computerwoche.de

Archiv

Netzsicherheit/Öffentliche und betriebliche Betreiber und Nutzer sind in der Pflicht

Unsichere WLANs bergen rechtliche Risiken

19.09.2003
Wer drahtlose Netze nutzt, setzt sich einem nicht zu unterschätzenden Risiko aus. Reichen die Sicherheitsmaßnahmen nicht aus, können Hacker auf kritische Daten zugreifen. Nur wenige wissen, dass dabei auch rechtliche Konsequenzen drohen.Von Anja Zimmer*

Zugang zu Internet und E-Mail überall, mit hoher Geschwindigkeit und zu bezahlbaren Preisen - das versprechen Wireless Local Area Networks, kurz WLANs. Mit der Einführung der neuen Technik betreten viele Nutzer und Anbieter jedoch juristisches Neuland. Während für die Betreiber solcher Infrastrukturen relativ klare Vorgaben existieren, sind die Ansprüche der Nutzer kompliziert zu bestimmen und noch nicht durch Rechtsprechung ausgeformt. Anwender sollten daher die Anforderungen an Betreiber kennen, um zu wissen, welchen Standard sie erwarten können.

Vor der Verbindung mit dem Funknetz eines einen öffentlichen Betreibers sollte jeder Kunde grundsätzlich Auskunft über dessen Schutzstandards verlangen. Einem Anbieter kann man nur empfehlen, die gesetzlichen Vorgaben möglichst genau zu beachten, um keinen Ärger zu riskieren. Das gilt auch für firmeninterne WLAN-Netze: Sie genießen zwar einige Erleichterungen, sollten die Anforderungen an technische Schutzmaßnahmen aber ebenso ernst nehmen, um sich vor Hacker-Agriffen zu schützen und innerbetrieblichen Streit nach einem Schaden zu vermeiden.

Lizenz zum Funken

Zwingende Voraussetzungen für jeden WLAN-Dienst ist die für jedes Funknetz benötigte Frequenz. Die Regulierungsbehörde für Telekommunikation und Post (RegTP) koordiniert die Vergabe solcher Frequenzen und versucht dadurch, eine möglichst störungsfreie und effektive Nutzung des Funkwellenspektrums zu erreichen. Für WLAN sind zwei Frequenzbereiche reserviert: 2,4 Gigahertz (GHz) und 5 GHz. Ein spezieller Antrag oder eine Zuweisung ist hierbei nicht erforderlich. Da die Frequenzbereiche auch durch andere Dienste genutzt werden, muss der Betreiber jedoch sicherstellen, dass diese nicht gestört werden. Dazu gehört das Einhalten bestimmter technischer Parameter: Zum Beispiel darf er die maximale isotrope Strahlungsleistung nicht überschreiten. Außerdem muss er sich innerhalb des Kanalrasters und der Kanalbandbreite bewegen und sich an die Leistungsregelungen halten.

Sonderfall firmeninterne Anbieter

Überschreitet ein Betreiber mit seinem Dienst die Grenzen seines Grundstücks und bietet er Dienste für die Öffentlichkeit an, also nicht mehr nur firmenintern, benötigt er nach § 6 Telekommunikationsgesetz (TKG) eigentlich eine Lizenz. Die Vorschrift wird jedoch seit dem 24. Juni 2003 durch vorrangig anzuwendendes EG-Recht ("Genehmigungsrichtlinie" 2002/ 20/EG) überlagert. Nach Ansicht der RegTP besteht seitdem grundsätzlich nur noch die für alle Anbieter geltende Anzeigepflicht, die durch eine Anzeige der Aufnahme des WLAN-Dienstes auf einen von der RegTP im Internet veröffentlichten Vordruck erfolgen kann. Die früher erforderlichen Nachweise zum Beispiel einer besonderen Fachkunde oder der finanziellen Leistungsfähigkeit entfallen damit.

Außerdem müssen Betreiber, zumindest wenn sie Leistungen für die Öffentlichkeit anbieten, technische Schutzmaßnahmen installieren. Laut Gesetz sind sie verpflichtet, "angemessene technische Vorkehrungen" zu treffen, um personenbezogene Daten geheim zu halten und unerlaubte Zugriffe auf die Netze zu verhindern. Darüber hinaus müssen Störungen, welche die Funktionsfähigkeit der Netze beeinträchtigen, sowie äußere Eingriffe abgewehrt werden. Dies ist für WLAN-Netze von besonderer Bedeutung, da zum Mitschneiden der Signale handelsübliche Funk-LAN-Karten im Notebook ausreichen. Jeder geschickte Hacker kann also mit einfachster Ausrüstung in ungesicherte Netze eindringen. Obwohl Schutzmaßnahmen dennoch dringend erforderlich sind, verfügt derzeit ein Großteil der Netze nicht einmal über einfachste Sicherheitsprotokolle.

Dies kann selbst dann zu erheblichen Konsequenzen führen, wenn das Installieren von Schutzprogrammen technisch oder wirtschaftlich sehr aufwändig wäre. Grundsätzlich gilt, dass technische Schwierigkeiten nicht zu geringeren Anforderungen an das Schutzsystem führen. Notwendig ist ein dem Stand der Technik angepasstes, "mittleres Schutzniveau", das den Zugriff ausreichend erschwert. Kriterien sind dabei Expertenwissen, finanzieller Aufwand und Entdeckungsrisiko bei Angriffen. Nur wenn ein potenzieller Hacker durch das Schutzsystem tatsächlich wirksam abgeschreckt wird, ist damit auch den rechtlichen Anforderungen Genüge getan.

Damit dürfen sich öffentliche WLAN-Betreiber aber nicht begnügen. Von all denjenigen, die bisher lizenzpflichtig waren, verlangt das TKG außerdem, dass sie ein Sicherheitskonzept erstellen und einen Sicherheitsbeauftragten einsetzen. Wie mit dieser Verpflichtung nach Abschaffung der Lizenzpflicht durch die EG-Genehmigungsrichtlinie umgegangen werden soll, ist zwar unklar. Die RegTP geht jedoch - wenn auch in anderem Zusammenhang - davon aus, dass die Verpflichtungen zumindest für solche Betreiber weiter gelten werden, die ein grundstücksübergreifendes öffentliches WLAN-Netz betreiben. Das dürfte beispielsweise auf einen Hotspot im Englischen Garten in München zutreffen.

An dieser Verpflichtung wird sich auch künftig nichts ändern. Der Entwurf eines neuen TKG sieht in § 104 TKG-Entwurf entsprechende Verpflichtungen für all diejenigen vor, die Telekommunikationsdienste für die Öffentlichkeit anbieten. Da dabei nicht einmal mehr an das Überschreiten von Grundstücksgrenzen angeknüpft wird, sind im Zweifel alle Betreiber eines Hotspots umfasst.

Um ein solches Sicherheitskonzept sinnvoll erstellen zu können, muss sich der Betreiber zunächst Gedanken machen, welche Gefährdung für seinen Dienst besteht und welche technischen Vorkehrungen er dagegen treffen kann. Um die Gefährdung nachvollziehen zu können, verlangt die RegTP zunächst eine Beschreibung der eingesetzten technischen Anlagen sowie der Netzstruktur. Sodann sind für sämtliche Telekommunikations- und Datenverarbeitungssysteme, die unmittelbar oder mittelbar für den Betrieb der Anlage benötigt werden, Bedrohungsanalysen durchzuführen.

Kontrolle durch RegTP

Die dabei festgestellten Gefährdungen muss der Betreiber dann den im Gesetz angegebenen Schutzzielen zuordnen. Diese umfassen zum Beispiel personenbezogene Daten, das Abwehren von Zugriffen auf Telekommunikations- und Datenverarbeitungssysteme oder den Schutz der Netze vor Beeinträchtigung. Schließlich muss der Betreiber darlegen, wie er gegen die ermittelten Gefahren vorgehen will. Die Beschreibungen müssen dabei so detailliert sein, dass die RegTP sie nachvollziehen und bewerten kann.

Vorsicht ist bei Anforderungen geboten, die sich nicht aus dem TKG ergeben: Hier droht dem Betreiber ein Bußgeld. So kann eine Verletzung der Anzeigepflicht mit bis zu 10000 Euro geahndet werden. Mängel im Sicherheitskonzept sind zwar nicht Bußgeld-bewehrt, die RegTP kann aber ihre Beseitigung verlangen. Kommt der Betreiber dem nicht nach, kann ein Zwangsgeld verhängt werden.

Geldstrafen drohen

Da fehlende Datensicherheit beim Betreiber auch dem Nutzer schaden kann, sollte er sich genau erkundigen, mit welchem Anbieter er in Verbindung tritt. Zwar kann er im Zweifelsfall gegen den Hacker vorgehen, dieser dürfte jedoch meist kein solventer Schuldner sein. Wirkungsvoller sind da schon strafrechtliche Sanktionen.

Hackern, die Angriffe auf die Telekommunikation wagen, droht der Gesetzgeber mit einer Freiheitsstrafe. Bei einigen Vorschriften ist allerdings noch unklar, ob sich ihre Abschreckungswirkung auch auf WLAN erstreckt.

Ein Verstoß gegen § 86 TKG etwa, der das Abhören von Nachrichten mit einer Funkanlage verbietet, kann mit bis zu zwei Jahren Gefängnis enden. Allerdings wohl nicht für WLAN-Hacker. Denn diesen Schutz genießen nur solche Informationen, die nicht für die abhörende Funkanlage, sondern für ein anderes Funknetz bestimmt sind. Ob dasselbe auch für ein Abhören innerhalb des WLAN-Netzes gilt, ist bisher ungeklärt. Solange keine "Sprachtelefonie" über WLAN angeboten wird, dürfte mangels "Belauschen" des Gesprächspartners jedenfalls kein "Abhören" im Sinne des Gesetzes vorliegen.

Strafbar ist aber das "Ausspähen" von Daten. Gemäß § 202a Strafgesetzbuch (StGB) droht eine Freiheitsstrafe von bis zu drei Jahren. Voraussetzung dafür ist allerdings, dass die betroffenen Informationen vor unberechtigten Zugriffen gesichert sind. Das trifft in diesem Fall also nur auf Daten zu, die verschlüsselt im WLAN übertragen werden.

Besonderen Schutz genießen Geschäfts- oder Betriebsgeheimnisse. Gemäß § 17 des Gesetzes gegen unlauteren Wettbewerb (UWG) drohen drei Jahre Freiheitsstrafe für denjenigen, der sich Geschäftsgeheimnisse unbefugt beschafft. Dabei kommt es nicht darauf an, ob der Ausgespähte auch Schutzmaßnahmen ergriffen hat. Der Täter muss allerdings entweder aus Eigennutz handeln oder dem Unternehmen Schaden zufügen wollen. Hacker, die aus reiner Neugier tätig werden, gehen dabei straffrei aus.

Schließlich kann der Täter auch gegen das Bundesdatenschutzgesetz (BDSG) verstoßen. Es schützt alle Angaben über die "persönlichen Verhältnisse" vor unberechtigtem Zugriff. Dazu zählen sogar schon E-Mail-Adressen oder Telefonnummern. Wer solche Daten unbefugt erhebt oder verbreitet, kann mit einem Bußgeld bedroht werden. Will er dabei den Betroffenen schädigen, kann das zu Freiheitsstrafen von bis zu zwei Jahren führen. (ave)

*Anja Zimmer ist Rechtsanwältin im Münchner Büro der internationalen Sozietät Lovells und spezialisiert auf Informationstechnologie und Telekommunikationsrecht.