Diverses - Sparte Rechtliches

Abmahnung wegen Open Source

Eingetragen am 11.02.2008

Open Source-Software oder Freeware erfreut sich steigender Beliebtheit, sind so doch Anwendungen für Laien möglich, die früher ansonsten nur Firmen realisieren konnten. Umfangreiche und komfortable CMS-Systeme oder Foren mit unglaublichen Funktionsunfang. Es werden keine Kenntnisse in PHP oder HTML benötigt, man muss lediglich mit seinem Computer umgehen können und ein Mindestverständnis mitbringen.
Aber Vorsicht, hier droht u.U. die teure Gefahr der Abmahnung oder sonstiger Rechtmittel!

Da erhält z.B. ein Hompagebetreiber eine teuere Abmahnung von seinem Webhoster, weil über seine Homepage zigtausende Spam-Mails verteilt wurden.
Ein teures unterfangen...
Wenn dann noch die Bespamten zu dem Mittel Abmahnung greifen, kann man innerhalb kürzester Zeit ruiniert sein.
Oder stellt euch vor, die Inhalte eurer Seite würden mit rechtswidrigen Inhalten gefüllt. Bis Ihr das merkt, ist u.U. euer Ruf ruiniert, habt vielleicht euren Job verloren...
... die vielleicht folgende Abmahnung ist dann nur noch das I-Tüpfelchen.

Was ist passiert?
Über eine Codeinjection wird in der OpenSource- oder Freeware Software ein Script eingeschleust, welches z.B. Spam-Mails über den Server des Homepagebetreibers versendet.
Dass man auf diese Weise die ganze Seite übernehmen kann und eigene Scripte laufen lassen kann, sei nur am Rande erwähnt.

Das funktioniert ganz einfach. Variablen aus Formularen werden übergeben und verarbeitet. Die Variable muss aber nicht von der Seite stammen, von der sie eigentlich kommen sollte, dies ist selbst vom lokalen Rechner aus möglich. Ich brauche als Url lediglich dies eingeben:
http://www.DeineDomain.de/script.php?Variable=Ich hackeDeineSeite.txt

Viele Webhoster kennen das Problem und haben ihre Server entsprechend konfiguriert, damit dies eben nicht möglich ist.
Aber etliche, darunter auch ganz Bekannte wahrscheinlich aus Gründen der Nutzerfreundlichkeit eben nicht.

In der Vergangenheit haben die OpenSource-Programmierer für mich ungeheuer schlampig gearbeitet. In 2006 wurden z.B. tausende eines beliebten Forums für rechtsradikale Inhalte missbraucht. Dies darf bei sauberer Programmierung einfach nicht passieren.
Meistens handelt es sich bei den OpenSource-Anwendungen um Anwendungen, die sich der Scriptsprache PHP bedienen. Hier kann man mit dem Befehl include andere Dateien in ein Script einfügen. Die Programmierer machten es sich einfach, ertellten eine Variable die andere Dateien includet. Man braucht also nur die Varibale in der o.g. Weise ansprechen und sein eigenes Script einfügen.
Mittlerweile sind die Programmierer schlauer geworden und haben viele Lücken geschlossen und programmieren die Software so, als hätte der Webhoster die gefährlichen PHP-Funktionen auf dem Server deaktiviert.

Das Problem OpenSource-Software:
Beschaut man sich den Code, ist dieser oft unglaublich kompliziert aufgebaut, es dauert manchmal mitunter Tage oder Wochen, bis man durch die Code-Struktur durchblickt. Klar, die Entwicklergemeinde versucht Sicherheitslöcher zu stopfen, aber hier und da verbleibt eine unentdeckte gefährliche Variable.
Da der Code für jeden einsehbar ist, können hier Ganoven ganz einfach auf die Suche nach Schwachstellen gehen und die finden sie oft ;-)
Um eine Wirkung zu erziehlen, zielen die Ganoven natürlich auf oft eingesetzte OpenSource-Software wie z.B.phpBB, Nuke, Postnuke, Joomla und wie sie alle heißen, die auf vielen Servern laufen.

Das Rechtliche:
Kommt es zu einem GAU mit Abmahnung argumentieren Homepage-Besitzer oft damit, hätte der Webhoster seinen Server abgesichert, wäre das nicht passiert.
Diese Einstellung ist IMHO falsch! Bei der Möglichkeit, externe Urls zu öffnen (fopen()) oder Variablen global zur Verfügung zu stellen (REGISTER_GLOBALS), handelt es sich um normale PHP-Funktionen.
Zu den Grundsätzen der Programmierung gehört, dass von aussen übermittelte Variablen geprüft und initialisiert werden müssen. Von außen bedeutet auch die Übermittlung von der eigenen Seite!
Wenn der Homepage-Besitzer nicht damit umgehen kann, dann ist das sein Ding! Der Webhoster kann nicht für das Unvermögen seines Kunden oder fehlerhafter Software verantwortlich gemacht werden.
Abgesehen davon steht in den AGB der Webhoster zumeist: Für die Scripte und durch die Verwendung daraus entstehender Schäden ist der Kunde verantwortlich, oder so ähnlich...
Bestenfalls könnte man also den Entwickler der Software verantwortlich machen, was bei OpenSource-Projekten ein unmögliches Unterfangen sein dürfte.

Fazit:
So verlockend der Einsatz gerade von bekannter OpenSource-Software wie Gästebücher, Foren oder CMS-Systeme gerade für Privatleute sein mag, ich würde das besser nicht tun!
Eine Website kann nicht den Verlust meiner Existenz wert sein!
Ihr haftet für jeden Mist, der über eure Seite läuft!
Wenn es dann sein muss, aktualisiert zumindes immer eure OpenSource-Anwendungen auf den neuesten Stand!
Wenn Ihr nicht das Geld habt, eure Anwendung individuell programmieren zu lassen, bedient Euch relativ unbekannter OpenSource-Software oder zahlt für eine Anwendung.
Unbekannte Software ist weniger das Ziel potentieller Angreifer, zahlt Ihr für eine Anwendung haftet der Anbieter für Eure Schäden!

Bisherige Kommentare: Kommentar schreiben»

Klaus schrieb am 14.03.2008
Hätte ich Deinen Artikel früher gelesen!
Bei mir hatte man das beliebte phpBB-Forum gehackt und die Seite übernommen. Ich hatte zwar relativ schnell reagiert, aber nicht schnell genug für so einen Abzockanwalt.
Das war richtig teuer. Da sitzen da Leute und programmieren die dollsten Sachen und denken nicht an die Sicherheit. Mit all dem fertigen Kram sitzt du mit einem Bein im Knast, ich lasse zukünftig die Finger davon!