Urteil des Bundesgerichtshofs Sicherheitslücke im Router kann Verbrauchern nicht angelastet werden

Internetnutzer können sich entspannen: Bei der Sicherung ihres WLANs dürfen sie sich in der Regel auf eine individualisierte Verschlüsselung durch den Router-Hersteller verlassen - zumindest, wenn es um Missbrauch angeht.

Online mit Notebook und Handy
imago

Online mit Notebook und Handy


Internetnutzer, die sich auf eine individualisierte Verschlüsselung ihres Routers durch den Hersteller verlassen, haften nicht, wenn ihr WLAN trotzdem unbefugt von Dritten genutzt wird. Ohne Anhaltspunkte für eine Sicherheitslücke ist niemand verpflichtet, einen solchen WLAN-Schlüssel zu ändern. Das hat am Donnerstag der Bundesgerichtshof (BGH) entschieden (Az.I ZR 220/15).

In dem Fall sollte eine Frau wegen verletzter Urheberrechte rund 750 Euro an eine Filmfirma zahlen, weil ein Unbekannter über ihren Anschluss 2012 einen Actionfilm illegal in einer Tauschbörse angeboten hatte.

Der Router, ein "Alice Modem WLAN 1421", war von Werk mit einem individuellen Schlüssel aus 16 Ziffern nach gängigem Standard (WPA2) gesichert. Wegen Fehlern bei der Generierung war die Kombination leicht zu knacken - aber das stellte sich erst viel später heraus, im Jahr 2014. Die Frau trifft deshalb laut BGH keine Schuld.

Der Vorinstanz zufolge konnte die klagende Filmfirma nicht nachweisen, dass die 16-stellige Ziffernfolge auch für andere Router vergeben worden war und deshalb nicht individualisiert und damit unsicher gewesen sei.

Die Filmfirma hatte aber gleichwohl gefordert, dass die beklagte Frau den werksseitigen Schlüssel grundsätzlich durch einen eigenen, sichereren hätte ersetzen müssen. Der BGH wies dies nun zurück. Eine Pflichtverletzung könne der Frau nicht nachgewiesen werden. Der Verschlüsselungsstandard WPA2 sei "als hinreichend sicher anerkannt".

Wie kam es überhaupt, dass die Frau haften sollte?

Urheberrechte an Filmen, Musik oder Computerspielen werden im Internet oft über Tauschbörsen oder sogenannte Filesharing-Netzwerke verletzt. Dabei lädt sich ein Anwender über eine Software illegal eine Datei auf seinen Computer und stellt damit gleichzeitig die bereits heruntergeladenen Teile der Datei auch für andere Nutzer zur Verfügung. Das geht allerdings kaum ohne Spuren zu hinterlassen. Über die IP-Adresse lässt sich nämlich in der Regel zurückverfolgen, von welchem Internetanschluss aus eine Datei illegalerweise angeboten wurde.

Damit steht aber nicht unbedingt fest, wer der Täter ist. In WGs oder Familien sind mehrere Leute über denselben Anschluss im Netz unterwegs. In dem Fall, den der BGH nun verhandelt hat, hackte sich ein Unbekannter von außen in das WLAN der Frau. Deshalb kommt hier die sogenannte Störerhaftung ins Spiel.

So sichern Sie Ihren Router
Konfiguration per Kabel
Auch wenn es per WLAN praktischer ist - zur Einrichtung vor der ersten Inbetriebnahme und für alle folgenden Wartungsarbeiten sollte man seinen Rechner per LAN- oder USB-Kabel mit dem Router verbinden. Das raten die Experten des Bundesamts für Sicherheit in der Informationssicherheit (BSI)
WLAN-Passwort ändern
Voreingestellte WLAN-Passwörter, auch WLAN-Schlüssel genannt, sind oft nicht sicher und können unter Umständen geknackt werden. Deshalb sollten Nutzer ein eigenes Passwort vergeben. Die BSI-Experten empfehlen ein komplexes Passwort mit mindestens 20 Zeichen. Wird der Schlüssel nicht geändert, besteht die Gefahr, dass Angreifer den vom Hersteller vorgegebenen Schlüssel auslesen, etwa mit Hilfe spezieller Apps. Beim Ändern sollte man zudem prüfen, ob die sichere WPA2-Verschlüsselung aktiviert ist.
Administrator-Passwort ändern
Der Code, mit dem man ins sensible Einstellungsmenü des Gerätes gelangt, ist bei vielen oder allen Routern eines Herstellers oft derselbe. Oder der Passwortschutz ist erst gar nicht aktiviert. Hier gilt es unbedingt, ein individuelles, sicheres Passwort zu setzen.
Netzwerknamen anpassen
Nutzer sollten ihrem WLAN einen neuen Netzwerknamen (SSID) geben, weil der voreingestellte oft Herstellernamen und Gerätetyp enthält, was Angreifer bei nicht gestopften Sicherheitslücken ausnutzen könnten. Die neue SSID sollte keinerlei Bezug zum Besitzer des Internetanschlusses haben, also keine Vor- oder Zunamen, Straßen, Ort oder Ähnliches enthalten.
Sichere Übertragung bei Einstellungen
Das Router-Menü kann mit jedem beliebigen Browser aufgerufen werden, indem man die vom Hersteller angegebene Adresse - beispielsweise "192.168.2.1" oder "fritz.box" - in die Adresszeile eingibt. Allerdings sollte man dabei laut BSI darauf achten, dass man das Menü über eine gesicherte https-Verbindung aufruft. Während man die Einstellungen vornimmt, sollten sicherheitshalber keine weiteren Internetseiten geöffnet sein.
Firmware aktualisieren
Als Firmware wird die Betriebssoftware des Routers bezeichnet. Firmware-Aktualisierungen bringen neue Funktionen, stopfen aber vor allem auch Sicherheitslücken. Deshalb sollte man - falls möglich - automatische Updates im Router-Menü aktivieren oder ansonsten regelmäßig auf den Herstellerseiten nach Aktualisierungen Ausschau halten.
Ungenutzte Funktionen abstellen
Die Fernzugriff-Funktion sollte im Einstellungsmenü deaktiviert werden - so wie prinzipiell alle ungenutzten Funktionen. Das gleiche gilt für Wi-Fi Protected Setup (WPS). WPS ist ein Standard zum einfachen Aufbau eines verschlüsselten WLAN-Netzwerks. WPS mit einer PIN, die auf einen Aufkleber oder einer Anzeige am Gerät abzulesen ist, lässt sich aber schnell knacken und sollte abgeschaltet werden.
WLAN bei Nichtgebrauch ausschalten
Einfach, aber effektiv ist der Sicherheitsgrundsatz, das WLAN zu deaktivieren, wenn es nicht gebraucht wird - etwa nachts, bei längeren Abwesenheiten oder im Urlaub. Dazu bieten viele Router im Menü praktische Zeitschaltungen.

Störerhaftung - was ist das?

Ein "Störer" ist nach der Rechtsprechung des BGH, "wer - ohne Täter oder Teilnehmer zu sein - in irgendeiner Weise willentlich und adäquat kausal zur Verletzung des geschützten Rechts beiträgt". Es kann also auch jemand sein, der nicht sichergestellt hat, dass sein Internetanschluss ausreichend vor Missbrauch geschützt ist.

Nach diesem Prinzip gehen einige Unternehmen in der Film- und Musikbranche systematisch gegen ermittelte Anschlussinhaber vor: Sie lassen Anwälte Abmahnungen verschicken und fordern für den entstandenen Schaden Geld.

Wie häufig sind solche Abmahnungen?

Nach einer Umfrage im Auftrag der Verbraucherzentralen sind sechs Prozent der Bundesbürger schon einmal abgemahnt worden. Die Verbraucherschützer haben außerdem Daten ihrer Berater und eine Onlineumfrage ausgewertet. Das Ergebnis ist nicht repräsentativ, vermittelt aber einen Eindruck. Demnach wollten die Abmahnkanzleien für einen außergerichtlichen Vergleich im Schnitt etwas mehr als 870 Euro. Dabei geht es meist um die Anwaltskosten.

Schadensersatz dürfen die Rechteinhaber nur von Nutzern verlangen, die als Täter infrage kommen. Zum Schutz vor überzogenen Forderungen hat der Gesetzgeber die zulässigen Abmahnkosten 2013 in vielen Fällen gedeckelt. Die Verbraucherzentralen kritisieren aber, dass es Lücken gibt.

In welchen Fällen muss der Anschlussinhaber zahlen?

Entscheidend ist seit einem BGH-Urteil von 2010, dass das private WLAN angemessen gesichert sein muss. Demnach kann erwartet werden, dass jemand die Standardeinstellungen seines Routers ändert und ein eigenes Passwort einrichtet. Es ist aber zum Beispiel nicht notwendig, auch danach immer auf dem neuesten Stand der Technik zu bleiben.

Die Haftung für die eigenen Kinder, Angehörige oder Besucher hat ihre Grenzen: Kinder sind nachweisbar darüber aufzuklären, was verboten ist - ohne Verdacht müssen sie am Rechner aber nicht ständig kontrolliert werden. Volljährige sind für sich selbst verantwortlich und müssen auch nicht belehrt werden. Der Anschlussinhaber ist aber nur dann vor Forderungen sicher, wenn er glaubwürdig erklären kann, warum nicht er selbst, sondern ein anderer als Täter infrage kommt.

mbö/dpa/AFP

Mehr zum Thema


insgesamt 5 Beiträge
Alle Kommentare öffnen
Seite 1
fliegender-robert 24.11.2016
1. IP-Adresse ungleich Anschluss-Inhaber !!
Interessant sind die einschlägigen Berichte, dass die Fehlerrate bei der Zuordnung von der IP-Adresse zum Anschlussinhaber ca. 50% (fünfzig Prozent) beträgt! Mir ist unverständlich, dass darauf überhaupt ein Gericht ein Urteil fällt...
zick-zack 24.11.2016
2. Modem
Wenn ich mir das WLan-Modem (!) meiner Schwiegermutter ansehe... Das ist auch von Alice und nur Wep-verschlüsselt. Also gar nicht. Aber auf dem Ohr ist meine Schwiegermutter taub...
cosmose 25.11.2016
3.
Zitat von zick-zackWenn ich mir das WLan-Modem (!) meiner Schwiegermutter ansehe... Das ist auch von Alice und nur Wep-verschlüsselt. Also gar nicht. Aber auf dem Ohr ist meine Schwiegermutter taub...
Es gibt keine "WLAN-Modems". Modems sind richtig dumme Geräte, die nicht mal alleine eine Verbindung aufbauen können. Dafür brauchts einen PPoE Client. Das erledigt meistens ein Router, oder ein PC dahinter. Und WLAN können die erst recht nicht. Was Sie meinen, ist ein WLAN-Router (!), und der muss echt uralt sein. Ich würde mal behaupten, seit locker 5 Jahren ist WPA/WPA2 standardmäßig aktiv.
suppenschüssel 25.11.2016
4.
Zitat von cosmoseEs gibt keine "WLAN-Modems". Modems sind richtig dumme Geräte, die nicht mal alleine eine Verbindung aufbauen können. Dafür brauchts einen PPoE Client. Das erledigt meistens ein Router, oder ein PC dahinter. Und WLAN können die erst recht nicht. Was Sie meinen, ist ein WLAN-Router (!), und der muss echt uralt sein. Ich würde mal behaupten, seit locker 5 Jahren ist WPA/WPA2 standardmäßig aktiv.
ok, im Internetzeitalter sind 5 Jahre vielleicht uralt. Aber diese Geräte sind durchaus noch im Betrieb. Meistens auch bei denjenigen, die Beratungsresistent sind, ihren Anschluss dann mal "upzugraden" auf neue Tarife und Hardware, was oft noch nicht mal den Anbieterwechsel voraus setzt. Im Vergleich zu dieser Diskussion für die WLAN-Sicherheit zu Hause, ist mir der "run" auf offene/öffentliche WLAN-Netzwerke mit dem Smartphone ein Rätsel. Da machen sich auf viele keine Platte....
The Independent 25.11.2016
5. Naja
Zitat von cosmoseEs gibt keine "WLAN-Modems". Modems sind richtig dumme Geräte, die nicht mal alleine eine Verbindung aufbauen können. Dafür brauchts einen PPoE Client. Das erledigt meistens ein Router, oder ein PC dahinter. Und WLAN können die erst recht nicht. Was Sie meinen, ist ein WLAN-Router (!), und der muss echt uralt sein. Ich würde mal behaupten, seit locker 5 Jahren ist WPA/WPA2 standardmäßig aktiv.
Natürlich gibt es WLAN-Modems. Die Hersteller selbst bezeichnen ihre Multifunktions-Modems sogar selbst als "Dual Band WLAN ADSL/VDSL Modem-Router" (z.B. ASUS) oder schlicht "DSL-Modem-Router" (z.B. Netgear). Dem technischen Laien soll damit verdeutlicht werden, dass es sich hier eben nicht um reine WLAN-Router (ohne Modem) handelt. Denn auch ein "Router" kann nur dann eine ADSL-Verbindung selbstständig aufbauen, wenn er über ein eingebautes Modem verfügt oder direkt mit einem Modem verbunden ist (letztere Konfiguration gibt es oft bei Kabel- oder Glasfaseranbietern). Technisch gesehen sind alle neuen Fritz-Dinger, genau wie die Kästen der Wettbewerber, ADSL-, ADSL2+-, oder VDSL-Modems (für Kabel- oder Glasfaser-Verbindungen sind diese meist nicht geeignet) mit eingebauten (meist abschaltbaren) LAN-Routern (meist mit 2-6 LAN-Ports) und einem zusätzlichen (ebenfalls abschaltbaren) WLAN-Modul, wobei auch die integrierten Modems abschaltbar sind bzw. nicht genutzt werden müssen (reiner "Router-Modus"). Letzteres ist deswegen wichtig, weil einige Kabelanbieter aus technischen Gründen (aber auch aus taktischen Gründen, z.B. erlaubt dies eine Fernwartung und damit nicht nur eine Optimierung, sondern auch z.B. das Heruntersetzen der Geschwindigkeit, sowie die gezielte Drosselung oder das Sperren von Filesharing-Ports etc. pp bereits direkt am Modem) die Kunden zwingen, die eigenen vorkonfigurierten bzw. fernwartbaren Modems zu benutzen. Und selbst unter den reinen DSL-Modems (die in einigen Haushalten noch ihren Dienst verrichten, und die dann heutzutage oft an externe Router oder WLAN-Router angeschlossen sind), auf die übrigens so mancher Profi-Gamer schwört, da sie (durch vermeintlich kürzere Signalwege und das Fehlen einer Hardware-Firewall) in deren Augen etwas niedrigere Pings versprechen, die es oft vom Provider als "gebrandete" Kästchen gab, die dann entweder per Auto-Konfiguration, oder per Vorkonfiguration, die auf internen Chips bereits gespeichert war, die Einrichtung einer PPoE-Verbindung innerhalb einer Minute ermöglichten, gab es Modelle, die über eine IP-Adresse ansprechbar und damit nicht nur vom Nutzer konfigurierbar waren, sondern sich auch selbstständig einwählen konnten, wenn der Aufruf einer Internetadresse erfolgte. Auch das ein oder andere "reine" Kabel- bzw. Glasfasermodem bietet noch diese Funktion. Drum merke: Nicht alle Modems sind/waren dumm.
Alle Kommentare öffnen
Seite 1

© SPIEGEL ONLINE 2016
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung


TOP
Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.