dabei weitreichende Auswirkungen: Zwar benötigte man auf den ersten Blick einen Zugriff auf das Terminal, was gerade bei typischen Webspace-Angeboten gar nicht der Fall sein wird; allerdings gibt es zahlreiche Lösungen, bei denen die Bash quasi durch die Hintertüre verwendet wird, so dass sich durchaus denkbare Szenarien bieten. Das Risiko traf damit zumindest theoretisch erst einmal jedes Unix-basierte System.

Juristische Konsequenzen für Provider und Diensteanbieter bei IT-Sicherheitslücke weiterlesen

Reverse Engineering: EUGH zur Dekompilierung von Software

Der EUGH (C‑13/20) konnte zur Dekompilierung von Software, auf Basis der früheren “Computerprogramm-Richtlinie” 91/250, festhalten, dass

  • der rechtmäßige Erwerber eines Computerprogramms berechtigt ist, dieses ganz oder teilweise zu dekompilieren, um Fehler, die das Funktionieren dieses Programms beeinträchtigen, zu berichtigen;
  • insbesondere ist dies in dem Fall zulässig, dass die Berichtigung darin besteht, eine Funktion zu deaktivieren, die das ordnungsgemäße Funktionieren der Anwendung, zu der dieses Programm gehört, beeinträchtigt;
  • sowie, dass der rechtmäßige Erwerber eines Computerprogramms, der die Dekompilierung dieses Programms vornehmen möchte, um Fehler, die dessen Funktionieren beeinträchtigen, zu berichtigen, nicht den weiteren Anforderungen nach Art. 6 dieser Richtlinie genügen muss. Der Erwerber darf eine solche Dekompilierung jedoch nur in dem für die Berichtigung erforderlichen Ausmaß und gegebenenfalls unter Einhaltung der mit dem Inhaber des Urheberrechts an diesem Programm vertraglich festgelegten Bedingungen vornehmen.

Die hier zu Grunde gelegte Richtlinie 91/250 wurde durch die Richtlinie 2009/24/EG aufgehoben – inhaltlich wird die Entscheidung übertragbar sein und zukünftig, im immer bedeutenderen Bereich der Dekompilierung, eine erhebliche Auslegungshilfe darstellen. Mit Blick auf die gefestigte deutsche Rechtsprechung zu urheberrechtlichen Fragen beim Reverse Engineering ergeben sich für mich nach erstem Lesen allerdings keine gravierenden Änderungen.

Aufdrängen von Upgrade wegen angeblicher Sicherheitsprobleme wettbewerbswidrig

Einen ganz besonderen Fall hatte das OLG München (6 U 3509/19) zu entscheiden: Es ging um die Frage, wie man mit einem aufgedrängten Upgrade umgeht. Üblicherweise streitet man im Softwarerecht ja eher um das Gegenteil, nämlich um die Frage der Updatepflicht.

Dabei ging es um ein Softwareunternehmen, das wohl einen orthopädischen Chirurgen angeschrieben und darauf hingewiesen hatte, dass die von ihm verwendete Software ohne ein angebotenes Upgrade nicht mehr benutzt werden dürfe und anderenfalls “schon wegen Fehlens eines Upgrades die Sicherheit der Patienten über ein nach den Erkenntnissen der medizinischen Wissenschaften vertretbares Maß hinaus gefährdet sei”. Das verwunderte den Empfänger des Schreibens, insbesondere zumal nach ihm die streitgegenständliche Software bislang fehlerfrei gearbeitet haben soll.

Aufdrängen von Upgrade wegen angeblicher Sicherheitsprobleme wettbewerbswidrig weiterlesen

Haftung für Webseiten-Inhalte nach Hackangriff

Eine wichtige Entscheidung hat das OLG Hamburg (5 U 33/19) getroffen, dies hinsichtlich der urheberrechtlichen Haftung für Inhalte, die nach einem Hackangriff auf der eigenen Webseite stehen.

Im Sachverhalt hatte ein Fotograf einen Webseitenbetreiber auf Unterlassung in Anspruch nehmen wollen, nachdem nach einem Hacker-Angriff unbemerkt ganz neue Seiten hochgeladen waren, auf denen auch das Foto des Fotografen unberechtigt verwendet wurde. Kern der Frage am Ende ist dann, ob durch Verstöße gegen grundregelnde Regeln der IT-Sicherheit eine Haftung als Störer in Betracht kommen kann, wenn Hacker Inhalte hochladen. Das OLG hat dies verneint.

Haftung für Webseiten-Inhalte nach Hackangriff weiterlesen

Bei Verkauf technischer Geräte kein Hinweis auf bestehende Sicherheitslücken nötig

Beim Oberlandesgericht Köln (6 U 100/19) ging es um die Frage, ob beim Verkauf von Smartphones auf im Rahmen des Betriebssystems bestehende Sicherheitslücken und fehlende Sicherheitsupdates hingewiesen werden muss. Die Entscheidung ist Wichtig, inhaltlich durchaus richtig – und offenbart zugleich kritisch zu hinterfragende Probleme im Umgang mit der Cybersicherheit.

Passend dazu: Verkäufer muss nicht auf bald bevorstehenden Modellwechsel hinweisen

Bei Verkauf technischer Geräte kein Hinweis auf bestehende Sicherheitslücken nötig weiterlesen

Bundesjustizministerium zu den weiteren Entwicklungen im IT-Sicherheitsrecht – Ausblick auf die Gesetzgebung im Cybercrime 2019

Im Nachgang zu dem “Doxing-Skandal 2018/2019” hat das Bundesjustizministerium im Januar 2019 ein Thesenpapier veröffentlicht (unten als Download), dem weitere Maßnahmen einer eventuellen zukünftigen Gesetzgebung im Bereich IT-Sicherheit zu entnehmen sind. Dies sind in aller Kürze:

  • IT-Sicherheit mit Updateverpflichtung: Es soll EU-weit einheitliche und rechtlich verbindliche Standards geben, die den Herstellern und Diensteanbietern klare Anforderungen zur IT-Sicherheit auferlegen. Diese Standards sollten über die gesetzlichen Mindestanforderungen hinausgehen und eine mehrjährige Update-Verpflichtung des Herstellers enthalten.
  • Produkthaftung: Auch fehlerhafte Software soll unter das Produkthaftungsregime fallen und mangelnde IT-Sicherheit muss einen Produktfehler begründen. (Hinweis: Grundsätzlich gilt die Produkthaftung auch jetzt bei Software)
  • Stärkung im Datenschutz: Es soll eine Stärkung der Datenschutzbehörden erfolgen (fraglich wie, es geht um Landesbehörden, wo der Bund nicht wirklich eingreifen kann). Weiterhin soll ein verbesserter Schutz in die EU-ePrivacy-Verordnung (was auch skeptisch gesehen werden kann, nach meiner Wahrnehmung blockt genau hier die deutsche Regierung?).
  • Wettbewerbsrecht: Es soll ausdrücklich die Anwendbarkeit des Gesetzes gegen den unlauteren Wettbewerb auf Datenschutzverstöße klargestellt werden: “Wenn Daten von Verbraucherinnen und Verbrauchern missbräuchlich verwendet wurden und dadurch Gewinne erzielt werden, dann dürfen diese nicht bei dem bleiben, der das Recht verletzt hat.”. Hier wird fraglich sein, ob man wenigstens so klug ist, nur bestimmte Verstöße/Klauseln dem UWG zu unterstellen – oder ob am Ende dann doch massenhaft Abmahnungen wegen Formfehler in Datenschutzerklärungen auf Webseiten folgen können. Wichtig ist auch, dass man über das Instrument der “Gewinnabschöpfungsklage” nachdenkt.
  • Online-Dienste in die Pflicht nehmen: Eher unscheinbar ist der Satz “Ein gehacktes Nutzerkonto bei einem Online-Dienst muss schnell und unkompliziert gesperrt werden können.”. Gemeint ist aber wohl, dass Online-Dienste klare Ansprechpartner mit kurzen Reaktionszeiten bereit halten müssen. Es bleibt abzuwarten ob man das wirklich angeht in einer Zeit, in der es als Erfolg verbucht werden muss, dass man bei Google überhaupt mal Mails liest.
  • Long Term Support: Ich bin mir nicht sicher, man schreibt unter dem Stichpunkt nachhaltige Sicherheit “Durch das Auslaufen des Software-Supports werden zum Teil Neuanschaffungen erzwungen” und möchte erreichen, dass Software länger gepflegt wird. Ich vermute, dass für bestimmte Bereiche eine Art LTS begründet werden soll, wobei kritische Systeme schon heute langjährige Pflegepakete haben (und man oben ja schon die Updateverpflichtung angesprochen hat). Hier ist mir nicht ganz klar, wo man hin will … durch den pauschalen Verweis auf die EU könnte es sich aber auch mehr um einen unkonkreten Fülltext handeln.

Für mich zeigt sich eines deutlich mit der nunmehrigen Liste des BMJV: So unverbindlich es klingt, darf man wohl davon ausgehen, dass wir zeitnah ein IT-Sicherheitsgesetz 2 erleben werden. Dieses dürfte sich auf Online-Dienste und Softwareregeln konzentrieren. Weiterhin wird der deutsche Gesetzgeber – das macht er nun mal am liebsten – versuchen die Sanktionsschraube zu drehen. Schon fast unweigerlich dürften daher Klarstellungen im UWG zu erwarten sein, damit DSGVO-Verstöße dann definitiv erfasst sind. Datenschutzrecht und Softwarerecht werden den Bereich der IT-Sicherheit möglicherweise beherrschen, jedenfalls verstehe ich so die hier vorgenommenen Ankündigungen.

Softwarepflegevertrag: Pflicht zur Anpassung von Software an gesetzliche Änderungen?

Softwarepflegevertrag und gesetzliche Änderungen: Spätestens mit der Datenschutzgrundverordnung ab Mitte 2018 dürfte gerade in Fällen von Software im Bereich “Big Data” und beim Kundenbezug die Frage aufkommen, ob eine Pflicht des Softwareanbieters zur Anpassung an gesetzliche Änderungen besteht. Tatsächlich dürfte dies mitunter in Betracht kommen, allerdings wird es auf den Einzelfall ankommen.
Softwarepflegevertrag: Pflicht zur Anpassung von Software an gesetzliche Änderungen? weiterlesen

Chiptuning gefährdet den Versicherungsschutz

Ein gegenüber der Versicherung verschwiegenes Chiptuning gefährdet den Versicherungsschutz, wie das Landgericht Bielefeld (8 O 40/14) unterstrichen hat. Bei dieser Frage denkt man gemeinhin an Verkehrsunfälle, tatsächlich kann es aber noch viel weiter gehen: Es ging um einen Diebstahl von Felgen samt Bremssätteln eines Nissan GT-R, der beim Kauf eine Motorleistung von 357 kW (485 PS) im Fahrzeugschein vermerkt hatte. Beim Kauf betrug die Motorleistung aber tatsächlich 530 kW (720 PS), was der Versicherung aber nicht mitgeteilt wurde. Zu einem Unfall kam es nicht, wohl aber zu einem Diebstahl, der über die Versicherung abgewickelt wurde. Nachdem der PKW über das Internet verkauft wurde und hier die wiederum gesteigerte Motorleistung angegeben wurde, erfuhr dies die Versicherung und man erklärte den Rücktritt vom Versicherungsvertrag wegen vorvertraglicher Obliegenheitsverletzung. Zu Recht wie das Landgericht festgestellt hat.
Chiptuning gefährdet den Versicherungsschutz weiterlesen

Anspruch auf Updates: IT-Sicherheit von Software & Hardware als Faktor der Produkthaftung

Gibt es einen Anspruch auf Updates: Auf Spiegel-Online ist ein bemerkenswerter Beitrag zu lesen, der sich mit der IT-Sicherheit von Herzschrittmachern beschäftigt. Dort wird angesprochen, dass die IT-Sicherheit von Herzschrittmachern auf den Prüfstand gehört, insbesondere eingebaute Software offen gelegt sein sollte und ein Zugriff von außen abgesichert sein muss.

Das Thema ist ideal geeignet, um eine zunehmende Problematik zu verdeutlichen, denn hier geht es um ein äusserst sensibles Produkt an extrem gefährlicher Stelle – und offenkundig ist nicht einmal in diesem Bereich IT-Sicherheit ein Thema. Dabei haben Unternehmen auch in juristischer Hinsicht sehr gute Gründe, sich mit der IT-Sicherheit zu beschäftigen, die in Zukunft über die Produkthaftung eine ganz enorme Rolle spielen wird.

Anspruch auf Updates: IT-Sicherheit von Software & Hardware als Faktor der Produkthaftung weiterlesen

Produkthaftung bei Software nach dem Produkthaftungsgesetz

Immer wieder diskutiert, aber in der Rechtsprechung wenig relevant ist die Frage der Produkthaftung bei Software nach dem Produkthaftungsgesetz. Diese Haftung ist verschuldensunabhängig gestaltet und damit eigentlich besonders attraktiv für den Vertragspartner (somit besonders unattraktiv für den Hersteller der Software). Gleichwohl ist eine besonders wichtige Frage bis heute nicht abschließend geklärt.

Die neue EU-Produkthaftungsrichtlinie: Meilenstein für die Haftung bei Software (?)
Produkthaftung bei Software nach dem Produkthaftungsgesetz weiterlesen