Brauchen wir wirklich ein Produkthaftungsgesetz für Software?

Kommentare zum Podcast
1

… Euer Beispiel von dem User, der einen veralteten Router im Netz hat, für den der Hersteller keine Patches mehr liefert, und in dem Zusammenhang nach der Herstellerhaftung zu rufen, ist haarsträubend. Hier ist der Idiot (anders kann man es nicht sagen), der den Router betreibt, die Schwachstelle, und nicht der Hersteller. Hier wäre eine Störerhaftung sinnvoll, die den Betreiber einer solchen Hardware in die Haftung nimmt oder zumindest mit einem Bußgeld belegt.

Das Problem besteht doch auf verschiedenen Ebenen:

  1. Zum Ende des Microsoft-Supports am 14. Oktober 2025 liefen in Deutschland noch rund 32 Millionen Geräte mit Windows 10 und
  2. im Mittelstand nutzten 77 Prozent der kleinen Unternehmen nicht mehr gepatchte Office-Versionen, dazu kommen
  3. über 30.000 Exchange-Server sind seither offen angreifbar.

Der Bitkom beziffert den jährlichen Schaden durch Cyberangriffe – wesentlich getrieben durch ungepatchte Systeme – für 2025 auf 289,2 Milliarden Euro.

Hintergrund ist ein jahrzehntelang aufgestauter Modernisierungsstau: Hardware-Anforderungen von Windows 11, WindowsPro fehlende IT-Budgets im Mittelstand, komplexe Fachverfahren in Verwaltungen und Legacy-Maschinen in der Industrie bremsen Migrationen aus. Ao ist es kein Wunder, dass die Folgen von einzelnen Ransomware-Vorfällen bis zu systemischen Risiken für kritische Infrastrukturen reichen – und sie werden 2026 eskalieren, wenn weitere Support-Fristen auslaufen.

Branchenanalyst Mike Crosby von Circana bezeichnete die Migrationswelle als „eine der langsamsten aller Zeiten“.

Das Problem reicht weit über Windows 10 hinaus. Laut ESET waren Anfang 2024 in Deutschland noch 1,8 Millionen veraltete Windows-Systeme direkt mit dem Internet verbunden, darunter 1,5 Millionen Windows-7-Geräte (Support-Ende Januar 2020), rund 630.000 mit Windows 8/8.1 und noch immer 90.000 Windows-XP-Installationen. Im Serverbereich endete am 10. Oktober 2023 der Support für Windows Server 2012/2012 R2; Microsoft zählte schon Anfang der Dekade über 60.000 Windows Server 2008/2008 R2 IT-Service in Deutschland. In der Berliner Verwaltung liefen 2025 dezentral noch rund 5.000 Windows-Server, darunter Windows Server 2012 R2 Stefan Zillerparlament-berlin – Anfang 2026 stieg die Zahl auf etwa 3.700 laufende Windows-Server, mit einem Restbestand an Windows Server 2012 unter teurem ESU-Vertrag.

Das BSI empfiehlt mittlerweile offensiv, den Anteil von „End-of-Life"-Software konsequent zu reduzieren Security-Insider und Verwaltungen wie Unternehmen mit strukturiertem Angriffsflächenmanagement Speicherguide zu schützen. Die Bundesregierung reagiert mit dem neu gegründeten Bundesministerium für Digitalisierung und Staatsmodernisierung Security-Insider sowie dem teilautomatisierten „Cyberdome"-Konzept.

Allerdings muss man sagen, dass der neue „Digitalminister“ nach Medienberichten auch nach einem Jahr im Amt noch immer keinen Überblick darüber hat, welche Betriebssysteme aktuell in den Behörden im Einsatz sind.

Fazit:
Solange Privatpersonen, Firmen und Behörden veraltete Systeme betreiben, sollten sie sich nicht beschweren, wenn sie angegriffen werden oder ihre Systeme für Angriffe genutzt werdne.

Vor diesem Hintergrund ist euer Bericht über die Haftung von Softwareherstellern mehr als merkwürdig. Ich bin sicher kein Freund von Microsoft, aber hier habt ihr euch verritten.

Viel wichtiger wäre ein gesetzlicher Zwang für Hersteller, bekannt gewordene Sicherheitslücken in aktueller Software umgehend zu schließen und zumindest für Schäden zu haften, die durch eine verspätete Schließung entstehen. Und ein gesetzlicher Zwang für Unternehmen aller Art und Behörden aller Ebenen, aktuelle Software zu verwenden und Patches umgehend einzuspielen.

Es ist auch mehr als peinlich, dass Sicherheitsforscher, die Lücken in Systemen von Behörden, kritischer Infrastruktur oder Unternehmen aufdecken, mit einem Bein im Knast stehen, weil diese Form der Recherche verboten ist.

Außerdem möchte ich den armen Privatmenschen sehen, dessen Daten aufgrund eines Softwarefehlers, sagen wir von Microsoft, verschlüsselt wurden und der dann zu seinem Feld-, Wald- und Wiesenanwalt geht, um Microsoft zu verklagen. Das Klagerisiko trägt keine Rechtsschutzversicherung.

(Polemik gestrichen - bitte in Zukunft sachlicher formulieren! Wir haben nicht immer die Zeit, Beiträge aufwändig zu redigieren, so dass wir sie freigeben können.)

3 „Gefällt mir“
2

Danke für diesen Beitrag, ich habe die Sektion im Podcast heute Morgen auf dem Arbeitsweg gehört und konnte meinen Ohren kaum trauen.

Mir schien die gesamte Passage sehr weltfremd. EOSL Software, vom Kunden nicht gepatchte Software, erlaubte Zeit zwischen Exploit und Patch, falsche Router-Konfiguration, falsch konfiguriertes Rechte Management im Betriebs-System oder einzelnen Apps.

Ich hatte das Bild der Privatperson, welche dann versucht Microsoft zu verklagen auch vor Augen und dacht mir nur: Wie?

1 „Gefällt mir“
3

Ich denke dieser Thread sollte mit dem hier Cyber Resilience Act und Open Source zusammengeführt werden.

1 „Gefällt mir“
4

Einfach mal durchatmen und richtig zuhören/lesen: BSI - Cyber Resilience Act

Hersteller werden künftig dazu verpflichtet, Software mit guten Voreinstellungen zu liefern und die Produkte dann über ihre Lebensdauer auch mit Sicherheitsupdates zu versorgen und Schwachstellen offenzulegen. Nicht mehr, nicht weniger.

Ein Router muss in Zukunft also mit einem sicheren Passwort ausgeliefert werden und der Hersteller muss die Option für automatische Sicherheitsupdates ab Werk aktivieren. Wenn eine Sicherheitslücke bekannt wird, muss der Hersteller dies offenlegen und zeitnah ein Sicherheitsupdate einspielen. Wenn er sich an diese Spielregeln hält, dann haftet er auch nicht.

Wenn der Endnutzer die Voreinstellungen verändert und die Software dadurch unsicher wird, dann haftet der Hersteller auch nicht.

Wenn der Endnutzer die Software über ihre intendierte Lebensdauer (in der Regel mindestens 5 Jahre, in jedem Fall klar vom Hersteller kommuniziert) hinaus benutzt und dann wegen fehlender Sicherheitsupdates Probleme auftauchen, dann haftet der Hersteller auch nicht.

Ich finde das alles sehr nachvollziehbar. Mit der Ausnahme, dass ich mir eher 8 Jahre Mindestlebensdauer wünschen würde.

Wo ist da genau das Problem?

Große Konzerne werden jeden Tag zivilrechtlich verklagt. Ich halte es für extrem realistisch, dass es solche Klagen geben wird, die dann regelmäßig auch von Konsumenten gewonnen werden. In den USA waren gerade zwei Verfahren gegen Google und Facebook erfolgreich, in denen es um Schädigung durch Social Media ging. In Deutschland gibt es regelmäßig Rechtsstreitigkeiten um Produkthaftung. Wo ist das hier was neues?

Ergänzung: Ein Gerichtsverfahren muss (in Deutschland) nicht unglaublich teuer sein. Die Gerichtskosten richten sich nach dem Streitwert, der Anwalt kostet, was er kostet. Mit ein paar tausend Euro ist man dabei. Da kann es durchaus Sinn machen, sich auch im Rechtsstreit mit Google oder Microsoft zu versuchen.

3 „Gefällt mir“
5

Hahaha, das wird sich dramatisch verändern mit dem Patchmanagement.

Im Moment sind wir bei einem Tag von der Veröffentlichung eines Patches bis zum Erscheinen eines Exploits. Vorhergesagt wird, dass wir 2026 eine Stunde erreichen. Ca. 2028 eine Minute.

Und da ist Anthoprics Claude Mythos noch nicht mit eingerechnet.

Da gibt es keine Diskussion mehr, ob und wann Patches installiert werden.
Die Antwort ist sofort und immer.