Wie der Standard aus Österreich berichtet, sind Router, die WPS (Wi-Fi Protected  Setup) anbieten, durch Brute Force-Attacken gefährdet. Dabei benötigt man zum Einbrechen in ein WLAN ca. 90 Minuten:

Ein Authentifizierungsvorgang dauerte je nach Router zwischen 0,5 und drei Sekunden. Damit würde es 90 Minuten bis zehn Stunden dauern, bis man Zugang zu den Routern erhält. Im Durchschnitt benötigte das Programm 5.500 Sekunden.

Entdeckt wurde die Sicherheitslücke von Stefan Viehböck. Auf seiner Webseite beschreibt er die Lücke in einem Paper ausführlich. Darin heißt es u.a.:

An attacker can derive information about the correctness of parts the PIN from the AP´s responses.

• If the attacker receives an EAP-NACK message after sending M4, he knows that the 1st half of the PIN was incorrect.
• If the attacker receives an EAP-NACK message after sending M6, he knows that the 2nd half of the PIN was incorrect.

This form of authentication dramatically decreases the maximum possible authentication attempts needed from 10^8 (=100.000.000) to 10^4 + 10^4 (=20.000).

As the 8th digit of the PIN is always a checksum of digit one to digit seven, there are at most 10^4 + 10^3 (=11.000) attempts needed to find the correct PIN.

Das US-CERT hat auf Meldung von Stefan Viehböck hin eine Warnung veröffentlicht.

Es ist daher insgesamt zu raten, am WLAN-Router WPS zu deaktivieren.

Die Lücke zeigt erneut, dass WLAN-Router auch mit eingesetzter Verschlüsselung nicht als sicher zu bezeichnen sind.

(via @Muschelschloss)

1. Einleitung

Der EuGH hat kürzlich im Rahmen der Beantwortung einer Vorlagefrage Stellung zu der Frage genommen, ob ein Gericht einem Access Provider auferlegen kann, zur Verhinderung von Urheberrechtsverletzungen seiner Kunden bei Nutzung von Filesharing-Netzwerken ein Filtersystem einzurichten (EuGH, Urteil v. 24.11.2011, Az. C?70/10, Volltext hier). Ich hatte kurz über die Vorlage berichtet (s. hier).

Die Vorlagefrage Nr. 1 lautete dabei:

Können die Mitgliedstaaten aufgrund der Richtlinien 2001/29 und 2004/48 in Verbindung mit den Richtlinien 95/46, 2000/31 und 2002/58, ausgelegt im Licht der Art. 8 und 10 der Europäischen Konvention zum Schutz der Menschenrechte und Grundfreiheiten, dem nationalen Richter erlauben, in einem Verfahren zur Hauptsache allein aufgrund der Vorschrift, dass „[s]ie [die nationalen Gerichte] … ebenfalls eine Unterlassungsanordnung gegen Vermittler erlassen [können], deren Dienste von einem Dritten zur Verletzung eines Urheberrechts oder verwandter Rechte genutzt werden“, gegen einen Anbieter von Internetzugangsdiensten die Anordnung zu erlassen, auf eigene Kosten zeitlich unbegrenzt für sämtliche Kunden generell und präventiv ein Filtersystem für alle eingehenden und ausgehenden elektronischen Kommunikationen, die mittels seiner Dienste insbesondere unter Verwendung von „Peer-to-Peer“-Programmen durchgeleitet werden, einzurichten, um in seinem Netz den Austausch von Dateien zu identifizieren, die ein Werk der Musik, ein Filmwerk oder audiovisuelles Werk enthalten, an denen der Kläger Rechte zu haben behauptet, und dann die Übertragung dieser Werke entweder auf der Ebene des Abrufs oder bei der Übermittlung zu sperren?

Das Urteil ist im Hinblick auf die Praxis deutscher Gerichte, die im Rahmen der Störerhaftung Pflichten zur Verhinderung von Verletzungen aufzuerlegen, sehr aufschlussreich und gibt – wenn auch in relativ engem Rahmen – dieser Rechtsprechung Grenzen auf.

2. Rechtsrahmen

Zunächst ist zu bemerken, dass der EuGH für das Urteil die einschlägigen europäischen Richtlinien in Bezug nimmt:

• E-Commerce-RL 2000/31/EG
• Urheberrechts-RL 2001/29/EG
• Enforcement-RL 2004/48/EG
• Datenschutz-RL 95/46/EG
• Datenschutz-RL für elektronische Kommunikation 2002/58/EG

3. Entscheidung

Nachfolgend die hervorzuhebenden Ausführungen des EuGH als Zitat:

Folglich müssen diese Regelungen u. a. Art. 15 Abs. 1 der Richtlinie 2000/31 beachten, wonach es nationalen Stellen untersagt ist, Maßnahmen zu erlassen, die einen Diensteanbieter verpflichten würden, die von ihm in seinem Netz übermittelten Informationen allgemein zu überwachen.

Insoweit hat der Gerichtshof bereits entschieden, dass ein solches Verbot sich u. a. auf innerstaatliche Maßnahmen erstreckt, die einen vermittelnden Dienstleister wie einen Provider verpflichten würden, sämtliche Daten jedes Einzelnen seiner Kunden aktiv zu überwachen, um jeder künftigen Verletzung von Rechten des geistigen Eigentums vorzubeugen. Im Übrigen wäre eine solche allgemeine Überwachungspflicht nicht mit Art. 3 der Richtlinie 2004/48 zu vereinbaren, wonach die Maßnahmen im Sinne dieser Richtlinie gerecht und verhältnismäßig sein müssen und nicht übermäßig kostspielig sein dürfen (vgl. Urteil L’Oréal u. a., Randnr. 139).

…

Somit würde eine solche präventive Überwachung eine aktive Beobachtung sämtlicher elektronischen Kommunikationen im Netz des betreffenden Providers erfordern und mithin jede zu übermittelnde Information und jeden dieses Netz nutzenden Kunden erfassen.

Angesichts des Vorstehenden ist festzustellen, dass die dem betroffenen Provider auferlegte Anordnung, das streitige Filtersystem einzurichten, ihn verpflichten würde, eine aktive Überwachung sämtlicher Daten, die alle seine Kunden betreffen, vorzunehmen, um jeder künftigen Verletzung von Rechten des geistigen Eigentums vorzubeugen. Daraus folgt, dass diese Anordnung den Provider zu einer allgemeinen Überwachung verpflichten würde, die nach Art. 15 Abs. 1 der Richtlinie 2000/31 verboten ist.

…

Deshalb würde eine solche Anordnung zu einer qualifizierten Beeinträchtigung der unternehmerischen Freiheit des Providers führen, da sie ihn verpflichten würde, ein kompliziertes, kostspieliges, auf Dauer angelegtes und allein auf seine Kosten betriebenes Informatiksystem einzurichten, was im Übrigen gegen die Voraussetzungen nach Art. 3 Abs. 1 der Richtlinie 2004/48 verstieße, wonach die Maßnahmen zur Durchsetzung der Rechte des geistigen Eigentums nicht unnötig kompliziert oder kostspielig sein dürfen.

Darüber hinaus würden sich die Wirkungen dieser Anordnung nicht auf den betroffenen Provider beschränken, weil das Filtersystem auch Grundrechte der Kunden dieses Providers beeinträchtigen kann, nämlich ihre durch die Art. 8 und 11 der Charta geschützten Rechte auf den Schutz personenbezogener Daten und auf freien Empfang oder freie Sendung von Informationen.

Zum einen steht nämlich fest, dass die Anordnung, das streitige Filtersystem einzurichten, eine systematische Prüfung aller Inhalte sowie die Sammlung und Identifizierung der IP-Adressen der Nutzer bedeuten würde, die die Sendung unzulässiger Inhalte in diesem Netz veranlasst haben, wobei es sich bei diesen Adressen um personenbezogene Daten handelt, da sie die genaue Identifizierung der Nutzer ermöglichen.

…

Denn es ist unbestritten, dass die Antwort auf die Frage der Zulässigkeit einer Übertragung auch von der Anwendung gesetzlicher Ausnahmen vom Urheberrecht abhängt, die von Mitgliedstaat zu Mitgliedstaat variieren. Ferner können bestimmte Werke in bestimmten Mitgliedstaaten gemeinfrei sein oder von den fraglichen Urhebern kostenlos ins Internet eingestellt worden sein.

4. Bewertung

Was lässt sich aus dem Urteil des EuGH ableiten – und wie wirkt sich dies für die Betreiber offener Netze aus?

a. Grundsätzliches

Man sollte bei der Lektüre des Urteils jeweils im Hinterkopf behalten, dass der EuGH allein auf die Vorlagefrage geantwortet hat. Die Vorlagefrage ist durch das vorlegende Gericht sehr eng formuliert worden, was sich insbesondere daran zeigt, dass die einzelnen Komponenten der Vorlagefrage durch ein “und” verknüpft sind:

ein System der Filterung

– aller seine Dienste durchlaufenden elektronischen Kommunikationen insbesondere durch die Verwendung von „Peer-to-Peer“-Programmen,

– das unterschiedslos auf alle seine Kunden anwendbar ist,

– präventiv,

– auf ausschließlich seine eigenen Kosten und

– zeitlich unbegrenzt

Bricht man eine der Voraussetzungen aus der Vorlagefrage heraus (z.B. die Kostentragung des Access Providers), ist die Antwort (zumindest formell) wieder offen.

b. Abwägungsfragen

Trotz dieses engen Fokus zeigt das Urteil des EuGH doch deutlich, dass das Gericht aus unterschiedlichen Richtungen zu seinem Ergebnis gelangt ist. Zunächst sieht es Filterpflichten als Verstoß gegen das Verbot der allgemeinen Überwachungsplicht in Art. 15 E-Commerce-RL. Es weist dann darauf hin, dass der Schutz geistigen Eigentums nicht schrankenlos gewährleistet sei und daher mit gewissen Grenzen gewährt wird. Erst dann kommt die Erwägung, dass ein Filtersystem aufwändig und kostspielig sei und daher auch massiv in die Rechte der Access Provider eingreifen würde.

Zum anderen spielen nach der Auffassung des Gerichts die Grundrechte der betroffenen Kunden eine relevante Rolle.

Und letztlich bezieht das Gericht die Informationsfreiheit ein.

Nach Ansicht des Gerichts ist im Rahmen einer Abwägung dieser betrachteten Rechtspositionen eine Filterpflicht ein Verstoß gegen das “angemessene Gleichgewicht”.

c. Schlussfolgerungen

Die obige Aufzählung sollte vor allem verdeutlichen, dass es sich um eine relativ komplexe Abwägung handelt. Das Gericht geht  nicht im Einzelnen auf die Gewichtung der jeweiligen Rechtspositionen ein, sondern bleibt knapp und eher oberflächlich. Daraus kann man den Schluss ziehen, dass die (konkret gestellte) Frage für das Gericht sehr eindeutig und leicht zu beantworten war. Denn hätte das Gericht dem Schutz der Rechtsinhaber trotz Schranken einen höheren Stellenwert eingeräumt, wäre es auf das Verhältnis der einzelnen Rechtspositionen zueinander vermutlich viel näher eingegangen und hätte eine umfassende (Einzel-)Abwägung vorgenommen. Zählt man die Pro- und Contra-Punkte (wie oben dargestellt) durch, würde es 3:1 für ein Verbot von Filterpflichten stehen.

Für die Frage, ob ein sogenanntes Quick-Freeze (dazu s. LG München, Beschl. v. 20.8.2011 – 21 O 7841/11 und hier) zulässig wäre, hilft das Urteil aufgrund des engen Rahmens nicht unbedingt weiter. Die für eine solche Vorlagefrage abzuwägenden Rechte hat das Gericht allerdings klar herausgearbeitet.

d. Offene Netze

Das Gericht hatte vorliegend über einen “klassischen” Access Provider zu entscheiden. Das Konzept der offenen Netze hatte es vermutlich nicht vor Augen. Es dürfte allerdings kaum mehr in Frage gestellt werden, dass es sich beim Betreiber eines offenen Netzes um einen Access Provider handelt (Mantz, Rechtsfragen offener Netze, 2008, S. 49 mwN). Damit ist das Urteil des EuGH vollständig auf offene Netze anzuwenden.

Der Betreiber eines offenen Netzes kann schließlich auch all die vom Gericht angeführten Rechtspositionen für sich verbuchen, insbesondere Informationsfreiheit, Rechte seiner Kunden und last but not least die Kostenlast, die bei Mini-Netzwerken natürlich einen besonders starken Eingriff bedeuten würde. Diesen Grundsatz stellt schließlich auch die TKÜV auf, die Access Provider mit weniger als 10.000 Nutzern freistellt (s. zur alten Fassung der TKÜV Mantz, Rechtsfragen offener Netze, 2008, S. 61 f.).

Die Klarheit der Abwägung spricht letztlich auch dafür, dass bereits weniger stark eingreifende Pflichten zumindest bei kleinen Providern eher als unzulässig einzustufen sein können.

Für die Betreiber von offenen Netzwerken ist damit zumindest soweit die Vorlagefrage reicht, Rechtsklarheit geschaffen worden.

5. Exkurs: Personenbezug von IP-Adressen

Für einige Diskussion hat die Frage gesorgt, ob der EuGH im Urteil en passant die Frage beantwortet hat, ob IP-Adressen Personenbezug aufweisen.

a. Relativ oder absolut?

Zur Erinnerung: Nach § 3 Abs. 1 BDSG sind personenbezogene Daten “Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person”.

Dabei ist in Rechtsprechung und Literatur umstritten, ob IP-Adressen “per se” als personenbezogen zu betrachten sind (sogenannter “absoluter Personenbezug”) oder nur für denjenigen, der aufgrund des Zugriffs auf andere Daten, z.B. die Kundendatenbank eine Identifizierung vornehmen kann (sogenannter “relativer Personenbezug”), was zur Folge hätte, dass IP-Adressen für den Access Provider personenbezogen sind, für einen Dritten aber nicht. Die Diskussion hat vor allem in Deutschland aber teilweise keine so große Relevanz als über die Auskunftsansprüche der Enforcement-RL der Zugriff auf die zur Identifizierung nötigen Daten beim Access Provider unter geringen Voraussetzungen möglich ist, was die hunderttausendfach erteilten Auskunftsersuchen belegen.

b. Die Ausführungen des Gerichts

Im Urteil des EuGH spricht für einen absoluten Personenbezug (zunächst) der folgende Satz:

Zum einen steht nämlich fest, dass die Anordnung, das streitige Filtersystem einzurichten, eine systematische Prüfung aller Inhalte sowie die Sammlung und Identifizierung der IP-Adressen der Nutzer bedeuten würde, die die Sendung unzulässiger Inhalte in diesem Netz veranlasst haben, wobei es sich bei diesen Adressen um personenbezogene Daten handelt, da sie die genaue Identifizierung der Nutzer ermöglichen.

Die Diskussion mit Bezug auf das Urteil des EuGH (s. z.B. bei Rechtsanwalt Michael Seidlitz hier) stellt die Äußerung des EuGH in einen größeren Kontext und gestattet die Frage, ob der EuGH den Satz eventuell nur auf Nutzer des Access Providers Scarlet bezogen wissen wollte. Denn für diesen sind die Daten ohnehin (relativ) personenbezogen.

Der Generalanwalt des EuGH hatte diesbezüglich in seinem Schlussantrag formuliert (s. http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=CELEX:62010C0070:DE:NOT):

75. Eine zweite Schwierigkeit besteht darin, zu bestimmen, ob es sich bei IP-Adressen um personenbezogene Daten handelt. Der Gerichtshof hatte sich bisher nur mit Fällen zu befassen, bei denen es um Daten ging, die mit IP-Adressen verbundene namentlich genannte Personen betrafen(56) . Er hatte hingegen noch nicht die Gelegenheit, zu prüfen, ob IP-Adressen als solche als personenbezogene Daten eingestuft werden können(57).

78. Somit können IP-Adressen als personenbezogene Daten eingestuft werden, soweit sich anhand ihrer eine Person identifizieren lässt, durch Verweis auf eine Kennung oder irgendein anderes Merkmal, das die Person kennzeichnet(63).

Vor diesem Hintergrund kann man zumindest davon ausgehen, dass der EuGH sich des Streits um den Personenbezug bewusst war, als er die Gründe formulierte.

Es stellt sich zunächst die Frage, welchen Bezugspunkt der EuGH hier verwendet hat. Er spricht von der Identifizierung derjenigen Nutzer, “die die Sendung unzulässiger Inhalte in diesem Netz veranlasst haben”. “In diesem Netz”, das ist das Netz des Access Providers Scarlet. In einem Filesharing-Netzwerk gibt es eine Vielzahl von Personen, die an der Übertragung teilnehmen. Beschränkt man dies gedanklich auf Quelle und Senke, sind beides Nutzer, die die Sendung “veranlasst haben”, unabhängig davon, welcher von beiden im Netz des Betreibers ist. Es könnte allerdings mehr dafür sprechen, dass der EuGH den Nutzer im Netz von Scarlet meinte, denn nur er kann dafür sorgen, dass der Filesharing-Verkehr tatsächlich im Netz von Scarlet landet – er wäre daher der “Veranlasser”.

Allerdings hätte der EuGH vor diesem Hintergrund zum Personenbezug im Grunde keinen Ton verlieren müssen. Denn dass Scarlet seine Nutzer zu jedem Zeitpunkt identifizieren kann, stand und steht außer Frage. Dafür werden nicht einmal die IP-Adressen benötigt. Im System von Scarlet erfolgt eine solche Identifizierung vermutlich viel eher über die Anschlussnummer oder sogar eine weiter Identifikationsnummer. Insofern könnte es sich auch eine gewollte Klarstellung durch den EuGH in Richtung eines absoluten Personenbezugs handeln.

Man sollte weiter nicht übersehen, dass der EuGH seine Ausführungen auf den ersten Blick offen formuliert hat. Die Argumentationslast dafür, dass das Urteil des EuGH nicht für die Theorie des absoluten Personenbezugs spricht, liegt daher auf Seiten der Vertreter der (engeren) relativen Theorie.

heise-online berichtet über eine US-Studie, in der Wahrnehmung und Wirklichkeit der Sicherheit von WLAN-Netzen untersucht wurde: http://www.heise.de/newsticker/meldung/US-Studie-WLAN-Nutzer-ueberschaetzen-die-eigene-Sicherheit-1359025.html

Und hier der direkte Link zur Pressemitteilung über die Studie: http://www.wi-fi.org/news_articles.php?f=media_news&news_id=1085

Die Gruppe Freifunk Frankfurt trifft sich morgen, Samstag 24.9.2011, ab 19h zum ersten Mal.

S. hier und die neue, geänderte Location hier.

Wie heise-security meldet, sind viele voreingestellte WPA-Passwörter in WLAN-Routern unsicher.

Das ist grundsätzlich nichts Neues (s. dazu schon hier). Allerdings haben zwei Studenten nun weitere Details herausgefunden.

So leiten einige Hersteller, z.B. die Telekom bei ihrem Router W-700V ) das Passwort von der MAC-Adresse ab, die bei Broadcast-Nachrichten des Routers veröffentlicht wird.

So beginnt etwa der voreingestellte WPA-Key des Modells Speedport W 700V der Telekom-Hausmarke Speedport immer mit “SP-”, gefolgt von neun hexadezimalen Ziffern. Fünf davon lassen sich aus dem ebenfalls voreingestellten WLAN-Namen (SSID) und der MAC-Adresse der WLAN-Schnittstelle ableiten. Von den restlichen vier Stellen sind zwei stets gleich, sodass ein Angreifer insgesamt nur drei Stellen des WPA-Keys selbst erraten muss. Da nur hexadezimale Ziffern erlaubt sind, reduziert sich der Schlüsselraum auf 16 hoch 3, also 4096 Schlüssel.

Nun haben zwei Studenten ein Reverse-Engineering der Speedport-Firmware herausgefunden, dass zusätzlich drei Stellen der Seriennummer bei der Generierung der Seriennummer verwendet werden. Außerdem ist eine Stelle der Seriennummer fast immer eine 3. Im Ergebnis reduziere dies die Anzahl der möglichen Schlüssel auf 100. Das führt selbstverständlich zu einer erheblichen Unsicherheit des Netzwerks gegenüber Attacken.

Im Test konnten sie sich an einem Speedport W700V schon nach weniger als 4 Minuten anmelden. Betroffen sind nach Untersuchungen von Müller und Viehböck auch Speedport-Modelle W 303V (Typ A), W 500, W 502V, W 503V (Typ C) , W 504V, W 720V, W 722V (Typ B) und W 723V (Typ B).

Obwohl das Problem bereits seit rund einem Jahr bekannt ist (s. dazu hier), scheinen viele Besitzer dieser Router noch immer auf das alte Kennwort zu setzen:

 Müller und Viehböck haben bei Flächentests die Probe aufs Exempel gemacht. Bei der Überprüfung von knapp 14.000 Access Points in Stuttgart, München, Coburg und Berlin fanden die beiden heraus, dass zwischen 17 und 25 Prozent noch auf eine Speedport- oder Easybox-Standard-SSID eingestellt waren.

Der BGH hatte in seinem Urteil “Sommer unseres Lebens” (BGH MMR 2010, 568 m. Anm. Mantz) vom Inhaber eines WLAN-Routers verlangt, dass er das Standard-Kennwort neu setzt. Dass der damalige Beklagte dies bei seinem WLAN-Router nicht gemacht hatte, sah der BGH als Verletzung seiner Prüfungs- und Überwachungspflichten an und verurteilte den Beklagten nach den Grundsätzen der Störerhaftung. Dies ist vielfach auf Kritik gestoßen. Denn der vom Beklagten verwendete WLAN-Router war ein Router der Marke AVM, der nach Aussagen des Herstellers mit einem vollständig zufälligen und damit vermutlich sicheren Standard-Passwort versehen war (s. dazu hier).

Mit Blick auf die größere Anzahl schlecht vorkonfigurierter WLAN-Router (auch wenn es sich bisher nur um diejenigen des Herstellers Arcadyan handelt), stellt sich das Urteil des BGH im Nachhinein als zumindest nachvollziehbar heraus. Streng genommen hätte der BGH (entsprechenden Vortrag und Beweisangebot der Parteien vorausgesetzt) allerdings klären müssen, ob der WLAN-Router des Beklagten tatsächlich unsicher war.

Es ist vor diesem Hintergrund allerdings allen Besitzern von WLAN-Routern zu raten, das Standardkennwort abzuändern. Dafür ist eine zufällige Folge mit mind. 20 Zeichen empfehlenswert, wie sie sich z.B. bei http://www.freepasswordgenerator.com generieren lässt.

 

S. auch:

• WLAN-Router: Voreingestellte WPA-Passwörter teilweise zu unsicher
• Das WLAN-Urteil des BGH und seine Auswirkungen auf offene Netze

In eigener Sache: Meine Kurzanmerkung zum WLAN-Urteil des BGH (Urt. v. 12.5.2010 – I ZR 121/08: Sommer unseres Lebens, zuvor erschienen in MMR-Aktuell 2010, 303 (MMR, Heft 6/2010, S. XII) ist nun auch online verfügbar.

Download hier

Die Eletronic Frontier Foundation (EFF) hat ein Open Wireless Movement angekündigt.

In dem Beitrag von Peter Eckersley legt die EFF dar, dass das Öffnen der Netze der Allgemeinheit nütze und aus diesem Grunde etwas “gesellschaftlich Verantwortliches” sei und bedauert den Rückgang der offenen Netze.

Most of us have had the experience of tremendous inconvenience because of a lack of Internet access. Being lost in a strange place with no way to find a map; having an urgent email to send with no way to do so; trying to meet a friend with no way to contact them. Even if we have data plans for our mobile phones, we’ve probably had these experience in cities or countries where our phones don’t have coverage or don’t have coverage for less-than-extortionate prices. We may even experience this problem at home, when our Internet connection dies while we urgently need to use it.

Finding yourself in one of these binds is a bit like finding yourself parched and thirsty while everyone around you is sipping from nice tall glasses of iced water, or finding yourself cold and drenched in a rain storm because nobody will let you under their umbrella. At those moments when you are lost, or missing a deadline, or failing to meet your friend, it is almost always true that Internet data links are traveling through your body in the form of electromagnetic wireless signals — it’s just that people have chosen to lock those networks so that you can’t make use of them. …

The gradual disappearance of open wireless networks is a tragedy of the commons, with a confusing twist of privacy and security debate.

Eckersley geht auch auf die verschiedenen Gründe ein, warum Netze nicht geöffnet oder wieder geschlossen werden und fordert technische Entwicklungen, um dem zu begegnen:

The problem that’s really killing open WiFi is the idea that an unlocked network is a security and privacy risk. … This idea is only partially true. …

But an Open Wireless Movement will also need to do technical work: we need to build new technologies to ensure that people have an easy way to share a portion of their bandwidth without affecting the performance of their own network connections while at the same time ensuring that there is absolutely no privacy downside to running an open wireless network.

There is currently no WiFi protocol that allows anybody to join the network, while using link-layer encryption to prevent each network member from eavesdropping on the others. But such a protocol should exist. There are some technical details to work through, but they are manageable.

Die EFF lädt nun zum Mitmachen und Teilnehmen ein:

EFF will be working with other organizations to launch an Open Wireless Movement in the near future. In the mean time, we’re keen to hear from technologists with wireless expertise who would like to help us work on the protocol engineering tasks that are needed to make network sharing easier from a privacy and bandwidth-sharing perspective. You can write to us at openwireless@eff.org.

(via Golem)

In eigener Sache: In Heft 6 der Multimedia und Recht (MMR) ist ein Urteil des LG Frankfurt (Urteil vom 18.8.2010 – 2-6 S 19/09, MMR 2011, 401) mit einer Anmerkung von mir (S. 403) erschienen.

Kläger war der (zuvor abgemahnte) Inhaber eines Hotels, der seinen Gästen ein mit aktueller Technik verschlüsseltes WLAN zur Verfügung gestellt hatte. Einer der Hotelgäste hatte offenbar Filesharing betrieben und dabei Urheberrechte verletzt, woraufhin die Beklagte den Hotelinhaber abmahnte und Zahlung ihrer Anwaltskosten sowie Schadensersatz verlangte. In der Klage vor dem AG Frankfurt/M. und mit der Berufung vor dem LG Frankfurt/M. verfolgte der Kläger die Erstattung seiner Verteidigungskosten.

In der Anmerkung gehe ich u.a. auf folgende Punkte ein

• Zur Störerhaftung des Klägers
• Prozessuale Umstände und Folgen
• Waffenungleichheit der Parteien bei Abmahnung
• Auswirkungen/Fazit

Ich werde die Anmerkung nach Möglichkeit in einiger Zeit online stellen.

Auf Vimeo haben Freifunker ein Video des Vortrags von Thomas aka Bluse-Blue mit dem Titel “Freifunk auf dem Lande” eingestellt, in dem er die Erfahrungen des Aufbaus eines Freifunknetzes über mehrere Dörfer hinweg darstellt.

Die “offizielle” Kurzbeschreibung lautet:

Seit 2003 bauen wir in einem 450 Einwohner Dorf ein Freifunknetz auf, das mittlerweile auf 3 weitere Dörfer ausgedehnt wurde mit insgesamt 85 Haushalten.

Mein Vortrag ist 3-teilig: Es geht mit der technischen Umsetzung, unseren Erfahrungen, Misserfolgen, guten Lösungen los. Im 2. Teil erkläre ich warum wir gerade eine Genossenschaft gegründet haben, die Herausforderungen & Kosten, positiven Effekte und aktuellen Rechtsverletzungsszenarien. Im letzten Teil werde ich versuchen “Freifunk im ländlichen Gebiet” zusammenzufassen, insbesondere die Unterschiede in der Dezentralität zu einem Freifunk in der Stadt (Berlin) aufzeigen und mich auf eine angeregte Diskussion freuen.

Das Video ist unter http://vimeo.com/20973055 verfügbar.

Das OLG Frankfurt hat nach Zurückverweisung durch den BGH (BGH, Urt. v. 12.5.2010 – I ZR 121/08, MMR 2010, 565 – Sommer unseres Lebens) nun zum zweiten Mal über den WLAN-Fall zu entscheiden gehabt.

Mit Urteil vom 21.12.2010 (Volltext hier) hat es der Klage weitgehend stattgegeben und den WLAN-Inhaber als Störer zur Unterlassung (wenn auch eingeschränkt, s.u.) und zum Ersatz der Abmahnkosten verurteilt.

Das Urteil des OLG Frankfurt offenbart leider eine gewisse Mutlosigkeit des erkennenden Senats. Das Urteil des BGH, das in der Literatur eines der am intensivsten diskutierten Urteile des Jahres 2010 gewesen sein dürfte (praktisch jede namhafte Zeitschrift mit Medienrechtsbezug hatte eine Besprechung, s. Übersicht dazu hier), wies mehrere Ansatzpunkte auf, die dem OLG Frankfurt auch bei Bindung an den Urteilsspruch des BGH durchaus ein differenziertes Urteil gestattet hätten.

Das OLG Frankfurt hat sich jedoch dahingehend gebunden gefühlt, dass feststehe, dass der Beklagte als Störer hafte:

Nach dem Revisionsverfahren des BGH vom 12.5.2010 ist für den Senat verbindlich davon auszugehen, dass der Beklagte als verantwortlicher Störer auf Unterlassung in Anspruch genommen werden kann.

Die entsprechende Regelung findet sich in § 563 Abs. 2 ZPO:

(2) Das Berufungsgericht hat die rechtliche Beurteilung, die der Aufhebung zugrunde gelegt ist, auch seiner Entscheidung zugrunde zu legen.

Davon ausgehend führte das OLG Frankfurt lediglich die Vorgabe des BGH aus, den Unterlassungsanspruch enger zu fassen und erlegte die Kosten grob zu 2/3 dem Beklagten und zu 1/3 der Klägerin auf (im Einzelnen s. Volltext): Dem Beklagten wird nunmehr untersagt, das streitbefangene Werk nicht mehr dadurch öffentlich zugänglich zu machen, dass er sein WLAN nicht durch ein ausreichend sicheres, selbst eingestelltes Passwort sichere.

An genau dieser Stelle hätte das OLG Frankfurt ansetzen können bzw. müssen. Denn der BGH war offenbar fälschlich davon ausgegangen, dass der Beklagte ein unsicheres Passwort verwendet hatte. Dies entsprach aber nicht der Tatsachenlage. Denn der vom Beklagen eingesetzte WLAN-Router wies ein zwar vom Hersteller voreingestelltes, aber dennoch sicheres Kennwort auf (s. hier).

Eine Bindung nach § 563 Abs. 2 ZPO liegt nur im Rahmen der rechtlichen Feststellungen vor. Zur rechtlichen Beurteilung gehören die Rechtsausführungen des Revisionsgerichts in ihrer Gesamtheit (Thomas/Putzo, § 563 ZPO Rn. 4). Bei Tatsachenfeststellungen gilt die Bindung nur soweit wie das Revisionsgericht ausnahmsweise die Tatsachenentscheidung selbst zu treffen hatte (BGH NJW 1995, 3115; Thomas/Putzo, § 563 ZPO Rn. 3). Die rechtliche Bindung gilt auch nicht, soweit zu beurteilende Tatbestand wegen neuen Vorbringens von dem abweicht, der dem Revisionsgericht vorgelegen hat (BGH NJW 1951, 524).

Danach zu urteilen hätte das OLG Frankfurt dem Vorbringen des Beklagten, dass sein WLAN-Router durch das individuelle Herstellerkennwort ausreichend gesichert war, durchaus folgen können und hätte nicht von vornherein von einer Bindung an den Ausspruch des BGH ausgehen müssen. Es ist allerdings unbekannt, ob der Beklagte entsprechend vorgetragen hat.

Außerdem war bis zum Schluss strittig, ob der WLAN-Router des Beklagten zum Zeitpunkt der “Tathandlung” überhaupt angeschaltet war (s. hierzu im einzelnen hier) – auch dies eine durchaus relevante Frage, denn ohne Strom kann der WLAN-Router des Beklagten auch nicht genutzt worden sein. RAin Neubauer weist in diesem Zusammenhang auf eine Entscheidung des BVerfG hin (BVerfG NJW 1994, 2279)

„Grundsätzlich geht das Bundesverfassungsgericht davon aus, daß die Gerichte von ihnen entgegengenommenes Parteivorbringen zur Kenntnis genommen und in Erwägung gezogen haben. Sie sind dabei nicht verpflichtet, sich mit jedem Vorbringen in den Entscheidungsgründen ausdrücklich zu befassen. Deshalb müssen, damit das Bundesverfassungsgericht einen Verstoß gegen Art. 103 Abs. 1 GG feststellen kann, im Einzelfall besondere Umstände deutlich machen, daß tatsächliches Vorbringen entweder überhaupt nicht zur Kenntnis genommen oder doch bei der Entscheidung nicht erwogen worden ist (vgl. BVerfGE 65, 293 <295 f.>; 70, 288 <293>; st. Rspr.). Geht das Gericht auf den wesentlichen Kern des Tatsachenvorbringens einer Partei zu einer Frage, die für das Verfahren von zentraler Bedeutung ist, in den Entscheidungsgründen nicht ein, so läßt dies auf die Nichtberücksichtigung des Vortrags schließen, sofern er nicht nach dem Rechtsstandpunkt des Gerichts unerheblich oder aber offensichtlich unsubstantiiert war (vgl. BVerfGE 86, 133 <146>).”

Bei Anwendung der vom BGH aufgestellten Kriterien hätte der Senat des OLG Frankfurt also durchaus auf Tatsachenbasis zu einem anderen Ergebnis kommen können.

Der BGH hat schließlich nur die Rechtsfrage geklärt, dass jemand, der ein Herstellerpasswort nicht ändere (und dadurch ein unsicheres Kennwort verwendet, Anm. d. Verf.), als Störer in Anspruch genommen werden könne – und die Frage, ob der Router ausgeschaltet war, vollkommen unberücksichtigt gelassen. Unter Einbeziehung des Routermodells und der Aussagen des Herstellers AVM hätte das OLG erneut – unter Beachtung der Vorgaben des BGH – unter den Sachverhalt subsummieren und trotz der Rechtsfeststellung ein anderes Urteil fällen können…

Sehr lesenswert hierzu übrigens die Besprechung von Oliver Garcia auf Delegibus.

Weitere Links:

• Das WLAN-Urteil des BGH und seine Auswirkungen auf offene Netze
• Gedanken zu den Auswirkungen des BGH Urteils zur Sicherung von WLANs, BGH, Urt. v. 12.5.2010 – I ZR 121/08
• WLAN-Urteil des BGH: Router war gesichert (AVM)
• In eigener Sache: Anmerkung zu BGH WLAN (Urt. v. 12.5.2010 – I ZR 121/08: Sommer unseres Lebens), MMR 2010, 568 und Übersicht
• Garcia, Grundrecht auf Freifunken, Telepolis v. 19.4.2010, http://www.heise.de/tp/r4/artikel/32/32466/1.html = http://delegibus.com/2010,2.pdf
• Breyer, NJOZ 2010, 1085
• Mantz, Die Haftung des Betreibers eines WLAN-Zugangs für die Handlungen seiner Nutzer, JurPC Web-Dok. 95/2010