Sicherheitslücke in Webanwendung ausgenutzt

Question

Guten Tag,

Ich betreibe eine Internetseite auf der ich eine Webanwendung einer externen Firma laufen lasse. Diese hat nun allerdings ein Sicherheitsloch. Das "Cross-Site Scripting" wird nämlich nicht verhindert. Dadurch ist es möglich, HTML ausführen zu lassen, so dass zum Beispiel ein Script ausgeführt mit, durch welches beispielsweise die Besucher der Webseite auf eine fremde Seite weitergeleitet werden.

Genau dies ist nun bei mir passiert und ich konnte sogar den Täter ausfindig machen. Dieser gibt die Tat auch zu und schreibt, dass er mich dadurch nur warnen wollte. Wir wären selbst schuld, wenn wir eine solche bekannte Sicherheitslücke hätten.

Die Folge: Einige Dateien auf meinem Webserver wurden geändert und viele Besucher wurden auf irgendwelche fremden Webseiten umgelenkt, die sich dann bei mir beschwert haben. Ich hatte dadurch viele Stunden Arbeit.

Persönliche Daten wurden - soweit bisher bekannt - nicht manipuliert. Einen finanziellen Schaden kann ich nicht vorlegen (da eben "nur" viel Zeit investiert werden musste).

Hat der Täter eine Straftat begangen, so dass sich eine Anzeige lohnen würde? Können wir zivilrechtliche Ansprüche geltend machen? Abmahnung mit Aufforderung der Unterlassung und/oder Schadenersatz?

Anwalt · Accepted Answer

Antwort vom Rechtsanwalt: Sehr geehrter Fragesteller,    Ihre Anfrage möchte ich im Rahmen dieser Erstberatung und unter Berücksichtigung des von Ihnen ausgelobten Einsatzes wie folgt beantworten:    I. Das Verhalten des Angreifers kann eine Straftat nach &#167; 303a &lpar;der Angreifer hat nach Ihren Angaben &#8222;Daten verändert&#8220;&rpar; und 303b StGB &lpar;es kommt hier drauf an, ob die Datenverarbeitung, die gestört wurde, für Ihr Unternehmen von wesentlicher Bedeutung ist&rpar; darstellen. Die Einlassung des Angreifers, er habe Sie nur warnen wollen, ist letztlich wohl unerheblich.    Es ist grds. ein Strafantrag nach &#167; 303c StGB erforderlich. Wenn Sie Interesse daran haben, dass der Angreifer strafrechtlich überhaupt belangt werden kann, dann sollten Sie umgehend einen Strafantrag stellen.    II. Zivilrechtlich können Sie Unterlassungs- und u.U. Schadensersatzansprüche gegen den Angreifer geltend machen. Die aufgewandte Arbeitszeit ist meiner Ansicht nach ein erstattungsfähiger Schadensposten.    Ich hoffe, Ihnen mit meiner Antwort geholfen zu haben.    Mit freundlichen Grüßen  Stephan André Schmidt, LL.M.  Rechtsanwalt

Sicherheitslücke in Webanwendung ausgenutzt

Internetrecht, Computerrecht

Aktuelle Auszeichnungen