![[HaBo]](/styles/default/logoklein.png){kind=small}
Rechtliches: System1=ohne Schutz / Attacke von x >>über S1<< nach y fliegt auf / Wer haftet?
Was hat es für eine rechtliche Konsequenzen, wenn ein Hacker über ein heimlich installiertes Hackertool in den Rechner eines anderen eindringt (im folgenden Rechner1 genannt). Dann geht er von Rechner1 auf das System, welches er tatsächlich angreifen will (Rechner2). Der Angriff fliegt auf. Die IP-Adresse von Rechner1 ist auf Rechner2 registriert und der Betreiber von Rechner2 verklagt daraufhin den Betreiber von Rechner1.
Voraussetzung für den hier konstruierten Fall ist, dass die Übernahme von Rechner1 mit Hilfe einer Firewall hätte verhindert werden können. Das Problem: Auf dem System von Rechner1 befindet sich keine Firewall.
Ein Mix aus den Internetrecherchen und privaten, sowie öffentlichen Diskussionen ergab folgendes Resultat:
Zunächst wird der Betreiber von Rechner1 als Täter verdächtigt und ist in Erklärungsnot. Aber selbst wenn er nachweisen kann, dass jemand aus der Ferne seinen PC für den Angriff missbraucht hat, könnte es ein rechtliches Problem für ihn geben: Wurde sein System nicht geschützt und hätte z.B. eine Firewall die Übernahme des PCs verhindern können, so könnte ein Richter der Auffassung sein, dass er grob fahrlässig gehandelt hat. In diesem Fall wäre eine erfolgreiche Klage gegen ihn möglich, da er seiner Sorgfallspflicht nicht nachgekommen ist und ein anderer dadurch Schaden erlitten hat.
Haftet man für sein Eigentum würde das bedeuten, dass es auch seiner Verantwortung obliegt, den PC (oder Server) vor Missbrauch zu schützen. Um diese These zu untermauern, eignet sich folgender Vergleich: Jeder kann sich ein Auto zulegen, aber fahren darf man es erst, wenn man sich über die geltenden Regeln und möglichen Konsequenzen seiner Handlungen informiert hat. Bei einem Auto gibt es dafür eine Nachweispflicht: Den Führerschein. Bei einem Fahrrad ist das nicht der Fall, obwohl man sich auch hier an diese Regeln halten muss. Im Schadensfall hilft es einem Radfahrer nicht zu behaupten, dass er die betreffende Verkehrsregel nicht kannte. Die Verpflichtung sich zu informieren resultiert folglich nicht aus dem Erwerb eines Führerscheins, sondern von dem Gebrauch einer Sache. Das Modell lässt sich auf alles Mögliche abbilden. Wird etwas unsachgemäß angewendet oder bietet eine Gefahrenquelle, die nicht geschützt wird, so besteht die Gefahr, dass man als Betreiber im Schadensfall dafür haftbar gemacht werden kann.
Die Annahme war nun, dass dies bei einem Rechner nicht anders ist. Jeder kann sich demzufolge zwar einen Rechner zulegen, nur betreiben darf man ihn erst, nachdem man sich über den Gebrauch ausreichend informiert hat. Das schließt den Schutz des Systems vor Missbrauch mit ein, auch wenn er sich gewiss in einem vertretbaren Rahmen bewegen muss, so die These.
Das Problem: Wirklich eindeutige Aussagen dazu findet man weder im Internet, noch in einschlägigen Computerzeitschriften. Und die Vermutung lag nahe, dass im oben gezeigten Statement aus rechtlicher Sicht viele Fehler gemacht wurden. Da sich das Thema auf diese Weise nicht eindeutig klären ließ, habe ich eine Online-Rechtsberatung in Anspruch genommen. Das Resultat möchte ich euch nicht vorenthalten:
?Die Ermittlungsbehörden (Staatsanwaltschaft - Polizei) soweit eingeschaltet - würden den Betreiber von Rechner 1 aufgrund der IP als Urheber des Angriffs ermitteln, was für den Betreiber zu erheblichen Unannehmlichkeiten (strafrechtliche Verfolgung) führen würde. Kann der Betreiber des Rechners 1 beweisen, dass ein Hackertool ohne sein Wissen tätig geworden ist, dürfte der Betreiber 1 aus dem Schneider sein. Handelt es sich aber um ein Hackertool, welches seine Spuren verwischt, kommt der Betreiber von Rechner 1 in arge Erklärungsnöte, wenn die Ermittler nicht noch Spuren des Tools finden können.
Eine zivilrechtliche Verfolgung/Haftung des Betreibers/Eigentümers von Rechner 1 setzt voraus, dass diesen eine Verkehrspflicht treffen würde. Dies bedeutet, dass jemand der in seinem Verantwortungsbereich Gefahren schafft oder andauern läßt, alle geeigneten, erforderlichen und zumutbaren Vorkehrungen treffen muss, um Gefahren von Dritten abzuwenden. Dies könnte hier die Installation einer Firewall bedeuten. Nach dem derzeitigen Stand gibt es eine solche Verpflichtung aber weder gesetzlich noch durch richterliche Entscheidung. Jeder hat zwar dafür Sorge zu tragen, dass sein Eigentum Dritten nicht schadet, eine Verpflichtung zur Installation einer Firewall resultiert daraus aber (derzeit) nicht. Meines Erachtens wird es dazu in absehbarer Zeit auch nicht kommen, denn zunächst kann jeder selbst entscheiden, ob und wie er seinen PC sichert.
Hinweis: Ein Gericht könnte dies im Streitfalle anders sehen, da das richterliche Ermessen einen erheblichen Auslegungsspielraum zuläßt.
Dazu noch ein Beispiel: Wenn jemand in ein Haus unter einem Vorwand mal telefonieren zu wollen eindringt, dort ein Messer stiehlt und einen Dritten mit diesem Messer tötet, ist der Inhaber des Messers nicht für die Tat verantwortlich, nicht einmal dann, wenn er das Messer hat offen liegen.?
Quelle: Rechtsanwaltskanzlei Jungmann
Da ich mit dieser Anfrage kein Geld verdient habe und lediglich eine hypothetische Frage für diese Diskussion geklärt haben wollte, haben sie mir einen guten Vorzugspreis gemacht. Und ich habe die Erlaubnis erhalten, das zu veröffentlichen.
Dieses Antwortschreiben lässt schon eine menge Licht ins Dunkel, was ich für das folgende Fazit nutzen möchte:
Bye, nz
Was hat es für eine rechtliche Konsequenzen, wenn ein Hacker über ein heimlich installiertes Hackertool in den Rechner eines anderen eindringt (im folgenden Rechner1 genannt). Dann geht er von Rechner1 auf das System, welches er tatsächlich angreifen will (Rechner2). Der Angriff fliegt auf. Die IP-Adresse von Rechner1 ist auf Rechner2 registriert und der Betreiber von Rechner2 verklagt daraufhin den Betreiber von Rechner1.
Voraussetzung für den hier konstruierten Fall ist, dass die Übernahme von Rechner1 mit Hilfe einer Firewall hätte verhindert werden können. Das Problem: Auf dem System von Rechner1 befindet sich keine Firewall.
Ein Mix aus den Internetrecherchen und privaten, sowie öffentlichen Diskussionen ergab folgendes Resultat:
Zunächst wird der Betreiber von Rechner1 als Täter verdächtigt und ist in Erklärungsnot. Aber selbst wenn er nachweisen kann, dass jemand aus der Ferne seinen PC für den Angriff missbraucht hat, könnte es ein rechtliches Problem für ihn geben: Wurde sein System nicht geschützt und hätte z.B. eine Firewall die Übernahme des PCs verhindern können, so könnte ein Richter der Auffassung sein, dass er grob fahrlässig gehandelt hat. In diesem Fall wäre eine erfolgreiche Klage gegen ihn möglich, da er seiner Sorgfallspflicht nicht nachgekommen ist und ein anderer dadurch Schaden erlitten hat.
Haftet man für sein Eigentum würde das bedeuten, dass es auch seiner Verantwortung obliegt, den PC (oder Server) vor Missbrauch zu schützen. Um diese These zu untermauern, eignet sich folgender Vergleich: Jeder kann sich ein Auto zulegen, aber fahren darf man es erst, wenn man sich über die geltenden Regeln und möglichen Konsequenzen seiner Handlungen informiert hat. Bei einem Auto gibt es dafür eine Nachweispflicht: Den Führerschein. Bei einem Fahrrad ist das nicht der Fall, obwohl man sich auch hier an diese Regeln halten muss. Im Schadensfall hilft es einem Radfahrer nicht zu behaupten, dass er die betreffende Verkehrsregel nicht kannte. Die Verpflichtung sich zu informieren resultiert folglich nicht aus dem Erwerb eines Führerscheins, sondern von dem Gebrauch einer Sache. Das Modell lässt sich auf alles Mögliche abbilden. Wird etwas unsachgemäß angewendet oder bietet eine Gefahrenquelle, die nicht geschützt wird, so besteht die Gefahr, dass man als Betreiber im Schadensfall dafür haftbar gemacht werden kann.
Die Annahme war nun, dass dies bei einem Rechner nicht anders ist. Jeder kann sich demzufolge zwar einen Rechner zulegen, nur betreiben darf man ihn erst, nachdem man sich über den Gebrauch ausreichend informiert hat. Das schließt den Schutz des Systems vor Missbrauch mit ein, auch wenn er sich gewiss in einem vertretbaren Rahmen bewegen muss, so die These.
Das Problem: Wirklich eindeutige Aussagen dazu findet man weder im Internet, noch in einschlägigen Computerzeitschriften. Und die Vermutung lag nahe, dass im oben gezeigten Statement aus rechtlicher Sicht viele Fehler gemacht wurden. Da sich das Thema auf diese Weise nicht eindeutig klären ließ, habe ich eine Online-Rechtsberatung in Anspruch genommen. Das Resultat möchte ich euch nicht vorenthalten:
?Die Ermittlungsbehörden (Staatsanwaltschaft - Polizei) soweit eingeschaltet - würden den Betreiber von Rechner 1 aufgrund der IP als Urheber des Angriffs ermitteln, was für den Betreiber zu erheblichen Unannehmlichkeiten (strafrechtliche Verfolgung) führen würde. Kann der Betreiber des Rechners 1 beweisen, dass ein Hackertool ohne sein Wissen tätig geworden ist, dürfte der Betreiber 1 aus dem Schneider sein. Handelt es sich aber um ein Hackertool, welches seine Spuren verwischt, kommt der Betreiber von Rechner 1 in arge Erklärungsnöte, wenn die Ermittler nicht noch Spuren des Tools finden können.
Eine zivilrechtliche Verfolgung/Haftung des Betreibers/Eigentümers von Rechner 1 setzt voraus, dass diesen eine Verkehrspflicht treffen würde. Dies bedeutet, dass jemand der in seinem Verantwortungsbereich Gefahren schafft oder andauern läßt, alle geeigneten, erforderlichen und zumutbaren Vorkehrungen treffen muss, um Gefahren von Dritten abzuwenden. Dies könnte hier die Installation einer Firewall bedeuten. Nach dem derzeitigen Stand gibt es eine solche Verpflichtung aber weder gesetzlich noch durch richterliche Entscheidung. Jeder hat zwar dafür Sorge zu tragen, dass sein Eigentum Dritten nicht schadet, eine Verpflichtung zur Installation einer Firewall resultiert daraus aber (derzeit) nicht. Meines Erachtens wird es dazu in absehbarer Zeit auch nicht kommen, denn zunächst kann jeder selbst entscheiden, ob und wie er seinen PC sichert.
Hinweis: Ein Gericht könnte dies im Streitfalle anders sehen, da das richterliche Ermessen einen erheblichen Auslegungsspielraum zuläßt.
Dazu noch ein Beispiel: Wenn jemand in ein Haus unter einem Vorwand mal telefonieren zu wollen eindringt, dort ein Messer stiehlt und einen Dritten mit diesem Messer tötet, ist der Inhaber des Messers nicht für die Tat verantwortlich, nicht einmal dann, wenn er das Messer hat offen liegen.?
Quelle: Rechtsanwaltskanzlei Jungmann
Da ich mit dieser Anfrage kein Geld verdient habe und lediglich eine hypothetische Frage für diese Diskussion geklärt haben wollte, haben sie mir einen guten Vorzugspreis gemacht. Und ich habe die Erlaubnis erhalten, das zu veröffentlichen.
Dieses Antwortschreiben lässt schon eine menge Licht ins Dunkel, was ich für das folgende Fazit nutzen möchte:
- Wird ein fremder Rechner für eine Attacke missbraucht und fliegt die Attacke wie oben beschrieben auf, so ist das mit erheblichen Unannehmlichkeiten für den Betreiber des Rechners verbunden.
- Der Betreiber ist in Erklärungsnot. Zu seiner Entlastung muss er bzw. die forensische Analyse der Ermittlungsbehörde den Beweis erbringen, dass die Attacke über ein Hackertool gestartet wurde und nicht von dem Betreiber des Rechners erfolgt ist. Ob die bloße Existenz eines Hackertools auf dem Rechner genügt oder ob die Beweispflicht darin besteht, zu belegen, dass das Hackertool auch zur Zeit des Angriffs benutzt wurde, konnte das Schreiben nicht eindeutig klären. Die Vermutung liegt nahe, dass diese Entscheidung vom Richter abhängig sein wird.
- Eine gesetzliche Verpflichtung sein System durch präventive Maßnahmen zu schützen, gibt es nicht. Jedoch bedeutet das nicht, dass man bei einem Missbrauch keine rechtlichen Konsequenzen zu befürchten hat, nur weil man ja nicht verpflichtet war, das System zu schützen. Alles hängt von den entlastenden Beweisen und nicht zuletzt vom Richter ab, was ein wenig an russisches Roulett erinnert, wenn man ein offenes System mit dem Internet verbindet.
Bye, nz
).