Erfahrungsbericht: Reaktion auf Fritzbox-Hack; Easybell & AVM übernehmen KEINE Kosten

Die grundsätzlich zu lösende Fragestellung in diesem Thread, auch unabhängig vom im ersten Post genannten Provider dürfte die der Fahrlässigkeit sein. Meiner Ansicht nach kann der Standard-Peter-Müller-User, der von seinem Provider eine Box gestellt bekommt und in aller Regel von bestehenden Lücken höchstens genau so viel weiß wie die Hersteller der Hardware, nicht für ein Ausnutzen dieser verantwortlich gemacht werden. Natürlich könnte der jeweilige Provider im Ernstfall per TR69 eine aktualisierte FW einspielen. Wenn der User das nicht möchte bzw. durch Eingriff unterbunden hat, würde sich evtl. die Frage nach einer Verletzung der Schadensminderungspflicht stellen ... aber selbst das dürfte juristisch äußerst schwer zu beleuchten sein. Jeder User könnte argumentieren, daß er mit seiner vereigentumten Hardware tun kann, was er möchte (Stichwocrt: Routerzwang). Aus o.g. Gründen ist es meiner Meinung nach logisch, daß die meisten Provider die durch den Mißbrauch entstandenen (Mehr-)Kosten der einzelnen User übernehmen.
Generell existiert nach meinem Verständnis eine große rechtlich Grauzone in der Risikoverantwortlichkeit zwischen HW-Hersteller, User und Provider, bedingt durch fehlende juristische Mindeststandards.
Einfaches Beispiel: Wenn ich durch Unachtsamkeit in Verbindung mit fehlender Firewall und/oder aktuellem Virenscanner einem Wurm ermögliche, meiner Kreditkartennummer zu einem größeren Bekanntheitsgrad unter mir persönlich unbekanntem Publikum zu verhelfen und kraft dieser ein paar Oberklasse-Einkäufe den Besitzer wechseln, ist das mein Problem. Reagiere ich nicht schnell genug, ist das Geld weg und die Bank wird für meine Dummheit nicht ersatzpflichtig eintreten.
Für TK-Anschlüsse existieren, insbesondere in VoIP- und Mehrwertdienstzeiten keine klaren Abgrenzungen, welche Verantwortlichkeit wo endet. Dazu ist zum einen das Spektrum der Anschlussarten (und damit die Möglichkeit des User-Eingriffs in die HW) zu groß und zum zweiten ein genereller Mindeststandard für Sicherheitsanforderungen für alle HW-Hersteller, die Geräte auf dem deutschen Markt vertreiben, nicht existent. Gäbe es bspw. etwas wie einen "Router-TÜV", wäre sicherlich so manche Lücke nicht oder nicht in diesem Umfang ausgenutzt worden. Da sich allerdings die (meisten) Hersteller nicht in Ihre (Firmware-) Karten schauen lassen und ggfs. die FW wieder per TR69 ändern können, wird es für einen flächendeckenden Mindeststatus schwierig. Also generelle Frage: Wer (User, HW-Hersteller, Provider) erlangt zu welchem Zeitpunkt (nachweislich) Kenntnis von einer Lücke und hat also nun eine Schadensminderungspflicht ?
Was macht eine 85jährige Dame, deren Enkel ihren Router zum Telefonieren eingerichtet hat, welche kein Internet benutzt und so dem aktuellen Angriff eher schutzlos ausgeliefert sein dürfte ?
Welches Mindestlevel an Fachkenntnis können/dürfen Provider und/oder HW-Hersteller beim Endkunden voraussetzen, um eine evtl. Ersatzpflicht auf diesen abzuwälzen ?
Solange diese Fragen nicht standardisiert gelöst werden, werden wir uns wohl weiter in diesem Graubereich bewegen und immer mal wieder von ähnlichen Problemen heimgesucht werden.
Grüße,

JD.
 
Habt ihr nun endlich fertig rum´ge´trollt

Sofern sich Deine Einlassung auf meinen Post bezieht, kann ich Dir leider nicht ganz folgen. Ich hatte gehofft, dass Problem etwas allgemeiner beleuchtet zu haben - die Verallgemeinerung schließt Easybell mit ein. Insofern kann ich Deinen Troll-Vergleich nicht ganz einordnen ... naja.

Ihr würdet wohl auch Hausbauer verklagen, weil wer in die Wohnung eingebrochen ist, und man nicht ausreichend gesichert hat.

Damit hast Du exakt recht, das würde ich. Wenn ich Türen, Fenster, Schlösser usw. oder ähnliches in einem vereinbarten Sicherheitssatndard bestellt habe, und in der Folge ein Einbruch nachweislich darauf zurück zu führen wäre, dass dieser Standard entweder nicht geliefert wurde oder der Einbruch durch mangelhafte Ausführung des Einbaus ermöglicht oder begünstigt wurde, würde ich den Vertragspartner des jeweiligen Gewerkes auf Schadensersatz verklagen.
Was würdest Du denn machen, wenn Deine neue Heizungsanlage im Winter kalt bleibt ? Feuer mit dem Heizungshandbuch ?
Grüße,

JD.
 
@JohnDoe42 Vielen Dank für diesen sehr sachlich und korrekten Beitrag. Wenn es in diesem Forum die DANKE-Funktion gäbe, würde ich sie 2x klicken.
 
@HabNeFritzbox Es geht doch nicht nur um einen Fisch im Anbieterteich. Der Risikofaktor ist das Endgerät beim Kunden. Easybell bietet dem Kunden Einstellungen im Customerportal kostenpflichtige Nummern zu sperren. Zudem kann der Anschluss an eine feste IP und/oder ein Passwort gekoppelt werden. Die Funktionen muss man nur nutzen!
Und genau da liegt das Kernproblem. Die Technik ist für die Oma und den Opa oder auch viele Menschen aus anderen Bevölkerungsschichten oder Altersklassen zu kompliziert.
Der Gesetzgeber lässt den Endverbraucher dabei eigentlich völlig alleine. Genau wie beim Thema Homebanking, SEPA und CO. Und wenn der Gesetzgeber etwas tut, dann strickt er mit der heißen Nadel ein Gesetz, das Inhaltlich Murks ist und vom BGH oder EUGH zu Recht "kassiert" wird.
Es geht nicht um NSA-Paranoia, dagegen gibt es kein Mittel, außer Zurückhaltung beim Konsum von US-Gütern. Das ist das einzige Machtinstrument des mündigen Konsumenten.
Es geht auch nicht um Angst und Deinen Keller ohne Stromleitungen.
Angst ist kein Zeichen vom Dummheit. Man kann mit gefährlichen Dingen umgehen, wenn man weiß was man tut und Sachverstand walten läßt.
Es ist sicher unklug mit Plattituden ein wichtiges Thema platt machen zu wollen.
 
Früher oder später dürften in den AGBs des einen oder anderen Providers auf Seite 38 o.Ä. entsprechende Haftungsauschlüsse auftauchen, d.h. bei nicht durch den Provider gestellter bzw. vom User veränderter HW keine Haftung für Missbrauchsfälle.
Dann allerdings wären nach meinem Verständnis die Provider im Umkehrschluss sofort in der Bredouille: Bei ausschließlicher Provisionierung der HW durch den Provider ist dieser auch für "Folgeschäden" durch Lücken der FW verantwortlich.
Also zwei Szenarien:

1. Ausschließliche Benutzung von providerseitig gestellter HW, keine durch den User veränderte FW -> alleinige Haftung des Providers (und/oder in Regress des HW-Herstellers)

2. Weiterhin (weitestgehend) freie HW-Wahl druch den User -> evtl. Teilhaftung des Users, bspw. bei nachweislich bekannten FW-Updates und zu später Benutzung dessen oder Modifikation der FW.

Szenario 1 dürfte unter Selbstbestimmungsaspekten nicht zu realisieren sein und Szenario 2 bsitzt die Schwierigkeit des Nachweises, welcher Teil der Kette ursächlich für den Schaden war, ob es dem User unterstellt werden konnte, diese Ursache eliminieren zu können, wer wann auf welchem Informationsstand war usw. All das dürfte ohne einfache Festlegung der Verantwortlichkeiten durch den Gesetzgeber auch weiterhin so bleiben.

Und wenn ich mir eine Bemerkung am Ende erlauben darf: Der Gesetzgeber kann einfache und zugleich wirkungsvolle Gesetze nur erlassen, wenn er die Gesamtproblematik in Gänze verstanden hat. Dazu scheint mir im Kontrast zu dem zweifelsohne komplexen und technisch anspruchsvollen Thema nicht immer ausreichende Sachkenntnis vorhanden zu sein - und wenn, mangelt es and der Priorisierung dieser Problematiken und dem Engagement, Dinge zur Not auch mal im Alleingang, sprich: Ohne "Hilfe" aus Brüssel abzuwickeln.
Grüße,

JD.
 
@JohnDow42 Und schon wieder ein herzliches Danke !
Und wenn ich mir auch eine Bemerkung erlauben darf: Es ist eine Lebenserfahrung, dass die notwendige Sachkenntnis bei zweifelsohne komplexen Sachverhalten auch im Gesetzgebungsapparat nicht vorhanden ist. Da fallen mir spontan die Drohnen oder der RFID-BPA, die digitale Signatur, DE-Mail, Vorratsdatenspeicherung, das neue Handelsabkommen mit den USA, u.s.w. ein.
Ich möchte es nicht wirklich wissen, wieviele Milliarden Euro verbrannt worden sind und noch verbrennen werden...
Zahlen darf immer der kleine Mann (Frau) ohne Lobby. Das ist sicher.
 
Plus-Abonnenten können diese Artikel kostenlos online nachlesen.
Keine Sorge, ich bin c't Plus Abonnent und habe das verfolgt, leider muss ich Hans Juergen dennoch recht geben, ich bezweifle das du alles richtig verstanden hast.

Das ist nicht persönlich gemeint sondern nur mein Eindruck den ich von dir hier aufgrund deiner Beiträge hier gewonnen habe.

Ich bin durchaus auch der Meinung das nicht alles Perfekt abgelaufen ist, aber die Unterstellungen aus Beitrag #41 zeugen eher von Unkenntnis der Materie, insb. folgender Satz hat meinerseits eher für ein schmunzeln gesorgt (und andere Sätze auch):
Laut CT hat jede Fritzbox eine Art Backdoor mit identischer IP-Adresse in 40 Mio Fritzboxen ?


edit
VoIP ist nur Sche...
...
Ich habe seit einem Jahr VoIP und kann nur sagen, Sch....
Nein, nur dein Kabelanschluss ist Sche***. Du solltest mal anfangen zu differenzieren.


Willst Du jetzt den Oberlehrer spielen?
Das versucht du doch schon lange, und nicht nur hier in diesem Forum.
 
Zuletzt bearbeitet:
Nein, nur dein Kabelanschluss ist Sche***. Du solltest mal anfangen zu differenzieren.
Mein Kabenanschluss bei KabelBW funktioniert hervorragend. Ich habe seit drei Monaten
kein Telefon bei KabelBW.

VoIP-Provider habe Arcor, Sipgate und Callcentric. Die Qualität kann man nicht annähernd
mit der von ISDN vergleichen. Bezüchlich VoIP würde ich eher von "UnQualität" sprechen.

Die einzige Möglichkeit wäre, dass KabelBW was gegen VoIP tut. Hast Du Hinweise hierzu?

Das versucht du doch schon lange, und nicht nur hier in diesem Forum.

Ich versuche meine Erfahrungen weiter zu geben. Und habe bis heute noch keinen
Grund gefunden, als Verbraucher, warum man sich von analog oder ISDN trennen sollte.

E.L.G.
 
eigentlich sollte das hier einen Erfahrungsbericht lt. TS werden, danach wurde das Thema erweitert auf Haftung Hersteller/Anbieter und nun sind wir ob VoIP bescheiden ist oder nur ein individuelles Problem.
vielleicht sollte man nicht einfach nacheinander posten/antworten, sondern wie weiter oben schon angemerkt wurde "zum Thema zurück kommen" und für die noch zu besprechende Themen, einen separaten Thread eröffnen.
 
Aber was soll man mit einer solchen Aussage anfangen?
Offensichtlich fallen dir keine sachlichen Gründe ein...

Was meinst Du mit "sachlich"?

Ich Dir "sachlich" genug, dass ich jetzt 2 Allnet-Flat-Handy-Verträge abschliessend musste,
da mit VoIP, telefonieren nicht möglich war.

@informerex:

Du hast vollkommend recht, aber man kann, meiner Meinung nach, nicht oft genug vor VoIP warnen.

Mag sein, dass IP-Telefonie das beste ist. Müsste eigentlich, bei der zur Verfügung stehende Bandbreite, sein.
Aber was angeboten wird, kann man vergessen. Vielleicht ist der Internetprovider schuldig. Ich habe nur Kabel,
KabelBW und Comcast. Aber das hilft auch nicht weiter.

E.L.G.

P.S. Ich habe, glaube ich 1998, schon VoIP benutzt. Damals gab es ein DOS-Programm iphone.exe oder so
von Mobilcom? Freenet? Mit einem analog-Modem, ca. 300 Baud?, war die Qualität von USA daher mindestens
genau so gut, wie ich heute habe. Musste mit dem Computer, Kopfhörer und Mikro telefonieren.
 
Zuletzt bearbeitet:
Hallo,
Abgesehen davon, dass VoIP sich nicht aufhalten lassen wird und analog/ISDN verschwinden werden, kann ich über keinen Probleme mit VoIP klagen. Es klappt reibungslos.

Nun aber dringend zurück zum Thema des Threads.
 
P.S. Ich habe, glaube ich 1998, schon VoIP benutzt. Damals gab es ein DOS-Programm iphone.exe oder so
von Mobilcom? Freenet? Mit einem analog-Modem, ca. 300 Baud?, war die Qualität von USA daher mindestens
genau so gut, wie ich heute habe. Musste mit dem Computer, Kopfhörer und Mikro telefonieren.
Mit den 300 Baud meinst Du wohl 1988 :) Das war mehr so Telex-Tempo, den Text konnte man komplett während des Bildschirmaufbaus lesen, und wenn man den Akkustik-Koppler nicht in der Schreibtisch-Schublade verstaut hatte, kamen bei jedem Geräusch Störzeichen, weil zunächst keine Fehlerkorrektur implementiert war ;)

Du meinst wahrscheinlich die 56k-Modems, die zu dieser Zeit immer beliebter wurden. ISDN gab's natürlich auch schon, aber ich glaube nichts unter 75 Mark im Monat Grundgebühr... Trotzdem erinnere ich mich, zu dieser Zeit auch schon VoIP genutzt zu haben. Und zwar hatte ich, wenn ich mich recht entsinne, eine Software von "Vocaltech". Damit hätte man bei genügend Bandbreite sogar Videotelefonie nutzen können!

Später haben wir im Freundeskreis eine VoIP-Software von Ahead genutzt - genau die von Nero Burning ROM. Damit ging dann irgendwann - vielleicht so um 2003 rum - sogar Sipgate. Ab 2004 hatte ich aber sowieso die erste FRITZ!Box Fon. Da gab's irgendein Angebot von VIA net.works und Sipgate, glaube ich, wo man die FRITZ!Box Classic billig oder gar umsonst bekam.

Das alles hat aber mit dem heutigen VoIP nicht mehr viel gemein. Bei mir funktioniert's heutzutage wirklich spitze. Sipgate Trunking, Callcentric usw. nutze ich auch. Ich kann mich dem VoIP-Schmäh diesbezüglich keinesfalls anschließen.

Bei den FRITZ!Box Hacks sehe ich das große Problem, dass der Benutzer die Fernwartung aktiviert haben musste, um ausgespäht zu werden. Und die Juristen sagen zurecht, dass dies stets ein allgemeines "Lebensrisiko" birgt. Bei mir schrillen bei sowas sowieso alle Alarmglocken. Ich überlege mir immer lange, bevor ich irgendwas für Außenzugriff freigebe. So habe ich noch nie die Fernwartung eines Routers bei mir zu Hause freigegeben. Höchstens würde ich mich verschlüsselt auf einen Rechner zu Hause einloggen, um von dort aus im LAN auf die FRITZ!Box zuzugreifen. Aber das ist ein anderes Thema.

Natürlich kann ich die User voll und ganz verstehen, die von unterwegs per App oder Webinterface auf die FRITZ!Box wollen, um ihre Anruflisten zu checken, Smarthome zu steuern, irgendwas an der Box zu konfigurieren... Aber da muss jedem klar sein, dass diese Funktionalität immer auch riskant ist. Wenn dann jemand noch dazu seinen Router ohne Passwort oder mit total popeligem Passwort für jedermann erreichbar hat, kann ich das allerdings gar nicht mehr verstehen.

Natürlich konnte niemand ahnen, dass es so gefährlich werden würde; dass sich einfach jemand per Client-Certificate der Box gegenüber authentifiziert und dann jede Seite der Box einfach so aufrufen kann... Ohne Passwort versteht sich. Aber trotzdem: Ein Fernzugang ist und bleibt immer was Gefährliches. Soweit meine persönliche Beurteilung/Meinung. Aber Hersteller und Provider könnten ebenso argumentieren; schließlich ist der Fernzugriff standardmäßig deaktiviert und muss vom Nutzer erst explizit eingeschaltet werden.

Gut, theoretisch wäre es auch möglich, die ungepatchte FRITZ!Box aus dem lokalen Netz anzugreifen, wenn die Fernwartung deaktiviert ist. Man denke da nur an einen Trojaner auf dem Rechner, ein Flash-Applet auf einer bösen Website etc. Ich gehe aber mal davon aus, dass die Boxen über die aktivierte Fernwartung aufgespürt und "besucht" wurden. Und da wird es mit der Haftung des Herstellers bzw. Providers wohl schwierig werden vor Gericht. Nun bin ich kein Jurist, sehe aber trotzdem schwarz für die Betroffenen - egal, was es da noch für juristische Kniffe geben könnte.
 
@KiRKman:

Du musst unterscheiden zwischen "wollen" und "wollen müssen".

Die Risiken von "wollen" sind bekannt und Jeder kann entscheiden für oder gegen.

Das Problem ist es, dass Du gezwungen wirst diese VoIP-Geschichte zu nehmen oder
eben auf´s Telefon verzichten.

Wie gesagt, VoIP ist eine tolle Sache. Aber man muss es wollen und nicht müssen.

Ich habe im Augenblick ein Problem mit meinem TC7200U. Ich habe einen Tarif
bei KabelBW gewählt, explizit ohne Wlan. Beim 1. Modem war dieser Menüpunkt
in der Konfiguration nicht vorhanden. So wie ich es gewollt habe. Habe dann ein
zweites Modem, Austausch, bekommen.

Bei diesem ist Wlan anwählbar. Ich kann Wlan deaktivieren, aber da ich alle 2 Tage
das Teil vom Strom trennen muss, Modem hängt sich auf, danach ist Wlan wieder aktiv.

Und das ist eben das Problem. Es wird Dir was aufgezwungen, was Du nicht haben willst.
Und dazu was noch sehr gefährlich werden kann.....

E.L.G.
 
Hallo,
Ohne Kenntnis der Hardware/der Vertrags:
Kannst Du nicht ein megakryptisches Pwd wählen, so 128 Zeichen, Sonderzeichen, usw und das WLAN dann einfach aktiv lassen? Bzw. kann man das WLAN dort auf best. MACs beschränken?
 
Arme Oma Hannelore

Natürlich kann ich das.

Aber wie soll Oma Hannelore das tun?

"megakryptisch", "Pwd", "Wlan", "MAC"?

Nix verstehen!

Das Problem in diesem Forum ist es, dass die Forenmitglieder Ahnung
von irgend etwas haben und sie setzen voraus, dass "Alle" es wissen "müssen".

Und das ist leider nicht der Fall. Es gibt viele, mich eingeschlossen, die viel wussten,
aber die Zeit........

E.L.G.
 
Oma Hannelore wird kaum verschiedene Provider benutzen wollen. Und gerade für sie ist die automatische Einrichtung der FB gedacht. Da steckt sie ihr vorhandenes Telefon rein und alles ist gut. Nur wenn sie mehr will muss das etwas genauer eingerichtet werden. Dafür gibt es dann aber auch Fachleute, ob kostenpflichtig oder gegen Kaffee und Kuchen...

Die Probleme bei dir darfst du doch nicht verallgemeinern. Warum hast du z. B. nicht deinem Kabelanbieter klarmachen können, dass dieser dir eine einwandfreie Telefonqualität liefern muss? Es war doch seine FB, oder?
 
die Oma nimmt ein bundle vom Anbieter (bspw. 1&1 bzw. kbw - jeweils die F!B) mit autokonfig und schon ist alles in Butter.
bzw. telefoniert mit dem Support dass die das entsprechend einrichten/ändern - dies wird anstandslos erledigt.
 
...telefoniert mit dem Support dass die das entsprechend einrichten/ändern - dies wird anstandslos erledigt.

Und genau da liegt meiner Meinung nach das Problem, das uns zurück zur Ausgangsfrage/-these/-feststellung des Threads führt:

Solange der Provider Zugriff auf die Hardware im Haus des Benutzers hat (was in Deinem beschriebenen Beispiel sicherlich so (gewollt) sein dürfte), dürfte es ggfs. schwierig werden mit der Haftung für evtl. Sicherheitslücken der Box, von denen bei einem Zero-Day-Exploit erst mal der Provider nichst und garantiert die Oma nichts wissen. Die Oma kann/wird sagen: Ihr habt mir doch die Box konfiguriert, wieso habt Ihr das nicht verhindert ? Der Provider wird zum Hersteller der Box sagen: Ihr habt das verbockt. Der Hersteller wird sagen: Was Ihr mit unseren Boxen macht, wenn Sie das Haus verlassen haben (insbesondere bei providerspezifischen Anpassungen, s. 1&1 etc.), ist uns haftungstechnisch egal.
Da drehen sich jetzt alle ein wenig im Kreis, solange der Gesetzgeber für diese Stelle, zu der auch Zwangsrouterfrage gehört, keine Mindeststandards und/oder Haftungsgrenzen oder -ausschlüsse definiert.
Grüße,

JD.
 

Zurzeit aktive Besucher

Statistik des Forums

Themen
246,382
Beiträge
2,251,164
Mitglieder
374,040
Neuestes Mitglied
nady
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.