Original-URL des Artikels: https://www.golem.de/news/sicherheitsluecke-unternehmen-koennen-fuer-schaeden-durch-heartbleed-haftbar-sein-1404-105779.html    Veröffentlicht: 10.04.2014 15:50    Kurz-URL: https://glm.io/105779

Sicherheitslücke

Unternehmen können für Schäden durch Heartbleed haftbar sein

Der Heartbleed-Bug gilt als eine der gravierendsten Sicherheitslücken aller Zeiten. Millionen SSL-gesicherte Websites waren betroffen, erste Missbrauchsfälle sind bekanntgeworden. Können Unternehmen und Admins, die den Fehler nicht behoben haben, für Schäden belangt werden? Golem.de hat nachgefragt.

Am Montag ist der Heartbleed-Bug bekanntgeworden, der Millionen von SSL-gesicherten Websites betrifft. Bis gestern hatten viele Anbieter den Fehler noch nicht behoben, so dass Passwörter und andere sensible Daten weiterhin gefährdet sind. Nutzer von betroffenen Internet-Plattformen können Anspruch auf Schadensersatz gegenüber dem Betreiber dieser Plattformen haben. Administratoren sind gegenüber den Nutzern in der Regel nicht persönlich haftbar.

Auch im Verhältnis zu den Betreibern der Plattform sind Administratoren von Schadensersatzforderungen üblicherweise nicht oder nur eingeschränkt betroffen, wenn sie Arbeitnehmer des Unternehmens sind. Sie haften in der Regel gegenüber ihrem Arbeitgeber nur dann, wenn sie mit Vorsatz oder grob fahrlässig handeln. "Grob fahrlässig" handeln Administratoren dann, wenn sie außer Acht lassen, was jedem einleuchten würde. Allerdings können solche Verstöße von Administratoren sonstige arbeitsrechtliche Konsequenzen haben.

Externe Administratoren haften unbeschränkt

Anders ist das beim Outsourcing: Externe Administratoren haften grundsätzlich unbeschränkt, wenn sie die Haftung bei "fahrlässigem" Handeln nicht vertraglich ausgeschlossen haben. So erläutert Daniel Rücker die allgemeinen Rechtsgrundsätze, deren praktische Anwendung jeweils stark von den Umständen im Einzelfall abhängt. Rücker ist Rechtsanwalt für IT-Recht und bearbeitet Fälle bekannter Internet-Plattformen für die europaweit renommierte Kanzlei Noerr LLP.

Betreiber von Onlinediensten können gegenüber ihren Kunden aufgrund vertraglicher Vereinbarungen haften, die bei der Anmeldung zu Plattformen zustandekommen. "Der Vertrag löst Sorgfaltspflichten auf beiden Seiten aus", sagt Rücker. Auf Seiten des Anbieters bestehen diese regelmäßig darin, dass er Sicherheitsmaßnahmen treffen muss, die zumindest üblichen Standards genügen.

Zu diesen Standards gehört zum Beispiel der IT-Grundschutz des Bundesamts für Sicherheit in der Informationstechnik (BSI). Auch das Datenschutzrecht verpflichtet zur Einhaltung von Sicherheitsstandards. Plattformbetreiber können ihre Haftung in den Allgemeinen Geschäftsbedingungen nur sehr begrenzt einschränken. "Falls ein Plattformbetreiber in den Allgemeinen Geschäftsbedingungen für nichts haften will", so Rücker, "ist eine solche Haftungsbeschränkung unwirksam".



Wann können Nutzer einen Schadensersatzanspruch vor Gericht durchsetzen?

Nutzer können einen Schadensersatzanspruch vor Gericht dann durchsetzen, wenn sie einen konkreten Schaden nachweisen können. "Hätte der Nutzer etwas unternehmen können, um den Schaden zu verhindern oder zu mindern, etwa nachdem er über die Sicherheitslücke informiert wurde, und hat er dies nicht gemacht, kann ein Schadensersatzanspruch auch entfallen oder reduziert werden", erklärt Rücker.

Im Fall von Heartbleed kann der Nutzer wohl erst einmal nichts unternehmen, allein die betroffenen Website-Betreiber können und müssen die Sicherheitslücke beseitigen. Es stellt sich aber durchaus die Frage, ob Nutzer, deren E-Mail-Adressen und Passwörter gehackt wurden, das Entstehen weiterer Schäden verhindern können, indem sie etwa ihre Passwörter ändern.

"Wenn der Betreiber zur Beseitigung der Sicherheitslücke ein neues Release, einen Patch oder ein Fix nicht in angemessener Frist einspielt, ist er in der Regel schadensersatzpflichtig", erklärt Rücker. Was "angemessen" ist, hängt beispielsweise davon ab, ob ein Fix bereits verfügbar ist oder erst noch erstellt werden muss. "Wenn der Betreiber herumtrödelt, ist es in der Regel eine Pflichtverletzung", sagt Rücker. Eine feste Regel gebe es jedoch nicht, da es vom jeweiligen IT-System abhänge, wie schnell die Reparatur zu bewerkstelligen ist.

Gerichte sind zurückhaltend

Gerichte waren bei Schadensersatzforderungen wegen Datenschutzverletzungen in der Vergangenheit sehr zurückhaltend und sprachen diese punktuell nur bei bestimmten Sachverhalten zu und dies auch nur in besonders schwerwiegenden Fällen. So wurden einem Betroffenen wegen der unzulässigen Veröffentlichung einer E-Mail im Internet beispielsweise 3.000 Euro zugesprochen. Andererseits wurden einem Patienten, dessen Arzt gegen die Schweigepflicht verstoßen hatte, lediglich 51 Euro zugesprochen. In zahlreichen anderen Fällen haben die Gerichte Schadensersatzforderungen wegen Datenschutzverletzungen auch ganz abgelehnt.

Hinzu kommt, dass Betreiber gehackter Plattformen, von denen Daten abhandengekommen sind, schon nach geltendem Datenschutzrecht verpflichtet sind, solche Verstöße den Datenschutzbehörden zu melden und die betroffenen Kunden zu informieren. Verstößt ein Plattformbetreiber gegen diese Pflicht, drohen Bußgelder von bis zu 300.000 Euro. Im Einzelfall können sie sogar noch höher sein, falls der Betreiber aus dem Verstoß wirtschaftliche Vorteile gezogen hat, die diesen Betrag übersteigen.

Die Situation könnte sich mit der EU-Datenschutzreform weiter verschärfen, da auch der aktuelle Entwurf in einigen Bereichen sehr hohe Bußgelder für Datenschutzverstöße vorsieht. Das EU-Parlament fordert in seinem Entwurf Strafen von bis zu 100 Millionen Euro oder bis zu fünf Prozent des Jahresumsatzes.  (csh)


Verwandte Artikel:
JoltandBleed: Oracle veröffentlicht Notfallpatch für Universitäts-Software   
(20.11.2017, https://glm.io/131238 )
ROBOT-Angriff: Arbeitsagentur nutzt uralte Cisco-Geräte   
(09.03.2018, https://glm.io/133258 )
Trustico/Digicert: Chaos um 23.000 Zertifikate und private Schlüssel   
(01.03.2018, https://glm.io/133077 )
CDN: Cloudflare bietet lokale TLS-Schlüssel und mehr DDoS-Schutz   
(26.09.2017, https://glm.io/130269 )
LLVM 6.0: Clang bekommt Maßnahme gegen Spectre-Angriff   
(09.03.2018, https://glm.io/133241 )

© 1997–2020 Golem.de, https://www.golem.de/