Datenschutzrecht & Datenschutzbeauftragter: Fachanwalt für IT-Recht Jens Ferner - 02404-92100
Rechtsanwalt Ferner Alsdorf - Ihr Rechtsanwalt in Alsdorf, Anwaltskanzlei Ferner Alsdorf

Sicherheitslücke Shellshock: Juristische Konsequenzen für Provider und Diensteanbieter

Anwaltliche Beratung gewünscht? Wir sind insbesondere tätig im Datenschutzrecht - IT-Recht - IT-Vertragsrecht - IT-Recht - Softwarerecht - Vereinbaren Sie einen Termin unter 02404-92100!

Eine aktuell bekannt gewordene Sicherheitslücke mit dem treffenden Namen „Shellshock“, die zunehmend ausgenutzt wird, sollte Provider und Anbieter von Internetdiensten aufhorchen lassen – nicht nur in technischer Hinsicht. Denn es bieten sich durchaus juristische Konsequenzen.

Die aufgezeigte Sicherheitslücke hat weitreichende Auswirkungen: Zwar benötigt man auf den ersten Blick einen Zugriff auf das Terminal, was gerade bei typischen Webspace-Angeboten gar nicht der Fall sein wird; allerdings gibt es zahlreiche Lösungen, bei denen die Bash quasi durch die Hintertüre verwendet wird, so dass sich durchaus denkbare Szenarien bieten. Das Risiko tritt damit zumindest theoretisch erst einmal jedes Unix-basierte System.

Pflichten für Provider

Webhosting- und Server-Provider treffen aktuell einige Pflichten:

  • Gegenüber den Kunden, die einfache Webhosting-Produkte gebucht haben wird es auf die Pflicht hinauslaufen, die eigenen Systeme zu aktualisieren. Sollten sich Anzeichen für erfolgreiche erste Hack-Angriffe bis zum Patch ergeben haben, sind betroffene Kunden sofort zu informieren. Dies wird sich als vertragliche Nebenpflicht ergeben, auch wenn kein Fall des §42a BDSG vorliegt, da jeder Kunde über eine realistische Möglichkeit des Zugriffs auf von ihm hinterlegte Daten informiert sein muss um reagieren zu können – und ggfs. eigene Pflichten gegenüber seinen Nutzern einhalten zu können.
  • Aber auch bei Kunden, die einen dedicated Server o.ä. gebucht haben und vertraglich zu eigenen Aktualisierungen verpflichtet sind, begründen Pflichten: Diese Kunden sind umgehend über zumindest akut aufgetretene gravierende Sicherheitsmängel, die Update-Pflichten auslösen, zu informieren. Auch hier trifft den Provider eine vertragliche Nebenpflicht, die aber stark vom Einzelfall abhängig ist. Je nach konkretem Vertrag und konkretem Vertragspartner kann sich dies mehr oder minder stark ausprägen.

Pflichten für Kunden gegenüber Providern

Wer Server in eigener Verantwortung angemietet hat, hat umgehend für Updates zu sorgen, die für die relevanten Linux-Systeme bereits vorliegen.

Wer dagegen nur ein Webhosting-Produkt gemietet hat, sollte sich auf seinen Provider verlassen dürfen – allerdings ist, wie immer, zu prüfen ob eingesetzte Skripte Updates erhalten. Auch sollte – dies ist ebenfalls eine ständige bestehende Pflicht – im Auge behalten werden, ob der Hersteller der eingesetzten Skripte Warnungen herausgegeben hat hinsichtlich aktueller Sicherheitslücken. Entsprechend muss reagiert werden: Wenn es kein Update gibt muss bei einem jedenfalls gravierenden Sicherheitsproblem notfalls das Skript entfernt werden.

Die Folgen für Kunden von Providern dürfen nicht unterschätzt werden: Wenn eine erhebliche Sicherheitslücke besteht, kann der Provider den Server „abschalten“ und zur Korrektur des Fehler auffordern. Diese Situation ist normal und ärgerlich, aber erst einmal Standard. Was vergessen wird, sind eventuelle Schadensersatzforderungen des Providers. Wenn der Provider eigene Ausfälle zu beklagen hat, drohen hohe Schadensersatzforderungen. Etwa dann, wenn weitere Server kompromittiert werden, die dann Arbeitsaufwand auslösen. Oder wenn beim Shared-Hosting ein ganzer Server ausfällt, eine Vielzahl von Kunden betroffen ist und gar Kunden am Ende den Vertrag kündigen. In welcher Höhe hier Schadensersatzansprüche möglicherweise zustehen ist dem Einzelfall geschuldet und mitunter sehr kompliziert. Ich bin derzeit in mehreren Klagen an verschiedenen Gerichtsständen für Provider tätig, die Schadensersatzforderungen aus diesem Rechtsgrund einfordern – sobald mir hier die ersten Urteile vorliegen, werde ich dazu gesondert berichten.

Pflichten für Kunden gegenüber deren Nutzern

Bei allem Ärger, wenn die eigene Webseite oder der eigene Online-Shop plötzlich offline ist, vergisst man gerne schnell die Pflichten, die man vielleicht gegenüber eigenen Nutzern hat. Wer etwa einen Online-Shop betreibt, bei dem etwa Kontodaten gespeichert sind, und es wurde Zugriff auf diese Daten erhalten, hat man einen weitreichenden Schadensfall. Dieses enorme Risiko wird immer noch viel zu naiv von einer Vielzahl Kleingewerbetreibender mit eigenen Online-Shops unterschätzt. Was man grundsätzlich zu bedenken hat, habe ich hier beschrieben.

Ansprüche gegenüber Programmierern?

Gerne wird gefragt – es handelt sich hier ja um Opensource-Software – ob es Ansprüche gegenüber den Distributoren oder Programmierern gibt. Dieses Thema habe ich hier umfassend aufbereitet.

Rechtsanwalt Jens Ferner

Rechtsanwalt Jens Ferner

Fachanwalt für IT-Recht bei Anwaltskanzlei Ferner
Rechtsanwalt Jens Ferner, Fachanwalt für Informationstechnologierecht, berät Sie im gesamten Strafrecht, Arbeitsrecht, Datenschutzrecht, gewerblichem Rechtsschutz und IT-Recht.

Kontakt zur Anwaltskanzlei Ferner Alsdorf aufnehmen
Rechtsanwalt Jens Ferner
Kurz-URL:

Veröffentlicht von

Rechtsanwalt Jens Ferner

Rechtsanwalt Jens Ferner

Rechtsanwalt in Alsdorf insbesondere zum: Strafrecht, Verkehrsrecht, Wettbewerbsrecht, IT-Recht samt Urheberrecht & Markenrecht, Vertragsrecht und Arbeitsrecht.

Rechtsanwalt Jens Ferner, Fachanwalt für Informationstechnologierecht, berät Sie in sämtlichen medienrechtlichen und strafrechtlichen Fragen. Hierbei mit Schwerpunkten im Strafrecht, Wettbewerbsrecht, Urheberrecht, Datenschutzrecht, Arbeitsrecht und (IT-)Vertragsrecht samt Softwarerecht und AGB.