Schwarz-Surfen

Das könnte vielleicht etwas ändern: Ein Sicherheitsunternehmen meldet, auf der Black Hat Konferenz nächste Woche eine Lücke im WPA2-Verschlüsselungsverfahren für WLAN vorzustellen, mit der Angreifer relativ einfach eine vorhandene intakte WPA2-Verschlüsselung umgehen können. Auswirkungen dürfte dies durchaus auch für Filesharing-Abmahnungen und die Störerhaftung haben können.

Dazu gibt es inzwischen auch einen Bericht bei Heise. Letztlich scheint die Lücke nur für bereits im Netzwerk angemeldete User zu bestehen und nicht für jeden X-Beliebigen Dritten zur Verfügung zu stehen. Damit wäre diese Lücke als Ausrede natürlich unbrauchbar. Es gibt auch erste spontane Gedanken von mir dazu hier.

Natürlich verstehe ich die Diskussion, die man heute bei Reto Mantz liest und die schon Simon Möller angestoßen hatte: Als der BGH sich in seinem denkwürdigen Urteil zur Störerhaftung beim WLAN-Betrieb wohl ein wenig in den Tatsachen irrte, stellt Mantz hierzu die Frage:

Der Beklagte im Urteil des BGH hat mit Sicherheit einen durch ein 16-stelliges zufaelliges und unbekannten Dritten nicht bekanntes Kennwort gesicherten WLAN-Router verwendet.

Es stellt sich die Frage, ob das dem BGH klar war, als er sein Urteil gefaellt hat. Diese Frage wage ich mit “nein” zu beantworten. Denn ein personalisiertes, nachtraeglich eingerichtetes Kennwort ist im Zweifel sogar unsicherer als das voreingestellte 16-stellige Kennwort.

Die Frage ist berechtigt und richtig. Und auch wenn Möller überlegt, ob Anknüpfungspunkt der Aufkleber auf dem Router war, sind das sehr kluge Gedanken. Aber: Diese Gedanken sind wahrscheinlich zu kompliziert und setzen bei den Richtern des BGH ein Verständnis voraus, dass ich dort gar nicht erwarte.

Ich habe in das erste Urteil (LG Frankfurt, 2/3 O 19/07) geblickt, das seinerzeit der Ausgangspunkt war und über das OLG Frankfurt bis zum BGH und dem nun befremdlichen Urteil führte. Dort liest man mit Erstaunen das hier:

Denn der Beklagte hat seinem eigenen Vorbringen zufolge es nach dem Anschluss des WLAN-Routers bei den Standardsicherheitseinstellungen belassen, die der Hersteller vorgegeben hat. Dies stellt nach Auffassung der Kammer indes keinen ausreichend sicheren WPA-Netzwerkschlüssel dar.

Zum einen sind solche Standardsicherheitseinstellungen bei vielen Herstellern auf allen ausgelieferten Geräten gleich und damit auch den Internet-Kriminellen bekannt.

Zum anderen befindet sich auf der Fritz-Box, wie sie auch von dem Beklagten genutzt wird, ein Aufkleber, auf
welchem sich neben der Seriennummer auch der werkseitig voreingestellte Code befindet.

Das Landgericht hat seinerseits gar keine konkreten Feststellungen getroffen: Man ging einfach blind davon aus, dass “bei vielen Herstellern” auf allen Geräten die gleichen Passwörter gelten. Mir ist, ehrlich gesagt, kein Hersteller bekannt, der es so handhabt (wohl aber einige, die einfach unverschlüsselte Netze als Standard anbieten). Ich denke, hier wurde der Login zum Adminbereich mit den WPA-Zugangsdaten verwechselt. Im konkreten Fall wurden dazu – wahrscheinlich mangels Vortrag des Beklagten! – gar keine Feststellungen getroffen. Ich denke, der BGH hat das gelesen und war damit schon zufrieden. Gleichsam ohne eigene Überlegungen.

Erst danach kommt der Punkt, dass sich der Aufkleber auf dem Router mit dem Key befindet. Dies soll also, quasi als Notfall-Argument, dienen, warum eine Änderung zwingend sein soll.

Es bleibt nur eine Frage: Was machen das LG Frankfurt und der BGH, wenn – wie ja nun vorliegend – gerade nicht das Passwort bei allen Geräten gleich ist – und der Nutzer den Aufdruck auf der Box unkenntlich gemacht hat? Beim ersten Teil der Frage gingen LG Frankfurt und BGH bereits von falschen Umständen aus. Zum zweiten Teil der Frage (Unkenntlichmachung) finde ich nirgendwo, bei LG, OLG und BGH, den Hinweis darauf, dass überhaupt gefragt wurde, ob sich der Aufkleber überhaupt noch an der Box befindet oder unkenntlich gemacht wurde. Die gesamte Argumentation des BGH zur Sicherheit des Routers ist somit hinfällig, da sie mit dem Sachverhalt nichts zu tun hat. Als Aufreger sehe ich das aber nicht: Das ohnehin rechtsfehlerhafte Urteil des BGH wird dadurch letztlich nur abgerundet.

Dazu:

• Ausführliche Besprechung des BGH-Urteils

Ein schön aufbereitetes und sehr lesenswertes Interview mit Reto Mantz (Jurist und Betreiber von Retosphere, beschäftigt sich mit Rechtsfragen offener Netze) findet sich hier online.Schön dabei insbesondere der Verweis in die USA, wo man bekanntermaßen keinerlei Probleme damit hat, anonyme Handyverträge an den Mann (oder die Frau) zu bringen – Stichwort “Wegwerf-Handys”.

Einziger kleiner Wermutstropfen: Zum Zeitpunkt des Interviews gab es nur die Pressemitteilung des BGH in Sachen Störerhaftung & WLAN, so dass sich im Interview noch ein paar Sätze zur Kostendeckelung nach §97a II UrhG finden, das ist ja nun überholt.

Anmerkung: Ich persönlich gehöre seit Jahren zu den Skeptikern dieser Entwicklung und glaube, dass der Trend in Deutschland und Europa insgesamt hin zu einer eindeutigen Identifizierung der User gehen wird. Bereits 2004 habe ich Befürchtungen geäußert, dass es eine denkbare und technisch mögliche Option wäre, dass eine zentrale Agentur (Bundesnetzagentur) jeder Person eine lebenslange IP-Adresse zuteilt und z.B. die Internetnutzung nur mit dieser IP-Adresse via Provider möglich ist. Eine düstere Aussicht, an der ich aber weiterhin festhalte.

Verweise:

• Analyse des BGH-Urteils in Sachen Störerhaftung im Volltext
• Beiträge von mir zum §97a II UrhG

Allmählich wird es unfassbar: Der “Südkurier” berichtet, dass Passanten in Schopfheim beobachtet haben, wie sich eine Person “mit einem Laptop nächtens durch die Straßen bewege”. Das ist dann offensichtlich auch sofort verdächtig, die Passanten stellten dem mann nach, befragten ihn, ob er sich in offene WLAN einloggte – und als er dies bejahte, namen sie ihm, so der Südkurier, den Laptop weg. Die herbeigerufene Polizei nahm sich der Sache sofort an.

Um in die Polemik zu wechseln, würde ich mir derart viel Mut und Staatsbürgertum wünschen, wenn demnächst wieder einmal Unschuldige vor den Augen wegsehender Zeugen misshandelt werden. Auch ist es für mich, als jemand der in der Materie steckt, befremdlich dass hier eine Beschlagnahme durch Passanten durchgeführt wird im Verdacht einer Straftat, die es in Deutschland nicht gibt (Schwarz-Surfen ist nicht ausdrücklich verboten. Auch der Hinweis beim Südkurier auf das angebliche Ausspähen von Daten nach §202b StGB ist verfehlt.

Hinweis an dieser Stelle: Der Fischer-Kommentar zum StGB erwähnt beiläufig, dass ein systematisches suchen nach offenen WLAN durchaus dem §202b StGB unterfallen soll. Rechtsprechung dazu gibt es nicht.

Ich sehe zunehmend erhebliche Probleme, wenn man sich nun nicht nur Verdächtig macht, weil man mit Computer-Hardware unterwegs ist, sondern zudem auch noch zweifelhafter Grundrechtseingriffe durch beherzte Passanten ausgesetzt ist. Die unkritische Haltung der Presse, die das Schwarz-Surfen längst als Straftat einstuft – was das Schwarz-Surfen keinesfalls unzweifelhaft ist – dürfte die Sachlage nur verschärfen.

Mir scheint, wir haben einen neuen Höhepunkt in der Thematik erreicht. Wobei ich mich frage, wie sich das Thema angesichts zunehmend verbreiteter UMTS-Sticks (und in den nächsten tagen auch iPads) demnächst entwickeln wird. Zugleich wird deutlich, wie dringend eine verbindliche Klärung der strafrechtlichen Relevanz des Umgangs mit offenen Netzen erforderlich ist. Und auch wenn ich sonst ein Anhänger sozialer Kontrolle bin: Man darf bei den Menschen nicht den Eindruck erwecken, sie würden Heldentaten vollbringen, wenn sie eine zweifelhafte Rechtsprechung (eines Amtsgerichts!) ohne gesetzliche Grundlage durch noch zweifelhaftere Grundrechtseingriffe durchsetzen wollen.

Die Rheinische Post verweist auf eine bemerkenswerte Studie, der zu Folge:

1. Jedes 20. WLAN in Mönchengladbach offen ist und
2. jedes 4. unsicher verschlüsselt

Untersucht wurden dabei fast 14.000 gefundene WLAN, dabei zeigt die Studie etwas besonders erschreckendes: Ausgerechnet in Gewerbegebieten ist die Quote der unsicheren WLAN mit einem Drittel höher als in Wohngebieten. Dabei müssen gerade Unternehmen, nicht nur aus Gründen der eigenen System-Sicherheit sondern auch aus Gründen des Datenschutzes besonders stark die Sicherheit ihrer Netze im Auge haben.

Auch mit Blick auf den BGH, der sich am 12.5.2010 mit WLAN und Haftung beschäftigt, erwähnt der Artikel einen relevanten Aspekt:

Die Analyse der Modelltypen lege den Schluss nahe, so die Studierenden, dass die Anwender oft die vom Hersteller voreingestellte Verschlüsselungsart einsetzen.

Der Blick in den Artikel zeigt vor allem eines: WLAN sind allgegenwärtig und das damit verbundene Risiko scheint immer noch zahlreich unterschätzt zu werden. Vor allem die juristischen Haftungsfragen müssen wohl noch stärker thematisiert und in den Fokus gerückt werden. Dabei sollte auf Grund der vorliegenden Daten (“Alle 1000 Meter finden sich 9 offene WLAN”) auf der Hand liegen, dass die vollkommen offene rechtliche Problematik des “Schwarz-Surfens” in Zukunft weiter an Brisanz gewinnt.

Ich werde nicht Müde, gerade Unternehmen in die Pflicht zu nehmen: Schon aus eigenem Interesse sollte man hier umfassend eine brauchbare Sicherheitspolitik entwickeln. Dazu gehört, dass WLAN nur in Betrieb sind, wenn sie auch genutzt werden. Aber eben auch vernünftige Sicherheitsmechanismen, wobei WPA2 mit einem Passwort zwar Standard ist, aber verteilte Schlüssel für Unternehmen sicherlich besser sind. Nochmals verweise ich hier darauf, dass es dabei nicht nur um den Schutz der eigenen Daten geht, sondern dass auch – mit Blick auf Arbeitnehmer und Kunden – datenschutzrelevante Fragen und Bußgelder im Raum stehen. Dabei wird man sich als betroffener Unternehmer auch mit dem §42a BDSG beschäftigen müssen, der eine Informationspflicht bei “Datenlecks” vorsieht. Insbesondere wer besonders sensible Daten verarbeitet (etwa Ärzte und Anwälte) muss hier dringend seiner Pflicht bewusst sein – einfach nur einen WLAN-Access-Point aufstellen reicht bei Unternehmen nicht.

Wenig spektakulär, aber sehr eindrücklich ist ein Urteil des LG Hamburg (308 O 691/09), demzufolge derjenige der einen Internetanschluss (hier WLAN) betreibt und bei Rechtsverletzungen Dritter nicht haften möchte, darlegungspflichtig ist. Das LG Hamburg dazu, nachdem es festgestellt hat, dass die Rechtsverletzung vom betroffenen Anschluss aus begangen wurde:

Damit geschah die Rechtsverletzung im Macht- und Verantwortungsbereich der Antragsgegnerin. Aufgrund dessen ist es überwiegend wahrscheinlich, dass sie entweder die Rechtsverletzung selbst begangen hat oder dass sie von Personen begangen worden ist, deren Fehlverhalten sie sich nach den Grundsätzen der Störerhaftung zurechnen lassen muss [...] Die ihr mit der Abmahnung vermittelte Gelegenheit, im Rahmen seiner sekundären Darlegungslast [...] einen Sachverhalt darzulegen, aufgrund dessen sie nicht haftet, hat sie nicht wahrgenommen.

Die danach der Antragsgegnerin zurechenbare widerrechtliche Nutzung begründet die Vermutung einer Wiederholungsgefahr.

Hin und wieder lese ich in Foren den Mythos, dass der Anspruchssteller (hier: Rechteinhaber) die Haftung positiv beweisen muss. Der Blick nach oben zeigt, wie weit dies in der Wirklichkeit daneben liegt, wobei es im vorliegenden Fall sicherlich nicht sehr geschickt war, zu diesem Punkt gar nichts zu sagen.

Bei Telepolis ist ein vielbeachteter Artikel erschienen mit dem Titel “Grundrecht auf Freifunken: Warum der BGH offenes WLAN nicht verbieten kann“. Der sehr gut geschriebene und fundierte Artikel ist absolut lesenswert und führt zu zustimmenden Reaktionen unter anderem bei:

• Lawgical
• Internet-Law

Dennoch, so sehr ich das Ergebnis von Garcia auf Telepolis auch begrüße: Es ist für mich nur eine Nebelkerze. An erster Stelle ist dabei für mich festzustellen, dass der BGH nicht darüber entscheiden wird, ob ein WLAN per se offen oder geschlossen ist, sondern darüber, ob und welche Pflichten den Betreiber eines solchen Netzwerkes treffen. Dabei sollte es, zumindest den erwachsenen Lesern, keine neue Erkenntnis sein, dass gesellschaftlicher Friesen nicht zuletzt von Freiheiten alleine, sondern auch von den mit Freiheiten einhergehenden Pflichten bestimmt wird.

Das, was Garcia in letzter Konsequenz vorschlägt, ist ein Gesetzespositivismus: Frei ist man erst einmal in allem, Einschränkungen darf es wenn, dann nur durch Gesetz geben. Der Rechtsprechung ist es verwehrt, eine Rechtsfortbildung zu betreiben, der Gesetzgeber muss wenn, dann im letzten Detail beschreiben, wo begrenzt wird. Damit erreichen wir den Stand von vor gut 300 Jahren als Montesquieu meinte

Der Richter ist nur der “Mund des Gesetzes”

Diese Phase des Rechts haben wir aber – zum Glück wohlgemerkt – 1949 verlassen. Seitdem liest man regelmäßig in Gesetzesbegründungen, dass der Gesetzgeber gerade auf ausdrückliche (manchmal sogar wünschenswerte) Klarstellungen verzichtet, um Rechtsprechung und Wissenschaft die weitere Entwicklung zu überlassen. Das Ergebnis ist ein Rechtssystem, das gerade nicht starr und von einer politischen Elite errichtet ist, sondern flexibel und dem konkreten Einzelfall angepasst. Diejenigen, die das nicht überzeugt, sollten spätestens dann überzeugt sein, wenn sie darüber nachdenken, welchen Weg der vom Lobbyismus geprägte Gesetzgeber in dieser Frage einschlagen würde.

Ich hatte es in der Vergangenheit schon angedeutet, möchte hier aber deutlicher werden: Freiheiten verlangen auch Verantwortung, das ist der Unterschied zwischen einer geordneten freiheitlichen Gesellschaft und einer theoretischen Freiheit, in der nur der stärkere sein Recht letztlich wahrnehmen kann. Die hier laufende Diskussion ist für mich letztlich eine Luxus-Diskussion, denn diejenigen die hier ein vermeintliches Grundrecht auf Anonymität gefährdet sehen, sagen m.E. nicht die Wahrheit: gefährdet ist nur der Luxus, möglichst schnell das Internet nutzen zu können.

Es ist technisch, und darauf habe ich schon mehrfach hingewiesen, absolut kein Problem, einen Router so zu konfigurieren, dass er nach außen hin offen ist, die Internetverbindung aber nur über ein Zwiebelnetz anbietet. Der Betreiber geht damit zur Zeit kein ernsthaftes Risiko ein, wer seinen Zugang nutzt, bewegt sich so anonym im Netz wie es nur geht. Der Preis den man hier zahlt: Eine, um es nett auszudrücken, langsame Internetverbindung. Es zeigt sich: Die Anonymität ist möglich. Offene WLAN auch und ich sehe nirgendwo beim BGH einen Ansatz, in dem es darum geht, dass ein offenes Netz im Grunde verboten wird.

Bemerkenswert ist, dass seitdem ich diese Ansicht vertrete, mit regelmäßig per Mail und in Foren entgegengehalten wird, dass die Netzverbindung dann ja “viel zu langsam sei”. Es ist schön, dass man zumindest in letzter Konsequenz dann doch ehrlich ist, worüber man hier eigentlich streitet. Daher mein Rat an dieser Stelle: Diskutiert nicht über Nebelkerzen und juristische Fragen, die sich heute nicht mehr stellen. Arbeitet lieber daran, dass Zwiebelnetz auszubauen um endlich vernünftige Verbindungsgeschwindigkeiten, jenseits der 5kbps zu erreichen.

Hinweis: Dieser Kommentar ist losgelöst von der Tatsache zu sehen, dass die Rechtsprechung die Störerhaftung vollkommen über Gebühr ausdehnt und unangemessen dem modernen digitalen Alltag über stülpt. Hier wären beide, Gesetzgeber und Rechtsprechung, in der Lage und in der Pflicht, sich endlich zu bewegen. Insofern ist die Frage von Garcia nach der Gefahr die richtige Frage und gehört weiter vertieft. Problematisch ist dagegen der Hinweis auf die angeblich rechtlich vorgeschriebene Anonymität (hier speziell §12 TMG), da Garcia an dieser Stelle die Diskussion ausblendet, ob IP-Adressen davon nun mal erfasst sind oder nicht.

In einem Internetforum berichtet ein User, dass er sich in ein offenes WLAN eingeloggt und sodann Bekanntschaft mit der Kriminalpolizei gemacht hat. Der Vorfall erinnert stark an bisherige Vorfälle, über die auf dieser Seite berichtet wurde.

Interessant ist dabei wieder einmal das Verhalten der Betroffenen: Es ist für mich weiterhin befremdlich, dass jemand einerseits ein offenes für jedermann zugängliches WLAN betreibt, andererseits aber wohl in der Lage ist, zu kontrollieren ob Externe dies Nutzen und dann direkt die Polizei ruft. Hinzu kommt das zunehmend vehemente Auftreten von Polizisten vor Ort.

Ich sehe allerdings zwei Problemkreise, die zunehmend Bedeutung gewinnen:

1. Es mag sein, dass der betroffene WLAN-Betreiber in der Vergangenheit zunehmend Probleme hatte mit jemanden, der gezielt über sein WLAN Rechtsbrüche begangen hat. Wenn nun ein anderer Nutzer erstmals das WLAN nutzt und dann erwischt wird, wird sich dieser Nutzer den Vorwürfen ausgesetzt sehen, auch die früheren Rechtsbrüche begangen zu haben.
2. Mit wachsender Besorgnis stelle ich mir die Frage, wie die Polizei bei einem Anruf mit der Situation umgehen will, dass vor Ort nicht nur einer, sondern zwei Autofahrer angetroffen werden, die sich ihre Pause damit verkürzen, einfach am Laptop zu arbeiten – ggfs. ohne sich überhaupt irgendwo einzuloggen. Beispiel: Der 16 Jährige X sitzt versteckt im Hauseingang um die Ecke und surft über den WLAN-Zugang. Auf der Straße vor dem Haus stehen u.a. zwei Autos in denen Laptop-Nutzer sitzen, die auf jemanden warten und sich die Zeit mit einem Spiel oder der Arbeit an einem Word-Dokument vertreiben. Es darf nicht angehen, dass ein grundsätzlich erlaubtes und bedenkenloses Verhalten zu einem Generalverdacht führt.

Ein Urteil des AG München (163 C 1932/09) bietet Argumente für die Frage der Haftung bei Betreiben eines WLAN bzw. Internetzugangs. In der Sache ging es zwar um die Haftung einer Kantine für einen ungesicherten Höhenunterschied den jemand hinabstürzte (Anmerkung: Der Höhenunterschied betrug 30cm und die Klage ging ins Leere), doch die Äußerungen des Amtsgerichts lassen sich durchaus auf andere Gefahrquellen übertragen. Aus der Pressemitteilung:

Grundsätzlich müsse zwar jeder, der eine Gefahrenquelle eröffne, alles ihm zumutbare tun, um Verletzungen anderer aufgrund dieser Gefahrenquelle zu vermeiden. Diese Verkehrssicherungspflicht dürfe aber nicht überspannt werden. Eine absolute Gefahrlosigkeit könne nicht verlangt werden. Vielmehr bestehe nur die Pflicht, die notwendigen und zumutbaren Vorkehrungen zu treffen, um die Schädigung anderer möglichst zu vermeiden.

Das überzeugt und ist eigentlich nichts neues – in der Literatur zur Verkehrssicherung wird das seit jeher vertreten, lediglich in der Rechtsprechung der jüngeren Vergangenheit hatte man den Eindruck, dass es “uferlos” wird. Mit den Zeilen aus München kann mans ich unn z.B. fragen, ob nicht ein offenes WLAN vertretbar ist, bei dem nur die Ports für Mail- und Webseiten-Abruf geöffnet sind, vertreten hatte ich die These schon hier. Auf jeden Fall ist es ein Lichtblick, dass die Haftung bei Eröffnung einer Gefahrenquelle auch nochmal eine Einschränkung erfährt.

Der BGH hat bekanntlich am 18.3.2010 zur Störerhaftung bei einem WLAN verhandelt. Bisher gingen fast alle davon aus, dass es um ein ungesichertes WLAN ging. Hier nun der Hinweis: Das ist falsch!

In der Sache beim BGH geht es um ein WLAN, das mittels einer WPA-Verschlüsselung gesichert war. Das vorinstanzliche Landgericht (2/3 O 19/07) hatte festgestellt, dass der WLAN-Router geschützt war und wirft dem Beklagten vor, dass er seinen Router mit dem ausgeliefeten Passwort genutzt hat, also dieses nie geändert hat. Der Vorwurf lautet also nicht – und wurde beim BGH angeblich auch so angesprochen – dass das Funknetzwerk offen war, sondern vielmehr dass das voreingestellte Passwort unsicher war und der Kläger dies hätte ändern müssen, dazu das Gericht:

Schließlich sorgte der Beklage auch nicht dadurch für eine hinreichende Sicherung seines
Routers, dass der Zugang auf diesen Router bei aktivierter WLAN-Funktion werkseitig mit einer WPA-Verschlüsselung gesichert worden war. Dabei kann dahinstellt bleiben, ob eine WPA-Verschlüsselung nach derzeitigem Standard noch als sicher und zuverlässig angesehen werden kann oder bereits – wie die Klägerin behauptet – gängige Methode die Verwendung von WPA2 ist.

Denn der Beklagte hat seinem eigenen Vorbringen zufolge es nach dem Anschluss des WLAN-Routers bei den Standardsicherheitseinstellungen belassen, die der Hersteller vorgegeben hat. Dies stellt nach Auffassung der Kammer indes keinen ausreichend sicheren WPA-Netzwerkschlüssel dar. Zum einen sind solche Standardsicherheitseinstellungen bei vielen
Herstellern auf allen ausgelieferten Geräten gleich und damit auch den Internet-Kriminellen bekannt.

Zum anderen befindet sich auf der Fritz-Box, wie sie auch von dem Beklagten genutzt wird; ein Aufkleber, auf welchem sich neben der Seriennummer auch der werkseitig voreingestellte Code befindet. Für eine ausreichende Sicherung seines WLAN-Anschlusses gegen Passwort-Attacken hätte der Beklagte daher das Standard-Passwort fu?r die Fritz Box durch ein persönliches, ausreichend langes Passwort aus einer losen Kombination von Buchstaben, Ziffern und Sonderzeichen ändern müssen.

Übrigens, der genaue Blick in die BGH-Pressemitteilung offenbart dies auch – hier ist nämlich nicht von einem freien WLAN die Rede, sondern von einem “nicht ausreichend gesicherten”. Wir alle – inklusive mir – haben da wohl nicht ordentlich genug gelesen, wobei, und das zeigen auch die Reaktionen auf dem Lawcamp, für niemanden vorstellbar ist, dass eine Haftung bei einem (wenn auch schlecht gesicherten) WLAN wirklich zu bejahen sein könne.

In der Sachfrage wird der BGH somit nicht entscheiden, ob/wie man für ein offenes WLAN haftet, sondern inwieweit man für ein WLAN haftet, das zwar gesichert ist, aber mit voreingestellten Daten bei älterem Sicherungsmechanismus. Sollte der BGH hier eine Haftung bejahen, wird das weit über das Ausmaß hinaus gehen, das bisher (bei einer Entscheidung zum freien WLAN) angenommen wurde. Dagegen wird man – wenn die Haftung für ein verschlüsseltes WLAN verneint wird – keine Rückschlüsse auf freie WLAN ziehen können.

So wird sich evt. zwangsläufig die Frage stellen, inwieweit Laien sich mit technischen Sicherheitsfragen und aktuellen Standards auseinandersetzen müssen. Auch wird die Frage, ob Hersteller bei Auslieferung ausdrücklich eine Änderung des ursprünglichen Passwortes empfehlen, eine Rolle spielen können – etwa wenn man bestimmt, wo (grobe) Fahrlässigkeit beginnt. Weiterhin müssen wir uns fragen, wie sich unsichere Passwörter auswirken, so habe ich bei einer Diskussion auf dem Lawcamp schon gefragt:

Wenn wir die Störerhaftung bei einem schlechten Sicherheitsstandard (WPA1, Voreingestelltes Passwort) schon bejahen – muss sie dann nicht auch gesehen werden, bei gutem Sicherheitsstandard (WPA2) mit zwar eigenem, aber extrem schlechtem Passwort (Passwort etwa “ich”, “gott” oder “passwort”)? Ist denn letzteres so viel sicherer als ersteres?

Das Haftungsrisiko erscheint vor diesem Hintergrund geradezu unkalkulierbar. Sollte der BGH die Haftung wirklich bejahen wollen, liefert er hoffentlich konkrete Kriterien mit, wie man sich der haftung noch entziehen können soll. Jedenfalls zur Zeit sehe ich die Perspektive, dass der BGH zum Ergebnis kommen könnte, eine Pflicht zur Änderung von Standard-Passwörtern zu statuieren.

Die Entscheidung im Mai 2010 muss man daher nun mit ganz besonderer Spannung erwarten.

Hinweis: Meine bisherigen Ausführungen zum Thema beziehen sich vor allem auf ein offenes WLAN und sind damit nur sehr bedingt nutzbar.