Der BGH hat bekanntlich am 18.3.2010 zur Störerhaftung bei einem WLAN verhandelt. Bisher gingen fast alle davon aus, dass es um ein ungesichertes WLAN ging. Hier nun der Hinweis: Das ist falsch!
In der Sache beim BGH geht es um ein WLAN, das mittels einer WPA-Verschlüsselung gesichert war. Das vorinstanzliche Landgericht () hatte festgestellt, dass der WLAN-Router geschützt war und wirft dem Beklagten vor, dass er seinen Router mit dem ausgeliefeten Passwort genutzt hat, also dieses nie geändert hat. Der Vorwurf lautet also nicht - und wurde beim BGH angeblich auch so angesprochen - dass das Funknetzwerk offen war, sondern vielmehr dass das voreingestellte Passwort unsicher war und der Kläger dies hätte ändern müssen, dazu das Gericht:
Schließlich sorgte der Beklage auch nicht dadurch für eine hinreichende Sicherung seines
Routers, dass der Zugang auf diesen Router bei aktivierter WLAN-Funktion werkseitig mit einer WPA-Verschlüsselung gesichert worden war. Dabei kann dahinstellt bleiben, ob eine WPA-Verschlüsselung nach derzeitigem Standard noch als sicher und zuverlässig angesehen werden kann oder bereits - wie die Klägerin behauptet - gängige Methode die Verwendung von WPA2 ist.Denn der Beklagte hat seinem eigenen Vorbringen zufolge es nach dem Anschluss des WLAN-Routers bei den Standardsicherheitseinstellungen belassen, die der Hersteller vorgegeben hat. Dies stellt nach Auffassung der Kammer indes keinen ausreichend sicheren WPA-Netzwerkschlüssel dar. Zum einen sind solche Standardsicherheitseinstellungen bei vielen
Herstellern auf allen ausgelieferten Geräten gleich und damit auch den Internet-Kriminellen bekannt.Zum anderen befindet sich auf der Fritz-Box, wie sie auch von dem Beklagten genutzt wird; ein Aufkleber, auf welchem sich neben der Seriennummer auch der werkseitig voreingestellte Code befindet. Für eine ausreichende Sicherung seines WLAN-Anschlusses gegen Passwort-Attacken hätte der Beklagte daher das Standard-Passwort fu?r die Fritz Box durch ein persönliches, ausreichend langes Passwort aus einer losen Kombination von Buchstaben, Ziffern und Sonderzeichen ändern müssen.
Übrigens, der genaue Blick in die BGH-Pressemitteilung offenbart dies auch - hier ist nämlich nicht von einem freien WLAN die Rede, sondern von einem “nicht ausreichend gesicherten”. Wir alle - inklusive mir - haben da wohl nicht ordentlich genug gelesen, wobei, und das zeigen auch die Reaktionen auf dem Lawcamp, für niemanden vorstellbar ist, dass eine Haftung bei einem (wenn auch schlecht gesicherten) WLAN wirklich zu bejahen sein könne.
In der Sachfrage wird der BGH somit nicht entscheiden, ob/wie man für ein offenes WLAN haftet, sondern inwieweit man für ein WLAN haftet, das zwar gesichert ist, aber mit voreingestellten Daten bei älterem Sicherungsmechanismus. Sollte der BGH hier eine Haftung bejahen, wird das weit über das Ausmaß hinaus gehen, das bisher (bei einer Entscheidung zum freien WLAN) angenommen wurde. Dagegen wird man - wenn die Haftung für ein verschlüsseltes WLAN verneint wird - keine Rückschlüsse auf freie WLAN ziehen können.
So wird sich evt. zwangsläufig die Frage stellen, inwieweit Laien sich mit technischen Sicherheitsfragen und aktuellen Standards auseinandersetzen müssen. Auch wird die Frage, ob Hersteller bei Auslieferung ausdrücklich eine Änderung des ursprünglichen Passwortes empfehlen, eine Rolle spielen können - etwa wenn man bestimmt, wo (grobe) Fahrlässigkeit beginnt. Weiterhin müssen wir uns fragen, wie sich unsichere Passwörter auswirken, so habe ich bei einer Diskussion auf dem Lawcamp schon gefragt:
Wenn wir die Störerhaftung bei einem schlechten Sicherheitsstandard (WPA1, Voreingestelltes Passwort) schon bejahen - muss sie dann nicht auch gesehen werden, bei gutem Sicherheitsstandard (WPA2) mit zwar eigenem, aber extrem schlechtem Passwort (Passwort etwa “ich”, “gott” oder “passwort”)? Ist denn letzteres so viel sicherer als ersteres?
Das Haftungsrisiko erscheint vor diesem Hintergrund geradezu unkalkulierbar. Sollte der BGH die Haftung wirklich bejahen wollen, liefert er hoffentlich konkrete Kriterien mit, wie man sich der haftung noch entziehen können soll. Jedenfalls zur Zeit sehe ich die Perspektive, dass der BGH zum Ergebnis kommen könnte, eine Pflicht zur Änderung von Standard-Passwörtern zu statuieren.
Die Entscheidung im Mai 2010 muss man daher nun mit ganz besonderer Spannung erwarten.
Hinweis: Meine bisherigen Ausführungen zum Thema beziehen sich vor allem auf ein offenes WLAN und sind damit nur sehr bedingt nutzbar.
