Kategorie: Cybercrime Blog

Rechtliche Implikationen aus der Log4J / Log4Shell Lücke

Eine der sicherlich herausragendsten Sicherheitslücken in diesem Jahrzehnt ist schon jetzt die Log4Shell-Sicherheitslücke, die zunehmend massiv ausgenutzt wird – ich hatte, wie üblich, auf LinkedIn frühzeitig dazu berichtet. Nun langsam, nachdem die Lücke bekannt ist und auch nicht nur in Teilen sondern massiv ausgenutzt werden kann und wird, stellt sich natürlich die Frage, was an rechtlichen Konsequenzen damit verbunden ist. Wie immer gilt: Es kommt drauf an.

Tatsächlich zeigt sich, dass die Lücke einige – vorhersehbare – Konsequenzen hat; viel interessanter ist, dass sich Datenschutzbehörden bereits postieren und auch anlasslose Kontrollen angekündigt haben. Dies nicht nur für Log4J speziell, sondern für Ransomware allgemein.

Rechtliche Implikationen aus der Log4J / Log4Shell Lücke weiterlesen

Markenrecht und IT-Strafrecht: Strafbare Kennzeichenverletzung durch Parallelimport und Rebundling

Vorsicht ist geboten bei einem zu leichtfertigen Umgang mit fremder Markenware. Wer etwa im geschäftlichen Verkehr zwar originale Markenware zum Weiterverkauf erwirbt, diese aber ohne Zustimmung des Markeninhabers einführt (etwa von ausserhalb des europäischen Wirtschaftsraums nach Deutschland) macht sich strafbar. Die klassische Verteidigungspositionen an dieser Stelle hilft selten weiter; so wird typischerweise vorgebracht, dass auf Grund eingetretener Erschöpfung gar kein Markenverstoss vorliegt, jedenfalls dass man an eine Zustimmung und im Übrigen Berechtigung geglaubt hat. Dies wird letztlich dann als Verbotsirrtum einzustufen sein, bei dem entsprechend §17 StGB zu fragen ist, ob er vermeidbar ist (dazu Bomba, GRUR 2013, S.1007). Die Anforderungen sind hier sehr hoch, insbesondere wird hierbei die „Konsultation eines erfahrenen Anwalts“ verlangt.

Schwierig wird es auch beim „Rebundling“ von Software, wenn also z.B. originale Echtheitszertifikate mit originalen Datenträgern (etwa OEM-Datenträger) auf eine neue Art miteinander verknüpft werden. Der BGH hatte hierzu bereits festgestellt, dass dies zivilrechtlich nicht zulässig ist – strafrechtlich droht hier neben einer Strafbarkeit nach dem Markengesetz auch eine solche nach §267 StGB wegen einer Urkundenfälschung (so Bomba, GRUR 2013, S.1010).

Beim Parallelimport, aber auch beim Verkauf gebrauchter Software, gilt es daher aufzupassen, um Strafbarkeitsrisiken zu vermeiden.

EU-Digitalstrategie

Die EU-Digitalstrategie ist eine Idee der EU-Kommission, mit dem Ziel, „das kommende Jahrzehnt zur digitalen Dekade Europas zu machen“. Ziel sind der Ausbau der digitalen Souveränität Europas sowie Aufbau eigener Standards. Der Schwerpunkt liegt in den groben Themenbereichen Daten, Technologie und Infrastruktur.

EU-Digitalstrategie weiterlesen

Bundesjustizministerium zu den weiteren Entwicklungen im IT-Sicherheitsrecht – Ausblick auf die Gesetzgebung im Cybercrime 2019

Im Nachgang zu dem „Doxing-Skandal 2018/2019“ hat das Bundesjustizministerium im Januar 2019 ein Thesenpapier veröffentlicht (unten als Download), dem weitere Maßnahmen einer eventuellen zukünftigen Gesetzgebung im Bereich IT-Sicherheit zu entnehmen sind. Dies sind in aller Kürze:

  • IT-Sicherheit mit Updateverpflichtung: Es soll EU-weit einheitliche und rechtlich verbindliche Standards geben, die den Herstellern und Diensteanbietern klare Anforderungen zur IT-Sicherheit auferlegen. Diese Standards sollten über die gesetzlichen Mindestanforderungen hinausgehen und eine mehrjährige Update-Verpflichtung des Herstellers enthalten.
  • Produkthaftung: Auch fehlerhafte Software soll unter das Produkthaftungsregime fallen und mangelnde IT-Sicherheit muss einen Produktfehler begründen. (Hinweis: Grundsätzlich gilt die Produkthaftung auch jetzt bei Software)
  • Stärkung im Datenschutz: Es soll eine Stärkung der Datenschutzbehörden erfolgen (fraglich wie, es geht um Landesbehörden, wo der Bund nicht wirklich eingreifen kann). Weiterhin soll ein verbesserter Schutz in die EU-ePrivacy-Verordnung (was auch skeptisch gesehen werden kann, nach meiner Wahrnehmung blockt genau hier die deutsche Regierung?).
  • Wettbewerbsrecht: Es soll ausdrücklich die Anwendbarkeit des Gesetzes gegen den unlauteren Wettbewerb auf Datenschutzverstöße klargestellt werden: „Wenn Daten von Verbraucherinnen und Verbrauchern missbräuchlich verwendet wurden und dadurch Gewinne erzielt werden, dann dürfen diese nicht bei dem bleiben, der das Recht verletzt hat.“. Hier wird fraglich sein, ob man wenigstens so klug ist, nur bestimmte Verstöße/Klauseln dem UWG zu unterstellen – oder ob am Ende dann doch massenhaft Abmahnungen wegen Formfehler in Datenschutzerklärungen auf Webseiten folgen können. Wichtig ist auch, dass man über das Instrument der „Gewinnabschöpfungsklage“ nachdenkt.
  • Online-Dienste in die Pflicht nehmen: Eher unscheinbar ist der Satz „Ein gehacktes Nutzerkonto bei einem Online-Dienst muss schnell und unkompliziert gesperrt werden können.“. Gemeint ist aber wohl, dass Online-Dienste klare Ansprechpartner mit kurzen Reaktionszeiten bereit halten müssen. Es bleibt abzuwarten ob man das wirklich angeht in einer Zeit, in der es als Erfolg verbucht werden muss, dass man bei Google überhaupt mal Mails liest.
  • Long Term Support: Ich bin mir nicht sicher, man schreibt unter dem Stichpunkt nachhaltige Sicherheit „Durch das Auslaufen des Software-Supports werden zum Teil Neuanschaffungen erzwungen“ und möchte erreichen, dass Software länger gepflegt wird. Ich vermute, dass für bestimmte Bereiche eine Art LTS begründet werden soll, wobei kritische Systeme schon heute langjährige Pflegepakete haben (und man oben ja schon die Updateverpflichtung angesprochen hat). Hier ist mir nicht ganz klar, wo man hin will … durch den pauschalen Verweis auf die EU könnte es sich aber auch mehr um einen unkonkreten Fülltext handeln.

Für mich zeigt sich eines deutlich mit der nunmehrigen Liste des BMJV: So unverbindlich es klingt, darf man wohl davon ausgehen, dass wir zeitnah ein IT-Sicherheitsgesetz 2 erleben werden. Dieses dürfte sich auf Online-Dienste und Softwareregeln konzentrieren. Weiterhin wird der deutsche Gesetzgeber – das macht er nun mal am liebsten – versuchen die Sanktionsschraube zu drehen. Schon fast unweigerlich dürften daher Klarstellungen im UWG zu erwarten sein, damit DSGVO-Verstöße dann definitiv erfasst sind. Datenschutzrecht und Softwarerecht werden den Bereich der IT-Sicherheit möglicherweise beherrschen, jedenfalls verstehe ich so die hier vorgenommenen Ankündigungen.

Ermittlungsverfahren wegen des Kaufs von gebrauchter Software oder Productkeys

Da kauft man sich eine gebrauchte Software im Internet bei einem Händler – und bekommt plötzlich Post von der Polizei oder Staatsanwaltschaft. So kann es leider geschehen, denn es gibt durchaus Fälle, in denen arglose Käufer mit strafrechtlichen Ermittlungsverfahren konfrontiert sind. Die Erfahrung zeigt allerdings, dass hier eher schnell als langsam eine Einstellung mangels Tatverdacht zu erreichen ist, wobei je nach Staatsanwaltschaft aber diverse befremdliche Diskussionen geführt werden müssen – etwa wenn ein Staatsanwalt meint, der isolierte Erwerb eines Productkeys sei per se verdächtig. Weiterhin überfordern die zugehörigen Marken- und urheberrechtlichen Fragen mitunter die Ermittlungsbehörden, was allerdings als Risiko einer Fehlerquelle zu sehen ist und nicht als Potential dass sich zu Gunsten des Beschuldigten auswirkt!

Betroffene sollten ruhig bleiben, Panik ist fehl am Platz, jedenfalls in den typischen Sachverhalten besteht zudem erhebliches Verteidigungspotential. Es kommt aber wie immer stark auf den jeweiligen Einzelfall an, durch einen erfahrenen Strafverteidiger sollte die Ermittlungsakte angefordert werden um sodann die Sach- und Rechtslage zu bewerten.

Im Übrigen werden zum Thema diverse Informationen auf unserer Webseite angeboten:

Amtsgericht Göttingen: SIM-Lock entfernen ist strafbar

Nach dem AG Nürtingen hat nun auch das Amtsgericht Göttingen (62 DS 106/11) festgestellt, dass das Entfernen eines SIM-Lock eine Strafbarkeit, nämlich wegen Fälschung beweiserheblicher Daten (§269 StGB) sowie Datenveränderung (§303a StGB) darstellt. Laut ersten Presseberichten ist das Thema damit aber erst der Auftakt, der Strafverteidiger hat wohl angekündigt, die nächste Instanz zu beschreiten.

Das Thema bleibt spannend, speziell da inzwischen das Entfernen des SIM-Locks ein finanzstarker Markt geworden ist: In Fällen wie den hier verhandelten bietet jemand gegen Bezahlung die Entfernung von SIM-Locks an. Es geht also nicht um den Privatnutzer, der auf Grund einer Anleitung aus dem Internet selber entsperrt, sondern um das gewerbliche Handeln, auch wenn es materiell-rechtlich keinen Unterschied im Rahmen der §§269, 303a StGB darstellt warum man den SIM-Lock entfernt.

Hinweise: Es gibt auch andere Entscheidungen dieser Art. So erwirkte die Staatsanwaltschaft Augsburg einen Strafbefehl gegen eine Privatperson, die einen SIM-Lock entfernte. Der BGH stellte in einem zivilrechtlichen Verfahren (I ZR 13/02) fest, dass ein Handyhersteller Unterlassungsansprüche gegen jemanden hat, der eigenmächtig entsperrte Handys veräußern möchte, da eine Markenverletzung vorliegt (so auch OLG Frankfurt a.M., 6 U 68/01). Neben den oben benannten Normen des StGB sind immer auch markenrechtliche sowie urheberrechtliche Ansprüche zu bedenken, die nicht nur zivilrechtliche sondern mitunter auch strafrechtliche Folgen haben können. Dabei hat der BGH bereits klar gestellt, dass man sich weder auf eine Erschöpfung nach §24 MarkenG, noch auf eine Fehlerberichtigung nach §69d UrhG berufen kann (BGH, I ZR 255/02).

Amtsgericht Göttingen: SIM-Lock entfernen ist strafbar weiterlesen