Störerhaftung:Filesharing - Routerbesitzer müssen Passwort nicht ändern

Freie Bahn für die Funkwellen - Erste Hilfe gegen WLAN-Störungen

Wlan-Passwörter sollten "marktüblich sicher" sein.

(Foto: dpa-tmn)
  • Private Wlan-Betreiber haften nicht, wenn Dritte ihren Anschluss für illegale Aktivitäten missbrauchen. Voraussetzung dafür ist ein sicheres Routerpasswort.
  • Das BGH-Urteil könnte Abmahnkanzleien den Job erschweren.

Von Sebastian Gluschak

Wenn über ihr Wlan illegal urheberrechtlich geschütztes Material verbreitet wird, haben Besitzer von Routern eine Sorge weniger. Der Bundesgerichtshof (BGH) hat am Donnerstag zur Störerhaftung entschieden, dass private Netzbetreiber in Zukunft das Passwort unverändert weiternutzen können, mit dem ihr Router ausgeliefert wird. Das gilt zumindest dann, wenn der Hersteller das Passwort individuell vergibt und dabei aktuelle Sicherheitsstandards einhält.

Bisher war es Auslegungssache, ob ein Wlan-Betreiber, der das Passwort nicht änderte, seiner Prüfungspflicht nicht nachkam - also haftete - oder nicht. Im bislang gültigen Urteil war lediglich eine "marktübliche Sicherheit" des Passworts vorgeschrieben. Ob eine Werkseinstellung dazu zählt, war unklar.

Zum Glück wurden 16-Zeichen-Passwörter Standard

Die Richter haben nun geurteilt: Wenn kein Anlass besteht, die Sicherheit des werkseitig vergebenen Passworts anzuzweifeln, also davon auszugehen ist, dass es dem aktuellenStand der Sicherheitstechnik entspricht, muss der Besitzer es auch nicht ändern.

In der vorherigen BGH-Entscheidung von 2010 ging das Gericht von damaligen Passwortstandards der Routerhersteller aus. Und die waren teils schwach. Sie vergaben leicht zu knackende Kombinationen wie die achtfache Null oder nutzten Passwörter mehrfach. Mittlerweile ist das Sicherheitsbewusstsein der Hersteller gestiegen. Individuell vergebene Passwörter mit 16 oder mehr Zeichen und relativ stabiler WPA2-Verschlüsselung gelten als Standard.

Der aktuelle Fall geht aus einer Abmahnklage vor. Anwälte hatten im Auftrag der Rechteinhaber eine Hamburgerin abgemahnt, über deren IP-Adresse der Film "Expendables 2" ins Netz hochgeladen worden war. Sie sollte 750 Euro zahlen. Doch der Upload kam nicht von ihr - die Angeklagte wies jede Schuld von sich und behauptete, eine unbekannte Person hätte ihr Wlan geknackt und missbraucht.

Kleiner Schlag gegen die Abmahnindustrie

Weil die Frau die Mahnungszahlung verweigerte, musste sie vor Gericht. Die Streitfrage war: Hätte sie die Werkseinstellung - das leicht zu knackende Passwort - ändern müssen?

Der BGH sagt nun: Nein, musste sie nicht. Zuvor hatten schon Amtsgericht und Landesgericht in Hamburg die Klage abgewiesen. Begründung: Das Passwort habe nicht die "marktübliche" Sicherheit besessen, wie es der Präzedenzfall von 2010 vorgibt.

Der Düsseldorfer IT- und Medienanwalt Jean Paul Bohne liest im Urteil des Bundesgerichtshofs eine grundlegende Entscheidung. "Die Beklagte musste laut der Pressemitteilung ihre Unschuld nicht vollständig beweisen. Es reichte dem Gericht, dass sie behauptete, ihr Passwort sei sicher gewesen." Das erhöhe die Beweislast für den Kläger und könne als Schlag gegen die Abmahnindustrie gewertet werden. Die schriftliche Erklärung zum BGH-Urteil wird in den nächsten Wochen erwartet.

"Wardriver" hacken Wlan-Router

Ein besonderer Umstand erschwerte in diesem Fall die Beurteilung der Wlan-Sicherheit: Das Passwort des Alice-Routers der Beklagten war entgegen der Produktbeschreibung alles andere als individuell. Dem Hersteller war ein Fehler unterlaufen.

"Die Alice-Router mit den Modellnummer 6431, 4421 und 1421 besaßen Passwörter, die durch einen Algorithmus miteinander verknüpft waren" erklärt Sicherheitsspezialist Hanno Heinrichs, der 2014 die Sicherheitslücke entdeckte und öffentlich gemacht hatte. Hunderttausende Router waren betroffen. "Der Algorithmus basierte auf der MAC-Adresse des Routers, welche öffentlich zugänglich ist. Diese wurde verknüpft mit einer Seriennummer, wovon lediglich 3 Ziffern unbekannt waren." Das habe die Zahl der möglichen Passworte auf 1000 Möglichkeiten reduziert. Mit einfachen Gratisprogrammen und "rudimentärem Programmierverständnis" hätte man sich Zugang verschaffen können, sagt Heinrichs. "Wardriver" nennt man solche Wlan-Hacker.

Der BGH sagt nun: Die Beklagte habe keinen Anlass gehabt, die Passwortsicherheit anzuzweifeln. Erst rund ein Jahr nach dem Hack informierte der zuständige Netzbetreiber O2-Telefonica seine Kunden über die Sicherheitslücke.

Mit der Störerhaftung mussten sich deutsche Gerichte in den vergangenen Jahren öfter beschäftigen. Die Kernfrage: Wer haftet, wenn jemand über einen fremden Wlan-Anschluss gegen Urheberrecht verstößt, etwa Blockbuster zum Tausch anbietet? Der Anschlussinhaber - der sogenannte Störer, auf dessen IP-Adresse die Tat zurückzuführen ist - oder der eigentliche Täter? Das Feld blieb eine Grauzone. Das Urteil vom Donnerstag lässt auf mehr Klarheit hoffen.

Allerdings müssen Anschlussinhaber nach wie vor nachweisen, dass ihr Wlan gehackt wurde, was schwierig ist. Anwalt Bohne sagt: "Massenabmahnungen sind weiterhin ein Geschäftsmodell." Das aktuelle Urteil jedoch sei ein wichtiger Schritt.

Zur SZ-Startseite

Lesen Sie mehr zum Thema

Jetzt entdecken

Gutscheine: