Über Ralph Günther

Als Gründer der exali GmbH verfüge ich über langjährige Erfahrung im Riskmanagement und der Versicherung von IT-Experten, Medienschaffenden und Consultants. Mehr

Zum Versicherungsportal

exali.de - Mein Business bestens versichert

RSS

RSS

Networking

Follow exali on Twitter  

Meta

Diese Seite wird überprüft von der Initiative-S

Teil 1 von 3 aus der Serie „Open Source Software“

Die Akzeptanz von Open Source steigt: Nach einer Befragung von Forrester Research hat sich der Einsatz von Open Source in Unternehmen verdoppelt. Nutzten im Jahr 2008 noch 40 Prozent von ihnen die quelloffene Software, so nahm ihr Anteil in diesem Jahr auf 80 Prozent zu. Auf Seiten der Programmierer sind es vor allem die jüngeren Generationen, die mit Linux, PHP und Ruby statt Java oder .NET arbeiten. (Quelle: Zdnet)

Immer mehr Freiberufler setzen auf Open Source Software. Doch wer haftet beispielsweise bei Sicherheitslücken?

Immer mehr Freiberufler setzen auf Open Source Software. Doch wer haftet beispielsweise bei Sicherheitslücken?

Auch Webagenturen und Webentwickler setzen zunehmend auf Open Source Software. Im Internet sind Shop-Lösungen und Content Management Systeme (CMS) weit mehr im Trend als beispielsweise im ERP-Segment.

Beispiele für Open Source Software (Webshop / CMS)

CMS-Systeme E-Commerce / Webshops
TYPO3 / TYPOlight XT:Commerce
Joomla! osCommerce
Drupal Magento
WordPress (Blogsoftware) Presta Shop

Für Webentwickler bietet die Spezialisierung auf Open Source großes Potenzial aufgrund der guten Nachfrage durch Webshop-Betreiber und Firmenkunden.

Vorteile von Open Source für Webentwickler und Webshopbetreiber

Stets up to date und dabei noch Kosten sparen: Die Endverbraucher profitieren durch die meist große Entwickler-Community, die die neuesten Funktionen und Module für Webentwickler bereitstellt. Somit können Webagenturen schnell auf technische Trends reagieren und Systeme mit den neuesten Features und SEO-Technologien ausstatten, während Softwarehäuser mit Eigenentwicklungen mit hohem Personalaufwand das eigene System ständig weiterentwickeln müssen.

Kunden erwarten daher auch einen entsprechenden Preisvorteil beim Einsatz eines Open-Source-Systems, da für die quelloffene Software keine Lizenzgebühren anfallen. Das dient der Webagentur oft als entscheidendes Verkaufsargument.

Doch wie bei vielen Dingen im Leben gibt es auch beim Einsatz von Open Source zwei Seiten der Medaille. So bringt die Verwendung von Open Source CMS nicht nur Vorteile, sondern birgt auch Gefahren – für Webagentur und Kunden.

Plug-ins: Segen und Fluch zugleich

Für die meisten Open-Source-Systeme gibt es zahlreiche Plug-ins. Dadurch kann man auf recht einfache Weise neue Funktionen in das bestehende System integrieren. Doch bei der Einspielung eines neuen Plug-ins kann es sehr leicht zu einer Beeinträchtigung bzw. negativen Beeinflussung des bestehenden Systems kommen.

Und das um so mehr, je weiter ein CMS auf den Kunden bereits individualisiert wurde. Dies zeigt beispielsweise ein Schadenfall aus diesem Jahr: Eine Webdesignerin sollte Anpassungen an einem größeren TYPO3 CMS vornehmen. Dabei wurde versehentlich das gesamt System „gecrasht“. Für die Systemwiederherstellung musste ein TYPO3-Spezialist beauftragt werden, da vor den Änderungen kein Back-up der Seite erstellt wurde. Die Kosten der Wiederherstellung beliefen sich auf mehrere Tagessätze.

Im Schadenfall werden den Kunden die technischen Hintergründe und Zusammenhänge jedoch nicht interessieren. Er wird bei Ausfällen seiner Webseiten den Webdesigner in die Verantwortung nehmen.

Ungeklärte Verantwortlichkeiten bei Sicherheits-Updates: Wer haftet?

Gerade im Kontext mit Open Source ist das Thema „Sicherheit bzw. Sicherheitslücken“ besonders heiß. Da die Quellcodes der Open-Source-Systeme für alle Entwickler einsehbar sind, können natürlich auch potentielle Hacker Sicherheitslücken erforschen und ausnutzen. Meist haben es die Hacker dabei auf die gespeicherten Kundendaten in den mit dem CMS verknüpften Datenbanken (z.B. MySQL) abgesehen. Um diesem Risiko vorzubeugen, erscheinen regelmäßige Updates die erkannte Sicherheitslücken im System schließen.

Auch wenn es keiner gerne hört: Grundsätzlich ist der Internetdienstleister für die Sicherheit des Systems verantwortlich, sprich haftet auch dafür. Er hat dafür Sorge zu tragen, ein Open-Source-System nach den aktuellsten Sicherheitsstandards – juristisch dem Stand der Technik – aufzusetzen.

Aus meiner Praxis weiß ich allerdings, dass viele Webdesigner und Webagenturen darin nicht ihre Aufgabe sehen und erst recht keine Regelungen zum Thema „Sicherheit und Datensicherung“ mit ihren Kunden vereinbaren. Beide Parteien – Dienstleister wie Kunden – setzen sich damit hohen Risiken aus.

Durch welche Maßnahmen sich diese Risiken in der Praxis minimieren lassen, lesen Sie kommenden Donnerstag im zweiten Teil „Open-Source-Systeme: Haftungsrisiken durch Update-Verträge minimieren“.

Weiterführende Informationen

5 Antworten auf “Webshop und CMS: Wer haftet für unsichere Open-Source-Systeme? Teil 1 von 3”

  1. […] & HAFTUNG Webshop und CMS: Wer haftet für unsichere Open-Source-Systeme? Teil 1 von 3 « Ralph Günther…: Die Akzeptanz von Open Source steigt: Nach einer Befragung von Forrester Research hat sich der […]

  2. Alex sagt:

    Echt spannender Einstieg in eine hoffentlich genauso spannend bleibende Reihe.

    Sollte ein Open Source System durch Sicherheitslöcher gehackt werden, bin ich dann haftbar? Manche Hosting-Systeme ermöglichen ja keine automatisierten Backups – der oben genannte Fall kann als auch in anderer Form eintreten.

    Viele Grüße

    Alex

  3. Hallo Alex,
    ob Du haftbar zu machen bist, hängt sicherlich vom konkreten Einzelfall ab. Ich persönlich sehe es so: Wenn Du für Dich persönlich dieses Hosting-Angebot ohne Datensicherungsmöglichkeit nutzt, ist das Deine eigene Sache. Wenn auf einem Hosting-Paket jedoch das Kunden-CMS aufgesetzt wird und dieses z.B. keinen Zugriff für einen Datenbank-Dump zulässt, hast weder Du als Dienstleister noch der Kunde selbst die Möglichkeit ein Backup zu erstellen. Das sehe ich kritisch. Insofern ist man mit einer Hosting-Lösung, die einen Vollzugriff ermöglicht, auf der sicheren Seite.

    Gruß Ralph

  4. Manuela sagt:

    Warum denn gleich am Hacker denken? Wie sieht es aus mit der Haftung des Webdesigners, wenn durch Updates von Cores oder Softwareerweiterungen ein CMS oder Teile davon nicht mehr einwandfrei funktionieren? Wenn seine eigenen Programmierkenntnisse nicht ausreichen für entsprechende Code-Anpassungen? Wie sollten Haftungsausschlüsse in einem solchen Fall aussehen?

  5. Stimmt, die Probleme können natürlich auch „hausgemacht“ sein. Wenn der Webdesigner beim Update das System oder Teile davon „abschießt“ wird ihn der Auftraggeber dafür verantwortlich – sprich haftbar machen. Ein Haftungsausschluss nach dem Motto „Ich hafte nicht für die Folgen eines Updates“ ist sicherlich eine gute Idee. Ich habe jedoch meine Zweifel ob a) der Kunde diesen akzeptiert und b) diese Haftungsfreistellungen in jedem Fall rechtlich wirksam sind. Bei grober Fahrlässigkeit und der Verletzung von Kardinalpflichten ist die Vereinbarung von Haftungsfreistellungen nach meiner bisherigen Recherche kritisch zu beurteilen.

Schreiben Sie einen Kommentar

Wenn Sie einen Kommentar abgeben, speichern wir zu den eingegebenen Daten Ihre IP-Adresse. Weitere Informationen finden sie in unserer Datenschutzerklaerung.

Time limit is exhausted. Please reload CAPTCHA.