Navigationspfad: Home arrow Foren
Foren
recht.de • Thema anzeigen - Haftpflicht, bei Schadsoftwareverteilung
Aktuelle Zeit: 19.02.18, 05:28

Alle Zeiten sind UTC + 1 Stunde




Ein neues Thema erstellen Auf das Thema antworten  [ 1 Beitrag ] 
Autor Nachricht
BeitragVerfasst: 27.01.18, 11:58 
Offline
noch neu hier

Registriert: 19.07.14, 19:34
Beiträge: 3
Hallo,
ich habe von einem (aus meiner Sicht) interessanten Vorfall gehört, der bei mir die Neugier weckt.
Wie es in bestimmten Situationen generell mit Haftung aussieht. Dabei geht es nicht um den konkreten Vorfall, sondern um einen konstruierten Fall der lediglich durch bestimmte Aspekte des Vorfalls inspiriert wurde.
Ich würde mich über einige allgemeine Reflektionen zum Thema freuen.

Zusammenfassung:
Firma X, würde durch ein "schadhaftes" Update der bei Firma Y gekauften Software geschädigt.

Detailhypothese:
Nehmen wir hypothetisch an, Firma X hat ein Softwareprodukt P der Firma Y gekauft. Dieses Softwareprodukt P ist für die Arbeit von Firma X unerlässlich und eines von wenigen zertifizierten Produkten, welche die gesetzlichen Anforderungen in diesem Bereich erfüllen.
Firma X hätte das Softwareprodukt P bei Einführung einer Sicherheitsüberprüfung unterziehen lassen. Das Produkt selbst würde laut Gutachten keine gravierenden Schwachstellen aufweisen.

Da sich die gesetzlichen Anforderungen in diesem Bereich ab und zu ändern können, bzw. Fehler und Sicherheitslücken im Softwareprodukt P behoben werden sollen, wäre in Softwareprodukt P eine Autoupdate-Funktion integriert, welche bei jedem Start prüft ob ein Update verfügbar ist und dieses ggf. automatisch ohne Interaktion mit Firma X installiert. Updates würden häufig bereitgestellt, teilweise mehrfach monatlich.
Die Updates für das Softwareprodukt P würden per HTTPS von dem Update-Server der Firma Y bezogen und wären mittels kryptografischer Signatur und Prüfsummen abgesichert. Das Softwareprodukt P prüft ob das Update nach der Bereitstellung verändert wurde bzw. ob die Bereitstellung durch den Inhaber des privaten Schlüssels K der Firma Y erfolgt. Auch sonst sind keine Schwachstellen im Update-Prozess sichtbar. Daher entspricht der Auto-Update-Prozess hohen Sicherheitsanforderungen.

Die Firma Y hätte allerdings die Sicherheit des eigenen Netzwerkes grob fahrlässig vernachlässigt. Einem unbekannten Angreifer A könnte es so gelingen in das Netzwerk der Firma Y einzudringen und Zugriff auf das Entwicklungssystem für das Softwareprodukt P zu erlangen.
Auf dem Entwicklungssystem wäre der notwendige private Schlüssel der Firma Y und Kennwörter für die Signatur von Updates für Softwareprodukt P bzw. die Bereitstellung der Updates im Klartext hinterlegt. Der Angreifer A würde dann eine neue Version des Softwareprodukt P erzeugen, welche neben der Standart-Funktionalität auch eine Schadsoftware S enthält. Aus dieser würde er mit dem privaten Schlüssel der Firma Y ein neues Update-Paket erzeugen und dieses auf dem Update-Server der Firma Y bereitstellen.

Beim nächsten Start des Produktes P, bei der Firma X wird nun erkannt, dass ein neues Update-Paket auf dem Update-Server der Firma Y bereitsteht. Dieses wird heruntergeladen und automatisch installiert. Das Update, sowie alle ausführbaren Dateien würden die qualifizierte digitale Signatur der Firma Y tragen und vom Update-Server der Firma Y kommen. Somit wäre das Update für Firma X somit nicht als Fälschung zu erkennen.
Kurz darauf würde die Schadsoftware S weitere Systeme im Netzwerk anzugreifen und sich zu verbreiten. Dazu wird eine Schwachstelle verwendet die innerhalb der letzten Woche veröffentlicht wurde und auf den Systemen der Firma X noch nicht geschlossen wurde. Im Anschluss vernichtet die Schadsoftware S sämtliche Daten inkl. Betriebssystem auf allen befallenen Systemen und macht die Systeme der Firma X so unbrauchbar. Die Firma X lässt nun die Systeme von einer Fachfirma IT-forensisch untersuchen und kann beweisen, dass der Schaden durch das Softwareprodukt P bzw. das Update der Firma Y erfolgt.


Die Firma X würde dadurch folgende Schäden erleiden:
- Kosten für Ursachenanalyse des Ausfalls
- Kosten für Adhoc-Maßnahmen
- Kosten für die Neuinstallation des Systems der Firma X mit dem Softwareprodukt P und Widerherstellung von Daten aus der Datensicherung
- Kosten für die Neuinstallation von anderen Systemen der Firma X und Widerherstellung von Daten aus der Datensicherung
- Verlust von Daten der letzten 48h (letzte offline Datensicherung)
- Arbeits-Ausfall, da Mitarbeiter der Firma X, an betroffenen Systemen nicht arbeiten konnten bzw. nicht genügend Ersatzgeräte bereitgestellt werden konnten
- Konventional-Strafen da vertragliche Fristen nicht eingehalten wurden
- Weitere Folgeschäden


Nun die Fragen:
1) Können aus der Verbreitung von Schadsoftware grundsätzlich Haftungsansprüche entstehen?
2) Hätte Firma X gegenüber Firma Y einen (Haftpflicht-)Anspruch, weil durch ihr Produkt ein Schaden entstanden ist? Welche Schäden wären ggf. durch Firma Y bzw. eine Haftpflichtversicherung zu begleichen?
3) Wie würden sich fehlende Sicherheitsmaßnahmen bei Firma X auswirken, sofern diese das Problem zwar nicht hätten verhindern können, aber ggf. die Auswirkungen reduziert worden wären?
4) Könnte sich die Firma Y durch einen allgemeinen Haftungsausschluss für das Softwareprodukt P absichern?
5) Inwiefern würde sich die Lage ändern, wenn das Update manuell bestätigt oder eingespielt werden müsste?
6) Inwiefern würde sich die Lage ändern, wenn die Lücke noch nicht bekannt ist bzw. schon länger bekannt war?
7) Inwiefern würde sich eine bessere Sicherheit bei Firma Y auswirken?
8 ) Inwiefern würde sich die Lage ändern, wenn Firma X das Softwareprodukt P nicht geprüft hätte?
9) Wie ändert sich die Lage wenn Angreifer A ein verärgerter Mitarbeiter(Innentäter) wäre?

Wie ist die Rechtslage?

Vielen Dank für eure Reflexionen und Ideen
Martin


Nach oben
 Profil  
Mit Zitat antworten  
Beiträge der letzten Zeit anzeigen:  Sortiere nach  
Ein neues Thema erstellen Auf das Thema antworten  [ 1 Beitrag ] 

Alle Zeiten sind UTC + 1 Stunde


Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 1 Gast


Du darfst keine neuen Themen in diesem Forum erstellen.
Du darfst keine Antworten zu Themen in diesem Forum erstellen.
Du darfst deine Beiträge in diesem Forum nicht ändern.
Du darfst deine Beiträge in diesem Forum nicht löschen.

Suche nach:
Powered by phpBB® Forum Software © phpBB Group
Deutsche Übersetzung durch phpBB.de
Karma functions powered by Karma MOD © 2007, 2009 m157y
©  Forum Deutsches Recht 1995-2017. Anbieter: Medizin Forum AG, Hochwaldstraße 18 , D-61231 Bad Nauheim , RB 2159, Amtsgericht Friedberg/Hessen, Tel. 03212 1129675, Fax. 03212 1129675, Mail info[at]recht.de. Plazieren Sie Ihre Werbung wirkungsvoll! Lesen Sie hier unsere Mediadaten!