Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Haftung und Rechtliches bei gekapertem Webserver

Frage Sicherheit Rechtliche Fragen

Mitglied: O-Marc

O-Marc (Level 1) - Jetzt verbinden

25.04.2013 um 14:52 Uhr, 4109 Aufrufe, 9 Kommentare

Hallo!

Eine rechtliche Fragestellung ist in meinem (administrativen) Arbeitsbereich gelandet. Da ich hier noch absolut im Dunkeln tappe, würde ich mich über Tipps und Ratschläge freuen.

Es geht um einen gemieteten Root-Server, auf dem die Homepage und der Webshop meines Arbeitgebers gehostet sind.
Was wäre zu tun, wenn dieser gehackt bzw. gekapert und für kriminelle Zwecke missbraucht wird?

Szenario:
Der Server wird durch Dritte übernommen und verteilt Schadcode an alle Besucher der Homepage. Es entstehen Schäden und daraus erfolgen Haftungsansprüche.


Meine Fragen:
Wo kann man sich für solche Fälle rechtliche Beratung holen?
Gibt es Informationsquellen oder Best Practices, um solche Fälle zu regulieren?
Kann man die Haftung ausschließen oder einschränken?



Entstanden ist die Frage übrigens aus der Überlegung heraus, einen hoffnungslos veralteten Webserver weiter zu betreiben und das Risiko eines Hacks in Kauf zu nehmen.
(Anmerkung: Das war nicht meine Überlegung)


Beste Grüße
Marc




Mitglied: Pago159
25.04.2013 um 15:05 Uhr
Hi Marc,
also Prinzipiell sollte man sich bei solchen Überlegungen einen guten Rechtsbeistand zulegen und ein Worst-Case Szenario durchspielen (Homepage abschaltung.....)
Weiterhin sollte man auch alte Systeme mit Aktuellen Patches auf einen Sicheren Stand bringen.
Es sollten überall Sichere Kennwörter gewählt werden (Mindestens "Groß-/kleinschreibung mit Zahlen und Sonderzeichen).
Die Ports sollten soweit geschlossen sein, dass wirklich nur Ports offen sind, welche wirklich benötigt werden.
Wenn es um einen Root-Server geht, sollte man über aktualisierung des Servers nachdenken.

Lg Pago
Bitte warten ..
Mitglied: O-Marc
25.04.2013 um 15:49 Uhr
Hallo Pago,

danke für Deinen Beitrag. Der gemietete Root-Server ist aktuell und soll auch nach bestem Wissen sicher eingerichtet werden.

Diesen veralteten Webserver gab es wirklich. Dort wurden absichtlich einige Pakete nicht aktualisiert, weil dies zu Inkompatibilitäten mit der gehosteten Homepage geführt hätte. Diese anzupassen wurde immer wieder aufgrund anderer Projekte verschoben. Doch damit ist nun Schluss.

Es bleibt die Frage nach der Haftung, wenn so ein Server wirklich mal Schaden anrichtet.
Bitte warten ..
Mitglied: Ravers
25.04.2013, aktualisiert um 18:33 Uhr
Hi,

erstmal darf hier natürlich keine rechtl. Beratung stattfinden, weiterhin können auch wir meist nur vermuten. Aber es gibt Foren, in denen sich Rechtsanwälte tummeln und zumindest erste Anhaltspunkte dir liefern können, wenn auch keine rechtl. verbindliche Aussage, natürlich.
Ich würde vermuten ;) das man nach besten Wissen und Gewissen handeln und zeitnah Gefahren ausräumen muß, damit man auf der rechtl. sichereren Seite ist. Soll aber nicht heißen, das du bei bekanntwerden einer Sicherheitslücke gleich die Seite vom Netz nehmen müsstest. Jedoch als fachlich versierter Mensch musst du in gewissen Abständen, dessen genau Definition vermutlich der Richter hat, nach Patches Co. ausschau halten und implementieren. Sollte man fahrlässig handeln ist man dann vermutlich haftbar für Schäden. Und die können hoch werden. Da wird jedoch auch die Beweislast schwierig sein, denn wie soll jemand beweisen können von welcher Seite der Virus dann stammte, wenn man nich prof. Hard/Software hat.
Egal, deine Ehre sollte dir schon alleine sagen: nicht tun!

der vermutlich Grüßende
ravers

P.S.: Firmen haben idR. eine gute Rechtschutzversicherung. Sollten einfach mal spez. Anwälte anrufen.
Bitte warten ..
Mitglied: O-Marc
25.04.2013, aktualisiert um 19:47 Uhr
Hi Ravers,

eine rechtliche Beratung erwarte ich gar nicht. Ich dachte, ich bin nicht der einzige, der sich mit dieser Frage auseinandersetzen muss(te).
Dass der alte Webserver verschwinden muss, habe ich veranlasst.
Danke für Deinen Beitrag.
Bitte warten ..
Mitglied: Deepsys
26.04.2013 um 09:09 Uhr
Hi,

interessante Frage.
Kann dir aber wohl nur ein Anwalt beantworten.

Aber drehen wir das Ganze mal um:
Kann ich als Benutzer von Twitter, Evernote, Facebook und Co. da auch Haftungsansprüche stellen?

Ich vermute mal das ist irgendwo in den AGBs (die wir ja alle lesen UND verstehen) ausgenommen.
Weil Twitter und Evernote hatten auch doch schon mal Probleme.

VG
Deepsys
Bitte warten ..
Mitglied: 16568
26.04.2013 um 09:28 Uhr
Zitat von Ravers:
erstmal darf hier natürlich keine rechtl. Beratung stattfinden,

Das ist schon mal Quatsch.
Die Details dieser juristischen Bestimmung sind das Ausschlaggebende, aber genau deswegen gab es damals ja so Abmahnungen zum Thema juristische Online-Beratung von Nicht-Juristen...
(falls es Dich interessiert, Du kannst gerne mal in meinen Anleitungen stöbern; die entsprechende ist vom 02.07.2008)

So, und für den Threadstarter folgende Infos:
- wenn eine Domain Schadcode verbreitet, haftet im ersten Schritt der Webseitenbetreiber/Domaininhaber.
- wenn der Webserver selbst Schadcode verbreitet, haftet der Serverbetreiber/Serverinhaber
- wenn der Admin des Webservers das weiß, haftet sogar der mit; lange Geschichte, aber theoretisch durchsetzbar

Was bedeutet Haftung?
Guckst Du erst mal hier auf Identity Watch -> klick
Das bezieht sich jetzt sowohl auf Datenverlust durch Kopieren von Datenbank-Dumps, aber auch auf Schadcodeverbreitung.
Klartext: kann ein Seitenbesucher nachweisen, daß sein PC erst nach Besuch der besagten Domain/des veralteten Server infiziert war, muß der Verursacher für den Schaden aufkommen.

Wenn man das mal runterbricht:
10 Webseitenbesucher/Tag -> 300x PC-Setup/Monat -> Firma ist 4-5stelligen Betrag los.
Und der Admin könnte auch in Haftungsfragen reingezogen werden, denn es ist seine Pflicht, sich so Sachen schriftlich bestätigen zu lassen, daß der das nicht machen darf, und er sonst seinen Job verliert.
Ansonsten greift die Sorgfaltspflicht, und Ende Gelände.


So long mit der laienhaften Rechtsberatung


Lonesome Walker
(der das Thema mit seinen Anwälten mehrfach durchgekaut hat )
Bitte warten ..
Mitglied: O-Marc
26.04.2013 um 12:17 Uhr
Hey,

vielen Dank, das hilft mir weiter!
Bitte warten ..
Mitglied: 16568
27.04.2013 um 22:14 Uhr
Zitat von Deepsys:
Aber drehen wir das Ganze mal um:
Kann ich als Benutzer von Twitter, Evernote, Facebook und Co. da auch Haftungsansprüche stellen?

Ja, wenn man einen Anwalt damit beauftragt, und gewisse Sachen nachweisen kann, vollumfänglich, da helfen auch keine AGB


Lonesome Walker
Bitte warten ..
Mitglied: O-Marc
30.04.2013 um 11:40 Uhr
Hallo,

nach Rücksprache mit einem Rechtsanwalt, kann ich noch ergänzende Tipps geben.

1. Rechtsanwalt konsultieren. ;)

2. Die Bearbeitung des Problems sollte immer zeitnah erfolgen (z.B. Webserver vom Netz nehmen als schnelle Maßnahme, wenn man nicht kurzfristig die Art des Problems herausfinden kann).

3. Inhaltliche Eingrenzung: Ist es ein gezielter Angriff (Diebstahl von Kundendaten) oder ist man "nur zufällig" eines von vielen Opfern (z.B. Missbrauch des Webserver als Bot).
Hier kann ggf. der Hoster mit Informationen zum Traffic helfen, beispielsweise bei einem Flooding.

4. Keine Informationen über den Angriff öffentlich machen, solange es keinen Anlass dazu gibt.

5. Es kann Anzeige gegen Unbekannt gestellt werden, um Unterstützung durch die Behörden zu bekommen. Dies macht meistens nur dann Sinn, wenn ein Schaden entstanden ist (z.B. Klau von Kundendaten). Eine pauschale Anzeige ist nicht empfehlenswert.

6. Sensibilisierung der eigenen Mitarbeiter in Bezug auf Auffälligkeiten im Zahlungsverkehr (z.B. wenn Kunden über ungefragte Abbuchungen vom Girokonto berichten).
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(1)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Groupware
Newsletter Mails vom Webserver oder Mailserver versenden? (10)

Frage von Lakatusch zum Thema Groupware ...

Apache Server
gelöst Apache Webserver HTTP 500 Error (7)

Frage von ClepToManix zum Thema Apache Server ...

LAN, WAN, Wireless
gelöst Webserver Errichbarkeit aus dem Internet über einen Reverse Proxy (5)

Frage von mario87 zum Thema LAN, WAN, Wireless ...

Netzwerke
TP-ER5120 DMZ für Webserver (13)

Frage von ajudran zum Thema Netzwerke ...

Heiß diskutierte Inhalte
Windows Userverwaltung
Ausgeschiedene Mitarbeiter im Unternehmen - was tun mit den AD Konten? (34)

Frage von patz223 zum Thema Windows Userverwaltung ...

LAN, WAN, Wireless
gelöst Server erkennt Client nicht wenn er ausserhalb des DHCP Pools liegt (28)

Frage von Mar-west zum Thema LAN, WAN, Wireless ...

Windows Server
Server 2008R2 startet nicht mehr (Bad Patch 0xa) (18)

Frage von Haures zum Thema Windows Server ...