Juristische Konsequenzen für Provider und Diensteanbieter bei IT-Sicherheitslücke

Welche Pflichten treffen eigentlich Provider, wenn eine IT-Sicherheitslücke in eingesetzter Software bekannt wird, die noch gar nicht ausgenutzt wurde? In der Tat ergeben sich dabei einige vertragsrechtliche Aspekte. Als Beispiel soll die im Jahr 2014 bekannt gewordene Sicherheitslücke mit dem treffenden Namen „Shellshock“ dienen, die schnell ausgenutzt wurde,

Ein solcher Fall sollte Provider und Anbieter von Internetdiensten immer aufhorchen lassen – nicht nur in technischer Hinsicht. Denn es bieten sich durchaus juristische Konsequenzen. Die aufgezeigte Sicherheitslücke hatte dabei weitreichende Auswirkungen: Zwar benötigte man auf den ersten Blick einen Zugriff auf das Terminal, was gerade bei typischen Webspace-Angeboten gar nicht der Fall sein wird; allerdings gibt es zahlreiche Lösungen, bei denen die Bash quasi durch die Hintertüre verwendet wird, so dass sich durchaus denkbare Szenarien bieten. Das Risiko traf damit zumindest theoretisch erst einmal jedes Unix-basierte System.

Pflichten für Provider

– und Server-Provider treffen bei bekannt werden einer IT-Sicherheitslücke einige Pflichten:

  • Gegenüber den Kunden, die einfache Webhosting-Produkte gebucht haben wird es auf die Pflicht hinauslaufen, die eigenen Systeme zu aktualisieren. Sollten sich Anzeichen für erfolgreiche erste Hack-Angriffe bis zum Patch ergeben haben, sind betroffene Kunden sofort zu informieren. Dies wird sich als vertragliche Nebenpflicht ergeben, auch wenn kein Fall des §42a vorliegt, da jeder Kunde über eine realistische Möglichkeit des Zugriffs auf von ihm hinterlegte Daten informiert sein muss um reagieren zu können – und ggfs. eigene Pflichten gegenüber seinen Nutzern einhalten zu können.
  • Aber auch bei Kunden, die einen dedicated Server o.ä. gebucht haben und vertraglich zu eigenen Aktualisierungen verpflichtet sind, begründen Pflichten: Diese Kunden sind umgehend über zumindest akut aufgetretene gravierende Sicherheitsmängel, die Update-Pflichten auslösen, zu informieren. Auch hier trifft den Provider eine vertragliche Nebenpflicht, die aber stark vom Einzelfall abhängig ist. Je nach konkretem Vertrag und konkretem Vertragspartner kann sich dies mehr oder minder stark ausprägen.

Pflichten für Kunden gegenüber Providern

Wer Server in eigener Verantwortung angemietet hat, hat umgehend für Updates zu sorgen, die für die relevanten Linux-Systeme bereits vorliegen.

Wer dagegen nur ein Webhosting-Produkt gemietet hat, sollte sich auf seinen Provider verlassen dürfen – allerdings ist, wie immer, zu prüfen ob eingesetzte Skripte Updates erhalten. Auch sollte – dies ist ebenfalls eine ständige bestehende Pflicht – im Auge behalten werden, ob der Hersteller der eingesetzten Skripte Warnungen herausgegeben hat hinsichtlich aktueller Sicherheitslücken. Entsprechend muss reagiert werden: Wenn es kein Update gibt muss bei einem jedenfalls gravierenden Sicherheitsproblem notfalls das Skript entfernt werden.

Die Folgen für Kunden von Providern dürfen nicht unterschätzt werden: Wenn eine erhebliche Sicherheitslücke besteht, kann der Provider den Server „abschalten“ und zur Korrektur des Fehler auffordern. Diese Situation ist normal und ärgerlich, aber erst einmal Standard. Was vergessen wird, sind eventuelle Schadensersatzforderungen des Providers. Wenn der Provider eigene Ausfälle zu beklagen hat, drohen hohe Schadensersatzforderungen.

Etwa dann, wenn weitere Server kompromittiert werden, die dann Arbeitsaufwand auslösen. Oder wenn beim Shared-Hosting ein ganzer Server ausfällt, eine Vielzahl von Kunden betroffen ist und gar Kunden am Ende den Vertrag kündigen. In welcher Höhe hier Schadensersatzansprüche möglicherweise zustehen ist dem Einzelfall geschuldet und mitunter sehr kompliziert. Ich bin derzeit in mehreren Klagen an verschiedenen Gerichtsständen für Provider tätig, die Schadensersatzforderungen aus diesem Rechtsgrund einfordern – sobald mir hier die ersten Urteile vorliegen, werde ich dazu gesondert berichten.

Professionelles IT-Vertragsrecht

Unser Fachanwalt für IT-Recht berät und vertritt Unternehmen in IT-Vertragsangelegenheiten, insbesondere in Bezug auf Künstliche Intelligenz und Cloud-Dienste, um rechtliche Risiken zu minimieren und die Einhaltung relevanter Vorschriften zu gewährleisten.

Pflichten für Kunden gegenüber deren Nutzern

Bei allem Ärger, wenn die eigene Webseite oder der eigene Online-Shop plötzlich offline ist, vergisst man gerne schnell die Pflichten, die man vielleicht gegenüber eigenen Nutzern hat. Wer etwa einen Online-Shop betreibt, bei dem etwa Kontodaten gespeichert sind, und es wurde Zugriff auf diese Daten erhalten, hat man einen weitreichenden Schadensfall. Dieses enorme Risiko wird immer noch viel zu naiv von einer Vielzahl Kleingewerbetreibender mit eigenen Online-Shops unterschätzt. Was man grundsätzlich zu bedenken hat, habe ich hier beschrieben.

Ansprüche gegenüber Programmierern?

Gerne wird gefragt – es handelt sich hier ja um Opensource-Software – ob es Ansprüche gegenüber den Distributoren oder Programmierern gibt. Dieses Thema habe ich hier umfassend aufbereitet.

Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht)
Benutzerbild von Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht)

Von Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht)

Ich bin Fachanwalt für Strafrecht + Fachanwalt für IT-Recht und widme mich beruflich ganz der Tätigkeit als Strafverteidiger und dem IT-Recht. Vor meinem Leben als Anwalt war ich Softwareentwickler. Ich bin Autor sowohl in einem renommierten StPO-Kommentar als auch in Fachzeitschriften. Dabei bin ich fortgebildet in Krisenkommunikation und Compliance.

Erreichbarkeit: Per Mail, Rückruf, Threema oder Whatsapp.

Unsere Kanzlei ist spezialisiert auf Starke Strafverteidigung, seriöses Wirtschaftsstrafrecht und anspruchsvolles IT-Recht + Kunst & Medien - ergänzt um Arbeitsrecht.