Nahezu alle modernen Computersysteme sind mit dem Internet verbunden. Ohne geeignete Schutzmaßnahmen können sich Viren und andere Schadprogramme in kürzester Zeit massenhaft verbreiten und große finanzielle Schäden verursachen.
Die drei wichtigsten Gegenmitten, um einer "Infektion" durch Schadprogramme entgegenzuwirken, sind die Installation einer Firewall, die die ein- und ausgehenden Verbindungen überwacht, die Nutzung eines Virenscanners, der Dateien nach verdächtigem Verhalten oder bekannten Schädlingssignaturen abklopft sowie ein modernes Betriebssystem. Doch all diese Maßnahmen sind wenig wert, wenn sie nicht durch Updates und Patches aktuell gehalten werden.
Dabei stellen sich gleich mehrere Fragen. Ist ein Nutzer zur Installation von Updates verpflichtet? Wie häufig müssen Updates vorgenommen werden? Und was geschieht bei Nichteinhaltung einer etwaigen Update-Pflicht?
Im Grundsatz gilt, dass die Reduzierung der Gefahr vor der Verbreitung von Schadprogrammen prinzipiell jedem einzelnen Computernutzer im Rahmen der allgemeinen Verkehrssicherungspflicht obliegt (ausführlich hierzu: Feil/Fiedler, Virtuelle Verkehrspflichten, kes #1-2009, S. 24 ff.). Für Stellen, die personenbezogene Daten verarbeiten, gilt § 9 BDSG, wonach personenbezogene Daten angemessen zu sichern sind. Sowohl die allgemeine Verkehrssicherungspflicht als auch die Pflicht nach § 9 BDSG erfordern das Ergreifen aller notwendigen Maßnahmen im Rahmen der Zumutbarkeit.
Die Notwendigkeit der Einspielung von Updates ergibt sich schon daraus, dass Programmierer von Viren ständig neue Sicherheitslücken in Programmen finden und diese ausnutzen. Ein festes Update-Intervall kann entgegen einiger Stimmen in der Literatur nicht festgelegt werden, da sich die Häufigkeit der Einspielung von Updates nur im Rahmen der Zumutbarkeit bewegt, die individuell unterschiedlich sein kann. Häufige Updates sind bei Unternehmen tendenziell eher zumutbar, als bei Privatnutzern. In jedem Fall muss in sinnvollen Abständen überprüft werden, ob verfügbare Sicherheits-Updates abrufbar sind und ob diese auch funktionsfähig in das eigene System integriert worden sind.
Nachlässiger Nutzer macht sich selbst schadensersatzpflichtig
Wenn trotz Einhaltung der zumutbaren Sicherungsmaßnahmen Dritten ein Schaden entsteht, beispielsweise durch den unbemerkten Virenversand oder Datendiebstahl, hat der Dritte diesen Schaden zu tragen. Er kann sich zwar beim originären Verursacher, beispielsweise dem Viren-Programmierer, jedoch nicht beim Benutzer des angegriffenen IT-Systems schadlos halten. Werden die Sicherungspflichten dagegen nicht eingehalten, macht sich der nachlässige Nutzer selbst gegenüber dem Geschädigten schadensersatzpflichtig. Schon zur Vermeidung dieses Haftungsrisikos ist daher die Nutzung einer stets aktuellen Sicherheitssoftware ratsam.
Unabhängig davon, ob alle erforderlichen Updates eingespielt worden sind oder nicht, ist ein System nach der Kenntnis des Nutzers vom Befalls von Schadsoftware so einzurichten, dass Dritten kein Schaden entstehen kann. Das kann die physikalische Trennung aller Netzverbindungen oder die softwaremäßige Sperrung aller Verbindungen einschließen. Wer sich trotz Kenntnis nicht daran hält, kann sich wegen Beihilfe zur Computersabotage gem. § 303b StGB strafbar machen.
Der Autor Thomas Feil ist Rechtsanwalt, Fachanwalt für IT-Recht und Lehrbeauftragter an der Fachhochschule Hannover.
Kontakt: Tel.: 0511 473906-01, E-Mail: feil@recht-freundlich.de, Internet: www.recht-freundlich.de