MÜNCHEN (COMPUTERWOCHE) - Anwender fordern verstärkt, Softwarehersteller müssten für die Fehler ihrer Produkte haften. Laut einem Bericht des "Wall Street Journal" entziehen sich die Anbieter bisher durch entsprechende Ausschlussklauseln in den Verträgen jeder Verantwortung. Die Folgekosten, die durch Fehler wie beispielsweise Sicherheitslöcher entstehen, müssten die Kunden tragen.

Das könnte sich in Zukunft ändern. Firmen wie General Motors drängen darauf, Haftungsmodalitäten und Strafen in den Verträgen festzuschreiben. GM könne schließlich auch keine Wägen verkaufen und den Kunden die Crash-Tests überlassen, argumentiert Eric Litt, Chief Information Security Officer des US-amerikanischen Automobil-Giganten. Wenn ein Softwarehersteller einen Patch oder Bugfix herausbringt entspreche dies einem Produktrückruf, ergänzt Alan Levine, verantwortlich für die Informationssicherheit bei Alcoa, dem Aluminum-Riesen aus Pittsburgh. Die Anbieter sollten daher die Kosten für das Einspielen der Patches tragen, oder sich zumindest daran beteiligen. "Diese Rechnung bezahle ich", beklagt sich Ed Amoroso, Chief Information-Security Officer von AT&T. Amoroso zufolge gibt der US-Konzern jeden Monat rund eine Million Dollar aus, um Patches einzuspielen. Oft seien bis zu 30 Mitarbeiter mehrere Tage damit beschäftigt einen Patch zu testen und im Firmennetz einzuspielen.

In der Vergangenheit haben die Anwender kaum gegen die Gepflogenheiten der Hersteller rebelliert, oft aus Angst, ein Wechsel könnte weitere Kosten nach sich ziehen, oder schlichtweg mangels Alternativen. Angesichts knapper Budgets und des härter werdenden Wettbewerbs wächst jedoch die Macht der Anwender. Im Jahr 2002 hat sich unter dem Dach der US-amerikanischen National Academy of Sciences ein Expertengremium gebildet, das den Druck auf die Softwarehersteller erhöhen will.

Diese halten sich mit Antworten zu Haftungsfragen zurück und bleiben unverbindlich. Microsoft-Anwalt Ira Rubinstein verweist auf die Anstrengungen, die der weltgrößte Softwarekonzern zurzeit in Sachen Security unternimmt. Ron Moritz, Manager von Computer Associates, räumt laut dem Bericht immerhin ein, dass eine gewisse Form der Haftung hilfreich sein könnte, die Sicherheitsanstrengungen der Softwareindustrie zu fokussieren. Allerdings besitze dieses Thema nicht die oberste Priorität. Mary Ann Davidson, Chief Security Officer von Oracle, hofft, auf gesetzliche Regelungen verzichten zu können, wenn sich die Anbieter den Sicherheitsanforderungen ihrer Kunden stellen.

Einigen Kunden reicht dies nicht aus. So hat das Unternehmen BJ's Wholesale Club eine Klage gegen IBM eingereicht. Der Betreiber eines Internet-Shops wirft Big Blue vor, dass zahlreiche Kreditkarteninformationen seiner Kunden aufgrund einer fehlerhaften IBM-Software gestohlen wurden. Daraufhin hätten verschiedene Finanzinstitute Klagen gegen BJ's Wholesale Club eingereicht. IBM beruft sich dagegen auf seine Vertragsklauseln, wonach Haftungsansprüche wegen Sicherheitslücken ausgeschlossen seien. Außerdem gebe es bislang keinen Beweis dafür, dass die gestohlenen Kreditkartendaten wirklich von den Rechnern des Online-Shops stammen. (ba)