Home / News&Stories /
WordPress-Seite wird zwei Jahre nach Auftragsende gehackt: Webdesigner soll trotzdem haften und bezahlen!
WordPress-Hack: Ist der Webdesigner haftbar?

WordPress-Seite wird zwei Jahre nach Auftragsende gehackt: Webdesigner soll trotzdem haften und bezahlen!

Beitrag von exaliBeitrag von exaliexali
Beitrag von exaliBeitrag von exaliexali
Sonntag, 15. Juli 2018
Sonntag, 15. Juli 2018
Zurück zur Übersicht

Ein Webdesigner bekommt den Auftrag eine WordPress-Seite für ein Restaurant zu programmieren und zu gestalten. Anfangs läuft alles wie geplant, bis zwei jahre später ein Hacker die Seite mit Malware infiziert. Der Hack verursacht einen Schaden im vierstelligen Bereich, für den der Webdesigner nun Schadenersatz leisten soll…

Webdesign: Haftungsrisiko ohne Zeitlimit?

Haftungsrisiken im Business sind unser Steckenpferd bei exali.de, in unseren Artikeln warnen wir regelmäßig vor den größten Stolperfallen und so dachten wir, dass uns nichts mehr überraschen kann. Der Fall unseres Versicherungsnehmers lässt uns allerdings mit einem Kopfschütteln zurück. Folgendes ist passiert:

Ein Restaurantbesitzer und der Webdesigner schließen einen Vertrag über die Neugestaltung der Restaurant-Homepage auf Basis von WordPress. Mit allen Leistungen beläuft sich die Auftragssumme auf knappe 4.000 Euro. Ein paar Wochen später hat der Webdesigner den Auftrag erfüllt, ein Rahmenvertrag über die Wartung oder regelmäßige Updates der Seite wird nicht geschlossen.

Hacker attackiert Kunden-Homepage

Zwei Jahre später verschafft sich dann ein Hacker Zugriff auf die Homepage des Restaurants und nutzt die WordPress-Seite, um von dort SPAM-Mails zu verschicken. Über mehrere Wochen hinweg gibt es immer wieder Probleme, die Seite wird immer wieder infiziert, bis der Provider schließlich die Restaurant-Homepage aus dem Netz nimmt. Damit soll verhindert werden, dass andere Seiten auf dem Server „angesteckt“ werden.

Der Webdesigner will seinen Kunden bei dem Problem unterstützen und engagiert einen Sicherheitsexperten, der die Seite von Malware befreit. Der Sicherheitsexperte schreibt in seinem Gutachten, dass der Hacker vier unterschiedliche „Backdoors“ hinterlegt hatte und dadurch immer wieder Zugang erhalten hat. Nach wochenlangem Hin und Her ist die WordPress-Seite schließlich doch von der Malware befreit, die Restaurant-Seite geht wieder online.

Trägt der Webdesigner Schuld am Hack-Debakel?

Der Restaurant-Betreiber hatte letzten Endes noch Glück im Unglück, weil Google den Befall der Seite nicht festgestellt hatte und demnach kein Eintrag in eine „Blacklist“ stattgefunden hat. Für die Arbeit, die der Provider mit der befallenen Seite hatte, soll der Inhaber der Restaurant-Homepage knapp 2.500 Euro bezahlen. Diese will er nun vom Webdesigner erstattet haben, er begründet die Forderung damit, dass der Grafikdesigner die WordPress-Seite schließlich erstellt hätte.

Obwohl der Kunde die Aktualisierung der Seite selbst übernommen hat und die WordPress-Seite zum Zeitpunkt des Befalls knapp zwei Jahre alt war, soll der Webdesigner nach Ansicht des Kunden die Schuld an dem Hack tragen.

Der Kunde ist König….

Wer trägt Schuld an einem Hack? Diese Frage ist nicht immer leicht zu beantworten, insbesondere dann nicht, wenn, wie in diesem Fall, noch weitere Faktoren eine Rolle spielen. Schließlich ist die Seite nicht unmittelbar nach der Arbeit des Webdesigners gehackt worden (was eventuell auf einen Fehler des Webdesigners hingedeutet hätte).

Wenn der Webdesigner nicht eindeutig Schuld am Problem war, weshalb sollte er dann die Schadenersatzforderung übernehmen?

Rechtlich könnte zumindest eine Teilschuld gesehen werden, da der Webdesigner seinen Kunden nicht aktiv darauf hingewiesen hat, dass er aus Sicherheitsgründen WordPress regelmäßig updaten muss. Zumindest gibt es hierzu keinen Schriftverkehr.

Tja, und dann kommt noch ein weiteres Thema zum Tragen, das viele im Business kennen. Hinter der Restaurant-Homepage steckt ein großer Kunde des Webdesigners, den dieser natürlich nicht verärgern möchte. Dass der Webdesigner wegen einer Summe von knapp 2.500 Euro nicht den Verlust eines großen Auftragsvolumens riskieren möchte, ist nachvollziehbar. Deshalb scheidet ein Rechtsstreit aus, der Webdesigner wird in den sauren Apfel beißen müssen. Als Versicherungsnehmer von exali.de steht er mit dem Problem immerhin nicht alleine da.

Unser Tipp: Wir empfehlen unseren Versicherungsnehmern auch bei kleinen Aufträgen, z.B. im Rahmen der Rechnungsstellung, schriftlich darauf hinzuweisen, dass aus Sicherheitsgründen eine Open-Source-Website regemäßig upgedatet werden muss und dass ohne Updates schwerwiegende Sicherheitslücken entstehen können. Dabei kann der Dienstleister auch darauf hinweisen, dass er dem Kunden dafür gerne ein Angebot für einen Wartungsvertrag erstellt. Damit kann er gleich zwei Fliegen mit einer Klappe schlagen. Einerseits kann er im Schadenfall nachweisen, dass er auf notwendige Sicherheitsupdates hingewiesen hat. Anderseits kann er damit ganz einfach im „After Sales Prozess“ Marketing für seine Wartungs- oder Updateverträge betreiben.

Unser Versicherungsnehmer und seine Geschichte sind ein Paradebeispiel dafür, dass Schadenersatzforderungen im Business jeden treffen können. Dabei muss nicht mal zweifelsfrei geklärt sein, ob ein Verschulden vorliegt oder nicht. Deshalb sollten Selbständige immer auf eine gute Absicherung setzen – bevor etwas passiert. Die Berufshaftpflichtversicherungen über exali.de schützen bei Schadenersatzforderungen Dritter, damit ein beruflicher Fehler nicht die Existenz gefährdet.

Der Schadenfall im Video:

 

 

 

vorheriger Artikel
 
zurück
 
nächster Artikel
Diese Artikel könnten Sie auch interessieren
Servercrash: 100.000 Euro Schadenersatzforderung nach Datenverlust
Servercrash: 100.000 Euro Schadenersatzforderung nach Datenverlust
SEO: 250.000 Euro Schadenersatzforderung für „Unnatural Links“
SEO: 250.000 Euro Schadenersatzforderung für „Unnatural Links“
Teurer Schaden: IT-Dienstleister haftet wegen fehlerhafter Domainregistrierung
Teurer Schaden: IT-Dienstleister haftet wegen fehlerhafter Domainregistrierung
Server-Crash? Backup muss Schutz bieten!
Server-Crash? Backup muss Schutz bieten!
Diese Artikel könnten Sie auch interessieren
Servercrash: 100.000 Euro Schadenersatzforderung nach Datenverlust
Servercrash: 100.000 Euro Schadenersatzforderung nach Datenverlust
SEO: 250.000 Euro Schadenersatzforderung für „Unnatural Links“
SEO: 250.000 Euro Schadenersatzforderung für „Unnatural Links“
Teurer Schaden: IT-Dienstleister haftet wegen fehlerhafter Domainregistrierung
Teurer Schaden: IT-Dienstleister haftet wegen fehlerhafter Domainregistrierung
Server-Crash? Backup muss Schutz bieten!
Server-Crash? Backup muss Schutz bieten!
3 Kommentare
Kommentar
426
Ein Versicherungsnehmer kommentierte am Mittwoch, 20. Juli 2016 Antworten
Ein Kunde schließt keinen Wartungsvertrag und würgt trotzdem nach Äonen dem Webdesigner die Haftung für einen Hackerangriff rein? Und Sie finden das auch noch irgendwie verständlich bzw. nicht rechtlich eindeutig? Mir kommen ernste Zweifel, ob es so gut war, bei Ihnen eine Versicherung abgeschlossen zu haben, wenn das Ihre Rechtsauffassung darstellt. Es kann ja wohl nicht sein, dass man für alle Ewigkeit irgendwelche Regressforderungen befürchten muss, nur weil der Kunde a) zu geizig war, einen Wartungsvertrag abzuschließen, b) möglicherweise zu faul war, einen vernünftigen Hostinganbieter zu suchen (Stichwort PHP-Version, Serversicherheit) und c) ganz offensichtlich hinterm Mond lebt - denn wer nicht weiß, dass man bei Wordpress extrem auf dem Quivive in Punkto Updates sein muss, muss schon über eine wahrhaft gesegnete Ignoranz gegenüber jeglicher IT-Berichterstattung an den Tag legen. So ein Kunde würde dann wohl auch seinen Autohändler in die Pflicht nehmen wollen, wenn ihm sein in einer übel beleumindeten Gegend unverschlossen abgestelltes Luxusauto ganz überraschend über Nacht gestohlen wird, denn schließlich hätte der Verkäufer ja beim Kauf des Autos vor zwei Jahren auf dieses Sicherheitsproblem hinweisen müssen... total unklare Rechtslage auch hier, oder?
Kommentar
427
exali.de-Team kommentierte am Donnerstag, 21. Juli 2016
Lieber Kommentarschreiber alias Versicherungsnehmer, Sie fragen uns, ob wir es verständlich finden, dass ein Webdesigner zwei Jahre nach Projektende die Haftung für einen Hack übernehmen soll? Nein natürlich nicht! Auch unser Rechtsempfinden heult hier lauthals auf! Doch nur, weil wir der Meinung sind, dass unser Versicherungsnehmer in diesem Fall eigentlich nicht haftbar gemacht werden sollte, bedeutet das nicht, dass Gerichte ebenso entscheiden würden. Wir hatten in der Vergangenheit ähnliche Fälle, in denen Richter entschieden haben, dass der Freelancer seiner „Beratungspflicht“ nicht nachgekommen ist, weil nicht explizit auf die Notwendigkeit von Updates hingewiesen wurde. Der Webdesigner wollte keinen Rechtsstreit, da er wie beschrieben Angst hatte seinen wertvollen Kunden dadurch zu verlieren. Nachdem der Versicherer ebenfalls ein Risiko in einer gerichtlichen Entscheidung gesehen hat, haben sich die Parteien einvernehmlich außergerichtlich geeinigt. Wir als exali.de verhandeln im Auftrag unseres Versicherungsnehmers mit dem Versicherer und versuchen eine Lösung zu finden, die für alle akzeptabel ist. Ob die Entscheidung unserem Rechtsempfinden genüge tut, spielt dabei nur eine untergeordnete Rolle. Liebe Grüße vom exali.de-Team
Kommentar
433
Versicherungsnehmer kommentierte am Freitag, 5. August 2016 Antworten
Was bedeutet dieser Satz "Nachdem der Versicherer ebenfalls ein Risiko in einer gerichtlichen Entscheidung gesehen hat, haben sich die Parteien einvernehmlich außergerichtlich geeinigt."? Musste der Versicherungsnehmer nun selbst bezahlen bzw. einen Teil bezahlen (falls eine Forderung außergerichtlich auch bestanden hat) oder hat exali / Versicherung den Schaden übernommen? Denn wenn die geforderte Summe z.B. das 10fache betragen hätte, wäre die Zahlung von z.B. 50% der Forderung immer noch für einige sehr schmerzhaft, für den ein oder anderen sogar existenzbedrohend!
Schreiben Sie einen Kommentar
Bitte füllen Sie alle als * Pflichtfelder gekennzeichneten Bereiche aus.

Durch Betätigen des Buttons „Absenden“ werden die in das obige Formular eingetragenen Daten zum Zwecke der Verarbeitung Ihrer Anfrage erhoben und verarbeitet. Sämtliche Daten werden verschlüsselt übertragen und nur im Rahmen der Angaben in den Datenschutzhinweisen verarbeitet. Sie haben ein Widerspruchsrecht mit Wirkung für die Zukunft.