Skip to content

LG Hamburg: Keine automatische Störerhaftung des Anschlussinhabers wenn werkseitig eingestellter WPA2-Schlüssel des Routers nicht geändert wird - Filesharing

LG Hamburg
Urteil vom 29.09.2015
310 S 3/15


Das LG Hamburg hat entschieden, dass der Inhaber eines Internet-Anschlusses nicht automatisch in Filesharing-Fällen als Störer haftet, wenn dieser den werkseitig eingestellter WPA2-Schlüssel des Routers nicht ändert.

Aus den Entscheidungsgründen:

"Der Beklagten ist aber auch keine Prüfpflichtverletzung vorzuwerfen, den (nach vorstehend 2.) hier anzunehmenden individuellen WLAN-Schlüssel des Herstellers nicht noch einmal selbst geändert zu haben.

a)
Eine solche generelle Pflicht zur Änderung eines werkseitig voreingestellten individuellen Schlüssels lässt sich nicht schon der BGH-Entscheidung „Sommer unseres Lebens“ entnehmen.

Zwar war nach den Entscheidungsgründen, (BGH, Urteil vom 12. Mai 2010, I ZR 121/08, zit. nach juris-Rn. 33 und 34) der Router des dortigen Beklagten

„bei aktivierter WLAN-Unterstützung werkseitig durch eine WPA-Verschlüsselung geschützt, die für die Einwahl in das Netzwerk des Beklagten einen 16-stelligen Authentifizierungsschlüssel erfordert. […] Der Beklagte hat es nach dem Anschluss des WLAN-Routers bei den werkseitigen Standardsicherheitseinstellungen belassen und für den Zugang zum Router kein persönliches, ausreichend langes und sicheres Passwort vergeben. Der Schutz von Computern, Kundenkonten im Internet und Netzwerken durch individuelle Passwörter gehörte auch Mitte 2006 bereits zum Mindeststandard privater Computernutzung und lag schon im vitalen Eigeninteresse aller berechtigten Nutzer. Sie war auch mit keinen Mehrkosten verbunden.“

Es ist jedoch der Kammer nicht nachvollziehbar, dass im dortigen Sachverhalt ein individuell vergebenes Passwort streitgegenständlich war. Dem Tatbestand der BGH-Entscheidung lässt sich dies nicht entnehmen, er verweist insofern auf die Feststellungen der ersten Instanz. Der Tatbestand des voraufgegangenen oberlandesgerichtlichen Urteils (OLG Frankfurt, Urteil vom 01. Juli 2008 - 11 U 52/07 -, vgl. dort juris-Rn 18) lässt den Sachverhalt insofern ebenfalls nicht erkennen. Das voraufgegangene landgerichtliche Urteil (LG Frankfurt, 5. Oktober 2007, Az: 2/3 O 19/07) ist - soweit der Kammer bekannt - nicht in Fachzeitschriften oder -publikationen veröffentlicht, wird aber teilweise in Volltextauszügen im Internet zitiert; danach soll die einschlägige Passage in den Entscheidungsgründen wie folgt lauten (zit. nach http://www. f.- a..de/rechtsanwalt/it-recht/gewichtige-anderung-in-sachen-bgh-und-storerhaftung/1734/, abgerufen am 28.09.2015, Unterstreichungen hinzugefügt):

„Schließlich sorgte der Beklage auch nicht dadurch für eine hinreichende Sicherung seines Routers, dass der Zugang auf diesen Router bei aktivierter WLAN-Funktion werkseitig mit einer WPA-Verschlüsselung gesichert worden war. Dabei kann dahinstellt bleiben, ob eine WPA-Verschlüsselung nach derzeitigem Standard noch als sicher und zuverlässig angesehen werden kann oder bereits - wie die Klägerin behauptet - gängige Methode die Verwendung von WPA2 ist.

Denn der Beklagte hat seinem eigenen Vorbringen zufolge es nach dem Anschluss des WLAN-Routers bei den Standardsicherheitseinstellungen belassen, die der Hersteller vorgegeben hat. Dies stellt nach Auffassung der Kammer indes keinen ausreichend sicheren WPA-Netzwerkschlüssel dar. Zum einen sind solche Standardsicherheitseinstellungen bei vielen Herstellern auf allen ausgelieferten Geräten gleich und damit auch den Internet-Kriminellen bekannt.

Zum anderen befindet sich auf der Fritz-Box, wie sie auch von dem Beklagten genutzt wird; ein Aufkleber, auf welchem sich neben der Seriennummer auch der werkseitig voreingestellte Code befindet. Für eine ausreichende Sicherung seines WLAN-Anschlusses gegen Passwort-Attacken hätte der Beklagte daher das Standard-Passwort für die Fritz Box durch ein persönliches, ausreichend langes Passwort aus einer losen Kombination von Buchstaben, Ziffern und Sonderzeichen ändern müssen.“

Danach ist der Kammer jedenfalls nicht nachvollziehbar, dass dem Urteil „Sommer unseres Lebens“ ein Sachverhalt zugrunde gelegen haben soll, bei dem ein werkseitig individualisiertes Passwort vergeben worden sein soll.

b)

Ob eine Änderung des werkseitig-individuellen Passworts notwendig sein kann, weil der vergebene Schlüssel auf der Rückseite des Gerätes aufgedruckt ist und daher für einen unberechtigten Dritten sichtbar ist, wenn er Zutritt zum Routergerät hat, kann hier offen bleiben, weil sich ein entsprechender Kausalzusammenhang vorliegend nicht feststellen lässt (so dass ebenfalls offen bleiben kann, inwieweit dieser Gefahr durch andere Maßnahmen, z.B. Zugangsbeschränkungen, ausreichend vorgebeugt werden kann).

Der Kausalzusammenhang wäre vorliegend nur gegeben gewesen, wenn der unberechtigte Dritte die Kenntnis des WPA2-Schlüssels der Beklagten gerade dadurch erlangt hätte, dass er die Möglichkeit gehabt hätte, von der Aufschrift auf dem Gerät der Beklagten Kenntnis zu nehmen.

Davon ist aber im vorliegenden Verfahren keine der Parteien ausgegangen; vielmehr sehen beide Parteien die Ursache für den unberechtigten Drittzugriff in einer Entschlüsselung des Codes von außen wegen der in Anlagen B 4 und B 5 beschriebenen Sicherheitslücke des werkseitig vergebenen individuellen Passworts. Zu diesem Geschehensverlauf besteht jedoch kein Schutzzweckzusammenhang bzgl. einer Pflicht zur Verhinderung eines Ausspähens des Aufdrucks auf der Rückseite des Gerätes.

c)
Der Beklagten ist auch nicht vorzuwerfen, den werkseitig vergebenen individuellen 16-stelligen Zahlencode nicht zur Erschwerung eines über das WLAN erfolgenden Ausspähens überhaupt und möglichst in einen Code unter Verwendung auch von Buchstaben und/oder Sonderzeichen geändert zu haben.

Wie gesehen, hatte der BGH in der Entscheidung „Sommer unseres Lebens“ (a.a.O., vgl. oben 1.) eine Prüfpflicht des privaten Internetanschlussbetreibers angenommen, „jedenfalls die im Kaufzeitpunkt des Routers für den privaten Bereich marktüblichen Sicherungen ihrem Zweck entsprechend wirksam einzusetzen“. Der BGH begründete seine Annahme einer insofern anlasslosen Prüfpflicht damit, das „hoch zu bewertende, berechtigte Interesse, über WLAN leicht und räumlich flexibel Zugang zum Internet zu erhalten, [werde] nicht dadurch in Frage gestellt, dass die zum Zeitpunkt der Installation des WLAN-Routers auch im Privatbereich verkehrsüblich vorhandenen Sicherungsmaßnahmen gegen unbefugte Nutzung angewandt [würden]“ (a.a.O., zit. nach juris-Rz. 24). Die Anknüpfung an „für den privaten Bereich marktübliche Sicherungen“ und „verkehrsüblich vorhandene Sicherungsmaßnahmen“ lässt erkennen, dass der BGH dem privaten Anschlussinhaber die im privaten Verkehr gebotene, letztlich in seinem eigenen Interesse liegende Sorgfalt abverlangt und ihm diesem Rahmen - aber auch nur diesem - entsprechende Erkundigungspflichten zumutet.

Nach dem Sach- und Streitstand im vorliegenden Verfahren ist nicht erkennbar, dass ein 16-stelliger reiner Zahlenschlüssel schon generell oder auch hier im Besonderen nicht als ausreichend sicher hätte beurteilt werden müssen:

Zwar ist es auch für einen mathematisch nur durchschnittlich vorgebildeten Anschlussinhaber leicht nachvollziehbar, dass ein 16-stelliger Zahlenschlüssel bei Verwendung allein der zehn Ziffern 0-9 weniger Kombinationsmöglichkeiten eröffnet als ein 16-stelliger Schlüssel unter Einbeziehung auch von Buchstaben und Sonderzeichen.

Andererseits eröffnet ein 16-stelliger reiner Zahlenschlüssel bereits 1016 Kombinationsmöglichkeiten. Zudem ist dem von außen zugreifenden Dritten auch nicht bekannt, ob der Anschlussinhaber sich auf einen reinen Zahlencode beschränkt hat; das gilt zumindest im vorliegenden Fall, in welchem die Beklagte unbestritten vorgetragen hat, den Modem-Namen, der bei der Anzeige des WLAN-Netzes angegeben wird, in „O.“ geändert zu haben, so dass der verwendete Routertyp einem außenstehenden Dritten nicht erkennbar war und er daher keinen Rückschluss auf einen reinen Zahlencode vornehmen konnte.

d)
Bei dieser Ausgangslage wäre der Beklagten eine Prüfpflichtverletzung nur dann vorzuwerfen gewesen, wenn sie Anhaltspunkte dafür gehabt hätte, dass ein 16-stelliger Zahlenschlüssel generell oder der auf ihrem Gerät spezielle verwendete Schlüssel im Besonderen ausspähbar gewesen wäre. Solche Anhaltspunkte lagen aber nach Sach- und Streitstand im vorliegenden Verfahren nicht vor.

Insbesondere hat die Beklagte unbestritten geltend gemacht, dass die dem Gerät beigefügte Betriebsanleitung den Erwerber nicht dazu aufforderte, den voreingestellten 16-stelligen Code durch einen eigenen Code mit Ziffern, Buchstaben und Sonderzeichen (oder überhaupt durch ein eigenes Passwort) zu ersetzen (die entsprechenden Empfehlungen in der Kundenwarnung der T. G. GmbH & Co OHG gem. Anlage B 4 erfolgten vorliegend erst nach Inbetriebnahme des Routers und den streitgegenständlichen Verletzungshandlungen); anderes hätte von der Klägerin substanziiert dargelegt und ggf. bewiesen werden müssen. Es ist auch nicht erkennbar, dass die Beklagte über besondere persönliche Kenntnisse verfügt hätte, die sie sich hätte entgegen halten lassen müssen.

Anhaltspunkte dafür, dass der auf dem Router voreingestellte konkrete 16-stellige Zahlencode „2...4“ eine für einen solchen Code unsichere Kombination aufwies, bestanden für die Beklagte ebenfalls nicht. Weder folgte der Code einem bestimmten für den Laien erkennbaren Muster noch hatte er irgendeinen Bezug zur Beklagten und deren sonstigen persönlichen Daten (Geburtstag, Hausnummer, Telefonnummer o.ä.), aus denen ein außenstehender bei Kenntnis auf den Code hätte rückschließen können. Auch die späteren Veröffentlichungen zur Sicherheitslücke gem. Anlagen B 4 und B 5 geben keinen Anhaltspunkt, inwiefern der Beklagten bei Inbetriebnahme des Routers eine Unsicherheit des voreingestellten individuellen Passworts hätte auffallen müssen.

Dass der Code in einer offenbar unsicheren Weise vom Hersteller generiert worden war, war der Beklagten ebenfalls nicht erkennbar. Sie hatte keine Möglichkeit, das Generierungsverfahren zu kontrollieren, und die späteren Mitteilungen B 4 und B 5, mit denen die Sicherheitslücke öffentlich bekannt wurde, wurden erst im März 2014 veröffentlicht und damit nach dem Zeitpunkt der hier streitgegenständlichen Verletzungshandlungen."


Den Volltext der Entscheidung finden Sie hier:


Trackbacks

Keine Trackbacks

Kommentare

Ansicht der Kommentare: Linear | Verschachtelt

Noch keine Kommentare

Die Kommentarfunktion wurde vom Besitzer dieses Blogs in diesem Eintrag deaktiviert.

Kommentar schreiben

Umschließende Sterne heben ein Wort hervor (*wort*), per _wort_ kann ein Wort unterstrichen werden.
Standard-Text Smilies wie :-) und ;-) werden zu Bildern konvertiert.
Formular-Optionen