Wenn der Computer für € 8.000,00 nach Myanmar anruft – wer haftet für Sicherheitslücken in der Software?

Knapp € 8.000,00 hatten die fast 700 Anrufe nach Myanmar zwischen Freitagabend und Montagmorgen insgesamt gekostet. Dabei war nach Feierabend am Freitag kein Mensch im Büro gewesen.

Knapp € 8.000,00 hatten die fast 700 Anrufe nach Myanmar zwischen Freitagabend und Montagmorgen insgesamt gekostet. Dabei war nach Feierabend am Freitag kein Mensch im Büro gewesen. Des Rätsels Lösung: Unbekannte hatten den Router der Marke Fritz!Box über eine Sicherheitslücke im Betriebssystem gehackt und den ISDN Anschluss des Mandanten für Anrufe bei Mehrwertnummern genutzt. Offenbar hatten sie über den Aktivitätslogger im Router zudem genau den Zeitraum ausgespäht, in dem ihr Treiben wegen des Wochenendes kein Aufsehen erregen würde. So standen ihnen alle Leitungen des Mandanten für ein Wochenende zur Verfügung.

Wie konnte es überhaupt soweit kommen?

Dazu muss man die technischen Hintergründe ein wenig verstehen. Zunächst einmal, dass die „kleinen Boxen“, die Router, die in vielen Haushalten und Büros die Verbindung zum Internet ermöglichen und dabei auch noch das WLAN zur Verfügung stellen, in vielen Fällen auch die Verbindung zum Telefonnetz herstellen. Sodann, dass die Router technisch gesehen richtige Computer sind: Mit einem Prozessor, Speicher und einem Betriebssystem – im konkreten Fall Fritz!OS. Und genau in diesem haben Kriminelle Anfang des Jahres 2014 eine Lücke entdeckt, die es ihnen ermöglicht, auf viele Router der Marke Fritz!Box zuzugreifen und „virtuelle Telefone“ einzurichten, mit denen sie dann Mehrwertnummern im Ausland anrufen konnten.

Nun stellt sich die wirtschaftlich wie rechtlich interessante Frage, wer den Schaden am Ende zu tragen hat. Für den Telefonanbieter des Mandanten war der Fall klar: Der Mandant habe sich ständig über Manipulationsmöglichkeiten informieren und das Betriebssystem seines Routers nach den ersten Medienberichten aktualisieren müssen, um den Router bestmöglich gegen Missbrauch zu schützen. Wir haben die im einzelnen begründete Meinung vertreten, dass eine ständige Überprüfung des Routers von dem Mandanten nicht verlangt werden kann und er nicht für die Sicherheitsfehler in der Software des Routers haftet, die nach der Installation auftreten – mit Erfolg: Der Telefonanbieter hat seine Forderung fallen lassen.

Rechtsprechung gibt es in dieser Sache bisher nicht. Insofern bleibt es spannend. Zumal sich die Problematik des gehackten Routers auch auf andere kleine Computer übertragen lässt, die sich in unserem Alltag immer weiter ausbreiten – in 1. Linie sei hier das Smartphone genannt, welches ebenfalls in der jüngeren Vergangenheit häufiger mittels Schadsoftware zu Lasten von Benutzern manipuliert wurde. Hieraus könnten sich für die Zukunft auch Haftungsrisiken für Softwareentwickler ergeben, die auf bekannte Schwachstellen ihre Produkte eventuell nicht schnell genug reagieren und ihre Nutzer warnen oder die Lücke stopfen.

Wichtig ist, den Router regelmäßig auf Updates und verdächtiges Verhalten zu überprüfen. Außerdem muss eine Telefonrechnung, bei der der Verdacht auf Manipulationen besteht, unverzüglich beanstandet werden.