Schlagwort-Archive: Vodafone

Sicherheitslücken (in WLAN-Routern) und die Pflichten der Nutzer (insb. Unternehmen)

Wie heise-security am 21.08.2013 berichtete, wird derzeit eine Lücke in bestimmten WLAN-Routern aktiv ausgenutzt, durch die Angreifer Zugriff auf den Router und damit auch die Telefonanlage nehmen können.

I. Der Fall

Den konkreten Fall beschreibt heise-security so:

Im Raum Krefeld hat ein unbekannter Täter verwundbare WLAN-Router anscheinend gleich reihenweise geknackt, um über die Telefonanschlüsse der Router-Besitzer wiederholt die Kundenhotline eines Krefelder IT-Dienstleisters anzurufen. Dadurch war die Hotline stundenlang nicht erreichbar. Gegenüber heise Security erklärte der Geschäftsführer der betroffenen IT-Firma, in einigen Fällen sei die Rufnummer des Anrufers mitgesendet worden. Daraufhin habe er sich mit den Anrufern in Verbindung gesetzt. Die Anschlussinhaber gaben an, von den Anrufen nichts gewusst zu haben. Bei den Gesprächen ergaben sich zwischen den Inhabern der Rufnummern zwei Gemeinsamkeiten: Alle waren Vodafone-Kunden und setzten einen Vodafone-Standardrouter des Typs EasyBox ein. Einer der Vodafone-Kunden erklärte, an seinem Anschluss sei durch weitere Anrufe bereits größerer finanzieller Schaden entstanden, unter anderem durch Ferngespräche ins Ausland.

II. Ansprüche auf Schadensersatz?

Nach dieser Fallbeschreibung war das Opfer des Telefonterrorangriffs, ein IT-Unternehmen, in seiner Betriebsausübung erheblich betroffen. Ihm dürften daher – einen entsprechenden Schaden vorausgesetzt – gegen den Angreifer Ansprüche auf Unterlassung und Schadensersatz zumindest nach § 823 Abs. 1 BGB zustehen. Betroffenes Rechtsgut wäre hier das Recht des eingerichteten und ausgeübten Gewerbebetriebes, dessen Schutz im Rahmen des § 823 Abs. 1 BGB anerkannt ist. In vergleichbaren Fällen könnte es auch zu anderen Schäden kommen, wenn z.B. die geknackten Router für eine (Distributed) Denial of Service-Attacke (DDoS) genutzt worden wären, und es in dessen Folge zu einer Beeinträchtigung des Gewerbebetriebes oder sogar einem Datenverlust gekommen wäre.

Ob der Täter zu ermitteln sein wird, muss sich erst noch zeigen, es ist aber eher unwahrscheinlich. Daher ist zu fragen, ob von einem solchen Angriff betroffene Ansprüche gegen diejenigen richten können, deren Geräte für den Angriff genutzt wurden.

Ähnliche Fragestellungen sind in der Literatur bereits im Zusammenhang mit der Kompromittierung von Computersystemen durch Viren, Trojaner u.ä. diskutiert worden (Koch, NJW 2004, 801; Libertus, MMR 2005, 507; Mantz, K&R 2007, 566 (PDF, 0,2 MB); Spindler, MMR 2008, 7). Dabei wird im Rahmen des § 823 Abs. 1 BGB auf die Verletzung von Verkehrspflichten abgestellt. Im Hinblick auf Dialer hatte auch der BGH die Pflichten der Computernutzer behandelt (BGH, Urt. v. 4.3.2004 – III ZR 96/93, NJW 2004, 1590; zu Trojanern LG Stralsund, Urt. v. 22.2.2006 – 1 S 237/05, MMR 2006, 487).

Kurz formuliert, kann jemand, dessen System kompromittiert wurde und ohne sein Wissen für einen Angriff auf Dritte verwendet wurde, ggf. auf Zahlung von Schadensersatz in Anspruch genommen werden, wenn das Sicherheitsproblem (in erheblichem Maße) bekannt war, die Sicherungs- bzw. Gegenmaßnahmen bekannt (AG Völklingen, Urt. v. 23.2.2005 – 5c C 575/04, MMR 2005, 482, 483) und technisch zumutbar waren (AG Völklingen, Urt. v. 23.02.2005 – 5c C 575/04, MMR 2005, 482, 483; Grabe, MMR 2005, 483, 485; Mantz, K&R 2007, 566 (PDF, 0,2 MB)).

Gerade im Zusammenhang mit der Sicherung eines WLANs durch Verschlüsselung hat der BGH im Jahr 2010 entschieden, dass den Nutzer die Pflicht treffen kann, sein WLAN nach dem zum Zeitpunkt des Kaufs aktuellen Schutz zu verschlüsseln (BGH, Urt. v. 12.5.2010 – I ZR 121/08, MMR 2010, 565 m. Anm. Mantz (PDF) – Sommer unseres Lebens).
Das Merkmal der technischen Zumutbarkeit führt allerdings möglicherweise nur bei Privatkunden zur Einschränkung des Anspruchs (vgl. LG Hamburg, Urt. v. 26.7.2006 – 308 O 407/06, MMR 2006, 763, 764; kritisch zu einem ähnlichen Fall Solmecke, K&R 2007, 138, 143). So hat der BGH in der „Sommer unseres Lebens“-Entscheidungen die Pflichten von gewerblichen Nutzern gerade offen gelassen. Gewerblichen Nutzern kann es daher insbesondere zuzumuten sein, sich (kostenpflichtiger) technischer Hilfe zu bedienen.

Allerdings ist im vorliegenden Fall sehr fraglich, ab wann von der Bekanntheit des Sicherheitsproblems gesprochen werden kann. Grundsätzlich sind hieran eher strenge Anforderungen zu stellen (Mantz, K&R 2007, 566 (PDF, 0,2 MB)):

Man kann jedoch davon ausgehen, dass ein Problem erst weithin bekannt ist, wenn eine ausfu?hrliche und mehrfache Berichterstattung in Massenmedien erfolgt ist. Ist das Sicherheitsproblem lediglich in Fachzeitzeitschriften aufgegriffen worden, so kann gerade der weniger interessierte Nutzer, und damit die fu?r die Pflichtenbestimmung wesentliche Gruppe der Mehrheit der Nutzer, die Problematik kaum kennen. Auch wer IT-spezifische Informationskana?le nicht nutzt, muss zumindest die Mo?glichkeit gehabt haben, vom Sicherheitsproblem in seinen Grundzu?gen erfahren zu haben.

Die Sicherheitslücke ist bereits vor zwei Jahren öffentlich geworden. Am 5.8.2013 hat zusätzlich das Bundesamt für Sicherheit in der Informationstechnik eine offizielle Warnung herausgegeben. Diese Quellen sind generell aber eher an ein Fachpublikum gerichtet. Von einer allgemeinen Bekanntheit des Problems kann wohl nicht ausgegangen werden.

Allgemein wird bei der Bekanntheit wohl im Einzelfall zu unterscheiden sein: Privatpersonen ist es mit Sicherheit nicht zuzumuten, Fachmedien und die BSI-Warnungen zu beobachten. Auch bei kleinen Gewerbetreibenden kann sicher noch nicht von einer Bekanntheit ausgegangen werden, wenn Fachmedien darüber berichten. Anders dürfte dies lediglich bei großen Unternehmen sein, die eine eigene IT-Abteilung unterhalten, wobei kaum davon auszugehen ist, dass diese die hier betroffenen WLAN-Router eingesetzt haben.

Aus dem Artikel ergibt sich nicht, wer die Vodafone-Kunden waren, deren WLAN-Router zum Telefonterrorangriff genutzt wurden. Es kann daher von hier aus keine Aussage darüber getroffen werden, ob es sich lediglich um Privatpersonen gehandelt hat.

Vodafone hat in seinem Blog am 5.8.2013 beschrieben, wie die Sicherheitslück behoben werden kann. Auf den Hilfeseiten ist auch eine Schritt-für-Schritt-Anleitung verfügbar. Weiter hat Vodafone angekündigt, alle Nutzer mit den betroffenen WLAN-Routern anzuschreiben. Ein Firmware-Update, das das Problem endgültig löst, soll noch in Arbeit sein.

Ist eine solche Information an den Nutzer gelangt, liegt Bekanntheit (bei diesem) definitiv vor. Wenn die Lösung auch durch einen Laien durchführbar ist – beispielsweise aufgrund einer leicht verständlichen und auch für Laien durchführbaren Schritt-für-Schritt-Anleitung, kann auch von einer technischen Zumutbarkeit ausgegangen werden. Es ist daher jedem, der einen entsprechenden Hinweis erhält, dringend zu raten, die Sicherheitslücke schnellstmöglich zu beheben – schon aus Eigeninteresse (vgl. dazu auch BGH, Urt. v. 12.5.2010 – I ZR 121/08, MMR 2010, 565 Rn. 22 m. Anm. Mantz (PDF) – Sommer unseres Lebens).

III. Ansprüche gegen Vodafone?

Die weitere Frage ist, ob die Betroffenen Ansprüche gegen Vodafone geltend machen können. Solche Ansprüche können sich auf Schadensersatz richten, wenn bereits ein Angriff auf das eigene Gerät stattgefunden hat, alternativ möglicherweise auch auf Ersatz der Kosten für die Installation der neuen Software/der zu ergreifenden Gegenmaßnahme in Form der Entlohnung eines beauftragten IT-Unternehmens. Unabhängig davon, ob die Betroffenen die WLAN-Router gekauft oder gemietet haben, dürfte in der Auslieferung eines mit einer solch eklatanten Lücke behafteten Geräts ein Mangel vorliegen.

Die Unterscheidung zwischen Miet- und Kaufvertrag wird aber für die Verjährung eine erhebliche Rolle spielen. Beim laufenden Mietvertrag sind Mängel jederzeit zu beheben. Beim Kaufvertrag verjähren die Mängel allerdings nach § 438 Abs. 1 Nr. 3 BGB innerhalb von zwei Jahren nach Ablieferung der Sache. Ansprüche dürften daher mittlerweile in vielen Fällen verjährt sein. Darauf, dass der Mangel (sehr) versteckt ist, kommt es insoweit nicht an.

Sofern der Router allerdings im Zusammenhang mit eine Telekommunikationsvertrag, der i.d.R. wiederum als Dienstleistungsvertrag einzuordnen ist, gekauft wurde, und dieser Vertrag weiterhin besteht, kann ein Anspruch auf Schadensersatz ggf. hierauf gestützt werden. Insbesondere der Umstand, dass die Sicherheitslücke bereits seit zwei Jahren bekannt ist, Vodafone aber erst jetzt Maßnahmen zur Behebung ergreift, legen eine Verletzung der Nebenpflichten des Vertrages nahe.

IV. Fazit

Nutzer mit den betroffenen WLAN-Routern sollten diese sofort absichern. Privatpersonen und Kleinunternehmen, die davon keine Kenntnis haben und von Vodafone nicht benachrichtigt wurden, dürften keinen Schadensersatzansprüchen ausgesetzt sein, wenn ihr Router für Angriffe auf Dritte missbraucht wurde. Größeren Unternehmen kann die Pflicht obliegen, entsprechende Warnungen auch in Fachkreisen und des BSI zu beachten und entsprechende Gegenmaßnahmen frühzeitig zu ergreifen.

Vodafone hat in jedem Fall keine Figur gemacht. Zum einen hat das Unternehmen ein Produkt mit eklatanten Sicherheitslücken verkauft, zum anderen zwei Jahre gebraucht, um effektiv zu reagieren.

BSI warnt Vodafone-Nutzer vor schwerer Lücke in WLAN-Routern (WPS)

Es war ja eigentlich schon bekannt, dass einige WLAN-Router von Haus aus unsicher oder unsicher konfiguriert sind (s. hier, hier und hier). Neu ist, dass das Bundesamt für Sicherheit in der Informationstechnik über sein Warnungs-Portal BürgerCERT konkret Nutzer von bestimmten WLAN-Routern warnt (dazu SpOn und heise-online).

In diesem Fall sind die zwei WLAN-Router von Vodafone, nämlich die EasyBox 802 und EasyBox 803 (mit Produktionsdatum vor August 2011), betroffen, die vom Hersteller Arcadyan/Astoria Networks stammen. Die Lücke ist bereits seit Ende 2011 öffentlich bekannt (heise-security v. 29.12.2011).

Auch andere WLAN-Router können solche Unsicherheiten aufweisen (hier, hier und hier).

Im Ergebnis empfiehlt es sich, die Voreinstellungen eines neu gekauften WLAN-Routers genau zu studieren und ggf. zu ändern, wobei man auch konstatieren muss, dass es durchaus WLAN-Router zu geben scheint, die von Anfang an sicher konfiguriert sind (s. z.B. das Urteil des AG Frankfurt v. 14.6.2013 – 30 C 3078/12 (75) oder meine Anmerkung (PDF) zum „Sommer unseres Lebens“-Urteil des BGH, Urt. v. 12.5.2010 – I ZR 121/08, s. dazu hier, hier, hier, hier und hier.

Interessant dürfte letztlich die Frage sein, ab wann nach den Vorgaben des BGH die (für Privatnutzer sicher nicht triviale) Umkonfiguration der Sicherheitsparameter eines WLAN-Routers von Privatpersonen erwartet werden kann bzw. ob eine Warnung des BSI hinreichend ist, um den allgemein bekannten Sicherheitsstandard zu verändern. Möglicherweise ist hierfür eine Berichterstattung in Presse und Fernsehen erforderlich (s. dazu z.B. Mantz, K&R 2007, 566: Die Haftung fu?r kompromittierte Computersysteme – § 823 Abs. 1 BGB und Gefahren aus dem Internet, (PDF)). Wer also Berichte in den großen Zeitungen oder Fernsehnachrichten hierzu sieht, ist herzlich eingeladen, dies in den Kommentaren zu vermerken oder mir eine Nachricht zu schicken – danke!

Vodafone hat übrigens schon ein Update versprochen. Inwiefern die Nutzer dieses tatsächlich einspielen, ist aber fraglich.

Eine weitere spannende Frage wäre übrigens, ob Vodafone verpflichtet ist, alle ihm bekannten Nutzer dieser WLAN-Router (per Brief) anzuschreiben und auf die Lücke hinzuweisen. Hierfür spricht einiges, da die Lücke riesig und leicht auszunutzen ist. Aus dem TK-Vertrag zwischen dem Kunden und den Nutzern ergeben sich nämlich auch bestimmte Schutz- und Informationspflichten. Wenn Vodafone dies unterließe und dadurch Schäden bei einem Anwender entstehen, könnte durchaus ein Anspruch auf Schadensersatz aus dem zwischen Vodafone und dem Kunden bestehenden TK-Vertrag bestehen – ggf. gemindert durch entsprechendes Mitverschulden im Einzelfall.