Rechtspflicht zur Installation aktueller Sicherheitspatches?

Nahezu alle modernen Computersysteme sind mit dem Internet verbunden. Ohne geeignete Schutzmaßnahmen können sich Viren und andere Schadprogramme in kürzester Zeit massenhaft verbreiten und große finanzielle Schäden verursachen.

Die drei wichtigsten Gegenmitten um einer „Infektion“ durch Schadprogramme entgegenzuwirken sind die einer Firewall, welche die Ein- und Ausgehenden Verbindungen überwacht, die Nutzung eines Virenscanners, der Dateien nach verdächtigem Verhalten oder bekannten Schädlingssignaturen abklopft sowie ein modernes Betriebssystem. Doch all diese Maßnahmen sind wenig wert, wenn sie nicht durch Updaten und Patches aktuell gehalten werden.

Dabei stellen sich gleich mehrere Fragen. Ist ein Nutzer zur Installation von Updates verpflichtet? Wie häufig müssen Updates vorgenommen werden? Und was geschieht bei Nichteinhaltung einer etwaigen Updatepflicht?

Im Grundsatz gilt, dass die Reduzierung der Gefahr vor der Verbreitung von Schadprogrammen prinzipiell jedem einzelnen Computernutzer im Rahmen der allgemeinen Verkehrssicherungspflicht obliegt (ausführlich hierzu: Feil/Fiedler, Virtuelle Verkehrspflichten, kes #1-2009, S. 24 ff.). Für Stellen, die personenbezogene Daten verarbeiten, gilt § 9 BDSG, wonach personenbezogene Daten angemessen zu sichern sind. Sowohl die allgemeine Verkehrssicherungspflicht als auch die Pflicht nach § 9 BDSG erfordern das Ergreifen aller notwendigen Maßnahmen im Rahmen der Zumutbarkeit.

Die Notwendigkeit der Einspielung von Updates ergibt sich schon daraus, dass Programmierer von Viren ständig neue Sicherheitslücken in Programmen finden und diese ausnutzen. Eine festes Updateintervall kann entgegen einiger Stimmen in der Literatur nicht festgelegt werden, da sich die Häufigkeit der Einspielung von Updates nur im Rahmen der Zumutbarkeit bewegt, die individuell unterschiedlich sein kann. Häufige Updates sind bei Unternehmen tendenziell eher zumutbar, als bei Privatnutzern. In jedem Fall muss in sinnvollen Abständen überprüft werden, ob verfügbare abrufbar sind und ob diese auch funktionsfähig in das eigene System integriert worden sind.

Wenn trotz Einhaltung der zumutbaren Sicherungsmaßnahmen Dritten ein Schaden entsteht, beispielsweise durch den unbemerkten Virenversand oder Datendiebstahl, hat der Dritte diesen Schaden zu tragen. Er kann sich zwar beim originären Verursacher, beispielsweise dem Viren-Programmierer, jedoch nicht beim Benutzer des angegriffenen IT-Systems schadlos halten. Werden die Sicherungspflichten dagegen nicht eingehalten, macht sich der nachlässige Nutzer selbst gegenüber dem Geschädigten schadensersatzpflichtig. Schon zur Vermeidung dieses Haftungsrisikos ist daher die Nutzung einer stets aktuellen Sicherheitssoftware ratsam.

Unabhängig davon, ob alle erforderlichen Updates eingespielt worden sind oder nicht, ist ein System nach der Kenntnis des Nutzers vom Befalls von Schadsoftware so einzurichten, dass Dritten kein Schaden entstehen kann. Das kann die physikalische Trennung aller Netzverbindungen oder die softwaremäßige Sperrung aller Verbindungen einschließen. Wer sich trotz Kenntnis nicht daran hält, kann sich wegen Beihilfe zur Computersabotage gem. § 303b StGB strafbar machen.

 
1 Star2 Stars3 Stars4 Stars5 Stars 1 Bewertung(en), durchschnittlich: 5,00 von 5
Loading...

Rechtsanwalt Thomas Feil in den Medien

Schreibe einen Kommentar
Deine E-Mail-Adresse wird nicht veröffentlicht.

Sie können folgende HTML-Tags benutzen:

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> 

*
*

Durch die weitere Nutzung der Seite stimmst du der Verwendung von Cookies zu. Weitere Informationen

Die Cookie-Einstellungen auf dieser Website sind auf "Cookies zulassen" eingestellt, um das beste Surferlebnis zu ermöglichen. Wenn du diese Website ohne Änderung der Cookie-Einstellungen verwendest oder auf "Akzeptieren" klickst, erklärst du sich damit einverstanden.

Schließen