Schlagwort-Archive: Sicherheitslücke

AG Braunschweig: Keine Haftung bei nachgewiesener Sicherheitslücke des WLAN-Routers (hier: Speedport-Router der Telekom)

Schreibe eine Antwort

Wie die Initiative Abmahnwahn berichtet, hat das AG Braunschweig in einem Filesharing-Fall die Klage auf Schadensersatz und Ersatz der Abmahnkosten abgewiesen, nachdem der Beklagte als Anschlussinhaber dargelegt hatte, dass er zum Zeitpunkt der angeblichen Rechtsverletzung einen WLAN-Router des Typs „Speedport 504 W“ im Einsatz hatte (AG Braunschweig, Urteil vom 27.08.2014, Az. 117 C 1049/14). Da bei diesem WLAN-Router eine erhebliche Sicherheitslücke bestand, durch die sich Dritte Zugang zum WLAN des Beklagten hätten verschaffen können, hat das Gericht die Vermutung, dass der Anschlussinhaber der Täter sei, zurückgewiesen. Als Folge hat das Amtsgericht weder den Schadensersatzanspruch noch den alternativ auf die Grundsätze der Störerhaftung gegründeten Anspruch auf Ersatz der Abmahnkosten zuerkannt.

Das Urteil ist unter Berücksichtigung der Rechtsprechung des BGH, insbesondere BGH, Urt. v. 12.5.2010 – I ZR 121/08: Sommer unseres Lebens, MMR 2010, 565 (PDF), folgerichtig. Zwar sieht der BGH in ständiger Rechtsprechung (zuletzt BGH Urt. v. 8.1.2014 – I ZR 169/12, K&R 2014, 516 – BearShare) eine Vermutung zu Lasten des Anschlussinhabers. Diese kann aber erschüttert werden, indem der Anschlussinhaber in Erfüllung seiner sekundären Darlegungslast Umstände darlegt, die ernsthaft die Möglichkeit belegen, dass ein Dritter die Rechtsverletzung begangen haben kann. So war es im Fall des AG Braunschweig, denn der WLAN-Router wies eine Sicherheitslücke im WiFi-Protected Setup (WPS) auf, durch die Dritte die WPS-PIN erraten konnten (s. auch kürzlich wieder hier). Damit scheidet die Haftung auf Schadensersatz aus.

Interessant wird es, wenn man sich überlegt, ob der Beklagte vielleicht als Störer haften könnte. Aber auch hier kommt dem Anschlussinhaber die Rechtsprechung des BGH „Sommer unseres Lebens“ (s.o.) zu Hilfe: Der private Anschlussinhaber muss nur diejenigen Sicherheitsvorkehrungen treffen, die zum Zeitpunkt der Anschaffung und Einrichtung des WLANs üblich waren – und diesen Standard hat der Beklagte mit Belassung der Voreinstellungen hier wohl erfüllt. Jedenfalls konnte danach vom Anschlussinhaber nicht verlangt werden, auf seinem Router ein Firmware-Update einzuspielen, das die Lücke behoben hätte – zumal das Firmware-Update zum Zeitpunkt der Rechtsverletzung noch gar nicht existierte, und die Lücke auch noch nicht der allgemeinen Öffentlichkeit bekannt war. An genau dieser Stelle zeigt sich übrigens, zu welchen Einzelfallentscheidungen die Rechtsprechung des BGH führt: Obwohl die Lücke noch nicht allgemein bekannt, aber dennoch vorhanden war, bestand nach Auffassung des AG Braunschweig die ernsthafte Möglichkeit, dass ein Dritter diese Lücke ausgenutzt hat, zumal der Beklagte in einem Mehrparteienhaus wohnte …

Berücksichtigen könnte man noch, dass der BGH auf der anderen Seite in der Entscheidung „Sommer unseres Lebens“ festgestellt hat, dass der Anschlussinhaber wenigstens das zur Verschlüsselung genutzte Kennwort ändern muss (dazu hier; s. auch Urteil des AG Frankfurt hier). Mit diesem Argument hätte man hier an eine Störerhaftung des Beklagten denken können. Allerdings lautete der Vortrag des Beklagten hier nicht, dass das standardmäßig eingestellte WLAN-Kennwort seines Routers unsicher war (dazu speziell auch zu Telekom-Routern hier und hier), sondern, dass eine Lücke im WPS-System vorhanden war, durch die sich die PIN des WPS erraten lässt – und das ist wohl vollkommen unabhängig davon, ob man sein Kennwort ändert.

Volltext AG Braunschweig, Urteil vom 27.08.2014, Az. 117 C 1049/14 (PDF) – zur Orientierung: Eingekleidet ist die Entscheidung in die Aufhebung eines Vollstreckungsbescheides.

Update: Über den Fall berichten u.a. auch:

Sicherheitslücken (in WLAN-Routern) und die Pflichten der Nutzer (insb. Unternehmen)

7 Antworten

Wie heise-security am 21.08.2013 berichtete, wird derzeit eine Lücke in bestimmten WLAN-Routern aktiv ausgenutzt, durch die Angreifer Zugriff auf den Router und damit auch die Telefonanlage nehmen können.

I. Der Fall

Den konkreten Fall beschreibt heise-security so:

Im Raum Krefeld hat ein unbekannter Täter verwundbare WLAN-Router anscheinend gleich reihenweise geknackt, um über die Telefonanschlüsse der Router-Besitzer wiederholt die Kundenhotline eines Krefelder IT-Dienstleisters anzurufen. Dadurch war die Hotline stundenlang nicht erreichbar. Gegenüber heise Security erklärte der Geschäftsführer der betroffenen IT-Firma, in einigen Fällen sei die Rufnummer des Anrufers mitgesendet worden. Daraufhin habe er sich mit den Anrufern in Verbindung gesetzt. Die Anschlussinhaber gaben an, von den Anrufen nichts gewusst zu haben. Bei den Gesprächen ergaben sich zwischen den Inhabern der Rufnummern zwei Gemeinsamkeiten: Alle waren Vodafone-Kunden und setzten einen Vodafone-Standardrouter des Typs EasyBox ein. Einer der Vodafone-Kunden erklärte, an seinem Anschluss sei durch weitere Anrufe bereits größerer finanzieller Schaden entstanden, unter anderem durch Ferngespräche ins Ausland.

II. Ansprüche auf Schadensersatz?

Nach dieser Fallbeschreibung war das Opfer des Telefonterrorangriffs, ein IT-Unternehmen, in seiner Betriebsausübung erheblich betroffen. Ihm dürften daher – einen entsprechenden Schaden vorausgesetzt – gegen den Angreifer Ansprüche auf Unterlassung und Schadensersatz zumindest nach § 823 Abs. 1 BGB zustehen. Betroffenes Rechtsgut wäre hier das Recht des eingerichteten und ausgeübten Gewerbebetriebes, dessen Schutz im Rahmen des § 823 Abs. 1 BGB anerkannt ist. In vergleichbaren Fällen könnte es auch zu anderen Schäden kommen, wenn z.B. die geknackten Router für eine (Distributed) Denial of Service-Attacke (DDoS) genutzt worden wären, und es in dessen Folge zu einer Beeinträchtigung des Gewerbebetriebes oder sogar einem Datenverlust gekommen wäre.

Ob der Täter zu ermitteln sein wird, muss sich erst noch zeigen, es ist aber eher unwahrscheinlich. Daher ist zu fragen, ob von einem solchen Angriff betroffene Ansprüche gegen diejenigen richten können, deren Geräte für den Angriff genutzt wurden.

Ähnliche Fragestellungen sind in der Literatur bereits im Zusammenhang mit der Kompromittierung von Computersystemen durch Viren, Trojaner u.ä. diskutiert worden (Koch, NJW 2004, 801; Libertus, MMR 2005, 507; Mantz, K&R 2007, 566 (PDF, 0,2 MB); Spindler, MMR 2008, 7). Dabei wird im Rahmen des § 823 Abs. 1 BGB auf die Verletzung von Verkehrspflichten abgestellt. Im Hinblick auf Dialer hatte auch der BGH die Pflichten der Computernutzer behandelt (BGH, Urt. v. 4.3.2004 – III ZR 96/93, NJW 2004, 1590; zu Trojanern LG Stralsund, Urt. v. 22.2.2006 – 1 S 237/05, MMR 2006, 487).

Kurz formuliert, kann jemand, dessen System kompromittiert wurde und ohne sein Wissen für einen Angriff auf Dritte verwendet wurde, ggf. auf Zahlung von Schadensersatz in Anspruch genommen werden, wenn das Sicherheitsproblem (in erheblichem Maße) bekannt war, die Sicherungs- bzw. Gegenmaßnahmen bekannt (AG Völklingen, Urt. v. 23.2.2005 – 5c C 575/04, MMR 2005, 482, 483) und technisch zumutbar waren (AG Völklingen, Urt. v. 23.02.2005 – 5c C 575/04, MMR 2005, 482, 483; Grabe, MMR 2005, 483, 485; Mantz, K&R 2007, 566 (PDF, 0,2 MB)).

Gerade im Zusammenhang mit der Sicherung eines WLANs durch Verschlüsselung hat der BGH im Jahr 2010 entschieden, dass den Nutzer die Pflicht treffen kann, sein WLAN nach dem zum Zeitpunkt des Kaufs aktuellen Schutz zu verschlüsseln (BGH, Urt. v. 12.5.2010 – I ZR 121/08, MMR 2010, 565 m. Anm. Mantz (PDF) – Sommer unseres Lebens).
Das Merkmal der technischen Zumutbarkeit führt allerdings möglicherweise nur bei Privatkunden zur Einschränkung des Anspruchs (vgl. LG Hamburg, Urt. v. 26.7.2006 – 308 O 407/06, MMR 2006, 763, 764; kritisch zu einem ähnlichen Fall Solmecke, K&R 2007, 138, 143). So hat der BGH in der „Sommer unseres Lebens“-Entscheidungen die Pflichten von gewerblichen Nutzern gerade offen gelassen. Gewerblichen Nutzern kann es daher insbesondere zuzumuten sein, sich (kostenpflichtiger) technischer Hilfe zu bedienen.

Allerdings ist im vorliegenden Fall sehr fraglich, ab wann von der Bekanntheit des Sicherheitsproblems gesprochen werden kann. Grundsätzlich sind hieran eher strenge Anforderungen zu stellen (Mantz, K&R 2007, 566 (PDF, 0,2 MB)):

Man kann jedoch davon ausgehen, dass ein Problem erst weithin bekannt ist, wenn eine ausfu?hrliche und mehrfache Berichterstattung in Massenmedien erfolgt ist. Ist das Sicherheitsproblem lediglich in Fachzeitzeitschriften aufgegriffen worden, so kann gerade der weniger interessierte Nutzer, und damit die fu?r die Pflichtenbestimmung wesentliche Gruppe der Mehrheit der Nutzer, die Problematik kaum kennen. Auch wer IT-spezifische Informationskana?le nicht nutzt, muss zumindest die Mo?glichkeit gehabt haben, vom Sicherheitsproblem in seinen Grundzu?gen erfahren zu haben.

Die Sicherheitslücke ist bereits vor zwei Jahren öffentlich geworden. Am 5.8.2013 hat zusätzlich das Bundesamt für Sicherheit in der Informationstechnik eine offizielle Warnung herausgegeben. Diese Quellen sind generell aber eher an ein Fachpublikum gerichtet. Von einer allgemeinen Bekanntheit des Problems kann wohl nicht ausgegangen werden.

Allgemein wird bei der Bekanntheit wohl im Einzelfall zu unterscheiden sein: Privatpersonen ist es mit Sicherheit nicht zuzumuten, Fachmedien und die BSI-Warnungen zu beobachten. Auch bei kleinen Gewerbetreibenden kann sicher noch nicht von einer Bekanntheit ausgegangen werden, wenn Fachmedien darüber berichten. Anders dürfte dies lediglich bei großen Unternehmen sein, die eine eigene IT-Abteilung unterhalten, wobei kaum davon auszugehen ist, dass diese die hier betroffenen WLAN-Router eingesetzt haben.

Aus dem Artikel ergibt sich nicht, wer die Vodafone-Kunden waren, deren WLAN-Router zum Telefonterrorangriff genutzt wurden. Es kann daher von hier aus keine Aussage darüber getroffen werden, ob es sich lediglich um Privatpersonen gehandelt hat.

Vodafone hat in seinem Blog am 5.8.2013 beschrieben, wie die Sicherheitslück behoben werden kann. Auf den Hilfeseiten ist auch eine Schritt-für-Schritt-Anleitung verfügbar. Weiter hat Vodafone angekündigt, alle Nutzer mit den betroffenen WLAN-Routern anzuschreiben. Ein Firmware-Update, das das Problem endgültig löst, soll noch in Arbeit sein.

Ist eine solche Information an den Nutzer gelangt, liegt Bekanntheit (bei diesem) definitiv vor. Wenn die Lösung auch durch einen Laien durchführbar ist – beispielsweise aufgrund einer leicht verständlichen und auch für Laien durchführbaren Schritt-für-Schritt-Anleitung, kann auch von einer technischen Zumutbarkeit ausgegangen werden. Es ist daher jedem, der einen entsprechenden Hinweis erhält, dringend zu raten, die Sicherheitslücke schnellstmöglich zu beheben – schon aus Eigeninteresse (vgl. dazu auch BGH, Urt. v. 12.5.2010 – I ZR 121/08, MMR 2010, 565 Rn. 22 m. Anm. Mantz (PDF) – Sommer unseres Lebens).

III. Ansprüche gegen Vodafone?

Die weitere Frage ist, ob die Betroffenen Ansprüche gegen Vodafone geltend machen können. Solche Ansprüche können sich auf Schadensersatz richten, wenn bereits ein Angriff auf das eigene Gerät stattgefunden hat, alternativ möglicherweise auch auf Ersatz der Kosten für die Installation der neuen Software/der zu ergreifenden Gegenmaßnahme in Form der Entlohnung eines beauftragten IT-Unternehmens. Unabhängig davon, ob die Betroffenen die WLAN-Router gekauft oder gemietet haben, dürfte in der Auslieferung eines mit einer solch eklatanten Lücke behafteten Geräts ein Mangel vorliegen.

Die Unterscheidung zwischen Miet- und Kaufvertrag wird aber für die Verjährung eine erhebliche Rolle spielen. Beim laufenden Mietvertrag sind Mängel jederzeit zu beheben. Beim Kaufvertrag verjähren die Mängel allerdings nach § 438 Abs. 1 Nr. 3 BGB innerhalb von zwei Jahren nach Ablieferung der Sache. Ansprüche dürften daher mittlerweile in vielen Fällen verjährt sein. Darauf, dass der Mangel (sehr) versteckt ist, kommt es insoweit nicht an.

Sofern der Router allerdings im Zusammenhang mit eine Telekommunikationsvertrag, der i.d.R. wiederum als Dienstleistungsvertrag einzuordnen ist, gekauft wurde, und dieser Vertrag weiterhin besteht, kann ein Anspruch auf Schadensersatz ggf. hierauf gestützt werden. Insbesondere der Umstand, dass die Sicherheitslücke bereits seit zwei Jahren bekannt ist, Vodafone aber erst jetzt Maßnahmen zur Behebung ergreift, legen eine Verletzung der Nebenpflichten des Vertrages nahe.

IV. Fazit

Nutzer mit den betroffenen WLAN-Routern sollten diese sofort absichern. Privatpersonen und Kleinunternehmen, die davon keine Kenntnis haben und von Vodafone nicht benachrichtigt wurden, dürften keinen Schadensersatzansprüchen ausgesetzt sein, wenn ihr Router für Angriffe auf Dritte missbraucht wurde. Größeren Unternehmen kann die Pflicht obliegen, entsprechende Warnungen auch in Fachkreisen und des BSI zu beachten und entsprechende Gegenmaßnahmen frühzeitig zu ergreifen.

Vodafone hat in jedem Fall keine Figur gemacht. Zum einen hat das Unternehmen ein Produkt mit eklatanten Sicherheitslücken verkauft, zum anderen zwei Jahre gebraucht, um effektiv zu reagieren.

BSI warnt Vodafone-Nutzer vor schwerer Lücke in WLAN-Routern (WPS)

3 Antworten

Es war ja eigentlich schon bekannt, dass einige WLAN-Router von Haus aus unsicher oder unsicher konfiguriert sind (s. hier, hier und hier). Neu ist, dass das Bundesamt für Sicherheit in der Informationstechnik über sein Warnungs-Portal BürgerCERT konkret Nutzer von bestimmten WLAN-Routern warnt (dazu SpOn und heise-online).

In diesem Fall sind die zwei WLAN-Router von Vodafone, nämlich die EasyBox 802 und EasyBox 803 (mit Produktionsdatum vor August 2011), betroffen, die vom Hersteller Arcadyan/Astoria Networks stammen. Die Lücke ist bereits seit Ende 2011 öffentlich bekannt (heise-security v. 29.12.2011).

Auch andere WLAN-Router können solche Unsicherheiten aufweisen (hier, hier und hier).

Im Ergebnis empfiehlt es sich, die Voreinstellungen eines neu gekauften WLAN-Routers genau zu studieren und ggf. zu ändern, wobei man auch konstatieren muss, dass es durchaus WLAN-Router zu geben scheint, die von Anfang an sicher konfiguriert sind (s. z.B. das Urteil des AG Frankfurt v. 14.6.2013 – 30 C 3078/12 (75) oder meine Anmerkung (PDF) zum „Sommer unseres Lebens“-Urteil des BGH, Urt. v. 12.5.2010 – I ZR 121/08, s. dazu hier, hier, hier, hier und hier.

Interessant dürfte letztlich die Frage sein, ab wann nach den Vorgaben des BGH die (für Privatnutzer sicher nicht triviale) Umkonfiguration der Sicherheitsparameter eines WLAN-Routers von Privatpersonen erwartet werden kann bzw. ob eine Warnung des BSI hinreichend ist, um den allgemein bekannten Sicherheitsstandard zu verändern. Möglicherweise ist hierfür eine Berichterstattung in Presse und Fernsehen erforderlich (s. dazu z.B. Mantz, K&R 2007, 566: Die Haftung fu?r kompromittierte Computersysteme – § 823 Abs. 1 BGB und Gefahren aus dem Internet, (PDF)). Wer also Berichte in den großen Zeitungen oder Fernsehnachrichten hierzu sieht, ist herzlich eingeladen, dies in den Kommentaren zu vermerken oder mir eine Nachricht zu schicken – danke!

Vodafone hat übrigens schon ein Update versprochen. Inwiefern die Nutzer dieses tatsächlich einspielen, ist aber fraglich.

Eine weitere spannende Frage wäre übrigens, ob Vodafone verpflichtet ist, alle ihm bekannten Nutzer dieser WLAN-Router (per Brief) anzuschreiben und auf die Lücke hinzuweisen. Hierfür spricht einiges, da die Lücke riesig und leicht auszunutzen ist. Aus dem TK-Vertrag zwischen dem Kunden und den Nutzern ergeben sich nämlich auch bestimmte Schutz- und Informationspflichten. Wenn Vodafone dies unterließe und dadurch Schäden bei einem Anwender entstehen, könnte durchaus ein Anspruch auf Schadensersatz aus dem zwischen Vodafone und dem Kunden bestehenden TK-Vertrag bestehen – ggf. gemindert durch entsprechendes Mitverschulden im Einzelfall.

Sicherheitsproblem bei WLAN-Routern mit WPS

Schreibe eine Antwort

Wie der Standard aus Österreich berichtet, sind Router, die WPS (Wi-Fi Protected  Setup) anbieten, durch Brute Force-Attacken gefährdet. Dabei benötigt man zum Einbrechen in ein WLAN ca. 90 Minuten:

Ein Authentifizierungsvorgang dauerte je nach Router zwischen 0,5 und drei Sekunden. Damit würde es 90 Minuten bis zehn Stunden dauern, bis man Zugang zu den Routern erhält. Im Durchschnitt benötigte das Programm 5.500 Sekunden.

Entdeckt wurde die Sicherheitslücke von Stefan Viehböck. Auf seiner Webseite beschreibt er die Lücke in einem Paper ausführlich. Darin heißt es u.a.:

An attacker can derive information about the correctness of parts the PIN from the AP´s responses.

  • If the attacker receives an EAP-NACK message after sending M4, he knows that the 1st half of the PIN was incorrect.
  • If the attacker receives an EAP-NACK message after sending M6, he knows that the 2nd half of the PIN was incorrect.

This form of authentication dramatically decreases the maximum possible authentication attempts needed from 10^8 (=100.000.000) to 10^4 + 10^4 (=20.000).

As the 8th digit of the PIN is always a checksum of digit one to digit seven, there are at most 10^4 + 10^3 (=11.000) attempts needed to find the correct PIN.

Das US-CERT hat auf Meldung von Stefan Viehböck hin eine Warnung veröffentlicht.

Es ist daher insgesamt zu raten, am WLAN-Router WPS zu deaktivieren.

Die Lücke zeigt erneut, dass WLAN-Router auch mit eingesetzter Verschlüsselung nicht als sicher zu bezeichnen sind.

(via @Muschelschloss)