Eigener Server, Rechte-Frage

Hallo,

ich habe einen eigenen Server in meinem Zimmer stehen, den ich selbst eingerichtet habe.

Leider konnte ich sonst nichts zu genau meiner Situation finden, daher hoffe ich hier auf Aufklärung.

Ich hab einen Fileserver eingerichtet, bei dem man sich mit Benutzernamen (frei wählbar) plus Passwort einloggen muss (Seafile heißt das Serverprogramm).

Zusätzlich kann man die Dateien noch per LDA (auch wenn ich zugeben muss, ich weiß nicht genau was das ist) verschlüsselt. Zugang haben nur wenige Leute (ca 12), die ich alle kenne.

Wenn nun jemand dort rechtlich geschützes Material hochlädt, bin ich (oder die Benutzer) irgendwie dafür haftbar?

Und falls jemand Spaß daran hat, hat jemand Lust meinen Server zu hacken um zu testen wie sicher er ist? (ip würde ich bereitstellen).

Gruß,
Rhodarus
 
Wenn nun jemand dort rechtlich geschützes Material hochlädt, bin ich (oder die Benutzer) irgendwie dafür haftbar?

In Deutschland ist grundsätzlich immer irgend jemand haftbar. :p

Da aber von außen erstmal nicht direkt ersichtlich ist ob ein Desktoprechner Inhalte ins Netz stellt oder ein Smartphone oder ein richtiger Server, würde es zuerst an den Inhaber der IP-Adresse gehen (also entweder an dich, deine Eltern oder auf wen auch immer euer Internetanschluß läuft).

Da du die Inhalte aber nicht öffentlich anbietest, ist die Gefahr erwischt zu werden "relativ" gering. Frei nach dem Motto "Wo kein Kläger, da kein Richter".

Alles in allem musst du selber wissen ob du dieses Risiko eingehen willst. Wie du schon bemerkt hast kann so ein Server auch übernommen und für andere Dinge missbraucht werden und auch in dem Fall bist erstmal du als Betreiber der Schuldige. Und dann musst du beweisen, dass du nicht grob fahrlässig oder absichtlich gehandelt hast und ein normales Maß an Schutz- und Kontrollmechanismen implementiert hast.
Das zu beweisen wir im Zweifel aber sehr schwer, sonst würde ja jeder einen illegalen Filesharing-Server zu Hause betreiben und wenn die Polizei vor der Tür steht behaupten "Der Server wurde gehackt...". ;)
 
Vielen Dank für die ausführliche Antwort!

Die Übernahme von Fremden ist natürlich nie auszuschließen, da wäre natürlich die Frage, was heißt "grob fahrlässig"? Ich habe Informatik studiert und weiß ein wenig über Firewalls, aber ein wenig offen muss er halt immer bleiben, sonst wäre er ja nutzlos. Wie ich deutsches Recht kenne, bedeutet mein Informatikabschluss das ich mehr hätte wissen müssen, obwohl ich schätze jeder 2. hier weiß mehr über Hacking als ich.

Die Polizei wird wohl kaum mich hacken dürfen, daher schätze ich muss ich mich nur vor fremden Hackern schützen, da lese ich mich mal ein.

Hast du event. einen Tipp wo ich da anfangen kann?
 
Was heißt "grob fahrlässig"?
Das kann dir nur ein Richter mit hoher Sicherheit sagen und kommt voll und ganz auf die Situation an. Eins kann man aber meiner Ansicht leicht unter grob fahrlässig zählen: Die Herausgabe von Adressen und Credentials an nicht vertrauenswürdige Personen mit der Aufforderung, deinen "Server zu hacken" - auch wenn es aus "Spaß" ist.

Hast du event. einen Tipp wo ich da anfangen kann?
Erstmal gilt der Grundsatz: Weniger ist mehr. Wenn du z.B. bestimmte Dienste nicht nach außen anbieten willst, dann schliess deren Ports oder blockiere Requests mittels einer Firewall. Gleiches gilt z.B. für die Funktionalität: Wenn ein Benutzer keine Administrationsberechtigungen benötigt, dann sollte er auch keine besitzen.
Der zweite Punkt wäre das Absichern des Dienstes und der User selbst: Starke Passwörter, Multi-Faktor-Authentifizierung, Sperrung der IP nach 3 erfolglosen Anmeldeversuchen, SSL-Verschlüsselung, IP-Adressbegrenzung, WebApp-Firewalls bzw. mod_security gegen XSS oder SQL-Injections, ... Je nach Dienst und darunter liegendem Protokoll gibt es unterschiedliche Faktoren und Maßnahmen. Bei Seafile scheint die Absicherung des Webservers wohl am Naheliegensten. Dazu solltest du bei Google genug finden.
Der dritte Punkt wäre das aktuell halten jeglicher Software auf dem System. Solange du monatlich Updates einspielst und auf die Sicherheitspatches der verwendeten Software (d.h. Seafile und der darunter liegende Webserver) achtest, bist du gegen einen Großteil der Angriffe abgesichert.
 
Okey, das mit dem Angebot mich hacken zu dürfen war wohl keine gute Idee. Ich dachte nur, ich mach es lieber kontrolliert zu einer Zeit die ich weiß, da könnte ich sofort den Stecker ziehen falls ich sehe es funktioniert. Außerdem ist das herausfinden einer ip vom einem Server der eine Webseite betreibt ja nicht wirklich ein Geheimnis. Was du mit "Credentials" meinst verstehe ich nicht.

Vielen Dank für die übrigen Tipps.
 
Was du mit "Credentials" meinst verstehe ich nicht.

Das heisst nur, dass du penibel drauf achten sollst nicht irgend jemandem X-beliebigem Benutzerdaten zu geben.
Natürlich kann auch "der beste Freund" plötzlich nicht vertrauenswürdig sein, aber das wäre dann wenigstens schonmal nicht vorhersehbar (hoffentlich...) und damit fahrlässig gewesen.
 
Wenn nun jemand dort rechtlich geschützes Material hochlädt, bin ich (oder die Benutzer) irgendwie dafür haftbar?

Um darauf nochmal einzugehen: Erstmal bist Du (mit Einschränkung) nicht verantwortlich für das, was die Leute auf den von Dir ÖFFENTLICH gemachten Diensten machen.

In der Praxis musst Du allerdings im Falle einer Klage deutlich nachweisen, dass Du als Betreiber von einer bestimmten "illegalen" Sache (Filme zb) nichts gewusst hast. Diesen Schlamassel haben wir der Verwertungsmafia digitaler Medien zu verdanken (die sich aber wohl jüngst über dicke geschäfte freut).

Laut einem Urteil des OLG Hamburg (das sog. Bundesligaforum Urteil, 2009) ist ein Forenbetreiber erstmal kein "Störer" (vorher war er wohl prinzipiell erstmal mindestens Mitstörer). Das verschafft Dir als Betreiber eines (öffentlichen) Forums Luft. Konkret bedeutet das, dass Du auf einen Hinweis hin, alles "illegale" entfernen musst, was jemand dort abgelegt hat. Vor Gericht könnte man dann sagen, Du seist Deiner Pflicht als Betreiber nachgekommen, da Du Dich umgehend darum gekümmert hast.

Ist es ein rein privater Dienst, so ist es zu weiten Teilen deine ganz eigene Sache, was du damit anstellst.
 
Zurück
Oben