Risiko W-LAN – Gefahren unzureichend gesicherter Anschlüsse bei gewerblicher Nutzung

Die kürzlich ergangene Entscheidung des BGH beschäftigte sich mit der Haftung unzureichend gesicherter W-LAN-Anschlüsse bei Privatpersonen. Ihnen wurde auferlegt, zu prüfen, ob ihr Anschluss durch geeignete Sicherungsmaßnahmen vor der Gefahr geschützt ist, von unbefugten Dritten zur Begehung von Urheberrechtsverletzungen missbraucht zu werden. Bei Verletzung dieser Pflicht können sie zwar nicht auf Schadensersatz, jedoch auf Unterlassung und Ersatz der Abmahnkosten in Anspruch genommen werden.

Vorliegend geht es um Risiken unzureichend gesicherter W-LAN-Anschlüsse von Unternehmen. Die Gefahren liegen dabei - abgesehen vom Datenmissbrauch durch eigene Mitarbeiter - in der ungewollten Nutzung des eigenen Netzes durch fremde Computernutzer und die dabei verursachenden Urheberrechtsverletzungen im Internet, beispielsweise durch widerrechtlichen Download oder Nutzung von urheberrechtlich geschütztem Material wie Software, Musik, Filme. Dritte, die diese Verletzungshandlungen begehen, können im schlimmsten Fall auch die gegenüber sitzenden Unternehmen sein.

Die Ansprüche an die zu treffenden Sicherungsvorkehrungen wurden bei Privatpersonen auf den Standard zum Zeitpunkt der Einrichtung festgelegt, da es Privatpersonen nicht zugemutet werden kann, das private Netzwerk permanent den neuesten Sicherheitsstandards anzupassen. Die Ansprüche an Sicherungsvorkehrungen bei gewerblicher Nutzung sind ungleich höher.

Da der Anschlussinhaber über die IP-Adresse nach außen in Erscheinung tritt - im Gegensatz zu den unbefugten Dritten - wird er stets erster Ansprechpartner für Unterlassungs- und Schadenersatzansprüche sein. Die Rechteinhaber werden sich mit ihren Forderungen daher immer (Fußnote) an den Anschlussinhaber halten. Im Falle eines Missbrauchs durch unbefugte Dritte haftet – sofern der tatsächliche Täter nicht zu ermitteln ist, auch derjenige, der die Tat durch das Bereitstellen der technischen Voraussetzungen ermöglicht – also das Unternehmen, das seinen W-LAN Anschluß nicht hinreichend gegen Missbrauch sichert. Da der Störer de facto für begangenes Unrecht Dritter haftet, bedarf es einer weiteren Haftungsvoraussetzung, nämlich der Verletzung von zumutbaren Prüfungs- und Überwachungspflichten gegen Urheberrechtsverletzungen. Dabei gibt es keine eindeutige Festlegung der Zumutbarkeitsgrenze.

Die Anforderungen an W-LAN-Betreiber werden im Rahmen der jeweiligen technischen und wirtschaftlichen Möglichkeiten festgelegt. Gerade Unternehmen stehen hier vor großen Problemen, da die Nutzung des Internets unerlässlich ist. Unternehmen kann - im Gegensatz zu Verbrauchern - zugemutet werden, ihr Unternehmernetzwerk fortlaufend dem neuesten Stand der Technik anzupassen und dafür entsprechende finanzielle Mittel aufzuwenden. Ihre Prüfpflicht bezieht sich daher nicht ausschließlich auf die Einhaltung der im Zeitpunkt der Installation des Routers marktüblichen Sicherungen. Vielmehr besteht eine laufende Überwachungs- und Anpassungspflicht.

Es sind jedoch auch arbeitsrechtliche und datenschutzrechtliche Bestimmungen zu beachten. Absolutes Mindestmaß sind:
• die Anlage einzelner Benutzerkonten für die Nutzer des Computers mit jeweils eigenem Passwort,
• Instruktionspflicht mit den Nutzern des Computers, keine Urheberrechtsverletzungen zu begehen,
• die Pflicht, dritte Nutzer, denen man den Anschluss überlässt, zu überwachen, sofern damit zu rechnen ist, dass der Nutzer eine Urheberechtsverletzung begehen könne.
Diese Maßnahmen sind erforderlich, um den Kreis der potentiellen Täter zu begrenzen bzw. die eigenen Computernutzer/Mitarbeiter von der Begehung der Verletzungshandlung ausschließen zu können. Darüber hinaus sind Vereinbarungen mit den Nutzern zu treffen, die auch die Speicherung von Zugriffen enthalten müssen, um gegebenenfalls den tatsächlichen Störer ermitteln zu können. Regelmäßige Belehrungen und Schulungen zur Sensibilisierung der Mitarbeiter, dokumentierte Kontrollen und Sanktionen, Zugriffsverwaltung durch Passwörter tragen ebenfalls zum Schutz des Unternehmernetzes bei.

Für die technische Absicherung der Rechnersysteme gegen unbefugtes Eindringen ist eine ausreichende Verschlüsselung des W-LAN-Netzes über eine Passwortsicherung mit geeigneten Passwörtern erforderlich. Zudem sollten die Mitarbeiter jeweils ein individuelles Passwort verwenden, welches nicht leicht entschlüsselt werden kann und regelmäßig geändert wird, so dass der Zugang zum Netzwerk tatsächlich nur den Mitarbeitern des Unternehmens möglich ist. Ermöglicht das Betriebssystem keinen passwortgeschützen Anmeldevorgang, so ist ein passwortgesicherter Bildschirmschoner zu verwenden. Der Zugriffsschutz wird vor allem durch eine Autorisierung mittels Smartcard und Passwort gewährleistet.

Das Unternehmen muss die Zugangsdaten geheim halten und Benutzernamen und Passworte so aufbewahren, dass der Zugriff auf diese Daten durch unbefugte Dritte unmöglich ist. Die Sicherheit des Passworts hängt hauptsächlich von seiner Erratbarkeit, Gültigkeitsdauer und Aufbewahrungsart ab. Die Mindestlänge eines Passworts soll 8 Zeichen betragen, von denen mindestens zwei keine Buchstaben sein dürfen, Namen und Worte, die im Lexikon zu finden sind, sind zu meiden. Das Passwort ist regelmäßig zu wechseln. Darüber hinaus ist eine zeitliche Begrenzung der Anmeldeberechtigung notwendig: Die Möglichkeit zur Anmeldung soll auf den Zeitraum von 6.00 bis 22.00 Uhr begrenzt werden. Darüber hinausgehende Anmeldeberechtigungen können ggf. gesondert vereinbart werden. Weiterhin soll automatische Abmeldung bei längerer Nichtbenutzung erfolgen, so dass ein Zugriff auf den Rechner und das Netzwerk nur bei erneuter Anmeldung und Eingabe eines Passworts wieder möglich ist. Bei Abwesenheit sind daher ebenfalls geeignete Sicherheitsmaßnahmen gegen unbefugten Zugang zu ergreifen, wie Nachtsabschaltung und Abschaltung des W-LAN bei Abwesenheit.

Wenn das Passwort im Router konfiguriert ist, können Benutzer nur auf das Netzwerk zugreifen, wenn sie diesen Code in den Einstellungen für die Wireless-Karte ihrer Computer oder Notebooks eingeben. Mit anderen Worten erhalten nur Personen, deren Wireless-Geräte den gleichen Passcode wie der Router aufweisen, Zugriff auf das Unternehmensnetzwerk.

Fazit:

Vielen Unternehmen ist es oft nicht bewusst, wie einfach es für Kriminelle ist, über das Internet in das Unternehmernetzwerk zu gelangen und dort Daten zu manipulieren oder Urheberrechtsverletzungen zu begehen. Mangelnde Sicherheitskonzepte, vermeintlich kostengünstige Produkte vom Discounter und unzureichend gesicherte W-LANs ermöglichen den unbefugten Dritten, in ein Unternehmensnetzwerk einzudringen. Oft haben mittlere und kleine Unternehmen kein Sicherheitskonzept und sind sich darüber nicht bewusst, welche Lücken in ihrem IT-System existieren. Dabei können die wichtigsten und grundlegenden Maßnahmen bereits durch einen minimalen technischen Aufwand umgesetzt werden.

Es ist daher allen W-LAN-Betreibern dringend zu empfehlen, ihr Netzwerk gegen unbefugte Nutzung zu sichern, um einer Haftung zu entgehen. IT-Sicherheit ist inzwischen keine Luxus-Versicherung für Großunternehmen mehr, sondern ein Teil des in allen Unternehmen notwendigen Risikomanagements. Bei Erhalt einer Abmahnung und Unterlassungserklärung sollte man sich zudem zur Beratung an einen spezialisierten Rechtsanwalt wenden, um den Einzelfall überprüfen zu lassen.

Dieser Beitrag ist erschienen in: Mittelstand und Recht, Ausgabe IV/2010

Wir beraten Sie gerne persönlich, telefonisch oder per Mail. Sie können uns Ihr Anliegen samt den relevanten Unterlagen gerne unverbindlich als PDF zumailen, zufaxen oder per Post zusenden. Wir schauen diese durch und setzen uns dann mit Ihnen in Verbindung, um Ihnen ein unverbindliches Angebot für ein Mandat zu unterbreiten. Ein Mandat kommt erst mit schriftlicher Mandatserteilung zustande.
Wir bitten um Ihr Verständnis: Wir können keine kostenlose Rechtsberatung erbringen.

Mehr Beiträge zum Thema finden Sie unter: