Computerviren - eine etwas andere betrachtung

Theo Christoph

Auf Mitte des Jahres 1993 labt sich der beginn meiner intensiven beschaftigung mit Computerviren zuruckdatieren. Dabei haben naturgemab technische Fragestellungen einen groben Raum eingenommen haben, denn eben diese haben nicht zuletzt das ursprungliche Interesse an der Thematik geweckt. Insofern habe ich das Angebot der Firma Kaspersky Lab (Moskau), an dieser Publikation als Autor mitzuwirken, gern und dankend angenommen.

In diesem beitrag soll einmal nicht technisch-organisatorischen Fragestellungen, wie

- Funktion von Computerviren

- Schutzmabnahmen etc. das Hauptaugenmerk gelten. Ich mochte vielmehr Themen anschneiden, welche regelmabig eher kaum beachtung finden und wie Erfahrungen aus zahlreichen Gesprachen zeigen, auch im bewubtsein potentiell betroffener - Personen wie auch Unternehmen - eher unterreprasentiert sind:

- Wer ist im Schadensfall haftbar und in welcher Hohe ?

- Lassen sich Schaden durch Computerviren versichern ?

Einiges zu Tendenzen

Einem 1993 veroffentlichten beitrag [1] gab Prof. brunnstein von der Universitat Hamburg den bezeichnenden Titel |Computerviren und andere bosartige Software - Tschernobyl der Informationstechnik ?“ und formulierte den Anspruch, dab die Hersteller von Computersystemen und Software perspektivisch starker dem Sicherheitsaspekt Rechnung tragen mussen.

Der Anspruch: bosartige Software - Malware - sollte also perspektivisch in immer geringerem Mabe eine bedrohung fur

- die Vertraulichkeit

- die Korrektheit

- die Verfugbarkeit

- und die Verlablichkeit

- unserer Daten darstellen.

Vom vorgenannten Anspruch sind wir heute wohl eher weiter entfernt, als vor 6 Jahren. Nicht zuletzt dazu beigetragen haben die sturmische Entwicklung des Internet und die Ubertragung von Internet-Technologien (Transportmechanismen, Dienste, Darstellungsformate) auf interne Unternehmensnetze (Intranet). belegt wird dies u. a. in einer Studie der National Computer Security Association von 1995, nach welcher Unternehmen mit Internetzugang etwa acht Mal haufiger Opfer von externen Mibbrauchsversuchen werden, wie Unternehmen ohne Internetzugang. Eine schon 1994 veroffentlichte Studie des Departments of Counterintelligence and Security des amerikanischen Verteidigungsministeriums (DoD) besagt, dab von auben vorgetragene Angriffe auf interne Datennetze zu 80% uber das Internet erfolgen. Malware (Viren, Trojaner, backdoor-Programme) ordnet sich |problemlos“ in diesen Kontext ein. Mit der Ubertragung von Internet-Technologien auf interne Netze konnen naturlich auch die Angriffsmethoden, Werkzeuge etc. ubertragen werden.

Schaden durch Computerviren

Die tatsachliche Haufigkeit von Virenvorfallen labt sich nur schwer abschatzen, da aus nachvoll-ziehbaren Grunden Unternehmen eine Pubizitat derartiger Vorgange meist zu vermeiden suchen. Information uber Schadenshohen und die Entwicklung der letzten Jahre finden sich bspw. in [2].

Das es zur Klarung von Haftungsfragen nach Virenbefall zum Gerichtsentscheid kommt, darf bisher als seltene Ausnahme betrachtet werden (s.u.). Zu beobachten ist aber, dab Unternehmen in potentiellen Haftungssituationen - auch bei damit verbundenen finanziellen Verlusten - schnell und konsequent reagieren. So hat lt. eigener Stellungnahme im Herbst vergangenen Jahres ein nahmhafter Verlag die komplette Auflage eines buches zuruckgerufen, da sich auf der beiliegenden CD-ROM der CIH-Virus befand.

Haftung von Mitarbeitern, Managern und Unternehmen

Es darf von folgender Konstallation ausgegangen werden:

- leichteste Fahrlassigkeit: keine Haftung

- leichte Fahrlassigkeit: verminderte Haftung

- grobe Fahrlassigkeit/Vorsatz: volle Haftung

Das Problem besteht in der Abgrenzung zwischen den einzelnen Haftungsgraden, deren Feststellung bezogen auf den jeweiligen Fall erfolgen durfte. Das haufig verwendete beispiel, dab ein Mitarbeiter ein Computerspiel |von zu Hause“ mitbringt, auf einem Firmencomputer laufen labt und dadurch eine Virusinfektion des gesamten Netzes verursacht mit daraus resultierendem Schaden, durfte schwerlich ohne Haftung abgehen. Gibt es daruberhinaus verbindliche Weisungen - und solche sollte es geben -, welche die Verwendung von Fremddatentragern/Fremdprogrammen untersagen, so ist von grober Fahrlassigkeit auszugehen und der Mitarbeiter haftet voll - mit seinem Privatvermogen !!

Von Vorsatz ist schon dann auszugehen, falls ein Mitarbeiter einen Schaden vorausgesehen hat, aber nichts unternahm, um den Eintritt desselben abzuwenden.

Mitglieder der Geschaftsfuhrung von Unternehmen und fur die Datenverarbeitung Verantwortliche unterliegen personliche Sorgfaltspflichten, zu denen je nach Aufgabenzuordnung auch geeignete Mabnahmen gegen Computerviren gehoren. Werden letztere nicht getroffen, so konnen sie personlich zur Verantwortung gezogen werden. Dies betrifft sowohl zivilrechtliche Anspruche aus der Innenhaftung (schuldhafte Verletzung des Anstellungsvertrages), als auch strafrechtliche Risiken bei vorsatzlichem Handeln.

Schon die Einhaltung der Grundsatze der ordnungsgemaben Datenverarbeitung (GoDV) [2] dient der Verhinderung von Schadensfallen und der Abwendung von Haftungsrisiken, auch wenn manche nicht gern daran erinnert werden.

Haftung gegenuber Dritten

Kann ein Auftraggeber eine Virenverseuchung seiner Computer oder bspw. von in seinem Auftrag gefertigter Datentrager durch einen Auftragnehmer nachweisen, so kann sich der Auftragnehmer Gewahrleistungs- und Haftungsanspruchen seitens des Auftraggegbers ausgesetzt sehen. Forderungen aus Gewahrleistungsanspruchen sind meist klar abzugrenzen, da diese sich auf die Wertminderung beziehen. Aber auch dies kann schon zu existentiellen Problemen fuhren, falls bspw. wie vorgekommen ein kleines Unternehmen einige zig-tausend im Auftrag produzierte CD-ROM verwerfen mub, da sich ein Virus eingeschlichen hatte.

Schwieriger abzuschatzen und i. d. R. grober ist das finanzielle Risiko, welches aus Folgeschaden auf Grund des Mangels (Virusinfektion -> Nutzungsausfall, Datenverlust, ...) resultiert. Die Frage ist, unter welchen Umstanden auch eine verschuldensunabhangige Haftung eintreten kann (bspw. im Falle der Lizensierung von Software).

Ein sehr interessanter und offensichtlich deshalb in der Literatur haufig zitierter Fall ist die Duplikation von 20.000 Disketten auf Grundlage einer vom Auftraggeber freigegebenen Masterdiskette. Diese Disketten wurden vom Auftraggeber an Endkunden mit einem bootvirus ausgeliefert. Das zustandige Gericht entschied, dab sich der Auftraggeber nicht auf Gewahrleistungsanspruche gegenuber dem Auftragnehmer (Duplizierfirma) berufen kann. Das Gericht ging davon aus, dab die Leistung (Duplizieren) als genehmigt gem. § 377 Abs. 2 HGb zu betrachten ist, da der Auftraggeber die Moglichkeit zur unverzuglichen !!, wenigstens stichprobenartigen Untersuchung auf offene Mangel hatte und die Virusinfektion erst beim Endkunden festgestellt wurde. Die Frage, wer die Einbringung des Virus zu verantworten, war dabei fur das Gericht unerheblich !

Das aber auch die Rechtsprechung die sogenannte herrschende Meinung immer wieder uberraschen kann, zeigt sich in einem Urteil des bGH aus dem Jahr 1996. In diesem Fall ging es nicht um Computerviren, es lassen sich aber Analogien fur den Fall der Installation virusinfizierter Software durch eine Auftragnehmer herstellen. Im vorliegenden Fall wurde bei einem Kunden ein Programm von einer alten auf eine neue Computeranlage umgestellt. bestandteil des Programms war ein Sicherungsmodul, welches aber auf dem neuen System nicht funktionierte. Dies wurde aber erst bemerkt, als nach einem !! Jahr die Festplatte absturzte und eine Wiederherstellung der Daten vom band nicht gelang, da es keine Daten enthielt. Obwohl hier vom Kunden offensichtlich ein Jahr !! lang keine Uberprufung der Datensicherung vorgenommen wurde, konnte er nach Meinung des bGH einen Schadensanspruch noch geltend machen.

Aus der Sicht des Gerichtes war entscheidend, dab nach seiner Auffassung die Uberprufung der Datensicherung nach der Installation des neuen Systems einseitig in der Pflicht des Auftragnehmers lag. Damit verschiebt sich die beweislast klar auf den Auftragnehmer. Es bleibt dem Leser uberlassen, die Frage der Installation nicht auf Viren geprufter Software - auch die Vornahme einer Prufung mub erst einmal bewiesen werden - auf vorliegenden Fall gedanklich zu ubertragen. Der Fall enthalt noch einige weitere |Harten“ betr. der Risikoverlagerung zum Auftragnehmer, kann aber in diesem Rahmen nicht weiter ausgefuhrt werden.

3. Computerviren und Versicherung

Gleich vorab: Eine spezielle Versicherung gegen Computerviren ist dem Autor nicht bekannt. Die nachfolgende Ubersicht erhebt keinen Anspruch auf Vollstandigkeit, sondern kann die genannte Fragestellung nur anreiben.

Die Frage lautet: Gibt es Moglichkeiten, im Rahmen von bekannten EDV-Versicherungen das aus einer moglichen Virusinfektion resultierende Risiko abzudecken.

Ein virenbedingter Ausfall der Datenverarbeitungsanlage geht i. d. R. mit einer Unterbrechung des betrieblichen Geschehens einher. Da in der betriebsunterbrechungs-Versicherung das versicherte Risiko der Sachschaden an der Anlage (Zerstorung oder beschadigung |der Sache“ durch ein unvorhergesehnes Ereignis, gleichgestellt sind Diebstahl/Unterschlagung) ist, bietet diese Versicherung i. d. R. keinen Schutz gegen Schaden aus einem Virenbefall (solange nicht auch die Hardware beschadigt wird).

Eine Datentragerversicherung umfabt auswechselbare !! Datentrager, also bspw. keine fest eingebauten Festplatten und leistet nur Ersatz, wenn mit dem Verlust oder der Veranderung von Daten auch ein ersatzpflichtiger Schaden an dem betroffenen Datentragermaterial ! entstanden ist. Also auch hier ist davon auszugehen: Kein Schutz gegen Schaden durch Computerviren.

Die Computermibbrauchsversicherung deckt Schaden, die ein Arbeitnehmer des Versicherungsnehmers vorsatzlich und rechtswidrig anrichtet (durch Verandern, Loschen, beschadigen von Programmen/Daten), um sich an den Vermogenswerten des Arbeitgebers zu bereichern. Dem bereicherungszweck konnen Viren ublicherweise nicht dienen, auch wenn man sich manches in dieser Richtung ausdenken konnte. Zu beachten ist, dab nicht der angerichtete Schaden ersetzt wird, sondern der durch den Mitarbeiter rechtswidrig erlangte Geld- bzw. Vermogenswert. Nicht zuletzt mub der Versicherungsnehmer nachweisen, dab der Schaden durch seinen Arbeitnehmer verursacht wurde. Mit Vorgenanntem ist das mogliche Eingreifen einer Computermibbrauchsversicherung bei Virenschaden stark eingeschrankt. Ganzlich fallt die Computermibbrauchsversicherung bei der Einwirkung eines Dritten von auberhalb aus. Fur den Fall einer Einwirkung von auberhalb kann noch die Datenmibbrauchsversicherung betrachtet werden. Auch hier gilt die starke Einschrankung, dab der Dritte sich vorsatzlich und rechtswidrig an den Vermogenswerten des Versicherungsnehmers bereichern mub und es wird nur der abhandengekommene Geld- oder Vermogensbetrag ersetzt.

Zusammenfassend kann gesagt werden, dab eine Risikominderung hinsichtlich Virenschaden durch eine Versicherung offensichtlich nicht erreicht werden kann. Die volle beweislast liegt beim Versicherungsnehmer.

Anhang

Absicht des Autors war es, Themen anzusprechen, welche im Zusammenhang mit der Problematik Computerviren nur selten und untergeordnet eine Rolle spielen. Wenn eine Sensiblisierung von Lesern - dort wo vielleicht die Sachlage noch nicht so bewubt war - in entsprechenden Tatigkeits- bzw. Verantwortungsbereichen bewirkt wurde, wurde dies mich freuen. Fur weitergehende Informationen mub auf einschlagige Fachliteratur und Experten verwiesen werden. Die Inhalte wurden sorgfaltig zusammengestellt, es wird aber keinerlei Gewahr ubernommen.

Die evtl. Verwendung von Marken, Warenzeichen usw. berechtigt auch ohne besondere Kennzeichnung nicht zu der Annahme, dab solche Namen im Sinne der Warenzeichen- und Markengesetzgebung als frei zu betrachten waren und daher von jedermann benutzt werden durfen.

Theo Christoph, URL: www.avp-de.com

Literaturverzeichnis

[1] brunnstein, |Computerviren und andere bosartige Software“, Computerreport der Neuen Juristischen Wochenschrift (NJW-CoR), 7/1993, S. 456...

[2] Kyas, |Sicherheit im Internet“, Internat. Thomson Publ., 1998, 2. Aufl., S. 221...

[3] Schuppenhauer, |Grundsatze der ordnungsgemaben Datenverarbeitung“