Das OVG Münster hat entschieden, dass das Bundesamt für Sicherheit in der Informationstechnik (BSI) vor dem Einsatz von Virenschutzsoftware und Sicherheitssoftware des russischen Herstellers Kaspersky warnen durfte.
Die Pressemitteilung des Gerichts:
BSI durfte vor Virenschutzsoftware von Kaspersky warnen
Die Warnung des Bundesamts für Sicherheit in der Informationstechnik (BSI) vor der Nutzung von Virenschutzsoftware des Unternehmens Kaspersky ist rechtmäßig. Das hat das Oberverwaltungsgericht heute entschieden und damit die Beschwerde der deutschen Tochtergesellschaft von Kaspersky gegen den Eilbeschluss des Verwaltungsgerichts Köln vom 1.4.2022 abgelehnt.
Das BSI gab am 15.3.2022 eine Warnung vor der Virenschutzsoftware des Herstellers Kaspersky heraus. Virenschutzsoftware sei ein exponiertes Ziel von offensiven Operationen im Cyberraum. Das Vorgehen militärischer und/oder nachrichtendienstlicher Kräfte in Russland sowie die im Zuge des aktuellen kriegerischen Konflikts jüngst von russischer Seite ausgesprochenen Drohungen gegen die EU, die NATO und die Bundesrepublik Deutschland seien mit einem erheblichen Risiko eines erfolgreichen IT-Angriffs mit weitreichenden Konsequenzen verbunden. Durch Manipulationen an der Software oder den Zugriff auf bei Kaspersky gespeicherte Daten könnten Aufklärungs- oder Sabotageaktionen gegen Deutschland, einzelne Personen oder bestimmte Unternehmen oder Organisationen durchgeführt oder zumindest unterstützt werden. Alle Anwender der Virenschutzsoftware könnten je nach ihrer strategischen Bedeutung von einer schädigenden Operation betroffen sein. Empfohlen werde, die Virenschutzsoftware des Unternehmens Kaspersky durch alternative Produkte zu ersetzen, wobei zu einer individuellen Bewertung und Abwägung der aktuellen Situation geraten werde. Dagegen wandte sich das deutsche Tochterunternehmen, das die Virenschutzsoftware von Kaspersky vertreibt. Der Eilantrag blieb in beiden Instanzen ohne Erfolg.
Zur Begründung seines Beschlusses hat der 4. Senat des Oberverwaltungsgerichts ausgeführt: Die Warnung und Empfehlung ist nach § 7 Abs. 1 und 2 BSIG rechtmäßig. Die Vorschrift verlangt als Voraussetzung hinreichende Anhaltspunkte dafür, dass aufgrund einer Sicherheitslücke von einem Produkt Gefahren für die Sicherheit in der Informationstechnik ausgehen. Bei Virenschutzprogrammen bestehen schon aufgrund ihrer Funktionsweise Sicherheitslücken im Sinne des Gesetzes. In der Vergangenheit hat es zahlreiche Vorfälle bei allen Herstellern von Virenschutzprogrammen gegeben, in denen Fehlfunktionen IT-Systeme blockiert haben und Daten unbemerkt an den Hersteller übertragen worden sind. Nach den Erkenntnissen des BSI kann die systembedingte Berechtigung zum Zugriff auf die - eigentlich durch das Virenschutzprogramm zu schützende - IT-Infrastruktur für maliziöse Aktivitäten missbraucht werden. Es liegen nach den vom BSI zusammengetragenen Erkenntnissen auch hinreichende Anhaltspunkte dafür vor, dass durch die Nutzung der Virenschutzsoftware von Kaspersky derzeit eine Gefahr für die Sicherheit in der Informationstechnik besteht. Die Annahme des BSI, das Vorgehen militärischer und/oder nachrichtendienstlicher Kräfte in Russland sowie die in diesem Kontext ausgesprochenen Drohungen auch gegen die Bundesrepublik Deutschland seien mit einem erheblichen Risiko eines erfolgreichen IT-Angriffs mit weitreichenden Konsequenzen gerade unter Verwendung der Virenschutzsoftware von Kaspersky verbunden, beruht auf hinreichenden Erkenntnissen zur aktuellen Cybersicherheitslage. Das BSI hat ferner die in der Vergangenheit dokumentierte Einflussnahme der russischen Regierung auf die in Russland agierenden IT-Unternehmen, insbesondere auch auf Kaspersky, berücksichtigt. Es hat daraus nachvollziehbar gefolgert, dass hinreichende Anhaltspunkte für die Gefahr bestehen, die russische Regierung werde auch im Rahmen des von ihr geführten Angriffskriegs auf die Ukraine russische Softwareunternehmen zur Durchführung eines Cyberangriffs nicht nur auf ukrainische, sondern auch auf andere westliche Ziele instrumentalisieren. Die Sicherheitsvorkehrungen, die Kaspersky getroffen hat, genügen in der aktuellen Situation nicht, um den Bedrohungen hinreichend entgegenzuwirken.
Das BSI hat die Entscheidung, die Warnung herauszugeben, ermessensfehlerfrei getroffen und dabei insbesondere den Grundsatz der Verhältnismäßigkeit gewahrt. Die Warnung ist nicht aufgrund sachfremder Erwägungen oder gar willkürlich herausgegeben worden. Insbesondere war sie nicht politisch motiviert und stellt keine reine Symbolpolitik dar. Angesichts der aufgezeigten Bedrohungslage dient sie allein dazu, das Risiko von Angriffsmöglichkeiten auf die Sicherheit in der Informationstechnik zu reduzieren. Hierzu war sie geeignet und erforderlich. Mit der Warnung erhöht das BSI signifikant das Bewusstsein für potentiell mögliche Gefahren, die sich aus dem Einsatz der Virenschutzprogramme von Kaspersky aktuell ergeben und empfiehlt nach individueller Risikobewertung einen Ersatz durch alternative Produkte. Zugleich hat es die Warnung unter Beachtung des Zurückhaltungsgebots formuliert und auf das Erforderliche beschränkt.
Das VG Köln hat im Rahmen eines Eilverfahrens entschieden, dass das Bundesamt für Sicherheit in der Informationstechnik (BSI) vor dem Einsatz von Virenschutzsoftware und Sicherheitssoftware des Herstellers Kaspersky warnen darf.
Die Pressemitteilung des Gerichts:
Verwaltungsgericht Köln: Bundesamt für Sicherheit in der Informationstechnik darf vor Virenschutzsoftware von Kaspersky warnen
Das Bundesamt für Sicherheit in der Informationstechnik darf vor Virenschutzsoftware der Firma Kaspersky warnen. Dies hat das Verwaltungsgericht Köln heute entschieden und damit den Eilantrag eines in Deutschland ansässigen Unternehmens aus der Kaspersky-Gruppe abgelehnt.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hatte am 15. März 2022 eine Warnung veröffentlicht, wonach die Zuverlässigkeit des russischen Herstellers Kaspersky durch die aktuellen kriegerischen Aktivitäten Russlands in Frage gestellt sei, und empfohlen, Virenschutzsoftware von Kaspersky durch alternative Produkte zu ersetzen. Die Kaspersky Labs GmbH, die Virenschutzprodukte des russischen Herstellers vertreibt, beantragte daraufhin am 21. März 2022 den Erlass einer einstweiligen Anordnung auf Unterlassung und Widerruf dieser Warnung. Zur Begründung führte sie aus, dass es sich um eine rein politische Entscheidung ohne Bezug zur technischen Qualität der Virenschutzsoftware handle. Eine Sicherheitslücke im Sinne einer bekannt gewordenen technischen Schwachstelle liege nicht vor. Anhaltspunkte für eine Einflussnahme staatlicher Stellen in Russland auf Kaspersky bestünden ebenfalls nicht. Zudem seien verschiedene Maßnahmen zur Erhöhung der Datensicherheit und -transparenz ergriffen worden.
Dem ist das Gericht nicht gefolgt. Der Gesetzgeber habe den Begriff der Sicherheitslücke, die das BSI zu einer Warnung berechtige, weit formuliert. Virenschutzsoftware erfülle aufgrund der weitreichenden Berechtigungen zu Eingriffen in das jeweilige Computersystem grundsätzlich alle Voraussetzungen für eine solche Sicherheitslücke. Dass ihr Einsatz dennoch empfohlen werde, beruhe allein auf dem hohen Maß an Vertrauen in die Zuverlässigkeit des Herstellers. Daher liege jedenfalls dann eine Sicherheitslücke vor, wenn das erforderliche hohe Maß an Vertrauen in den Hersteller nicht (mehr) gewährleistet sei.
Dies sei bei Kaspersky derzeit der Fall. Das Unternehmen habe seinen Hauptsitz in Moskau und beschäftige dort zahlreiche Mitarbeiter. Angesichts des russischen Angriffskriegs auf die Ukraine, der auch als "Cyberkrieg" geführt werde, sei nicht hinreichend sicher auszuschließen, dass russische Entwickler aus eigenem Antrieb oder unter dem Druck anderer russischer Akteure die technischen Möglichkeiten der Virenschutzsoftware für Cyberangriffe auch auf deutsche Ziele ausnutzen. Ebenso wenig könne davon ausgegangen werden, dass sich staatliche Akteure in Russland in rechtstaatlicher Weise an Gesetze halten werden, nach denen Kaspersky nicht zur Weitergabe von Informationen verpflichtet sei. Außerdem habe die massive Beschränkung der Pressefreiheit in Russland im Zuge des Kriegs mit der Ukraine gezeigt, dass entsprechende Rechtsgrundlagen schnell geschaffen werden können. Die von Kaspersky angeführten Sicherheitsmaßnahmen böten keinen ausreichenden Schutz gegen eine staatliche Einflussnahme. Es könne nicht ausgeschlossen werden, dass in Russland ansässige Programmierer auf die in Rechenzentren in der Schweiz gespeicherten Daten europäischer Nutzer zugreifen können. Eine permanente Überwachung des Quellcodes und von Updates erscheine demgegenüber wegen der Datenmengen, der Komplexität der Programmcodes und der notwendigen Häufigkeit von Updates praktisch unmöglich.
Gegen den Beschluss können die Beteiligten Beschwerde einlegen, über die das Oberverwaltungsgericht in Münster entscheiden würde.
Leitsätze des BGH:
a) Der Bundesrechtsanwaltskammer steht ein Spielraum bei der technischen Ausgestaltung der Nachrichtenübermittlung mittels des besonderen elektronischen Anwaltspostfachs zu, sofern das gewählte System eine im Rechtssinne sichere Kommunikation gewährleistet.
b) Ein Anspruch von Rechtsanwälten gegen die Bundesrechtsanwaltskammer darauf, dass diese das besondere elektronische Anwaltspostfach mit einer Ende-zu-Ende-Verschlüsselung im Sinne der Europäischen Patentschrift EP 0 877 507 B1 versieht und betreibt, besteht nicht. Weder die gesetzlichen Vorgaben für die Errichtung und den Betrieb des besonderen elektronischen Anwaltspostfachs noch die Verfassung gebieten eine derartige Verschlüsselung.
c) Zur Sicherheit der Verschlüsselungstechnik des besonderen elektronischen Anwaltspostfachs.
BGH, Urteil vom 22. März 2021 - AnwZ (Brfg) 2/20 - Anwaltsgerichtshof Berlin
Der BGH hat entschieden, dass Rechtsanwälte keinen Anspruch auf Ende-zu-Ende-Verschlüsselung des beA haben. Die derzeitige Verschlüsselung ist nach Ansicht des BGH sicher genug.
Die Pressemitteilung des BGH:
Besonderes elektronisches Anwaltspostfach – kein Anspruch auf Verwendung einer anderen
Verschlüsselungstechnik
Der Senat für Anwaltssachen des Bundesgerichtshofs hat heute entschieden, dass ein Anspruch von Rechtsanwälten auf Verwendung einer bestimmten Verschlüsselungstechnik bei der Übermittlung von Nachrichten mittels des besonderen elektronischen Anwaltspostfachs nicht besteht.
Sachverhalt:
Die Kläger sind zugelassene Rechtsanwälte. Die beklagte Bundesrechtsanwaltskammer richtete auf Grundlage von § 31a Abs. 1 BRAO für sie ein besonderes elektronisches Anwaltspostfach ein. Nach § 31a Abs. 6 BRAO sind die Kläger verpflichtet, die für dessen Nutzung erforderlichen technischen Einrichtungen vorzuhalten sowie Zustellungen und den Zugang von Mitteilungen über dieses Postfach zur Kenntnis zu nehmen.
Die Kläger wenden sich gegen die technische Ausgestaltung des besonderen elektronischen Anwaltspostfachs durch die Beklagte, weil dieses nicht über eine Ende-zu-Ende-Verschlüsselung verfüge, bei der sich die privaten Schlüssel ausschließlich in der Verfügungsgewalt der Postfachinhaber befänden. Sie verlangen mit ihrer Klage, dass die Bundesrechtsanwaltskammer das besondere elektronische Anwaltspostfach für sie mit einer derartigen Verschlüsselung betreibt und das derzeitige Verschlüsselungssystem nicht weiter verwendet.
Bisheriger Prozessverlauf:
Die Klage hat in der Vorinstanz keinen Erfolg gehabt.
Nach Auffassung des Anwaltsgerichtshofs besteht kein Anspruch darauf, dass das besondere elektronische Anwaltspostfach ausschließlich mit einer Ende-zu-Ende-Verschlüsselung in dem von den Klägern geforderten Sinne betrieben wird. Ein derartiger Anspruch ergebe sich weder aus den einfachen Gesetzen noch aus der Verfassung. Die gewählte Architektur des besonderen elektronischen Anwaltspostfachs sei sicher im Rechtssinne.
Entscheidung des Bundesgerichtshofs
Der Senat für Anwaltssachen hat die Berufung der Kläger zurückgewiesen.
Den Klägern steht kein Anspruch darauf zu, dass bei der Übermittlung von Nachrichten mit Hilfe des besonderen elektronischen Anwaltspostfachs das derzeit verwendete Verschlüsselungsverfahren durch das von ihnen bevorzugte Verschlüsselungssystem ersetzt wird.
Die über das besondere elektronische Anwaltspostfach übermittelten Nachrichten sind während der Übertragung durchgehend mit demselben – seinerseits verschlüsselten – Nachrichtenschlüssel verschlüsselt und liegen grundsätzlich nur bei dem Absender und dem berechtigten Empfänger unverschlüsselt vor. Die Voraussetzungen einer Ende-zu-Ende-Verschlüsselung im Sinne der europäischen Patentschrift EP 0 877 507 B1 erfüllt das Verschlüsselungssystem indes deshalb nicht, weil die die Nachricht verschlüsselnden Nachrichtenschlüssel nicht direkt an den Empfänger übermittelt und nur dort entschlüsselt werden. Sie werden vielmehr in einem sogenannten Hardware Security Module auf die Schlüssel der berechtigten Leser der Nachricht umgeschlüsselt.
Den Klägern steht jedoch kein Anspruch darauf zu, dass die von der Beklagten gewählte Verschlüsselungstechnik unterlassen und eine Ende-zu-Ende-Verschlüsselung im Sinne der europäischen Patentschrift verwendet wird. Die einfachgesetzlichen Vorgaben, insbesondere § 19 Abs. 1 und § 20 Abs. 1 RAVPV, lassen nicht ausschließlich eine Übermittlung mittels der von den Klägern geforderten Verschlüsselungstechnik zu. Vielmehr steht der Bundesrechtsanwaltskammer hinsichtlich der technischen Umsetzung ein gewisser Spielraum zu, sofern eine im Rechtssinne sichere Kommunikation gewährleistet ist. Ein Anspruch der Kläger auf die von ihnen geforderte Verschlüsselungstechnik könnte deshalb nur bestehen, wenn eine derartige Sicherheit allein durch das von ihnen geforderte Verschlüsselungssystem bewirkt werden könnte. Dies hat das Verfahren jedoch nicht ergeben. Vielmehr ist davon auszugehen, dass auch die gewählte Methode grundsätzlich eine hinreichende Sicherheit der Kommunikation gewährleisten kann. Nicht behebbare Sicherheitsrisiken hat das Verfahren nicht aufgezeigt. Etwaige behebbare Sicherheitsrisiken stünden dabei der grundsätzlichen Eignung des gewählten Verschlüsselungsverfahrens nicht entgegen und begründeten keinen Anspruch der Kläger auf Verwendung der von ihnen bevorzugten Verschlüsselungsmethode.
Die Verwendung der von den Klägern geforderten Verschlüsselungstechnik ist auch nicht aus verfassungsrechtlichen Gründen geboten. Es verstößt nicht gegen die Grundrechte der Kläger, insbesondere nicht gegen die Berufsausübungsfreiheit nach Art. 12 Abs. 1 GG, dass die Beklagte bei dem Betrieb des besonderen elektronischen Anwaltspostfachs nicht eine Ende-zu-Ende-Verschlüsselung in dem von den Klägern geforderten Sinne verwendet. Die Wahl der Verschlüsselungsmethode beeinträchtigt weder die Vertraulichkeit der Kommunikation noch das anwaltliche Vertrauensverhältnis zum Mandanten, wenn die gewählte Methode als sicher im Rechtssinne anzusehen ist. Ein auf die Verfassung gestützter Anspruch der Kläger auf Verwendung der von ihnen geforderten Verschlüsselungsmethode scheidet somit ebenfalls deshalb aus, weil das Verfahren nicht ergeben hat, dass diese Sicherheit nur hierdurch gewährleistet werden könnte.
Vorinstanz
Anwaltsgerichtshof Berlin – Urteil vom 14. November 2019 – I AGH 6/18
(1) Die Bundesrechtsanwaltskammer richtet für jedes im Gesamtverzeichnis eingetragene Mitglied einer Rechtsanwaltskammer ein besonderes elektronisches Anwaltspostfach empfangsbereit ein. Nach Einrichtung eines besonderen elektronischen Anwaltspostfachs übermittelt die Bundesrechtsanwaltskammer dessen Bezeichnung an die zuständige Rechtsanwaltskammer zur Speicherung in deren Verzeichnis.
[…]
(3) Die Bundesrechtsanwaltskammer hat sicherzustellen, dass der Zugang zu dem besonderen elektronischen Anwaltspostfach nur durch ein sicheres Verfahren mit zwei voneinander unabhängigen Sicherungsmitteln möglich ist. Sie hat auch Vertretern, Abwicklern und Zustellungsbevollmächtigten die Nutzung des besonderen elektronischen Anwaltspostfachs zu ermöglichen; Absatz 2 gilt sinngemäß. Die Bundesrechtsanwaltskammer kann unterschiedlich ausgestaltete Zugangsberechtigungen für Kammermitglieder und andere Personen vorsehen. Sie ist berechtigt, die in dem besonderen elektronischen Anwaltspostfach gespeicherten Nachrichten nach angemessener Zeit zu löschen. Das besondere elektronische Anwaltspostfach soll barrierefrei ausgestaltet sein.
[…]
(6) Der Inhaber des besonderen elektronischen Anwaltspostfachs ist verpflichtet, die für dessen Nutzung erforderlichen technischen Einrichtungen vorzuhalten sowie Zustellungen und den Zugang von Mitteilungen über das besondere elektronische Anwaltspostfach zur Kenntnis zu nehmen.
(1) Das besondere elektronische Anwaltspostfach dient der elektronischen Kommunikation der in das Gesamtverzeichnis eingetragenen Mitglieder der Rechtsanwaltskammern, der Rechtsanwaltskammern und der Bundesrechtsanwaltskammer mit den Gerichten auf einem sicheren Übermittlungsweg. Ebenso dient es der elektronischen Kommunikation der Mitglieder der Rechtsanwaltskammern, der Rechtsanwaltskammern und der Bundesrechtsanwaltskammer untereinander.
(2) Das besondere elektronische Anwaltspostfach kann auch der elektronischen Kommunikation mit anderen Personen oder Stellen dienen.
[…]
§ 20 RAVPV Führung der besonderen elektronischen Postfächer
(1) Die Bundesrechtsanwaltskammer hat die besonderen elektronischen Anwaltspostfächer auf der Grundlage des Protokollstandards "Online Services Computer Interface – OSCI" oder einem künftig nach dem Stand der Technik an dessen Stelle tretenden Standard zu betreiben. Die Bundesrechtsanwaltskammer hat fortlaufend zu gewährleisten, dass die in § 19 Absatz 1 genannten Personen und Stellen miteinander sicher elektronisch kommunizieren können.
(2) Der Zugang zum besonderen elektronischen Anwaltspostfach soll barrierefrei im Sinne der Barrierefreie-Informationstechnik-Verordnung sein.
(3) Die Bundesrechtsanwaltskammer hat zu gewährleisten, dass bei einem Versand nicht-qualifiziert signierter elektronischer Dokumente durch einen Rechtsanwalt auf einem sicheren Übermittlungsweg für den Empfänger feststellbar ist, dass die Nachricht von dem Rechtsanwalt selbst versandt wurde.
Der Anwaltsgerichtshof Berlin hat entschieden, dass Rechtsanwälte keinen Anspruch darauf haben, dass das besondere elektronische Anwaltspostfach (beA) mit einer Ende-zu-Ende-Verschlüsselung ausgestattet wird. Nach Ansicht des AGH Berlin ist die derzeitige Ausgestaltung des beA ausreichend sicher.
Das OLG Köln hat entschieden, dass der Verkäufer nicht über Sicherheitslücken eines Android-Smartphones informieren und nicht auf die fehlende Update-Möglichkeit des Modells hinweisen muss.
Die Pressemitteilung des Gerichts: Sicherheitslücken bei Smartphones
Elektronikmarkt muss nicht auf Sicherheitslücken und fehlende Updates des Betriebssystems Android hinweisen
Ein Elektronikmarkt muss nicht auf Sicherheitslücken und fehlende Updates des Betriebssystems der von ihm verkauften Smartphones hinweisen. Das hat der 6. Zivilsenat des Oberlandesgerichts Köln entschieden und eine klageabweisende Entscheidung des Landgerichts Köln bestätigt.
Der klagende Verbraucherverband hatte bei dem beklagten Elektronikmarkt Testkäufe durchgeführt und die erworbenen Smartphones von Experten des Bundesamts für Sicherheit in der Informationstechnik (BSI) auf Sicherheitslücken untersuchen lassen. Eines der Geräte wies 15 von 28 getesteten Sicherheitslücken auf, ein anderes nur eine Sicherheitslücke, obwohl bei beiden Geräten nominell dieselbe ältere Version des Betriebssystems Android werksseitig aufgespielt war. Hintergrund ist, dass das Betriebssystem vom jeweiligen Hersteller auf das jeweilige Smartphone-Modell angepasst wird und auch neue Versionen des Betriebssystems erst genutzt werden können, wenn die neue Version des Betriebssystems zuvor für das jeweilige Modell des Smartphones angepasst wurde.
Das BSI gelangte zu der Einschätzung, dass das Gerät mit den 15 Sicherheitslücken für die Nutzer ein eklatantes Sicherheitsrisiko darstelle. Nachdem sich das BSI erfolglos an den Hersteller gewandt hatte, verlangte der Kläger vom Betreiber des Elektronikmarkts, die Geräte nicht weiter ohne Hinweis auf die Sicherheitslücken zu verkaufen.
Die in der Folge erhobene Unterlassungsklage haben Landgericht und Oberlandesgericht Köln abgewiesen. Der 6. Zivilsenat des Oberlandesgerichts hat im Rahmen der Zurückweisung der Berufung im Wesentlichen ausgeführt, dass die Voraussetzungen eines Unterlassungsanspruchs nicht erfüllt seien. Es stelle für die Beklagte einen unzumutbaren Aufwand dar, sich die Informationen über Sicherheitslücken für jedes einzelne von ihr angebotene Smartphone-Modell zu verschaffen.
Zwar sei die Information über das Vorliegen von Sicherheitslücken für die Verbraucher von großer Bedeutung, da hierdurch die Privatsphäre der Verbraucher verletzt und erlangte Daten zu betrügerischen Zwecken missbraucht werden könnten. Es sei aber auch zu berücksichtigen, dass die Beklagte die Sicherheitslücken nur durch Tests feststellen könne, welche sich auf den jeweiligen Typ des Smartphones beziehen müssten. Auch sei es nicht möglich, alle vorhandenen Sicherheitslücken festzustellen. Alle Anbieter von Betriebssystemen würden selbst immer wieder - teilweise erst aufgrund von Angriffen durch Dritte - Sicherheitslücken im Betriebssystem finden. Schließlich könnten sich die feststellbaren Sicherheitslücken jederzeit ändern, so dass die Beklagte die Tests in regelmäßigen Abständen wiederholen müsste.
Nichts anderes gelte für die Information über die Bereitstellung von Sicherheitsupdates. Ob für ein konkretes Modell noch Sicherheitsupdates bereitgestellt würden, sei der Beklagten zum Zeitpunkt des Verkaufs in der Regel nicht bekannt. Sie habe auch keine Möglichkeit, diese Information ohne ein Zutun der Hersteller zu erlangen. Allein der Hersteller entscheide, ob und wann er ein Sicherheitsupdate für das jeweilige Smartphone-Modell anpasse. Auch hier könne sich die entsprechende Information täglich ändern, zumal auch dem Hersteller nicht bekannt sei, ob und wann ein Sicherheitsupdate, das von ihm angepasst werden könnte, veröffentlicht wird.
Der Senat hat die Revision nicht zugelassen.
Urteil des Oberlandesgerichts Köln vom 30.10.2019 - Az. 6 U 100/19.
Das Gericht ist der Ansicht, dass Informationen über das Vorhandensein von Sicherheitslücken auf einem Smartphone und die Tatsache, dass zukünftig auch keine Updates mehr zu Verfügung gestellt werden, nicht „wesentlich“ im Sinne von § 5a UWG und § 312a Abs. 2 S. 1 BGB in Verbindung mit Art. 246 Abs.1 Nr. 1 EGBGB sind. Daher müsse der Händler (hier Media Markt) seine Kunden nicht vor Vertragsschluss über diese Umstände informieren. Nicht Gegenstand des Verfahrens war die Frage, ob es sich dabei um einen Gewähleistungsfall handelt.
Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg hat gegen den Betreiber des Internetportals knuddels.de ein Bußgeld in Höhe von 20.000 EURO wegen eines Verstoßes gegen die DSGVO verhängt. Die Speicherung von Passwörtern im Klartext verstößt gegen Art. 32 Abs. 1 lit a DSGVO
Die Pressemitteilung des LfDI:
Baden-Württemberg: Bußgeld über 20.000 EURO gegen knuddels.de wegen Verstoß gegen DSGVO - Speicherung der Passwörter im Klartext widerspricht Art. 32 Abs. 1 lit a DSGVO
LfDI Baden-Württemberg verhängt sein erstes Bußgeld in Deutschland nach der DS-GVO
Kooperation mit Aufsicht macht es glimpflich
Wegen eines Verstoßes gegen die nach Art. 32 DS-GVO vorgeschriebene Datensicherheit hat die Bußgeldstelle des LfDI Baden-Württemberg mit Bescheid vom 21.11.2018 gegen einen baden-württembergischen Social-Media-Anbieter eine Geldbuße von 20.000,- Euro verhängt und – in konstruktiver Zusammenarbeit mit dem Unternehmen – für umfangreiche Verbesserungen bei der Sicherheit der Nutzerdaten gesorgt.
Das Unternehmen hatte sich am 08. September 2018 mit einer Datenpannenmeldung an den LfDI gewandt, nachdem es bemerkt hatte, dass durch einen Hackerangriff im Juli 2018 personenbezogene Daten von circa 330.000 Nutzern, darunter Passwörter und E-Mail-Adressen, entwendet und Anfang September 2018 veröffentlicht worden waren. Ihre Nutzer informierte das Unternehmen nach den Vorgaben der EU-Datenschutzgrundverordnung (DS-GVO) unverzüglich und umfassend über den Hackerangriff. Gegenüber dem LfDI legte das Unternehmen in vorbildlicher Weise sowohl Datenverarbeitungs- und Unternehmensstrukturen als auch eigene Versäumnisse offen. Hierdurch wurde dem LfDI bekannt, dass das Unternehmen die Passwörter ihrer Nutzer im Klartext, mithin unverschlüsselt und unverfremdet (ungehasht), gespeichert hatte. Diese Klartextpasswörter nutzte das Unternehmen beim Einsatz eines sog. „Passwortfilters“ zur Verhinderung der Übermittlung von Nutzerpasswörtern an unberechtigte Dritte mit dem Ziel, die Nutzer besser zu schützen.
Das Unternehmen setzte innerhalb weniger Wochen weitreichende Maßnahmen zur Verbesserung ihrer IT-Sicherheitsarchitektur um und brachte damit die Sicherung ihrer Nutzerdaten auf den aktuellen Stand der Technik. Zudem wird das Unternehmen innerhalb der nächsten Wochen in Abstimmung mit dem LfDI zusätzliche Maßnahmen zur weiteren Verbesserung der Datensicherheit durchführen.
Durch die Speicherung der Passwörter im Klartext verstieß das Unternehmen wissentlich gegen seine Pflicht zur Gewährleistung der Datensicherheit bei der Verarbeitung personenbezogener Daten gem. Art. 32 Abs. 1 lit a DS-GVO.
Innerhalb des Bußgeldrahmens gemäß Art. 83 Abs. 4 DS-GVO sprach die sehr gute Kooperation mit dem LfDI in besonderem Maße zu Gunsten des Unternehmens. Die Transparenz des Unternehmens war ebenso beispielhaft wie die Bereitschaft, die Vorgaben und Empfehlungen des Landesbeauftragten für den Datenschutz und die Informationsfreiheit, Dr. Stefan Brink, umzusetzen. Auf diese Weise konnte in sehr kurzer Zeit die Sicherheit der Nutzerdaten des Social-Media-Dienstes deutlich verbessert werden. In Abstimmung mit dem LfDI wird die Sicherung der Nutzerdaten in den kommenden Wochen noch weiter ausgebaut. Bei der Bemessung der Geldbuße wurde neben weiteren Umständen die finanzielle Gesamtbelastung für das Unternehmen berücksichtigt. Bußgelder sollen nach der DS-GVO nicht nur wirksam und abschreckend, sondern auch verhältnismäßig sein. Unter Einbeziehung der aufgewendeten und avisierten Maßnahmen für IT-Sicherheit hat das Unternehmen einschließlich der Geldbuße infolge des Verstoßes einen Gesamtbetrag im sechsstelligen Euro-Bereich zu tragen.
„Wer aus Schaden lernt und transparent an der Verbesserung des Datenschutzes mitwirkt, kann auch als Unternehmen aus einem Hackerangriff gestärkt hervorgehen“, betonte Dr. Brink abschließend. „Als Bußgeldbehörde kommt es dem LfDI nicht darauf an, in einen Wettbewerb um möglichst hohe Bußgelder einzutreten. Am Ende zählt die Verbesserung von Datenschutz und Datensicherheit für die betroffenen Nutzer.“
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat mitgeteilt, dass mindestens 1000 deutsche Online-Shops auf Magento-Basis von Online-Skimming betroffen sind. Ursache sind Sicherheitslücken in einer veralteten Version, die im Oktober 2016 bekanntgegeben wurden. Grundsätzlich ist der Betreiber eines Online-Shops verpflichtet alle zumutbare Maßnahmen zu ergreifen, um Schäden von seinen Kunden zu verhindern und die die gespeicherten personenbezogenen Daten zu schützen. Tut er dies nicht, so drohen Schadensersatzansprüche und Ordnungsgelder.
Online-Skimming: 1.000 deutsche Online-Shops betroffen
Dem Bundesamt für Sicherheit in der Informationstechnik (BSI) liegen Informationen vor, nach denen aktuell mindestens 1.000 deutsche Online-Shops von Online-Skimming betroffen sind. Dabei nutzen Cyber-Kriminelle Sicherheitslücken in veralteten Versionen der Shopsoftware, um schädlichen Programmcode einzuschleusen. Dieser späht dann beim Bestellvorgang die Zahlungsinformationen der Kunden aus und übermittelt sie an die Täter. Betroffen sind Online-Shops, die auf der weit verbreiteten Software Magento basieren.
Der eingeschleuste Code und der damit verbundene Datenabfluss ist für Nutzer üblicherweise nicht erkennbar. Über den Umfang der über diese Angriffe bereits abgeflossenen Zahlungsdaten liegen dem BSI zur Zeit keine Erkenntnisse vor.
Basierend auf einer von einem Entwickler von Sicherheitstools für Magento durchgeführten Analyse wurden bereits im September 2016 weltweit knapp 6.000 von Online-Skimming betroffene Online-Shops identifiziert, darunter auch mehrere hundert Shops deutscher Betreiber. CERT-Bund benachrichtigte daraufhin die jeweils zuständigen Netzbetreiber in Deutschland zu betroffenen Online-Shops. Aktuellen Erkenntnissen zufolge wurde diese Infektion von vielen Betreibern bis heute nicht entfernt oder die Server wurden erneut kompromittiert. Die von den Angreifern ausgenutzten Sicherheitslücken in Magento wurden von den Shop-Betreibern trotz vorhandener Softwareupdates offenbar nicht geschlossen. Dies ermöglicht Cyber-Kriminellen, weiterhin Zahlungsdaten und andere bei Bestellungen eingegebene persönliche Daten von Kunden auszuspähen. Die Anzahl aktuell bekannter betroffener Online-Shops in Deutschland ist dadurch auf mindestens 1.000 angestiegen.
Das CERT-Bund des BSI hat heute erneut die jeweils zuständigen Netzbetreiber in Deutschland zu betroffenen Online-Shops in ihren Netzen informiert und bittet Provider, die Informationen an ihre Kunden (Shop-Betreiber) weiterzuleiten.
"Leider zeigt sich nach wie vor, dass viele Betreiber bei der Absicherung ihrer Online-Shops sehr nachlässig handeln. Eine Vielzahl von Shops läuft mit veralteten Software-Versionen, die mehrere bekannte Sicherheitslücken enthalten", erklärt BSI-Präsident Arne Schönbohm. "Die Betreiber müssen ihrer Verantwortung für ihre Kunden gerecht werden und ihre Dienste zügig und konsequent absichern."
Nach § 13 Absatz 7 TMG sind Betreiber von Online-Shops verpflichtet, ihre Systeme nach dem Stand der Technik gegen Angriffe zu schützen. Eine grundlegende und wirksame Maßnahme hierzu ist das regelmäßige und rasche Einspielen von verfügbaren Sicherheitsupdates.
Das BSI weist an dieser Stelle darauf hin, dass die Verpflichtung zur Absicherung von Systemen nicht nur für Unternehmen, sondern auch für alle anderen geschäftsmäßigen Betreiber von Websites gilt. Darunter fallen zum Beispiel auch Websites von Privatpersonen oder Vereinen, wenn mit deren Betrieb dauerhaft Einnahmen generiert werden sollen. Dies wird bereits dann angenommen, wenn auf Websites bezahlte Werbung in Form von Bannern platziert wird.
Betreiber von Online-Shops auf Basis von Magento können mit dem kostenfreien Dienst MageReport überprüfen, ob ihr Shop-System bekannte Sicherheitslücken aufweist und von den aktuellen Angriffen betroffen ist. Zu jedem erkannten Problem werden detaillierte Informationen zu dessen Behebung bereitgestellt.
