Im SSF wurde aufgrund der bekannt gewordenen Lücke im ProFTPd auch eine Diskussion über die Haftung des Admins gestartet.
Die Intentionen und Ausreden:
- "Solange ich keine Kenntnis über diese Lücke habe, kann ich nicht haftbar gemacht werden."
- "Für diese Lücke sind ja andere (die Programmierer) verantwortliche."
- "Mir wurde von [Strato, 1und1, S4Y, etc.] ein Plesk mit einer Lücke installiert."
Meine Antwort
Genau das ist der Kern. Und diese Frage kann ausschließlich ein Richter in einem ganz speziellen Fall beantworten. Ob seine Entscheidung allgemeine Gültigkeit hat, ist wieder eine ganz andere Frage.
Dummerweise stehen aber vorher noch Anwälte auf der Türschwelle: Abmahnungen, unfreundliche Briefe und die Aussicht auf hohe Gerichtskosten.
Auch wenn man sich im Recht glaubt, lässt man es viel zu selten darauf ankommen.
Zu der wesentlichen Frage: Ab wann ist man verantwortlich?
In den verschiedenen Gesetzbüchern steht jeweils: "Ab bekannt werden."
Also ist die Frage: Wann ist es bekannt?
Antwort in diesem Fall: spätestens nach Veröffentlichung.
Ausrede: Aber wenn ich nicht ständig hier oder dort oder jenes lese, dann kann ich es gar nicht wissen!
Auflage: Jeder hat eine Selbstinformationspflicht.
Hilft das wirklich als Antwort? Nein.
Grundsätzlich sollte man sich einfach als Server-Betreiber über Eins im klaren sein:
Man steht immer mit halben Bein im Gefängnis.
Und noch ein paar Gedanken zur Server-Haftung:
Stellt Euch vor, über eine solche Lücke werden Filme verteilt:
Erst kommt "Beteiligung am File-Sharing" welches man evtl. noch in "Mitstörer" umwandeln kann.
Wenn diese Filme sexuellen Inhalt haben, kommt noch der Jugendschutz dazu.
Bei entsprechenden Filmen mit Kindern ist sogar der "Besitz" strafbar; die Verteilung davon sowieso. Da kommt man um den Knast schon nicht mehr rum.
Wem dieses Szenario zu extrem ist:
Wie sieht es aus mit Webhosting-Kunden? Sobald der Server gesperrt ist - auch wenn der Admin ja so rein gar nicht daran schuld ist - ist dies keine gute Situation. Denn die Kunden haben einen direkten Vertrag mit dem Server-Betreiber, den dieser in solch einer Situation nicht mehr erfüllt.
Immer noch zu extrem, weil es keine Kunden auf dem Server gibt?
Und wie sieht es mit Emails aus? Wenn der Server kompromittiert wurde um Spam-Mails zu verschicken? Schon ist der Server bei SORBS oder sonst wo gelistet und Ihr bekommt eure eigenen Emails nicht mehr an Eure Freunde zugestellt.
Der Ärger ist definitiv da, wenn der Server "gehackt" wurde. Egal in welchem Rahmen, egal in welchem Ausmaß. Als Server-Admin/-Betreiber trägt man eine große Verantwortung. Und dieser Verantwortung sollte man sich im klaren sein!
Weiter Links:
- 10 Missverständnisse über dedizierte root-Server
- Was bedeutet "Haftung" als Server-Betreiber?
- Server-Haftung: ein Vergleich