Welche Pflichten treffen eigentlich Provider, wenn eine IT-Sicherheitslücke in eingesetzter Software bekannt wird, die noch gar nicht ausgenutzt wurde? In der Tat ergeben sich dabei einige vertragsrechtliche Aspekte. Als Beispiel soll die im Jahr 2014 bekannt gewordene Sicherheitslücke mit dem treffenden Namen „Shellshock“ dienen, die schnell ausgenutzt wurde,
Ein solcher Fall sollte Provider und Anbieter von Internetdiensten immer aufhorchen lassen – nicht nur in technischer Hinsicht. Denn es bieten sich durchaus juristische Konsequenzen. Die aufgezeigte Sicherheitslücke hatte dabei weitreichende Auswirkungen: Zwar benötigte man auf den ersten Blick einen Zugriff auf das Terminal, was gerade bei typischen Webspace-Angeboten gar nicht der Fall sein wird; allerdings gibt es zahlreiche Lösungen, bei denen die Bash quasi durch die Hintertüre verwendet wird, so dass sich durchaus denkbare Szenarien bieten. Das Risiko traf damit zumindest theoretisch erst einmal jedes Unix-basierte System.
Weitere Beiträge zum Thema IT-Sicherheit im Unternehmen:
- Juristische Konsequenzen für Provider und Diensteanbieter bei IT-Sicherheitslücke
- Haftung der Geschäftsführung für IT-Sicherheitslücken
- NIS2-Richtlinie und NIS2-Umsetzungsgesetz
- DORA
- Bug-Bounty-Programme – Strafbarkeit des Suchens nach Sicherheitslücken
- Aktualisierungspflicht für Software
- Neues Kaufrecht: Sicherheit als Mangel
- Pentesting: Vertrag über Penetrationstest
- Wie Unternehmen mit Ransomware erpresst werden
- Ransomware: Soll man das Lösegeld zahlen?
- Haftung des Arbeitnehmers bei Installation von Malware
- Fahrlässige Tötung und Schadsoftware im Krankenhaus
- Was tun nach einem Hackerangriff?
- Wie schützt man sich vor einem Hackerangriff?
- Einhaltung interner Sicherheits-/Compliance Vorgaben für Arbeitnehmer verpflichtend
Pflichten für Provider
Webhosting– und Server-Provider treffen bei bekannt werden einer IT-Sicherheitslücke einige Pflichten:
- Gegenüber den Kunden, die einfache Webhosting-Produkte gebucht haben wird es auf die Pflicht hinauslaufen, die eigenen Systeme zu aktualisieren. Sollten sich Anzeichen für erfolgreiche erste Hack-Angriffe bis zum Patch ergeben haben, sind betroffene Kunden sofort zu informieren. Dies wird sich als vertragliche Nebenpflicht ergeben, auch wenn kein Fall des §42a BDSG vorliegt, da jeder Kunde über eine realistische Möglichkeit des Zugriffs auf von ihm hinterlegte Daten informiert sein muss um reagieren zu können – und ggfs. eigene Pflichten gegenüber seinen Nutzern einhalten zu können.
- Aber auch bei Kunden, die einen dedicated Server o.ä. gebucht haben und vertraglich zu eigenen Aktualisierungen verpflichtet sind, begründen Pflichten: Diese Kunden sind umgehend über zumindest akut aufgetretene gravierende Sicherheitsmängel, die Update-Pflichten auslösen, zu informieren. Auch hier trifft den Provider eine vertragliche Nebenpflicht, die aber stark vom Einzelfall abhängig ist. Je nach konkretem Vertrag und konkretem Vertragspartner kann sich dies mehr oder minder stark ausprägen.
Pflichten für Kunden gegenüber Providern
Wer Server in eigener Verantwortung angemietet hat, hat umgehend für Updates zu sorgen, die für die relevanten Linux-Systeme bereits vorliegen.
Wer dagegen nur ein Webhosting-Produkt gemietet hat, sollte sich auf seinen Provider verlassen dürfen – allerdings ist, wie immer, zu prüfen ob eingesetzte Skripte Updates erhalten. Auch sollte – dies ist ebenfalls eine ständige bestehende Pflicht – im Auge behalten werden, ob der Hersteller der eingesetzten Skripte Warnungen herausgegeben hat hinsichtlich aktueller Sicherheitslücken. Entsprechend muss reagiert werden: Wenn es kein Update gibt muss bei einem jedenfalls gravierenden Sicherheitsproblem notfalls das Skript entfernt werden.
Die Folgen für Kunden von Providern dürfen nicht unterschätzt werden: Wenn eine erhebliche Sicherheitslücke besteht, kann der Provider den Server „abschalten“ und zur Korrektur des Fehler auffordern. Diese Situation ist normal und ärgerlich, aber erst einmal Standard. Was vergessen wird, sind eventuelle Schadensersatzforderungen des Providers. Wenn der Provider eigene Ausfälle zu beklagen hat, drohen hohe Schadensersatzforderungen.
Etwa dann, wenn weitere Server kompromittiert werden, die dann Arbeitsaufwand auslösen. Oder wenn beim Shared-Hosting ein ganzer Server ausfällt, eine Vielzahl von Kunden betroffen ist und gar Kunden am Ende den Vertrag kündigen. In welcher Höhe hier Schadensersatzansprüche möglicherweise zustehen ist dem Einzelfall geschuldet und mitunter sehr kompliziert. Ich bin derzeit in mehreren Klagen an verschiedenen Gerichtsständen für Provider tätig, die Schadensersatzforderungen aus diesem Rechtsgrund einfordern – sobald mir hier die ersten Urteile vorliegen, werde ich dazu gesondert berichten.
Professionelles IT-Vertragsrecht
Unser Fachanwalt für IT-Recht berät und vertritt Unternehmen in IT-Vertragsangelegenheiten, insbesondere in Bezug auf Künstliche Intelligenz und Cloud-Dienste, um rechtliche Risiken zu minimieren und die Einhaltung relevanter Vorschriften zu gewährleisten.
Pflichten für Kunden gegenüber deren Nutzern
Bei allem Ärger, wenn die eigene Webseite oder der eigene Online-Shop plötzlich offline ist, vergisst man gerne schnell die Pflichten, die man vielleicht gegenüber eigenen Nutzern hat. Wer etwa einen Online-Shop betreibt, bei dem etwa Kontodaten gespeichert sind, und es wurde Zugriff auf diese Daten erhalten, hat man einen weitreichenden Schadensfall. Dieses enorme Risiko wird immer noch viel zu naiv von einer Vielzahl Kleingewerbetreibender mit eigenen Online-Shops unterschätzt. Was man grundsätzlich zu bedenken hat, habe ich hier beschrieben.
Ansprüche gegenüber Programmierern?
Gerne wird gefragt – es handelt sich hier ja um Opensource-Software – ob es Ansprüche gegenüber den Distributoren oder Programmierern gibt. Dieses Thema habe ich hier umfassend aufbereitet.
- Captagon im deutschen Strafrecht: Ein Überblick - 8. Oktober 2024
- Perfctl: Neue, heimtückische Malware, die Millionen von Linux-Servern bedroht - 7. Oktober 2024
- Datenschutzverstöße durch E-Mail-Weiterleitung: Haftungsrisiken für Geschäftsführer - 6. Oktober 2024