Artikel kostenlos lesen

Kernschmelze 2.0 : Juristische Konsequenzen aus „Meltdown“ & Co.

Die jüngsten Probleme der Intel-Prozessoren mit Meltdown und Spectre werfen einmal wieder die Frage auf, wie es eigentlich mit der Haftung bei Hardware-Problemen aussieht.

Stefan JaegerBedrohungen
Lesezeit 10 Min.

Von Stefan Jaeger, Wiesbaden

Hinter CVE-2017-5715 und CVE-2017-5754 verbergen sich zwei Sicherheitslücken von Intel-Prozessoren, die den Unternehmen einige Kopfschmerzen bereiten. Die Verwundbarkeiten „Meltdown“ und „Spectre“ umfassen wohl mehr als ein Dutzend Angriffsmöglichkeiten auf Computersysteme – ein Umstand, den manche Spezialisten bereits als Security-Supergau bezeichnet haben.

Die Sicherheitslücken nutzen – grob zusammengefasst – eine spezielle Eigenschaft moderner Prozessoren aus, welche die Performance erhöhen soll: Damit keine „Langeweile“ aufkommt, hat man den Rechenknechten spezielle Out-of-order-Routinen aufgebrummt, in denen sie wie bei einer Art vorausschauenden Gehorsams bereits Programmbefehle und Routinen ausführen, die aufgrund der aktuellen Lage des Systems wahrscheinlich zu erwarten sind, um dann, wenn diese Befehle und Routinen tatsächlich ausgeführt werden müssen, bereits abgearbeitete Ergebnisse zur Verfügung stellen zu können. Die Performance steigt dadurch nicht unerheblich – der Nachteil ist, dass im Rahmen dieser vorauseilenden Spekulation auch Daten in die Cache-Speicher geladen werden, die man vielleicht gar nicht benötigt und die dort eigentlich auch nicht hingehören. Zum Ausnutzen der Lücke sorgt man dafür, dass diese Spekulation künstlich schiefgeht und dass die Zeit, bis die fehlerhafte Spekulation erkannt wird, möglichst lange ist, um genügend Zeit zu haben, die gewünschten Daten auszulesen, an die man sonst nicht herangekommen wäre.

Intel hat bereits bei Veröffentlichung der Probleme mit Hochdruck an Patches gearbeitet, die diese Sicherheitslücken schließen sollen. Dennoch stellt sich „am Rande“ auch die bange Frage, wer denn eigentlich für die Folgen des ganzen Schlamassels haftet: Wer bezahlt all die Stunden, die System-Verantwortliche wegen dieser Sicherheitslücke zusätzlich aufbringen mussten? Wer bezahlt am Ende die Rechnung, mit der beispielsweise ein Cloud-Anbieter zusätzliche Performance einkaufen muss, die notwendig wird, weil nach dem Patch die Performance im Gesamtsystem um soundsoviel Prozent sinkt?

Viele Köche

Rechtlich gesehen ist hier die Vielzahl der Beteiligten eine Besonderheit: Intel lässt seine Prozessoren beispielsweise in China herstellen – diese werden dann meist in irgendeinem anderen, ebenfalls asiatischen Land auf Boards verbaut, womöglich wiederum andernorts zu einem IT-System zusammengefügt und schließlich irgendwann bei einem Händler gekauft, um in Deutschland ihre Arbeit zu verrichten.

Prinzipiell könnte man zwar daran denken, Intel direkt in die Haftung zu nehmen, als nächstes den Hersteller des Boards und außerdem selbstverständlich die Hersteller und Verkäufer des IT-Systems – am Ende käme gegebenenfalls auch noch der Importeur des Ganzen in Betracht. Dies alles wäre durchaus denkbar, denn während Intel als Hersteller haftet, begründet das deutsche Produkthaftungsgesetz darüber hinaus auch eine Haftung des Importeurs und Lieferanten (§ 4 ProdHaftG) – sogar derjenige haftet, der einen Chip nur verbaut und als Herausgeber des Boards auftritt. Da sich aber die Inanspruchnahme ausländischer Firmen in der Praxis schwieriger gestaltet, konzentriert sich dieser Text im Folgenden auf den letztlichen Händler.

Die Inanspruchnahme des unmittelbaren Vertragspartners, also beispielsweise des deutschen Verkäufers eines IT-Systems an ein deutsches Unternehmen, ist dabei aus mehreren Gründen „naheliegend“: Aus dem zwischen beiden Parteien geschlossenen Verkaufsvertrag für das IT-System ergibt sich nämlich als einer der wichtigsten Vertragsbestandteile die sogenannte Mängelhaftung. Die Grundvoraussetzungen hierfür sind zum einen das Vorliegen eines Mangels und zum anderen, dass dieser Mangel bei der Vertragserfüllung, also bei Lieferung oder Abnahme des Systems, vorgelegen haben muss. Ein Verkäufer hat generell die Pflicht, eine mängelfreie Hardware zu liefern (§ 433 Abs. 1 Satz 2 BGB) – ist sie mangelbehaftet, so ist dies eine Pflichtverletzung des Vertrags (Randbemerkung: der Begriff der „Gewährleistung“ wird seit der Schuldrechtsreform von 2002 nicht mehr gebraucht).

Mangelhaft(ung)

Ob ein Mangel vorliegt, ist relativ schnell zu klären: Dies ist immer dann der Fall, wenn die Ist-Beschaffenheit der verkauften Sache von der Soll-Beschaffenheit nachteilig abweicht. Wenn in der Praxis die genannten Sicherheitslücken durch Updates oder sonstige Manipulationen geschlossen und damit (wovon auszugehen ist) die Sicherheitsprobleme beseitigt werden können, kommt es auf die Folgen an. Waren irgendwelche Angaben zur Performance Teil des Vertrags oder waren aus den bei Vertragsabschluss vorliegenden Spezifikationen des Prozessors, Boards oder Gesamtsystems bestimmte Performance-Angaben bekannt, so handelt es sich ohne Zweifel um einen Mangel, wenn die Performance nach dem jetzigen Security-Update ins Negative abweicht.

Eine Parallele im sogenannten Diesel-Skandal mag dies verdeutlichen: Wichtige Kenngrößen der Leistungsfähigkeit eines Motors und damit des gekauften Autos sind die Leistungs- (kW) und Drehmoment-Angaben (Nm) des Motors. Lässt sich die Problematik eines unzulässigen Partikelausstoßes nur dadurch beseitigen, dass Motor oder Fahrzeug ein „Update“ erhalten (evtl. auch durch Einbau weiterer Filter) und sinkt dadurch entweder die Leistung des Motors um einige kW oder lässt das Drehmoment um einige Nm nach, so besitzt der Käufer danach schlichtweg ein „schlechteres“ Auto, denn selbstverständlich macht es einen Unterschied, ob ein Pkw beispielsweise statt 310 Nm nur noch 290 Nm auf die Straße bringt.

Etwas schwieriger ist die Phase vor dem Update des Prozessors zu bewerten: Die Leistungsfähigkeit des Gesamtsystems ist ja zunächst unbeeinträchtigt, es gibt „lediglich“ Sicherheitslücken. Schon vor über 20 Jahren hat man in Allgemeinen Geschäftsbedingungen (AGB) amerikanischer Softwarehersteller den Satz lesen dürfen, dass Software nie fehlerfrei sein kann, sodass man für eventuelle Softwarefehler die Haftung einfach vollständig ausschließt. So lapidar geht es im deutschen Recht selbstverständlich nicht! Ebenso wenig kann sich der Hersteller eines Hardware-Systems oder eines Prozessors darauf berufen, dass es immer Sicherheitslücken geben wird und sie deswegen auch keinen Mangel darstellen könnten.

Ob ein System fehlerfrei konstruiert werden kann oder nicht, ist letztlich eine Frage des Verschuldens. Das deutsche Gesetz sieht bei der Haftung des Schuldners bezüglich der Mangelhaftigkeit eines Systems jedoch das Ganze verschuldensunabhängig – es kommt also nicht auf ein Verschulden an. In der logischen Konsequenz kann dies nur bedeuten, dass die beteiligten Hersteller und auch der Verkäufer für die genannten Sicherheitslücken einstehen müssen – zumal sie nicht unerheblich sind.

Gefahrübergang

Aufgrund der hier vorliegenden Besonderheit, nämlich des Vorhandenseins einer Sicherheitslücke direkt im Prozessor, können betroffene Unternehmen eine ansonsten nicht unerhebliche Hürde relativ leicht nehmen: nämlich die Frage, ob der Fehler bereits bei „Gefahrübergang“, also bei Übergabe des IT-Systems, vorhanden war oder nicht.

Für Unternehmer ist dies ein ganz entscheidendes Kriterium: Nur dann, wenn der Mangel zum Zeitpunkt der Übergabe eines (IT-)Systems vorlag, hat das kaufende Unternehmen Mängelrechte gegenüber dem Verkäufer. Um Mängelrechte in Anspruch nehmen zu können, muss der Käufer beweisen, dass ein Mangel bereits bei Übergabe vorhanden war. Kann er dies nicht (oder ist ein Mangel erst nach diesem Zeitpunkt entstanden), stehen ihm keine Mängelrechte zu. In diesem Zusammenhang sei daran erinnert, dass Unternehmen hierbei nicht wie Verbraucher eine Erleichterung zulasten des Verkäufers durch Beweislastumkehr in den ersten sechs Monaten nach Gefahrübergang (§ 476 BGB) in Anspruch nehmen können.

Wenn man jedoch – wie im vorliegenden Fall – davon ausgeht, dass die Sicherheitslücken einen Mangel der Hardware darstellen, so folgt hieraus, dass diese bereits bei Übergabe des IT-Systems vorhanden waren, denn die Lücken sind ja produktionsbedingt. Konsequenterweise steht dem Käufer eines solchen IT-Systems wegen dieser Sicherheitslücken ein Anspruch zu.

Dadurch, dass er juristisch gesehen mit Entgegennahme des IT-Systems zum Eigentümer geworden ist und mit seinem Eigentum verfahren darf, wie er möchte (und bspw. Dritte auch von der Einwirkung auf sein Eigentum ausschließen darf), steht dem Hardwarehersteller übrigens keinerlei zwingendes Recht zu, die vorhandene Sicherheitslücke durch ein Update oder Ähnliches von sich aus zu beseitigen. Streng genommen wäre ein ungefragter oder heimlicher Zugriff auf den Prozessor durch das Einspielen eines Updates sogar eine strafbare Datenveränderung (§ 303a Abs. 1 StGB).

Selbstverständlich lässt der verständige und vernünftige Eigentümer eines Systems solcherlei Updates aber ebenso regelmäßig zu, wie er dies auch beispielsweise bei Windows-Systemen machen dürfte – um eben Sicherheitslücken zu schließen. Ein solches (vielleicht auch konkludentes) Einverständnis führt jedoch nicht dazu, dass ihm seine Rechte beschnitten werden: Nur wird sich, wenn das Update erfolgreich ist, ein eventueller Anspruch wegen des Mangels des Prozessors aufgrund von Sicherheitslücken in einen Anspruch wegen Performance-Verschlechterung wandeln. Ein Kunde muss sicherlich nicht einfach hinnehmen, wenn der Hersteller sich dann darauf beruft, dass der bei Gefahrübergang des IT-Systems vorhandene Mangel (Sicherheitslücken) durch das Update ja behoben sei und die Performance-Verschlechterung erst nach dem Gefahrübergang eingetreten ist, was Mängelgewährleistungsansprüche ausschließen würde (aber s. u.).

Folgen und Konsequenzen

Gemäß Bürgerlichem Gesetzbuch kann ein Käufer bei vorliegenden Mängeln zunächst eine sogenannte Nacherfüllung verlangen (§ 437 Nr. 1 BGB), was je nach Beschaffenheit der verkauften Sache und je nach Mangel oftmals eine Neulieferung, manchmal auch eine Reparatur des Systems bedeutet. Auch wenn der Käufer hier grundsätzlich das Wahlrecht hat, wird man im Hinblick auf die Besonderheit der vorliegenden Fehler und der Möglichkeit zur Beseitigung per Software-Update davon ausgehen müssen, dass eine Neulieferung des gesamten IT-Systems dem Verkäufer nicht zumutbar ist – und sich das Wahlrecht des Käufers insofern reduziert, als eine Reparatur durch das Aufspielen des Updates das Mittel der Wahl sein muss.

Sollte eine Nacherfüllung scheitern (gemäß § 440 Satz 2 BGB ab dem zweiten erfolglosen Nacherfüllungsversuch), kann der Käufer vom Kaufvertrag zurücktreten (§ 437 Nr. 2 BGB). Voraussetzung hierfür ist jedoch das erfolglose Setzen einer angemessenen Frist zur Nacherfüllung durch den Käufer gegenüber dem Verkäufer (§ 323 Abs. 1 BGB). Hier wird es hinsichtlich der Angemessenheit der Frist sicherlich wieder eine Besonderheit geben: Bei einem derart komplexen System, wie es Prozessoren sind, lässt sich ein Sicherheitsmangel wohl nur in sehr glücklichen Fällen binnen weniger Stunden beseitigen – realistisch sind ergo vielmehr Tage oder Wochen, um ein solches Update zur Verfügung zu stellen. In Anbetracht dieses Umstandes würde beispielsweise eine Fristsetzung durch den Käufer von wenigen Tagen als nicht angemessen zu betrachten und folglich wirkungslos sein.

Ist die Nacherfüllung gescheitert und die Frist ergebnislos verstrichen, hat der Käufer die Wahl, ob er vom Kaufvertrag zurücktreten – mit der Folge, dass beide Seiten das Erhaltene zurückgeben müssen (also der Verkäufer den Kaufpreis und der Käufer das IT-System) – oder lieber eine Minderung in Anspruch nimmt (§ 437 Nr. 2 BGB, 2. Alternative), er also einen Teil des Kaufpreises zurückfordern kann.

Parallel hierzu steht ihm prinzipiell auch noch ein Schadenersatzanspruch zu (§ 437 Nr. 3 BGB). Durch den Verweis auf § 311a BGB gilt dies jedoch dann nicht, wenn der Verkäufer beweisen kann, dass er den bei Übergabe des IT-Systems vorhandenen Mangel nicht kannte und seine Unkenntnis auch nicht zu vertreten hat (§ 311a Abs. 2 Satz 2 BGB). Alternativ kann der Käufer allerdings den Ersatz vergeblicher Aufwendungen verlangen (gem. § 284 BGB).

Wird der Nacherfüllungsanspruch hingegen (etwa durch ein Update) erfüllt, so weist das System zwar den ursprünglichen Mangel nicht mehr auf, sodass weitere Ansprüche deswegen ausgeschlossen wären. Manifestiert sich aber tatsächlich der von Experten prognostizierte Performance-Verlust, ist dies zwar ein neuer Mangel, der durch die Verkäuferseite verursacht wurde – da er aber augenscheinlich bei Gefahrübergang eben noch nicht vorhanden war, wären entsprechende Ansprüche des Käufers nichtig.

Was hieraus folgt wird unterschiedlich bewertet: Einige vertreten die Auffassung, dass eine Nachbesserung auch dann gescheitert ist, wenn der erste Mangel nur beseitigt werden kann, indem ein zweiter entsteht – dies hätte zur Folge, dass (doch noch) weitere Ansprüche aus Mängelhaftung bestehen. Andere Meinungen trennen strikt und stellen auf die Beseitigung des ersten Mangels ab – da der zweite bei Gefahrübergang nicht vorhanden war, sei der Weg über die vertragliche Mängelhaftung ausgeschlossen, mit der Folge der „normalen“ Ersatzpflicht für einen Schaden, was aber den vielleicht interessanteren Rücktritt ausschließt (vgl. hierzu Saarländisches OLG Urteil vom 25. Juli 2007, Az. 1 U 467/06-145 – www.openjur.de/u/57990.html).

Vorsorgemaßnahmen sind nach geltender Rechtsprechung interessanterweise bis zur Höhe des ansonsten entstandenen Schadens zu ersetzen (BGH NJW 1060, 1339), während Kosten für die Überwachung und Sicherungsmaßnahmen hingegen nicht zu ersetzen seien (BGH NJW 1980, 119). Wendet der Geschädigte eigene Arbeit zur Schadensbeseitigung auf, so ist deren Wert zu ersetzen (BGH NJW 1996, 921); die Einbuße von Freizeit ist jedoch ebenso wenig zu ersetzen, wie der Zeitaufwand zur Abwicklung des Schadensfalls (BGH NJW 1977, 1446 und NJW 1989, 766).

Zeit ist Geld

Wie auch immer: Alle Ansprüche des Käufers verjähren innerhalb von zwei Jahren (§ 438 Abs. 1 BGB) – sind am Kaufgeschäft nur Unternehmer beteiligt, kann der Verkäufer in seinen Allgemeinen Geschäftsbedingungen die Verjährung auf ein Jahr reduzieren. Wurde die Hardware gebraucht gekauft, muss man sogar darauf achten, ob der Verkäufer (zulässigerweise!) jegliche Ansprüche von vornherein ausschließt.

Die <kes>-Rubrik „Recht“ gibt Tipps zu Rechtsfragen der ITK sowie der Informationssicherheit und informiert über aktuelle Urteile aus diesem Bereich. Rechtsanwalt Stefan Jaeger betreut diese Kolumne seit 2013. Er ist Partner bei SIMON und Partner und referiert über IT-Rechtsfragen seit Jahren an der Deutschen Richterakademie und beim Deutschen Richterbund. Er ist darüber hinaus Referatsleiter Datenschutz bei der GenoServ eG.

Diesen Beitrag teilen: