Kampf gegen Schadprogramme

Welche Update-Pflichten hat der User?

Renate Oettinger ist Diplom-Kauffrau Dr. rer. pol. und arbeitet als freiberufliche Autorin, Lektorin und Textchefin in München. Ihre Fachbereiche sind Wirtschaft, Recht und IT.

Zu ihren Kunden zählen neben den IDG-Redaktionen CIO, Computerwoche, TecChannel und ChannelPartner auch Siemens, Daimler und HypoVereinsbank sowie die Verlage Campus, Springer und Wolters Kluwer.
Thomas Feil erklärt, in welchen Fällen es eine Rechtspflicht zur Installation aktueller Sicherheits-Patches gibt und was bei Nichtbeachtung droht.

Nahezu alle modernen Computersysteme sind mit dem Internet verbunden. Ohne geeignete Schutzmaßnahmen können sich Viren und andere Schadprogramme in kürzester Zeit massenhaft verbreiten und große finanzielle Schäden verursachen. Die drei wichtigsten Gegenmitten, um einer "Infektion" durch Schadprogramme entgegenzuwirken, sind die Installation einer Firewall, die die ein- und ausgehenden Verbindungen überwacht, die Nutzung eines Virenscanners, der Dateien nach verdächtigem Verhalten oder bekannten Schädlingssignaturen abklopft sowie ein modernes Betriebssystem. Doch all diese Maßnahmen sind wenig wert, wenn sie nicht durch Updates und Patches aktuell gehalten werden.

Foto: Fotolia, PixBox

Dabei stellen sich gleich mehrere Fragen. Ist ein Nutzer zur Installation von Updates verpflichtet? Wie häufig müssen Updates vorgenommen werden? Und was geschieht bei Nichteinhaltung einer etwaigen Update-Pflicht?

Im Grundsatz gilt, dass die Reduzierung der Gefahr vor der Verbreitung von Schadprogrammen prinzipiell jedem einzelnen Computernutzer im Rahmen der allgemeinen Verkehrssicherungspflicht obliegt (ausführlich hierzu: Feil/Fiedler, Virtuelle Verkehrspflichten, kes #1-2009, S. 24 ff.). Für Stellen, die personenbezogene Daten verarbeiten, gilt § 9 BDSG, wonach personenbezogene Daten angemessen zu sichern sind. Sowohl die allgemeine Verkehrssicherungspflicht als auch die Pflicht nach § 9 BDSG erfordern das Ergreifen aller notwendigen Maßnahmen im Rahmen der Zumutbarkeit.

Die Notwendigkeit der Einspielung von Updates ergibt sich schon daraus, dass Programmierer von Viren ständig neue Sicherheitslücken in Programmen finden und diese ausnutzen. Ein festes Update-Intervall kann entgegen einiger Stimmen in der Literatur nicht festgelegt werden, da sich die Häufigkeit der Einspielung von Updates nur im Rahmen der Zumutbarkeit bewegt, die individuell unterschiedlich sein kann. Häufige Updates sind bei Unternehmen tendenziell eher zumutbar, als bei Privatnutzern. In jedem Fall muss in sinnvollen Abständen überprüft werden, ob verfügbare Sicherheits-Updates abrufbar sind und ob diese auch funktionsfähig in das eigene System integriert worden sind.