Willkommen beim Original und Testsieger.
Online seit 2004, mit über 140.000 Fragen & Antworten. 
00.000
Bewertungen
0,0/5,0
Günstige Rechtsberatung für alle.
Anwalt? Mitmachen
1
 
Frage stellen
an unsere erfahrenen Anwälte.
Jetzt auch vertraulich
Frage stellen
einem erfahrenen Anwalt
Jetzt auch vertraulich
2
 
Preis festlegen
Sie bestimmen, wieviel Ihnen die Antwort wert ist.
Preis festlegen
Sie bestimmen die Höhe selbst
3
Antwort in 1 Stunde
Sie erhalten eine rechtssichere
Antwort vom Anwalt.
Antwort in 1 Stunde
Rechtssicher vom Anwalt
Jetzt eine Frage stellen

Sicherheitslücke+Exploit veröffentlichen?

| 24.06.2008 21:07 |
Preis: ***,00 € |

Internetrecht, Computerrecht


Ich bin selbstständiger Softwareentwickler und habe im Auftrag eines Kunden die Software eines Dritten weiterentwickelt. Es handelt sich dabei um eine Software, die auf Servern im Internet installiert wird und bei jedem Seitenaufruf dynamische Inhalte erstellt und im Browser des Benutzers anzeigt.

Ich habe bei dieser Arbeit mehrere schwerwiegende Sicherheitslücken gefunden. So ist es möglich, sich Zugang zum Administrationsbereich zu verschaffen, sowie auf die Daten angemeldeter Personen zuzugreifen. Unter gewissen Umständen ist es sogar möglich, sich auf dem Server gespeicherte Dateien anzuzeigen.

Pikant an der Angelegenheit ist, dass ich mich mit dem Entwickler der Software (Sitz im EU-Ausland) bereits in einem von mir angestrengten Rechtsstreit befinde.

1. Darf ich auf meiner Seite und anderen öffentlich im Internet schreiben, dass diese Fehler existieren, und was durch sie möglich ist? (Sicherheitslücken aufzeigen)

2. Darf ich konkret schreiben, wie sich diese Lücken ausnutzen lassen? (Exploit veröffentlichen)

3a. Die Fehler existieren, wenn ich schreibe, dass sie existieren, schreibe ich also über definitive Fakten. Wäre es denkbar, dass der Hersteller nach meiner Veröffentlichung gegen mich vorgeht?
3b. Aufgrund welcher Gesetze könnte er dies tun? Verleumdung? Wettbewerbsbenachteilung? Üble Nachrede? ...?
3c. Gerade im Zuge des neuen "Anti-Hacker-Gesetztes", was m.W. nacht verbietet, an einer "Ausspähung von Daten" teilzuhaben?

4. Sollte ich - in anbetracht des bereits laufenden Verfahrens - die Sicherheitslücke publik machen, oder könnte mir dies jetzt oder später im Verfahren zum Nachteil werden? Was raten Sie mir?

Sehr geehrter Fragesteller,

gerne beantworte ich Ihnen Ihre Frage auf der Grundlage des von Ihnen angegebenen Sachverhalts wie folgt:

Sie sollten weder die Fehler noch das Umgehen der Sicherheitslücken veröffentlichen.
Gegenüber Ihrem Kunden würde es sich um eine schwerwiegende vertragliche Pflichtverletzung handeln, welche diesesn ggf. zum Schadensersatz berechtigten könnte. Da Sie für diesen Kunden tätig sind, wird der Softwareentwickler im Zweifel den Kunden für mögliche eintretende Schäden haftbar machen, welcher dann wieder auf Sie Rückgriff nehmen wird. Hierbei ist es unerheblich, dass die beschriebenen Sicherheitslücken auch tatsächlich bestehen.

Weiterhin könnte der Softwareentwickler auch direkt aus § 823 I BGB ( Recht am eingerichteten und ausgeübten Gewerbebetrieb ) vorgehen sowie nach dem Gesetz gegen den unlauteren Wettbewerb (§§ 3 , 4 UWG ), sofern Sie als Mitbewerber einzustufen sind.
Inwieweit ein Schadensersatzanspruch nach § 823 BGB und/ oder ein Unterlassungsanspruch ( § 1004 BGB ) erfolgreich gegen Sie durchgesetzt werden kann, kann im Rahmen dieser Online- Anfrage nicht abschließend beurteilt werden, da dies von vielen Faktoren abhängig ist. Zum einen setzt hier die unternehmerische Betätigung einen gewissen Vertraulichkeitsschutz voraus, zum anderen kann auch ein öffentliches Interessen an der Offenlegung von Mißständen bestehen. Im Ergebnis ist dies aber aufgrund oben angesprochener vertraglichen Haftung nicht entscheidend.

Die von Ihnen angesprochene strafrechtliche Seite ( Üble Nachrede, Verleumdung, §§ 186,187 StGB ) wird nicht durchschlagen, sofern die Tatsachen nachweisbar sind. Dies bedeutet allerdings nicht, dass dennoch Strafanzeige gestellt wird.

Die §§ 202 a, b, c StGB sind nur aufgrund bestehender Sicherheitslücken nicht gegeben.

Völlig unabhängig von einem bereits laufenden Verfahren - dessen Inhalt sich meiner Kenntnis entzieht - sollten Sie in jedem Fall von Ihrem Vorhaben Abstand nehmen.


Ich hoffe, Ihnen eine erste rechtliche Orientierung gegeben zu haben.


Mit freundlichen Grüßen

Florian Günthner
Rechtsanwalt

Rückfrage vom Fragesteller 24.06.2008 | 22:12

Sehr geehrter Herr Günthner,

vielen Dank für Ihre Antwort, die mir bereits weiterhilft.

Sie schreiben, es würde sich meinem Kunden gegenüber "um eine schwerwiegende vertragliche Pflichtverletzung handeln, welche diesesn ggf. zum Schadensersatz berechtigten könnte".

Ich vergaß zu erwähnen, dass ich die entdeckten Fehler bei meinem Kunden natürlich sofort behoben und ihn darüber informiert habe. Mein Kunde ist also technisch sicher.

Die Fehler bestehen jedoch noch bei den 1000 Kunden des Entwicklers, die nicht meine Kunden sind. Diese Kunden sind in Gefahr, denn wenn ich die Fehler finden kann, kann es auch ein Hacker mit bösen Absichten. Man sollte diese Kunden daher warnen.

Ändert sich dadurch etwas an Ihrer Bewertung?

Weiterhin verstehe ich nicht, wieso der Entwickler meinen Kunden haftbar machen kann, nur weil ich in seinem Auftrag einen vom Entwickler verschuldeten Fehler gefunden habe. Wenn ich diesen Fehler öffentlich mache (und das muss ethisch betrachtet geschehen, denn zahlreiche Seiten im Netz haben diese Fehler noch!), ist das doch meine Sache, nicht seine.

Vielen Dank für Ihre Hilfe!

Mit freundlichen Grüßen,
der Fragesteller

Antwort auf die Rückfrage vom Anwalt 24.06.2008 | 22:33

Sehr geehrter Fragesteller,

vielen Dank für Ihren Nachtrag und die Konkretisierung. Für die vertragliche Haftung ging ich davon aus, dass zum einen der Auftrag von seiten des Softwareentwicklers an Ihren Kunden zur Weiterentwicklung erteilt worden ist und dieser an Sie weiter gegeben worden ist. Nach Ihren Nachtrag ist dies wohl nicht der Fall, vielmehr haben Sie eine bereits bestehende Software weterentwickelt und dies unabhängig von einem Auftrag des Softwarentwicklers an Ihren Kunden. In diesem Fall würde obig angesprochene vertragliche Haftung tatsächlich entfallen. Es bliebe aber bei den anderen zitierten Haftungsnormen, so dass ein Risiko bestehen bleibt.

Mit freundlichen Grüßen

Florian Günthner
Rechtsanwalt

Bewertung des Fragestellers |

Hat Ihnen der Anwalt weitergeholfen?

Wie verständlich war der Anwalt?

Wie ausführlich war die Arbeit?

Wie freundlich war der Anwalt?

Empfehlen Sie diesen Anwalt weiter?

"Schnelle und kompetente Antwort, inklusive relevanter Paragraphen -- perfekt!"
FRAGESTELLER 5/5,0
Durchschnittliche Anwaltsbewertungen:
4,6 von 5 Sternen
(basierend auf 77940 Bewertungen)
Aktuelle Bewertungen
5,0/5,0
Alles bestens, zügige und genaue Bearbeitung. Besten Danke! ...
FRAGESTELLER
5,0/5,0
Vielen Dank ...
FRAGESTELLER
5,0/5,0
Sehr kompetente, hilfreiche und vor allem praktikable Einschätzung, vielen Dank! ...
FRAGESTELLER