[dv-versand]

Immer wieder aktuell

Gelesen in PC-Welt

Zitat:

Was tun, wenn das eigene Passwort ausspioniert und missbraucht wurde? PC-WELT Online beleuchtet die rechtliche Seite des Problems.

Ohne Passwörter geht fast nichts mehr im Internet-Alltag – egal ob Online-Abo, Internet-Banking oder Kaufen und Verkaufen über Ebay. Deswegen sollte man gut auf sie aufpassen und sie nicht an andere Anwender weitergeben.

Egal ob Phishing, Deeplinks oder Trojaner – der Dumme ist immer der Besitzer des Passworts und der Anbieter der Site. Denn die Rechtslage ist alles andere als eindeutig und noch schwieriger ist es in vielen Fällen, die Täter zu ermitteln. Wir haben mit Rechtsanwalt Johannes Richard ( www.internetrecht-rostock.de ) gesprochen.

Die Polizei kann weiterhelfen

PC-WELT: Ich bemerke, dass offenbar jemand widerrechtlich und ohne mein Wissen eines meiner Passwörter genutzt hat. Was kann ich tun, außer es schnellstmöglich zu ändern?

Johannes Richard: Erstatten Sie sofort Strafanzeige bei der Staatsanwaltschaft oder einer Polizeistation in Ihrer Nähe. Nur die Strafverfolgungsbehörden erhalten vom Betreiber einer Seite IP-Adressen, soweit diese gespeichert worden sind. Mit etwas Engagement ist es der Staatsanwaltschaft so relativ einfach möglich, den hinter der IP-Adresse liegenden Anschluss zu ermitteln. Dies macht natürlich nur dann Sinn, wenn der Anschluss in Deutschland ist.

PCW: Doch es gibt ja auch den umgekehrten Fall: Zwei Freunde teilen sich ein Passwort für einen bestimmten Content-Zugang, etwa für einen Online-Content einer Zeitschrift. Ist das legal? Denn eigentlich kann man ja auch sein Heft im Bekanntenkreis verleihen.

JR: Das kommt darauf an, was der Diensteanbieter in seinen Nutzungsbedingungen schreibt. Viele Anbieter schreiben explizit in die Bedingungen, dass ein Online-Abo an eine Person gebunden ist. Die Begründung, ein Heft könne man ja auch verleihen, zieht da sicherlich nicht. Jeder Anbieter einer Leistung kann hierfür seine eigenen Regeln festsetzen. Und wenn ein Anbieter mitbekommt, dass sein Passwort doppelt genutzt wird, wird er in der Regel die Möglichkeit haben, den Vertrag zu kündigen.
Theoretisch besteht sogar die Möglichkeit, einen Schadenersatzanspruch geltend zu machen.

Möglicherweise strafrechtlich relevant

PCW: Folglich ist es sicher auch nicht legal, wenn Passwörter in Foren getauscht werden? Was kann das für Folgen haben.

JR: Der reine Tausch von Passwörtern kann eine Beihilfe zum Computerbetrug gemäß § 263 a StGB darstellen. Beim Computerbetrug geht es darum, dass man einen sogenannten Vermögensvorteil erhält, weil man unbefugt Daten verwendet. Bei der Nutzung fremder Passwörter liegt sicherlich eine unbefugte Datenverwendung vor. Dies kann mit einer Freiheitsstrafe bis zu 5 Jahren oder mit Geldstrafe bestraft werden.Hinzu kommen Schadenersatzansprüche des Diensteanbieters.

Dabei dürfte es im Übrigen keinen großen Unterschied machen, ob es eigene oder fremde Passwörter sind, die getauscht werden. Auch kann der Diensteanbieter Schadenersatzansprüche geltend machen, wenn Dritte einen kostenpflichtigen Content benutzen, ohne dafür selbst zu zahlen. Voraussetzung ist natürlich, dass der Täter überhaupt ermittelt wird. Dies dürfte in Tauschbörsen schwierig, aber sicherlich nicht unmöglich sein, wie einige aktuelle Prozesse zeigen.

PCW: Wie sieht es mit dem Editieren von Cookies aus oder bei Strategien, bei denen der Anwender mit Deep Links arbeitet?

JR: Auch das Editieren von Cookies kann ein Computerbetrug gemäß § 263 a BGB darstellen. Dies kann eine unrichtige Gestaltung des Programms oder eine unbefugte Einwirkung auf den Ablauf eines Programms darstellen. Bei der Verwendung von Deep Links hängt die Frage sicherlich vom Einzelfall ab und von der Frage, wie der Content eigentlich geschützt ist.

Jeder hinterlässt Spuren

PCW: Wie wahrscheinlich ist es denn, dass ein Anwender für so etwas zur Rechenschaft gezogen wird?

JR: Anwender sollten sich darüber im Klaren sein, dass Sie eine Vielzahl von Spuren hinterlassen, wenn sie irgendwo surfen. Insbesondere die IP-Adresse ist ein perfektes Mittel, um den Internetnutzer personalisieren zu können. Ich bin immer wieder erstaunt, wie gut es der Staatsanwaltschaft gelingt, bei Computerbetrugsdelikten über die IP-Adresse den Täter festzustellen. Deswegen wäre es sicher leichtsinnig, zu denken, man könne Ihnen nichts nachweisen.

PCW: Was kann ein Anwender tun, der mit seinen eigenen Daten nicht mehr an Inhalte rankommt, für die er bezahlt hat? Darf der einfach irgendwelche Hintertürchen nutzen? Er hat ja schließlich ein Anrecht auf die bezahlte Leistung.

JR: In diesem Fall Hintertürchen oder fremde Passwörter zu benutzen, halte ich für äußerst problematisch. Der Anwender sollte sich lieber mit dem Betreiber in Verbindung setzen, sein altes Passwort sperren lassen und sich ein neues Passwort auf einem sicheren Wege zukommen lassen. Das mag einige Zeit dauern, kann aber möglicherweise Ärger ersparen.

Auch Anwender haben Pflichten

PCW: Ein ernsthaftes Problem haben auch Banken, Onlineauktionshäuser, etc. bei denen es um Geld geht. Kriminelle, die meist im Ausland sitzen, versuchen an gültige Passwörter von Anwendern zu kommen, die ihre Zugangsdaten oft arglos auf deren Site angeben, im Glauben, auf der Site des Diensteanbieters zu sein. Phishing ist hier das Stichwort. Wie stehen die Chancen, dass diesem Passwortklau ein Riegel vorgeschoben wird?

JR: Das Problem in diesen Fällen ist, dass die Täter oftmals im Ausland sitzen. Sie sind - wenn überhaupt - nur schwierig zu ermitteln. Inwieweit die Strafverfolgungsbehörden im Ausland hier effektiv durchgreifen können, ist ebenfalls ungewiss. Strafrechtlich handelt es sich hier um einen Betrug, da der Nutzer unter Vorspiegelung falscher Tatsachen dazu verleitet wird, seine persönlichen Zugangsdaten einzugeben. Gegebenenfalls kommen Schadenersatzansprüche gegen den Betreiber der Dienstleistung in Betracht, wenn dessen Sicherheitsmaßnahmen nur lückenhaft waren.

PCW: Aber hat nicht auch der Anwender Pflichten in Bezug auf das Erstellen und Verwahren seiner Passwörter?

JR: Wichtig ist auch hier das Kleingedruckte in den Allgemeinen Geschäftsbedingungen zu lesen. Einige Betreiber schreiben - zu Recht - vor, dass der Anwender seine Passwörter regelmäßig zu wechseln hat. Wer zudem seine Passwörter nicht sicher verwahrt, sondern diese in einer Datei auf seinem Rechner unverschlüsselt ablegt, wird sicherlich mit einem erheblichen Mitverschulden zu rechnen haben. Eine Nutzung dieser Passwörter ist jedoch auf jeden Fall strafbar.