Sicherheitslücke: Unternehmen können für Schäden durch Heartbleed haftbar sein

Der Heartbleed-Bug gilt als eine der gravierendsten Sicherheitslücken aller Zeiten. Millionen SSL-gesicherte Websites waren betroffen, erste Missbrauchsfälle sind bekanntgeworden. Können Unternehmen und Admins, die den Fehler nicht behoben haben, für Schäden belangt werden? Golem.de hat nachgefragt.

Artikel von Christiane Schulzki-Haddouti veröffentlicht am
Der Heartbleed-Bug bedroht die Verschlüsselung im Netz.
Der Heartbleed-Bug bedroht die Verschlüsselung im Netz. (Bild: Heartbleed.com/Screenshot: Golem.de)

Am Montag ist der Heartbleed-Bug bekanntgeworden, der Millionen von SSL-gesicherten Websites betrifft. Bis gestern hatten viele Anbieter den Fehler noch nicht behoben, so dass Passwörter und andere sensible Daten weiterhin gefährdet sind. Nutzer von betroffenen Internet-Plattformen können Anspruch auf Schadensersatz gegenüber dem Betreiber dieser Plattformen haben. Administratoren sind gegenüber den Nutzern in der Regel nicht persönlich haftbar.

Inhalt:
  1. Sicherheitslücke: Unternehmen können für Schäden durch Heartbleed haftbar sein
  2. Wann können Nutzer einen Schadensersatzanspruch vor Gericht durchsetzen?

Auch im Verhältnis zu den Betreibern der Plattform sind Administratoren von Schadensersatzforderungen üblicherweise nicht oder nur eingeschränkt betroffen, wenn sie Arbeitnehmer des Unternehmens sind. Sie haften in der Regel gegenüber ihrem Arbeitgeber nur dann, wenn sie mit Vorsatz oder grob fahrlässig handeln. "Grob fahrlässig" handeln Administratoren dann, wenn sie außer Acht lassen, was jedem einleuchten würde. Allerdings können solche Verstöße von Administratoren sonstige arbeitsrechtliche Konsequenzen haben.

Externe Administratoren haften unbeschränkt

Anders ist das beim Outsourcing: Externe Administratoren haften grundsätzlich unbeschränkt, wenn sie die Haftung bei "fahrlässigem" Handeln nicht vertraglich ausgeschlossen haben. So erläutert Daniel Rücker die allgemeinen Rechtsgrundsätze, deren praktische Anwendung jeweils stark von den Umständen im Einzelfall abhängt. Rücker ist Rechtsanwalt für IT-Recht und bearbeitet Fälle bekannter Internet-Plattformen für die europaweit renommierte Kanzlei Noerr LLP.

Betreiber von Onlinediensten können gegenüber ihren Kunden aufgrund vertraglicher Vereinbarungen haften, die bei der Anmeldung zu Plattformen zustandekommen. "Der Vertrag löst Sorgfaltspflichten auf beiden Seiten aus", sagt Rücker. Auf Seiten des Anbieters bestehen diese regelmäßig darin, dass er Sicherheitsmaßnahmen treffen muss, die zumindest üblichen Standards genügen.

Stellenmarkt
  1. SAP Senior Inhouse Consultant MM/LE (m/w/d)
    OMIRA GmbH, Ravensburg
  2. Wissenschaftl. Mitarbeiter*in - Kommunikations-Infrastruktur- en für datengetriebene Techn. ... (m/w/d)
    Fraunhofer-Institut für Produktionstechnik und Automatisierung IPA, Stuttgart
Detailsuche

Zu diesen Standards gehört zum Beispiel der IT-Grundschutz des Bundesamts für Sicherheit in der Informationstechnik (BSI). Auch das Datenschutzrecht verpflichtet zur Einhaltung von Sicherheitsstandards. Plattformbetreiber können ihre Haftung in den Allgemeinen Geschäftsbedingungen nur sehr begrenzt einschränken. "Falls ein Plattformbetreiber in den Allgemeinen Geschäftsbedingungen für nichts haften will", so Rücker, "ist eine solche Haftungsbeschränkung unwirksam".

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Wann können Nutzer einen Schadensersatzanspruch vor Gericht durchsetzen? 
  1. 1
  2. 2
  3.  


trendfischer 11. Apr 2014

Tja, die neuen MacBook Pros haben keinen Kensington-Lock mehr, sprich wir können die...

Himmerlarschund... 11. Apr 2014

Passiert meinem Kollegen auch öfter mal :-)

DancingBallmer 10. Apr 2014

Mir geht es eher um ein Feedback der Webseitenbetreiber, heißt man kann jetzt die...

Lala Satalin... 10. Apr 2014

Schon klar.



Aktuell auf der Startseite von Golem.de
Unix-Nachfolger
Plan 9 sollte bessere Audio-Kompression bekommen als MP3

Die Entwicklung der Audio-Kompression und die schwierige MP3-Patentsituation hätte ohne das Nein eines Anwalts wohl anders ausgesehen.

Unix-Nachfolger: Plan 9 sollte bessere Audio-Kompression bekommen als MP3
Artikel
  1. Vision, Disruption, Transformation: Populäre Denkfehler in der Digitalisierung
    Vision, Disruption, Transformation
    Populäre Denkfehler in der Digitalisierung

    Der Essay Träge Transformation hinterfragt Schlagwörter des IT-Managements und räumt mit gängigen Vorstellungen auf. Die Lektüre ist aufschlussreich und sogar lustig.
    Eine Rezension von Ulrich Hottelet

  2. Hermit: Google analysiert italienischen Staatstrojaner
    Hermit
    Google analysiert italienischen Staatstrojaner

    Der Staatstrojaner einer italienische Firma funktioniert sogar in Zusammenarbeit mit dem ISP. Dafür braucht es nicht zwingend ausgefallene Exploits.

  3. Probefahrt mit Toyota bZ4X: Starker Auftritt mit kleinen Schwächen
    Probefahrt mit Toyota bZ4X
    Starker Auftritt mit kleinen Schwächen

    Das erste Elektroauto von Toyota kommt spät - und weist trotzdem noch Schwachpunkte auf. Der Hersteller verspricht immerhin schnelle Abhilfe.
    Ein Bericht von Franz W. Rother

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Prime Video: Filme leihen 0,99€ • Alternate: Gehäuse & Co. von Fractal Design • Nur noch heute: 16.000 Artikel günstiger bei MediaMarkt • MindStar (Samsung 970 EVO Plus 250GB 39€) • Hori RWA 87,39€ • Honor X7 128GB 150,42€ • Phanteks Eclipse P200A + Glacier One 280 157,89€ [Werbung]
    •  /