Hilfe & Kontakt
Schnell einen Anwalt fragen:
 Antworten,  Anwaltsbewertungen
472.814
Registrierte
Nutzer
Anwalt? Hier lang

1
 
Frage Stellen
an unsere erfahrenen Anwälte.
Jetzt auch vertraulich
Frage Stellen
einem erfahrenen Anwalt
Jetzt auch vertraulich
2
 
Preis festlegen
Sie bestimmen, wieviel Ihnen die Antwort wert ist.
Preis festlegen
Sie bestimmen die Höhe selbst
3
Antwort in 1 Stunde
Sie erhalten eine rechtssichere
Antwort vom Anwalt.
Antwort in 1 Stunde
Rechtssicher vom Anwalt
Jetzt eine Frage stellen

Selbst Internetdienstleister - Kunde missbraucht virtuellen Server für Angriffe


13.12.2013 23:23 |
Preis: ***,00 € |

Internetrecht, Computerrecht



Guten Abend,

ich bin Internetdienstleister (Hostingunternehmen) für Gameserver, Voiceserver,
virtuelle Linux-Server, Rootserver und Webspace-Pakete seit 2012. Diese Dienste können Kunden
bei mir mit den Zahlarten Überweisung, Paypal, Sofortüberweisung und Paysafecard mieten.

Generell sind alle Mietungen Prepaid-basiert. Der Schaden wurde durch 2 Kunden mit jeweils einem vServer
(virtueller Linux Server), der bei mir gemietet wurde begangen.

Die Host-Systeme hinter diesen Diensten sind gekauft und werden von mir in einem Rechenzentrum
(Frankfurt am Main) auf gemieteter Fläche betrieben.

Ein Kunde muss bei Mietung eines vServers persönliche Daten hinterlegen. Diese werden von uns nach
Bestelleingang auf Plausibilität geprüft, bevor der Dienst freigegeben wird.


Der Fall:
Vor ca. 7-Tagen kam ein anderes Hosting-Unternehmen telefonisch und via Skype auf mich zu, nannte
mir 2 vServer IP-Adressen und meinte damit würden seine Server angegriffen und es ist ein Schaden
durch die Nicht-Erreichbarkeit dieser Dienste aufgrund von DDoS-Attacken entstanden. Die DDoS-Attacken
wurden laut ihm durch die Kunden-vServer ausgelöst.

Vor einem Jahr gab es bereits einen ähnlichen Fall, mit dem gleichen Anbieter. Auch dort schien ein Kunde mit einem gemieteten
vServern ihn anzugreifen. Dies sind der einzigste Fall, außer dem aktuellen mit ausgehenden Netzwerk-Angriffen. Damals wurde jedoch
kein Schadensersatz gefordert, da wohl kaum einer entstanden ist.

Hintergrund (Anbieter = Geschädigter)
Per Zufall ist der Anbieter auf Prahlerei dieser Angreifer (Personen) gestoßen, kontaktierte Sie darauf hin
als potenzieller Käufer eines dieser Angriffs-Tools. Die Personen kamen ins Gespräch, bis
dem Anbieter (Geschädigter) die Angriff-Tools via Teamviewer von den Personen gezeigt wurden. Durch diese
Show sind dem Anbieter die beiden echten vServer IP-Adressen aufgefallen.

Durch das Herausfinden des Inhabers der IP-Adressen kontaktierte er mich, um den Missbrauch bekannt zu geben.
Tatsächlich konnten den Abend, bei genauer Analyse des vServers ausgehende Angriffe entdeckt werden.
Die generellen zusätzlichen Schutzmechanismen der Fertig-Software für solche Lösungen (Traffic-Begrenzung,
Bandbreiten-Limitierung) haben in diesem Fall nicht funktioniert, da der Täter / die Täter wahrscheinlich eine Sicherheitslücke
oder ähnliches genutzt hat - obwohl die Software im aktuellsten Zustand installiert ist.

Auch habe der Anbieter von den beiden Personen erfahren, Sie hätten die vServer mit Paysafecard (anonymes Zahlungsmittel)
und falschen Adressdaten bei mir bestellt. Zweiteres kann ich bestätigen, beide vServer wurden mit Paysafecard bezahlt.
Die Personen sollen außerdem gesagt haben, erst 16-Jahre alt zu sein. Angegeben wurde ein älteres Alter.

Die Aussagen der Personen auf einem Voiceserver soll von einer weiteren Person beim Anbieter mitgehört haben, um das
ganze beweisen zu können.

-----
Sofort nach dem Hinweis des Anbieters und Erkennung eines tatsächlich ausgehenden Angriffes wurden die beiden Kunden-VPS
von mir manuell gesperrt. Auch hat der Anbieter eine Anzeige gegen die Kunden erstattet, durch diese wurden die echten Adressdaten
der Kunden anscheinend schon heraus gefunden.

Schadensersatz:
Der Anbieter fordert nun von mir eine Summe in Höhe von 2000.- , um uns außergerichtlich zu einigen.
Allerdings bin ich der Meinung, er müsste sich direkt an die Kunden wenden.

Der Schaden:
Der Anbieter hat zwar keine Kunden verloren, sondern hatte nur Probleme mit der Erreichbarkeit seiner Dienste.
Wegen diesen ständigen DDoS-Angriffen hat er sich einen DDoS-Schutz gemietet, welcher die besagten 2000.- für 6-Monate kostet.
----

Ich würde gerne wissen, ob der Anbieter mich in die Pflicht nehmen kann, den Schaden zu zahlen - trifft mich eine Schuld bei diesem Fall?
Die Aussage des Anbieters war: Ich müsste den Schaden mit ihm klären, anschließend muss ich den Schaden selbst beim Kunden einfordern.

Müssen Kundendaten für virtuelle Server mit geringer Anbindung mit z.B. Personalausweis-Kopie überprüft werden?
Soll ich gegen die Kunden auch Anzeige erstatten, das Aktenzeichen liegt mir vom LKA Baden-Würtemberg vor?
Wie gehe ich am Besten weiter vor?

Vielen Dank im Voraus!

Mit freundlichen Grüßen



-- Einsatz geändert am 13.12.2013 23:33:02

Notfall?

Jetzt vertrauliche kostenlose Ersteinschätzung von einem erfahrenen Anwalt erhalten!

Feedback noch heute.

Kostenlose Einschätzung starten
Sehr geehrter Herr Ratsuchender,
vielen Dank für die Einstellung Ihrer Frage.

Vorweg möchte ich Sie darauf hinweisen, dass diese Plattform dazu dienen soll, Ihnen einen ersten Eindruck der Rechtslage zu vermitteln. Durch Weglassen oder Hinzufügen weiterer Sachverhaltsangaben Ihrerseits kann die rechtliche Beurteilung anders ausfallen, so dass die Beratung innerhalb dieses Forums lediglich eine erste rechtliche Orientierung in der Sache darstellt und keinesfalls den Gang zu einem Kollegen vor Ort ersetzen kann.

Auf Grund des von Ihnen geschilderten Sachverhaltes und unter Berücksichtigung Ihres Einsatzes möchte ich Ihre Fragen zusammenfassend wie folgt beantworten:
Ihr Fall ist komplizierter als er auf den ersten Blick scheint.
Denn wie kann der Gegner die IP-Adressen Ihrem Server zuordnen? Dies ist rechtskonform nur mittels richterlichem Beschluss oder aber staatsanwaltlicher Ermittlungen möglich.
Alle anderen Möglichkeiten sind rechtlich nicht zulässig und vom Gegner nicht zu verwenden.
Ferner kann ich den Schaden Ihres Gegners nicht erkennen.
Erstens gehe ich davon aus, dass er in seinen AGB seinen Kunden keine 100%irge Erreichbarkeit garantiert, sondern wie im Branchenschnitt zwischen 95 und 98%. Damit wären dann schon mehrere Tage Nichterreichbarkeit möglich. Und insbesondere sich ja solche Fälle, die der Anbieter nicht zu verantworten hat von der Haftung gegenüber den Kunden ausgenommen.
Dazu kommt, dass ein DDoS-Schutz für einen Internetbetreiber wohl eher Standard sein müsste und nicht als Schaden gegenüber einem anderen geltend gemacht werden kann.
Etwas anderes wäre es, wenn die Kunden Ihres Gegners vom Gegner Schadensersatz für den Serverausfall verlangen würden. Dies wäre ein Schaden, den er versuchen könnte bei Ihnen geltend zu machen. Und Sie müssten sich diesen Schaden dann in der Tat von Ihren Kunden wiederholen.
Sie dürfen als Telemedienanbieter die konkreten Daten Ihrer Kunden auf gar keinen Fall an den Gegner herausgeben, ohne dass Sie von der Staatsanwaltschaft oder einem Gericht hierzu aufgefordert worden sind. Machen Sie das doch, stellt die Datenherausgabe einen Verstoß gegen das Bundesdatenschutzgesetz dar. Und Verstöße gegen das BDSG werden je nach Schwere als Ordnungswidrigkeit oder gar als Straftat geahndet. Hier sollten Sie also sehr vorsichtig mit der Herausgabe von Userdaten sein.
Sie dürfen also Ihre Kunden bzw. die Daten der Kunden nicht an den Gegner herausgeben, es sei denn dies hätten Sie in den AGB so vorgesehen und die AGB wären auch Bestandteil des Nutzungsvertrages geworden.
Deswegen dürfen Sie auch keine Strafanzeige gegen Ihre eigenen Kunden erstatten. Wenn das LKA ermittelt, dann kommen die schon auf Sie zu.
Sie müssen nun ihrerseits dafür Sorge tragen, dass solche Angriffe von Ihren Kunden nicht mehr gestartet werden können, und sei es durch den teuren DDoS-Schutz.
Wenn Si eüber einen entsprechenden Schutz verfügen müssen auch die Kundendaten nicht komplett überprüft werden, wobei die Vorlage einer Ausweiskopie auch keine echte und wirksame Kontrolle ist.
Ausweise können gefälscht verwendet werden. Echte Sicherheit gäbe es nur bei einer Kontrolle wie sie z.B. das Post-Ident-Verfahren bietet.
Ich an Ihre Stelle würde abwarten , welche offizielle Forderung der Gegner stellt oder mir die Rechnung für den DDos-Schutz und die AGB des Gegners schicken lassen.
Diese überprüfe ich dann für Sie gerne noch einmal.
Grundsätzlich haften Sie nicht für Schäden die ihre Kunden unter Umgehung der Schutzmöglichkeiten im kriminellen Interesse begehen.
Sie müssen diese bei bekanntwerden abstellen und für die Zukunft vermeiden.
Ich hoffe, Ihnen einen ersten Überblick ermöglicht zu haben und stehe für Ergänzungen im Rahmen der kostenlosen Nachfragefunktion gerne zur Verfügung.

Sollten Sie eine darüber hinausgehende Vertretung in Erwägung ziehen, empfehle ich Ihnen eine Kontaktaufnahme über die unten mitgeteilte E-Mail-Adresse. Die moderne Kommunikation ermöglicht insoweit auch die Überbrückung größerer Entfernungen.

Weiterhin möchte ich Sie höflichst auf die Bewertungsfunktion aufmerksam machen, die dafür sorgt, diesen Service für andere Ratsuchende transparenter zu machen.


Mit freundlichen Grüßen

Nachfrage vom Fragesteller 14.12.2013 | 00:49

Guten Abend,

vielen Dank für Ihre ausführliche Antwort.
Ich hatte kurz erwähnt, das der gleiche Anbieter vor einem Jahr bereits einen dieser Angriffe gemeldet hat.

Sie schreiben, ich soll es für die Zukunft abstellen. Dies wird ab sofort mit noch besseren Maßnahmen nachweislich geschehen.

Hatten Sie dies bei Ihrer Antwort beachtet?

Vielen Dank im Voraus!

Mit freundlichen Grüßen

Antwort auf die Nachfrage vom Anwalt 14.12.2013 | 00:56

Sehr geehrter Ratsuchender,

auch bei dem Angriff von vor einem Jahr ist doch wohl nur der Gegner auf Sie zugekommen, oder?! Einen echten Nachweis gibt es nicht. Und nur dieser zählt. Der Gegner könnte Sie ja auch nur aus dem Markt drängen wollen, indem er Sie permanent mit hohen Forderungen belastet.

100%ige Schutzmöglichkeiten gegen solche Art von Kunden gibt es nicht.

Wenn Sie nachweisen können, dass Ihr Schutz nach jeder Meldung verbessert wird, bleiben Sie von der Haftung ausgeschlossen.

Mit freundlichen Grüßen

Jan Gerth
Rechtsanwalt

FRAGESTELLER 30.12.1899 /5.0
Durchschnittliche Anwaltsbewertungen:
4,6 von 5 Sternen
(basierend auf 58398 Bewertungen)
Aktuelle Bewertungen
5,0/5,0
Trotz für mich ungünstiger Prognose war die Antwort sehr hilfreich und verständlich. ...
FRAGESTELLER
5,0/5,0
Einfach Spitze! Sehr kompetent... Immer wieder...! ...
FRAGESTELLER
4,2/5,0
Vielen Dank für Ihre Einschätzung meiner Situation. Ihre Beurteilung hat mir sehr geholfen. Der Vermieter (Wohngenossenschaft) ist stark zurück gerudert. Wir entfernen nur noch Tapteten in einem Raum anstatt in 3 Räumen :-) ...
FRAGESTELLER