Wie sicher ist sicher genug? Diese Frage ist insbesondere bei der Störerhaftung in Funknetzwerken immer wieder umstritten. Der Bundesgerichtshof hat am heutigen Donnerstag eine Grenze gezogen: Für Sicherheitslücken, für die Hersteller und Provider verantwortlich sind, müssen Privatnutzer nicht haften.

Im Streit ging es um eine Abmahngebühr von rund 750 Euro. Vom Anschluss der Beklagten war im Jahr 2012 der Actionfilm The Expendables 2 illegal in eine Internettauschbörse hochgeladen worden. Die Rechtehaber schickten ihr daraufhin eine Abmahnung.

Eigentlich ist dies ein alltäglicher Fall, wie er in Deutschland jedes Jahr tausendfach durchgespielt wird. Wegen der sogenannten Störerhaftung müssen die Rechteinhaber in der Regel nicht nachweisen, wer genau eine Datei illegal hochgeladen hat – der Anschlussinhaber haftet als sogenannter Störer, weil er die Urheberrechtsverletzung ermöglicht hat. Der Empfänger einer solchen Abmahnung muss in der Regel einen drei- oder vierstelligen Betrag bezahlen, vor Gericht landen die Fälle selten.

Sicherheitslücke verriet WLAN-Passwort

Die Besonderheit in diesem Fall: Die Anschlussinhaberin konnte beweisen, dass sie nicht selbst die Urheberrechtsverletzung begangen hatte, sondern dass der von ihr verwendete WLAN-Router eine Sicherheitslücke hatte, über die sich ein Unbekannter eingeloggt hatte. Diese Sicherheitslücke war erst Anfang 2014 – mehr als ein Jahr nach dem strittigen Upload – bekannt geworden. Sie betraf WLAN-Router, die der damalige Provider Alice seinen Kunden zur Verfügung gestellt hatte.

Die Rechteinhaber bestanden trotzdem auf Zahlung. Der Bundesgerichtshof hatte schon 2010 entschieden, dass Verbraucher ihren Router absichern müssen, wenn sie nicht für fremdes Filesharing über ihren Anschluss haftbar gemacht werden wollen. Zwar hatte die Anschlussinhaberin in diesem Fall ein 16-stelliges Passwort für ihr Funknetz, die Voreinstellung des Providers allerdings übernommen. Die Kläger waren nun der Auffassung, dass die Anschlussinhaberin damit ihren Sicherungspflichten nicht nachgekommen sei und weiterhin als Störer hafte.

Dieser Auffassung schlossen sich die Karlsruher Richter nicht an: "Der Inhaber eines Internetanschlusses mit WLAN-Funktion ist zur Prüfung verpflichtet, ob der eingesetzte Router über die im Zeitpunkt seines Kaufs für den privaten Bereich marktüblichen Sicherungen, also einen aktuellen Verschlüsselungsstandard sowie ein individuelles, ausreichend langes und sicheres Passwort, verfügt", heißt es in der Pressemitteilung des Bundesgerichtshofs. Allerdings: Da das voreingestellte 16-stellige Passwort beim Kauf dem Stand der Technik entsprochen habe, habe die Beklagte ihre Prüfungspflichten nicht verletzt.

IT-Gipfel - Gabriel fordert differenzierten Umgang mit Daten Die Bundeskanzlerin und der Vizekanzler bekamen auf dem IT-Gipfel neue Datentechnik präsentiert. Gabriel sagte, er wolle statt Datenschutz Datensouveränität auf die politische Agenda setzen. © Foto: Oliver Dietze/dpa

Bei der Verschlüsselung geschlampt

Die Richter zogen damit die Konsequenz aus der technischen Entwicklung der vergangenen zehn Jahre. Waren die Router damals ab Werk meist sehr unsicher, haben die Hersteller ihre Geräte mittlerweile mit individuellen Passwörtern ausgestattet, die meist auf der Unterseite oder Rückseite des Routers zu finden sind. Der unsichere Verschlüsselungsstandard WEP ist zudem durch den Nachfolger WPA2 ersetzt worden.

Doch die neue Sicherheit bestand oft nur zum Schein. Das Verfahren WPA2 gilt zwar weiterhin als sicher, viele Hersteller schlampten aber bei der Umsetzung. So berechneten einige Hersteller die verwendeten WLAN-Schlüssel aus der individuellen MAC-Adresse der Router, die in jedem Netzwerkgerät fest programmiert ist. Problem dabei: Angreifer konnten diese Adresse von außen problemlos abfragen und damit auch das voreingestellte Routerpasswort errechnen.

Nach dem Fund der Schwachstelle im Alice-Router entpuppten sich auch Modelle der Provider Vodafone und O2 als verwundbar. Neben den vorinstallierten Passwörtern erwies sich insbesondere die WPS-Funktion, die ein passwortloses Einloggen erlaubt, als Einfallstor für Angreifer. Provider schrieben Zehntausende Kunden an, um die entdeckten Sicherheitslücken zu schließen.