Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Frage Sicherheit Rechtliche Fragen

Haftung und Rechtliches bei gekapertem Webserver

Mitglied: O-Marc

O-Marc (Level 1) - Jetzt verbinden

25.04.2013 um 14:52 Uhr, 4566 Aufrufe, 9 Kommentare

Hallo!

Eine rechtliche Fragestellung ist in meinem (administrativen) Arbeitsbereich gelandet. Da ich hier noch absolut im Dunkeln tappe, würde ich mich über Tipps und Ratschläge freuen.

Es geht um einen gemieteten Root-Server, auf dem die Homepage und der Webshop meines Arbeitgebers gehostet sind.
Was wäre zu tun, wenn dieser gehackt bzw. gekapert und für kriminelle Zwecke missbraucht wird?

Szenario:
Der Server wird durch Dritte übernommen und verteilt Schadcode an alle Besucher der Homepage. Es entstehen Schäden und daraus erfolgen Haftungsansprüche.


Meine Fragen:
Wo kann man sich für solche Fälle rechtliche Beratung holen?
Gibt es Informationsquellen oder Best Practices, um solche Fälle zu regulieren?
Kann man die Haftung ausschließen oder einschränken?



Entstanden ist die Frage übrigens aus der Überlegung heraus, einen hoffnungslos veralteten Webserver weiter zu betreiben und das Risiko eines Hacks in Kauf zu nehmen.
(Anmerkung: Das war nicht meine Überlegung)


Beste Grüße
Marc




Mitglied: Pago159
25.04.2013 um 15:05 Uhr
Hi Marc,
also Prinzipiell sollte man sich bei solchen Überlegungen einen guten Rechtsbeistand zulegen und ein Worst-Case Szenario durchspielen (Homepage abschaltung.....)
Weiterhin sollte man auch alte Systeme mit Aktuellen Patches auf einen Sicheren Stand bringen.
Es sollten überall Sichere Kennwörter gewählt werden (Mindestens "Groß-/kleinschreibung mit Zahlen und Sonderzeichen).
Die Ports sollten soweit geschlossen sein, dass wirklich nur Ports offen sind, welche wirklich benötigt werden.
Wenn es um einen Root-Server geht, sollte man über aktualisierung des Servers nachdenken.

Lg Pago
Bitte warten ..
Mitglied: O-Marc
25.04.2013 um 15:49 Uhr
Hallo Pago,

danke für Deinen Beitrag. Der gemietete Root-Server ist aktuell und soll auch nach bestem Wissen sicher eingerichtet werden.

Diesen veralteten Webserver gab es wirklich. Dort wurden absichtlich einige Pakete nicht aktualisiert, weil dies zu Inkompatibilitäten mit der gehosteten Homepage geführt hätte. Diese anzupassen wurde immer wieder aufgrund anderer Projekte verschoben. Doch damit ist nun Schluss.

Es bleibt die Frage nach der Haftung, wenn so ein Server wirklich mal Schaden anrichtet.
Bitte warten ..
Mitglied: Ravers
25.04.2013, aktualisiert um 18:33 Uhr
Hi,

erstmal darf hier natürlich keine rechtl. Beratung stattfinden, weiterhin können auch wir meist nur vermuten. Aber es gibt Foren, in denen sich Rechtsanwälte tummeln und zumindest erste Anhaltspunkte dir liefern können, wenn auch keine rechtl. verbindliche Aussage, natürlich.
Ich würde vermuten ;) das man nach besten Wissen und Gewissen handeln und zeitnah Gefahren ausräumen muß, damit man auf der rechtl. sichereren Seite ist. Soll aber nicht heißen, das du bei bekanntwerden einer Sicherheitslücke gleich die Seite vom Netz nehmen müsstest. Jedoch als fachlich versierter Mensch musst du in gewissen Abständen, dessen genau Definition vermutlich der Richter hat, nach Patches Co. ausschau halten und implementieren. Sollte man fahrlässig handeln ist man dann vermutlich haftbar für Schäden. Und die können hoch werden. Da wird jedoch auch die Beweislast schwierig sein, denn wie soll jemand beweisen können von welcher Seite der Virus dann stammte, wenn man nich prof. Hard/Software hat.
Egal, deine Ehre sollte dir schon alleine sagen: nicht tun!

der vermutlich Grüßende
ravers

P.S.: Firmen haben idR. eine gute Rechtschutzversicherung. Sollten einfach mal spez. Anwälte anrufen.
Bitte warten ..
Mitglied: O-Marc
25.04.2013, aktualisiert um 19:47 Uhr
Hi Ravers,

eine rechtliche Beratung erwarte ich gar nicht. Ich dachte, ich bin nicht der einzige, der sich mit dieser Frage auseinandersetzen muss(te).
Dass der alte Webserver verschwinden muss, habe ich veranlasst.
Danke für Deinen Beitrag.
Bitte warten ..
Mitglied: Deepsys
26.04.2013 um 09:09 Uhr
Hi,

interessante Frage.
Kann dir aber wohl nur ein Anwalt beantworten.

Aber drehen wir das Ganze mal um:
Kann ich als Benutzer von Twitter, Evernote, Facebook und Co. da auch Haftungsansprüche stellen?

Ich vermute mal das ist irgendwo in den AGBs (die wir ja alle lesen UND verstehen) ausgenommen.
Weil Twitter und Evernote hatten auch doch schon mal Probleme.

VG
Deepsys
Bitte warten ..
Mitglied: 16568
26.04.2013 um 09:28 Uhr
Zitat von Ravers:
erstmal darf hier natürlich keine rechtl. Beratung stattfinden,

Das ist schon mal Quatsch.
Die Details dieser juristischen Bestimmung sind das Ausschlaggebende, aber genau deswegen gab es damals ja so Abmahnungen zum Thema juristische Online-Beratung von Nicht-Juristen...
(falls es Dich interessiert, Du kannst gerne mal in meinen Anleitungen stöbern; die entsprechende ist vom 02.07.2008)

So, und für den Threadstarter folgende Infos:
- wenn eine Domain Schadcode verbreitet, haftet im ersten Schritt der Webseitenbetreiber/Domaininhaber.
- wenn der Webserver selbst Schadcode verbreitet, haftet der Serverbetreiber/Serverinhaber
- wenn der Admin des Webservers das weiß, haftet sogar der mit; lange Geschichte, aber theoretisch durchsetzbar

Was bedeutet Haftung?
Guckst Du erst mal hier auf Identity Watch -> klick
Das bezieht sich jetzt sowohl auf Datenverlust durch Kopieren von Datenbank-Dumps, aber auch auf Schadcodeverbreitung.
Klartext: kann ein Seitenbesucher nachweisen, daß sein PC erst nach Besuch der besagten Domain/des veralteten Server infiziert war, muß der Verursacher für den Schaden aufkommen.

Wenn man das mal runterbricht:
10 Webseitenbesucher/Tag -> 300x PC-Setup/Monat -> Firma ist 4-5stelligen Betrag los.
Und der Admin könnte auch in Haftungsfragen reingezogen werden, denn es ist seine Pflicht, sich so Sachen schriftlich bestätigen zu lassen, daß der das nicht machen darf, und er sonst seinen Job verliert.
Ansonsten greift die Sorgfaltspflicht, und Ende Gelände.


So long mit der laienhaften Rechtsberatung


Lonesome Walker
(der das Thema mit seinen Anwälten mehrfach durchgekaut hat )
Bitte warten ..
Mitglied: O-Marc
26.04.2013 um 12:17 Uhr
Hey,

vielen Dank, das hilft mir weiter!
Bitte warten ..
Mitglied: 16568
27.04.2013 um 22:14 Uhr
Zitat von Deepsys:
Aber drehen wir das Ganze mal um:
Kann ich als Benutzer von Twitter, Evernote, Facebook und Co. da auch Haftungsansprüche stellen?

Ja, wenn man einen Anwalt damit beauftragt, und gewisse Sachen nachweisen kann, vollumfänglich, da helfen auch keine AGB


Lonesome Walker
Bitte warten ..
Mitglied: O-Marc
30.04.2013 um 11:40 Uhr
Hallo,

nach Rücksprache mit einem Rechtsanwalt, kann ich noch ergänzende Tipps geben.

1. Rechtsanwalt konsultieren. ;)

2. Die Bearbeitung des Problems sollte immer zeitnah erfolgen (z.B. Webserver vom Netz nehmen als schnelle Maßnahme, wenn man nicht kurzfristig die Art des Problems herausfinden kann).

3. Inhaltliche Eingrenzung: Ist es ein gezielter Angriff (Diebstahl von Kundendaten) oder ist man "nur zufällig" eines von vielen Opfern (z.B. Missbrauch des Webserver als Bot).
Hier kann ggf. der Hoster mit Informationen zum Traffic helfen, beispielsweise bei einem Flooding.

4. Keine Informationen über den Angriff öffentlich machen, solange es keinen Anlass dazu gibt.

5. Es kann Anzeige gegen Unbekannt gestellt werden, um Unterstützung durch die Behörden zu bekommen. Dies macht meistens nur dann Sinn, wenn ein Schaden entstanden ist (z.B. Klau von Kundendaten). Eine pauschale Anzeige ist nicht empfehlenswert.

6. Sensibilisierung der eigenen Mitarbeiter in Bezug auf Auffälligkeiten im Zahlungsverkehr (z.B. wenn Kunden über ungefragte Abbuchungen vom Girokonto berichten).
Bitte warten ..
Ähnliche Inhalte
E-Mail
Rechtliche Grundlagen für Mail-Administration
gelöst Frage von TutterE-Mail3 Kommentare

Eigentlich beschäftige ich mich seit Jahren mit der Thematik nur gelegentlich und kenne nur ein paar Rahmenbedingungen. Nun scheint ...

Windows Server
Microsoft Lizenzüberprüfung - Rechtlich absichern
Frage von staybbWindows Server8 Kommentare

Hallo, bei unserem Unternehmen wird eine Microsoft Lizenzüberprüfung von Microsoft durchgeführt. Wir haben bisher schon alle Lizenznacheweise für die ...

Vmware
MacOSX virtualisieren? Rechtliche Fragen
Frage von StoffnVmware9 Kommentare

Hallo! Es geht darum, eine virtuelle Mac-Umgebung zu schaffen (zu Testzwecken). Das OSX wurde aus dem offiziellen Appstore runtergeladen. ...

Sicherheit
Teamviewer Sessions können gekapert werden - Update tw. verfügbar
Information von sabinesSicherheit8 Kommentare

In bestimmten Konstellationen können Teamviewer Sessions gekapert werden, wahrscheinlich aber ein recht unwahrscheinliches Szenario. Da der Teamviewer gerne für ...

Neue Wissensbeiträge
Linux

Meltdown und Spectre: Linux Update

Information von Frank vor 1 TagLinux

Meltdown (Variante 3 des Prozessorfehlers) Der Kernel 4.14.13 mit den Page-Table-Isolation-Code (PTI) ist nun für Fedora freigegeben worden. Er ...

Tipps & Tricks

Solutio Charly Updater Fehlermeldung: Das Abgleichen der Dateien in -Pfad- mit dem Datenobject ist fehlgeschlagen

Tipp von StefanKittel vor 2 TagenTipps & Tricks

Hallo, hier einmal als Tipp für alle unter Euch die mit der Zahnarztabrechnungssoftware Charly von Solutio zu tun haben. ...

Sicherheit

Meltdown und Spectre: Wir brauchen eine "Abwrackprämie", die die CPU-Hersteller bezahlen

Information von Frank vor 2 TagenSicherheit12 Kommentare

Zum aktuellen Thema Meltdown und Spectre: Ich wünsche mir von den CPU-Herstellern wie Intel, AMD oder ARM eine Art ...

Sicherheit

Meltdown und Spectre: Realitätscheck

Information von Frank vor 2 TagenSicherheit10 Kommentare

Die unangenehme Realität Der Prozessorfehler mit seinen Varianten Meltdown und Spectre ist seit Juni 2017 bekannt. Trotzdem sind immer ...

Heiß diskutierte Inhalte
Batch & Shell
Meltdown Microsoft Prüf Script - .zip Datei leider leer
gelöst Frage von MasterBlaster88Batch & Shell13 Kommentare

Hallo zusammen, ich patche gerade unsere Windows Server bzgl. der Meltdown Lücke. Patch vorhanden, Reg Keys gesetzt Um das ...

Batch & Shell
Shell-Skript - Syntax error: Unterminated quoted string
Frage von newit1Batch & Shell13 Kommentare

Hallo Ich schreibe ein Skript das eine CSV-Datei in eine mySQL Datenbank schieben soll. Bekomme nach start des Skrips ...

E-Mail
Erfahrungen mit hMailServer gesucht
Frage von it-fraggleE-Mail10 Kommentare

Hallo, meine neue Stelle möchte einen eigenen Mailserver. Ich als Linuxkind war direkt geistig mit Postfix dabei. Leider wollen ...

Entwicklung
VBS: alle PDF-Dateien in einem Ordner gleichzeitig öffnen
gelöst Frage von JuweeeEntwicklung9 Kommentare

Hallo, ich habe in deiner Ordnerstruktur (.\Tagesberichte\xx.18\) mehrere dynamische PDF-Formulare (mit LCD erstellt). Die Berichtsformulare sind im Layout alle ...