Mit der von Heise vorgestellten Lücke dürfte es ein Kinderspiel sein, man muss lediglich die Zielperson dazu bringen, eine entsprechend präparierte Webseite aufzurufen – zumindest solange man zum mittelbaren sozialen Umfeld gehört, dürfte das kein Kunststück sein. Diejenigen, die ein unverschlüsseltes Netz auf Basis eines MAC-Filters betreiben, sollten hier in Zukunft vielleicht etwas vorsichtiger sein.

Letztlich widerspricht die obige Aussage dem Gerechtigkeitsempfinden vieler, da derjenige, der das WLAN unter Umgehung der WPA-Verschlüsselung nutzt, sich strafbar macht und man selbst ja immerhin (irgendwie) abgesichert hat. Gleichwohl ändert das nichts am Ergebnis. Daher noch einmal der eindringliche Rat: Auf WPA2 umsteigen. Und wer einen alten Router hat, sollte sich nicht auf den BGH verlassen und die 50 Euro in einen aktuellen Router investieren. Erfahrungsgemäß lassen sich abmahnende Rechtsawälte von dem Hinweis auf WPA und BGH wenig beeindrucken, was also zumindest Zeit und Ärger kostet. Und wer in dem Zusammenhang einen eigenen Anwalt beauftragt, muss den ja bezahlen, womit es auch noch Geld kostet. Der neue Router rechnet sich da durchaus.

Dazu gibt es inzwischen auch einen Bericht bei Heise. Letztlich scheint die Lücke nur für bereits im Netzwerk angemeldete User zu bestehen und nicht für jeden X-Beliebigen Dritten zur Verfügung zu stehen. Damit wäre diese Lücke als Ausrede natürlich unbrauchbar. Es gibt auch erste spontane Gedanken von mir dazu hier.

Einziger kleiner Wermutstropfen: Zum Zeitpunkt des Interviews gab es nur die Pressemitteilung des BGH in Sachen Störerhaftung & WLAN, so dass sich im Interview noch ein paar Sätze zur Kostendeckelung nach §97a II UrhG finden, das ist ja nun überholt.

Anmerkung: Ich persönlich gehöre seit Jahren zu den Skeptikern dieser Entwicklung und glaube, dass der Trend in Deutschland und Europa insgesamt hin zu einer eindeutigen Identifizierung der User gehen wird. Bereits 2004 habe ich Befürchtungen geäußert, dass es eine denkbare und technisch mögliche Option wäre, dass eine zentrale Agentur (Bundesnetzagentur) jeder Person eine lebenslange IP-Adresse zuteilt und z.B. die Internetnutzung nur mit dieser IP-Adresse via Provider möglich ist. Eine düstere Aussicht, an der ich aber weiterhin festhalte.

Verweise:

• Analyse des BGH-Urteils in Sachen Störerhaftung im Volltext
• Beiträge von mir zum §97a II UrhG

1. Jedes 20. WLAN in Mönchengladbach offen ist und
2. jedes 4. unsicher verschlüsselt

Untersucht wurden dabei fast 14.000 gefundene WLAN, dabei zeigt die Studie etwas besonders erschreckendes: Ausgerechnet in Gewerbegebieten ist die Quote der unsicheren WLAN mit einem Drittel höher als in Wohngebieten. Dabei müssen gerade Unternehmen, nicht nur aus Gründen der eigenen System-Sicherheit sondern auch aus Gründen des Datenschutzes besonders stark die Sicherheit ihrer Netze im Auge haben.

Auch mit Blick auf den BGH, der sich am 12.5.2010 mit WLAN und Haftung beschäftigt, erwähnt der Artikel einen relevanten Aspekt:

Die Analyse der Modelltypen lege den Schluss nahe, so die Studierenden, dass die Anwender oft die vom Hersteller voreingestellte Verschlüsselungsart einsetzen.

Der Blick in den Artikel zeigt vor allem eines: WLAN sind allgegenwärtig und das damit verbundene Risiko scheint immer noch zahlreich unterschätzt zu werden. Vor allem die juristischen Haftungsfragen müssen wohl noch stärker thematisiert und in den Fokus gerückt werden. Dabei sollte auf Grund der vorliegenden Daten (“Alle 1000 Meter finden sich 9 offene WLAN”) auf der Hand liegen, dass die vollkommen offene rechtliche Problematik des “Schwarz-Surfens” in Zukunft weiter an Brisanz gewinnt.

Ich werde nicht Müde, gerade Unternehmen in die Pflicht zu nehmen: Schon aus eigenem Interesse sollte man hier umfassend eine brauchbare Sicherheitspolitik entwickeln. Dazu gehört, dass WLAN nur in Betrieb sind, wenn sie auch genutzt werden. Aber eben auch vernünftige Sicherheitsmechanismen, wobei WPA2 mit einem Passwort zwar Standard ist, aber verteilte Schlüssel für Unternehmen sicherlich besser sind. Nochmals verweise ich hier darauf, dass es dabei nicht nur um den Schutz der eigenen Daten geht, sondern dass auch – mit Blick auf Arbeitnehmer und Kunden – datenschutzrelevante Fragen und Bußgelder im Raum stehen. Dabei wird man sich als betroffener Unternehmer auch mit dem §42a BDSG beschäftigen müssen, der eine Informationspflicht bei “Datenlecks” vorsieht. Insbesondere wer besonders sensible Daten verarbeitet (etwa Ärzte und Anwälte) muss hier dringend seiner Pflicht bewusst sein – einfach nur einen WLAN-Access-Point aufstellen reicht bei Unternehmen nicht.

Hinweis: Der BGH wird am 12.5.2010 entscheiden – eine Vorschau finden Sie hier.

Update: Achtung – dieser Artikel entstand, als davon auszugehen war, dass es sich um ein offenes WLAN handelt. In Wahrheit verhandelt der BGH aber über ein verschlüsseltes WLAN, was weitere Probleme aufwirft – meine Kurzmeldung dazu hier.

Als ich auf den Verhandlungstermin hingewiesen habe, habe ich deutlich gesagt:

Die Entscheidung dürfte mit Spannung von der Fachwelt erwartet werden, eine Prognose verbietet sich meines Erachtens gänzlich.

Nachdem nun am 18.3. der BGH nicht entschieden hat, sondern vielmehr im Mai 2010 erst mit der Entscheidung gerechnet werden darf, reicht der Presse diese Einschätzung natürlich nicht. Insofern finden Laien inzwischen eine Fülle von Berichten, die inhaltlich von fragwürdig bis hochgradig falsch reichen.

Die Zeit etwa titelt “BGH macht WLAN-Hotspots wohl dicht” und sorgt mit diesem Satz für Befremden:

Allerdings ließen das Plädoyer der Staatsanwaltschaft und die Äußerungen des Vorsitzenden Richters erkennen, dass es für offene Hot-Spots eng werden könnte.

Wie sich die Staatsanwaltschaft in einem zivilrechtlichen Verfahren äußert, ja gar ein Plädoyer hält, bleibt an dieser Stelle das alleinige Geheimnis der Presse.

Auch steht nicht zur Debatte, dass es für WLAN-Zugänge “eng wird”, viele Laien titeln schon – etwa bei Twitter – “Offenes WLAN betreiben darf kein Verbrechen sein”, das ist hier ausdrücklich nicht das Thema. Jeder kann ein offenes WLAN betreiben, auch nach dem BGH-Urteil. Man muss sich aber eben im Klaren sein, dass man (als so genannter Störer) für Rechtsverletzungen mitunter einstehen muss.

Diejenigen, die nun glauben, dies würde zumindest mittelbar zum Untergang der freien WLAN führen, haben Unrecht: Zum einen kann man zwar ein WLAN offen lassen, aber z.B. nur die Ports 80, 143 (ggfs. noch 53 für DNS) öffnen, damit nur HTTP und Mail-Verbindungen möglich sind. Weiterhin kann man andenken, zumindest für externe Benutzer den WLAN-Zugang so zu konfigurieren, dass die Internetverbindung nur über eine Anonymizer-Proxy zustande kommt.

In der BGH-Verhandlung wurde deutlich, dass der BGH die Störerhaftung an sich nicht in Frage stellen wird, es ist damit zu rechnen, dass es vielleicht schärfere Konturen gibt, aber keinen Freifahrtschein. Dabei wäre für mich schon fraglich, ob dieser Freifahrtschein überhaupt nötig ist oder unserem Rechtssystem angemessen ist – gerade da diejenigen, für die Anonymität existentiell ist, ohnehin mit Proxies oder TOR arbeiten müssen. Insoweit sehe ich die Störerhaftung in diesem konkreten Fall nicht derart kritisch, wie es von Laien zur Zeit vertreten wird, bei denen häufig offensichtlich ist, dass man auf Grund von Fehlinformationen glaubt, es geht hier um die Erlaubnis offener WLAN.

Auch hat diese konkrete Frage nichts damit zu tun, dass die Idee der “Störerhaftung” – die ursprünglich aus dem Sachenrecht des römischen Rechts stammt – vielleicht in der bisherigen Stringenz nicht auf digitale Fragen angewendet werden darf. Speziell wenn man an heute wichtige Elemente unserer Kommunikationskultur, wie Foren und Blogs denkt, wo die Störerhaftung der Betreiber (bei externen Kommentaren) gleich das ganze Medium gefährden, muss diese Frage gestellt werden. Doch: Auch das hat mit dem Thema hier nichts zu tun.

Kritischer ist dagegen die Frage, wie man nun als Familie damit umgeht, speziell als Anschlussinhaber, der sich die Frage stellen muss, was nun bei Rechtsbrüchen der eigenen Kinder geschieht. Hier tendiert die Rechtsprechung in der Tat, teilweise sehr unreflektiert, dazu Familien zu einer Generalüberwachung der Kinder zu verdonnern. Das ist nicht nur nicht angemessen und steht im Gegensatz zum Wunsch der meisten Eltern, selbstständige Charakter heran zu ziehen. Auch stellt sich natürlich die Frage inwieweit eine derartige mitunter umfassende Überwachung mit den Vorgaben des Grundgesetzes (Erziehungsrecht der Eltern sowie Persönlichkeitsrecht der Kinder) vereinbar ist.

An dieser Stelle bietet es sich an, den §832 I Satz 2 BGB als Korrektiv der Störerhaftung heran zu ziehen. Die hier geregelte Aufsichtspflicht der Eltern wird nämlich eingeschränkt mit den Worten:

Die Ersatzpflicht tritt nicht ein, wenn er seiner Aufsichtspflicht genügt oder wenn der Schaden auch bei gehöriger Aufsichtsführung entstanden sein würde.

Die nur analog angewendete Störerhaftung wird hier m.E. eindeutig durch die ausdrücklich vom Gesetzgeber gewollte Privilegierung Aufsichtspflichtiger eingeschränkt. Die Gerichte sind auf diesen Aspekt bisher aber noch nicht gestossen und haben somit noch nicht die umfangreiche Rechtsprechung zur Aufsichtspflicht (etwa im Straßenverkehr) heran gezogen, die durchaus Freiräume selbstständiger Betätigung von Kindern vorsieht. Es bleibt die Hoffnung, dass dies eines Tages geschieht.

Am Rande der Hinweis, dass das Schwarz-Surfen und die Störerhaftung bei WLAN zwei Seiten der gleichen Medaille sind:

1. Die Störerhaftung stellt die Frage, inwieweit der Betreiber zivilrechtlich für Rechtsverletzungen der Nutzer einzustehen hat
2. Beim Schwarz-Surfen wird gefragt, ob sich der strafbar macht, der sich gegen/ohne den Willen des Betreibers in ein WLAN einloggt

Dabei noch einmal die Erinnerung, dass auch Ermittlungsverfahren wegen Schwarz-Surfens eröffnet wurden, bei denen der WLAN-Betreiber gar nicht bekannt war, man also gar nicht wusste, dass gegen den Willen ein WLAN genutzt wurde. Momentan stellt sich daher die Frage, wie man überhaupt ein WLAN offen betreiben möchte und dabei sicherstellen kann, dass andere die es nutzen, nicht von der Polizei aufgegriffen werden. Dazu auch auf die Schnelle die FAQ zum Schwarz-Surfen.

Zur Vertiefung der Rechtsfragen nach aktueller Lage kann ich nur empfehlen, meine bisherige Zusammenfassung zur Störerhaftung bei offenem WLAN bzw. Internetanschluss zu lesen, zu finden hier.

Artikel von weiteren Juristen zum Thema:

• RA Dirks mit einer Stellungnahme
• RA Roggenkamp schätzt die Lage ein
• RA Stadler antwortet auf RA Roggenkamp
• Kommentar auf IP-Notiz
  

Hintergrund: Der Betroffene hatte sich in seinem PKW mittels eines Netbooks in ein frei zugängliches WLAN eingewählt. Zwei vorbeikommende Polizisten sehen das zufällig und fragen, was er getan hat. Es folgt die Aufnahme der Personalien, nach kurzem Telefonat mit der Staatsanwaltschaft kann der Betroffene sich aber wieder entfernen, samt Laptop. Ca. 4 Wochen später erfolgt eine Ladung, zur Polizei zur Vernehmung zu erscheinen, wo der Betroffene nichts aussagt. Hierauf folgt dann die Anordnung der Durchsuchung und Beschlagnahme.

Der Laptop (Netbook) wurde nun zwischenzeitlich beschlagnahmt und wartet auf die Auswertung. Selbst bei Erlass des Durchsuchungsbeschlusses war noch nicht bekannt, welches WLAN überhaupt betroffen ist, wer also der “Berechtigte” war. Dies zeigt schon deutlich, dass das Schwarz-Surfen zunehmend von Behörden auch ohne Veranlassung durch die Berechtigten verfolgt wird.Gerade vor dem Hintergrund, dass es ja viele Menschen gibt, die ihr WLAN bewusst offen lassen damit andere es nutzen, werden hier in kritikwürdiger Weise sozialadäquate Verhaltensweisen kriminalisiert.

Das enorme Risiko des Schwarz-Surfens wird dadurch nur verstärkt: Nicht nur, dass die Staatsanwaltschaften den Tatbestand des “Schwarz-Surfens” schaffen, ohne dass es diesen überhaupt gibt – gerade weil das Thema so unbekannt ist und es nirgendwo ausdrücklich normiert ist, fehlt bei vielen Betroffenen das Empfinden, etwas wirklich verbotenes oder “schlimmes” zu tun. Dass sich an diesen – eher alltäglichen – Vorgang ein strafrechtliches Ermittlungsverfahren anschliesst, lässt die Betroffenen dann aus allen Wolken fallen.

Da ich das Thema inzwischen seit längerem Verfolge, melden sich Betroffene immer häufiger bei mir mit Informationen – ich möchte darum bitten, das weiterhin zu tun. Gerne nehme ich aktuelle Geschehnisse hier auf und sorge dafür, dass das Thema verbreitet wird. Speziell mit Blick auf moderne Mobiltelefone wird das “Schwarz-Surfen” ein zunehmendes Thema sein.

Hinweis: Beachten Sie bitte meinen kurzen Infobrief “Alltäglich rechtliche Probleme im Internet”, hier als PDF zu finden.

• Spoenle in CR 2008, S.439ff
• Gröseling & Höfinger in MMR 2007, S.549ff.
• Übersicht in NJW 2008, ab S.2624
• Roßnagel & Schnabel in NJW 2008, ab S.3534ff. (im Rahmen des “Integritäts-Grundrechts”)
• Buermeyer in HRR-Strafrecht 2004, S.285ff. (zu lesen hier)

1. Die Sicherung eigener Netze sollte umgehend auf WPA2 umgestellt werden,
2. bei der Haftung als Störer (etwa wenn Dritte unerlaubt urheberrechtlich geschütztes Material über den eigenen Netzzugang anbieten/tauschen) ist man möglicherweise demnächst selbst mit WPA nicht mehr auf “sicherem Boden”

Problematisch ist vor allem der unscheinbare Hinweis im Heise-Artikel:

Teile des Codes sollen bereits heimlich in das Tool aircrack-ng eingeflossen sein.

Wenn dem so ist, wäre die Technik faktische Massenware, da “aircrack” das wohl meistverbreitete Tool zum Thema ist.