9
Haftung und Rechtliches bei gekapertem Webserver
Hallo!
Eine rechtliche Fragestellung ist in meinem (administrativen) Arbeitsbereich gelandet. Da ich hier noch absolut im Dunkeln tappe, würde ich mich über Tipps und Ratschläge freuen.
Es geht um einen gemieteten Root-Server, auf dem die Homepage und der Webshop meines Arbeitgebers gehostet sind.
Was wäre zu tun, wenn dieser gehackt bzw. gekapert und für kriminelle Zwecke missbraucht wird?
Szenario:
Der Server wird durch Dritte übernommen und verteilt Schadcode an alle Besucher der Homepage. Es entstehen Schäden und daraus erfolgen Haftungsansprüche.
Meine Fragen:
Wo kann man sich für solche Fälle rechtliche Beratung holen?
Gibt es Informationsquellen oder Best Practices, um solche Fälle zu regulieren?
Kann man die Haftung ausschließen oder einschränken?
Entstanden ist die Frage übrigens aus der Überlegung heraus, einen hoffnungslos veralteten Webserver weiter zu betreiben und das Risiko eines Hacks in Kauf zu nehmen.
(Anmerkung: Das war nicht meine Überlegung)
Beste Grüße
Marc
Eine rechtliche Fragestellung ist in meinem (administrativen) Arbeitsbereich gelandet. Da ich hier noch absolut im Dunkeln tappe, würde ich mich über Tipps und Ratschläge freuen.
Es geht um einen gemieteten Root-Server, auf dem die Homepage und der Webshop meines Arbeitgebers gehostet sind.
Was wäre zu tun, wenn dieser gehackt bzw. gekapert und für kriminelle Zwecke missbraucht wird?
Szenario:
Der Server wird durch Dritte übernommen und verteilt Schadcode an alle Besucher der Homepage. Es entstehen Schäden und daraus erfolgen Haftungsansprüche.
Meine Fragen:
Wo kann man sich für solche Fälle rechtliche Beratung holen?
Gibt es Informationsquellen oder Best Practices, um solche Fälle zu regulieren?
Kann man die Haftung ausschließen oder einschränken?
Entstanden ist die Frage übrigens aus der Überlegung heraus, einen hoffnungslos veralteten Webserver weiter zu betreiben und das Risiko eines Hacks in Kauf zu nehmen.
(Anmerkung: Das war nicht meine Überlegung)
Beste Grüße
Marc
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 205653
Url: https://administrator.de/contentid/205653
Ausgedruckt am: 25.11.2024 um 21:11 Uhr
9 Kommentare
Neuester Kommentar
Hi Marc,
also Prinzipiell sollte man sich bei solchen Überlegungen einen guten Rechtsbeistand zulegen und ein Worst-Case Szenario durchspielen (Homepage abschaltung.....)
Weiterhin sollte man auch alte Systeme mit Aktuellen Patches auf einen Sicheren Stand bringen.
Es sollten überall Sichere Kennwörter gewählt werden (Mindestens "Groß-/kleinschreibung mit Zahlen und Sonderzeichen).
Die Ports sollten soweit geschlossen sein, dass wirklich nur Ports offen sind, welche wirklich benötigt werden.
Wenn es um einen Root-Server geht, sollte man über aktualisierung des Servers nachdenken.
Lg Pago
also Prinzipiell sollte man sich bei solchen Überlegungen einen guten Rechtsbeistand zulegen und ein Worst-Case Szenario durchspielen (Homepage abschaltung.....)
Weiterhin sollte man auch alte Systeme mit Aktuellen Patches auf einen Sicheren Stand bringen.
Es sollten überall Sichere Kennwörter gewählt werden (Mindestens "Groß-/kleinschreibung mit Zahlen und Sonderzeichen).
Die Ports sollten soweit geschlossen sein, dass wirklich nur Ports offen sind, welche wirklich benötigt werden.
Wenn es um einen Root-Server geht, sollte man über aktualisierung des Servers nachdenken.
Lg Pago
Hallo Pago,
danke für Deinen Beitrag. Der gemietete Root-Server ist aktuell und soll auch nach bestem Wissen sicher eingerichtet werden.
Diesen veralteten Webserver gab es wirklich. Dort wurden absichtlich einige Pakete nicht aktualisiert, weil dies zu Inkompatibilitäten mit der gehosteten Homepage geführt hätte. Diese anzupassen wurde immer wieder aufgrund anderer Projekte verschoben. Doch damit ist nun Schluss.
Es bleibt die Frage nach der Haftung, wenn so ein Server wirklich mal Schaden anrichtet.
danke für Deinen Beitrag. Der gemietete Root-Server ist aktuell und soll auch nach bestem Wissen sicher eingerichtet werden.
Diesen veralteten Webserver gab es wirklich. Dort wurden absichtlich einige Pakete nicht aktualisiert, weil dies zu Inkompatibilitäten mit der gehosteten Homepage geführt hätte. Diese anzupassen wurde immer wieder aufgrund anderer Projekte verschoben. Doch damit ist nun Schluss.
Es bleibt die Frage nach der Haftung, wenn so ein Server wirklich mal Schaden anrichtet.
Hi,
erstmal darf hier natürlich keine rechtl. Beratung stattfinden, weiterhin können auch wir meist nur vermuten. Aber es gibt Foren, in denen sich Rechtsanwälte tummeln und zumindest erste Anhaltspunkte dir liefern können, wenn auch keine rechtl. verbindliche Aussage, natürlich.
Ich würde vermuten ;) das man nach besten Wissen und Gewissen handeln und zeitnah Gefahren ausräumen muß, damit man auf der rechtl. sichereren Seite ist. Soll aber nicht heißen, das du bei bekanntwerden einer Sicherheitslücke gleich die Seite vom Netz nehmen müsstest. Jedoch als fachlich versierter Mensch musst du in gewissen Abständen, dessen genau Definition vermutlich der Richter hat, nach Patches Co. ausschau halten und implementieren. Sollte man fahrlässig handeln ist man dann vermutlich haftbar für Schäden. Und die können hoch werden. Da wird jedoch auch die Beweislast schwierig sein, denn wie soll jemand beweisen können von welcher Seite der Virus dann stammte, wenn man nich prof. Hard/Software hat.
Egal, deine Ehre sollte dir schon alleine sagen: nicht tun!
der vermutlich Grüßende
ravers
P.S.: Firmen haben idR. eine gute Rechtschutzversicherung. Sollten einfach mal spez. Anwälte anrufen.
erstmal darf hier natürlich keine rechtl. Beratung stattfinden, weiterhin können auch wir meist nur vermuten. Aber es gibt Foren, in denen sich Rechtsanwälte tummeln und zumindest erste Anhaltspunkte dir liefern können, wenn auch keine rechtl. verbindliche Aussage, natürlich.
Ich würde vermuten ;) das man nach besten Wissen und Gewissen handeln und zeitnah Gefahren ausräumen muß, damit man auf der rechtl. sichereren Seite ist. Soll aber nicht heißen, das du bei bekanntwerden einer Sicherheitslücke gleich die Seite vom Netz nehmen müsstest. Jedoch als fachlich versierter Mensch musst du in gewissen Abständen, dessen genau Definition vermutlich der Richter hat, nach Patches Co. ausschau halten und implementieren. Sollte man fahrlässig handeln ist man dann vermutlich haftbar für Schäden. Und die können hoch werden. Da wird jedoch auch die Beweislast schwierig sein, denn wie soll jemand beweisen können von welcher Seite der Virus dann stammte, wenn man nich prof. Hard/Software hat.
Egal, deine Ehre sollte dir schon alleine sagen: nicht tun!
der vermutlich Grüßende
ravers
P.S.: Firmen haben idR. eine gute Rechtschutzversicherung. Sollten einfach mal spez. Anwälte anrufen.
Hi Ravers,
eine rechtliche Beratung erwarte ich gar nicht. Ich dachte, ich bin nicht der einzige, der sich mit dieser Frage auseinandersetzen muss(te).
Dass der alte Webserver verschwinden muss, habe ich veranlasst.
Danke für Deinen Beitrag.
eine rechtliche Beratung erwarte ich gar nicht. Ich dachte, ich bin nicht der einzige, der sich mit dieser Frage auseinandersetzen muss(te).
Dass der alte Webserver verschwinden muss, habe ich veranlasst.
Danke für Deinen Beitrag.
Hi,
interessante Frage.
Kann dir aber wohl nur ein Anwalt beantworten.
Aber drehen wir das Ganze mal um:
Kann ich als Benutzer von Twitter, Evernote, Facebook und Co. da auch Haftungsansprüche stellen?
Ich vermute mal das ist irgendwo in den AGBs (die wir ja alle lesen UND verstehen) ausgenommen.
Weil Twitter und Evernote hatten auch doch schon mal Probleme.
VG
Deepsys
interessante Frage.
Kann dir aber wohl nur ein Anwalt beantworten.
Aber drehen wir das Ganze mal um:
Kann ich als Benutzer von Twitter, Evernote, Facebook und Co. da auch Haftungsansprüche stellen?
Ich vermute mal das ist irgendwo in den AGBs (die wir ja alle lesen UND verstehen) ausgenommen.
Weil Twitter und Evernote hatten auch doch schon mal Probleme.
VG
Deepsys
Das ist schon mal Quatsch.
Die Details dieser juristischen Bestimmung sind das Ausschlaggebende, aber genau deswegen gab es damals ja so Abmahnungen zum Thema juristische Online-Beratung von Nicht-Juristen...
(falls es Dich interessiert, Du kannst gerne mal in meinen Anleitungen stöbern; die entsprechende ist vom 02.07.2008)
So, und für den Threadstarter folgende Infos:
- wenn eine Domain Schadcode verbreitet, haftet im ersten Schritt der Webseitenbetreiber/Domaininhaber.
- wenn der Webserver selbst Schadcode verbreitet, haftet der Serverbetreiber/Serverinhaber
- wenn der Admin des Webservers das weiß, haftet sogar der mit; lange Geschichte, aber theoretisch durchsetzbar
Was bedeutet Haftung?
Guckst Du erst mal hier auf Identity Watch -> klick
Das bezieht sich jetzt sowohl auf Datenverlust durch Kopieren von Datenbank-Dumps, aber auch auf Schadcodeverbreitung.
Klartext: kann ein Seitenbesucher nachweisen, daß sein PC erst nach Besuch der besagten Domain/des veralteten Server infiziert war, muß der Verursacher für den Schaden aufkommen.
Wenn man das mal runterbricht:
10 Webseitenbesucher/Tag -> 300x PC-Setup/Monat -> Firma ist 4-5stelligen Betrag los.
Und der Admin könnte auch in Haftungsfragen reingezogen werden, denn es ist seine Pflicht, sich so Sachen schriftlich bestätigen zu lassen, daß der das nicht machen darf, und er sonst seinen Job verliert.
Ansonsten greift die Sorgfaltspflicht, und Ende Gelände.
So long mit der laienhaften Rechtsberatung
Lonesome Walker
(der das Thema mit seinen Anwälten mehrfach durchgekaut hat
)
Hey,
vielen Dank, das hilft mir weiter!
vielen Dank, das hilft mir weiter!
Zitat von @Deepsys:
Aber drehen wir das Ganze mal um:
Kann ich als Benutzer von Twitter, Evernote, Facebook und Co. da auch Haftungsansprüche stellen?
Aber drehen wir das Ganze mal um:
Kann ich als Benutzer von Twitter, Evernote, Facebook und Co. da auch Haftungsansprüche stellen?
Ja, wenn man einen Anwalt damit beauftragt, und gewisse Sachen nachweisen kann, vollumfänglich, da helfen auch keine AGB
Lonesome Walker
Hallo,
nach Rücksprache mit einem Rechtsanwalt, kann ich noch ergänzende Tipps geben.
1. Rechtsanwalt konsultieren. ;)
2. Die Bearbeitung des Problems sollte immer zeitnah erfolgen (z.B. Webserver vom Netz nehmen als schnelle Maßnahme, wenn man nicht kurzfristig die Art des Problems herausfinden kann).
3. Inhaltliche Eingrenzung: Ist es ein gezielter Angriff (Diebstahl von Kundendaten) oder ist man "nur zufällig" eines von vielen Opfern (z.B. Missbrauch des Webserver als Bot).
Hier kann ggf. der Hoster mit Informationen zum Traffic helfen, beispielsweise bei einem Flooding.
4. Keine Informationen über den Angriff öffentlich machen, solange es keinen Anlass dazu gibt.
5. Es kann Anzeige gegen Unbekannt gestellt werden, um Unterstützung durch die Behörden zu bekommen. Dies macht meistens nur dann Sinn, wenn ein Schaden entstanden ist (z.B. Klau von Kundendaten). Eine pauschale Anzeige ist nicht empfehlenswert.
6. Sensibilisierung der eigenen Mitarbeiter in Bezug auf Auffälligkeiten im Zahlungsverkehr (z.B. wenn Kunden über ungefragte Abbuchungen vom Girokonto berichten).
nach Rücksprache mit einem Rechtsanwalt, kann ich noch ergänzende Tipps geben.
1. Rechtsanwalt konsultieren. ;)
2. Die Bearbeitung des Problems sollte immer zeitnah erfolgen (z.B. Webserver vom Netz nehmen als schnelle Maßnahme, wenn man nicht kurzfristig die Art des Problems herausfinden kann).
3. Inhaltliche Eingrenzung: Ist es ein gezielter Angriff (Diebstahl von Kundendaten) oder ist man "nur zufällig" eines von vielen Opfern (z.B. Missbrauch des Webserver als Bot).
Hier kann ggf. der Hoster mit Informationen zum Traffic helfen, beispielsweise bei einem Flooding.
4. Keine Informationen über den Angriff öffentlich machen, solange es keinen Anlass dazu gibt.
5. Es kann Anzeige gegen Unbekannt gestellt werden, um Unterstützung durch die Behörden zu bekommen. Dies macht meistens nur dann Sinn, wenn ein Schaden entstanden ist (z.B. Klau von Kundendaten). Eine pauschale Anzeige ist nicht empfehlenswert.
6. Sensibilisierung der eigenen Mitarbeiter in Bezug auf Auffälligkeiten im Zahlungsverkehr (z.B. wenn Kunden über ungefragte Abbuchungen vom Girokonto berichten).
