PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : SPAM-Versand über Webformular / Klage gegen Verursacherer??



TobiR
08.02.2006, 05:01
Hallo,
als Provider waren wir einem Fall ausgesetzt, bei dem ein Kunde im I-Netz Formulare eingestzt hat, die eine "E-Mail-Header-Injection" zugelassen haben. Unbefugte Dritte hatten also die Möglichkeit über diese Formulare Spam an zehntausende Mailempfänger zu versenden. Wir haben den Kunden auf diesen Mangel seiner Scripte hingewiesen und ihm eine Lösung präsentiert. Dieser hatte seine Scripte doch auch 4 Monate später nicht entsprechend ausgebessert, so dass es wirklich dazu kam, dass einbekannter Dritte unbefugt große Mengen Spam über das Formular seiner Webseite und somit über einen unserer Server in alle Welt schickte. An diesem Punkt sind wir eingeschritten, haben entsprechende Scripte gesperrt, bzw. mussten durch den Spam verursachte Schäden auf unserem Mailserver beheben und gegen Backlisten vorgehen, der uns (beinahme) gelistet hätten/haben... Dies hat natürlich Kosten bei uns verursacht. Diese werden wir dem Kunden in Rechnung stellen.
Gerne würden ich mich über ähnliche Fälle informieren, bei denen Provider von Kunden Schadensersatz für fahrlässig verursachten Spam auf Servern verlangt haben. Kennt vllt jemand ein paar Links zum Thema oder kann über ähnliche Fälle berichten??
Vielen Dank. :)

gerolsteiner
09.02.2006, 01:44
Meine Fresse,

wer immer Ihr seid, gut dass ich bei Euch nicht Kunde bin.

exe
09.02.2006, 07:58
Meine Fresse,

wer immer Ihr seid, gut dass ich bei Euch nicht Kunde bin.
Ich finde das okay. Wenn jemand Schaden anrichtet und vorher darauf hingewiesen wurde, muss er IMHO auch bereit sein die Konsequenzen zu tragen.

marcusson
09.02.2006, 14:59
Ich bin zwar kein Anwalt, aber ich kann Ihnen sagen, was Ihnen ein Anwalt dazu erzählen würde.

Von einem Kunden kann man NICHT die erforderliche Expertise erwarten zu wissen, was "Header-Injection" ist und welche Folgen das hat.

Damit der Kunde überhaupt fahrlässig handeln kann, muss man ihm rechtzeitig und unmissverständlich darauf aufmerksam gemacht haben, was das ist, welche Gefahr das beinhaltet, was er dagegen tun soll und welche Kosten auf ihn zukommen, wenn er es unterlässt.

Geht das WIRKLICH alles aus Ihrer Mail an den Kunden hervor? Wenn man dem Kunden NICHT rechtzeitig darauf aufmerksam gemacht hat, dass er im Falle des Falles die Kosten tragen muss, ist die Sache meiner Meinung nach von vorn herein aussichtslos.

Außerdem werden Sie sich vor Gericht äußerst unangenehme Fragen gefallen lassen müssen.

Denn: SIE als Provider sind der Experte. Wenn Sie wie Sie sagen, 4 Monate lang (! und das ist ein beachtlicher Zeitraum !) von diesem Problem gewusst und außer einer Mail nichts unternommen haben, obwohl Ihnen die Gefahr stets bewußt war, dann war es zumindest auch von Ihnen HOCHGRADIG FAHRLÄSSIG. Dass ist wie wenn ich eine Vertragswerkstatt bin und einem LKW-Fahrer sage, er darf nicht auf die Strasse weil seine Bordelektronik beschädigt ist und die Bremsen versagen könnten. Der LKW fährt trotzdem los. 4 Monate lang weiß ich von dem Problem und 4 Monate lang ignoriere ich es. Wenn der LKW dann einen Unfall baut, bin ich als Mechaniker auch dran: denn ich bin der Experte und es wäre meine Aufgabe gewesen den LKW mit so einem ernsten Schaden gar nicht erst auf die Strasse zu lassen. Im Zweifel hätte ich die Polizei rufen und das Fahrzeug stilllegen lassen müssen bis der Mangel beseitigt ist. Tue ich das nicht, handle ich fahrlässig.

Sie hätten den Kunden erneut anschreiben können, Sie hätten den Account abschalten können, Sie hätten das Skript löschen oder selbst anpassen können, ... schliesslich sind Sie der Administrator des Accounts. Wenn es eine Domain ist, dann stehen Sie sogar als zuständiger Administrator im Eintrag der DENIC. Aber Sie haben nichts dergleichen getan und das war mindestens ebenso fahrlässig.

Wenn Sie mit diesem Fall so wie er sich jetzt darstellt vor Gericht gehen, werden Sie daher an mit Sicherheit grenzender Wahrscheinlichkeit auf Ihren Kosten sitzen bleiben und müssen obendrein die Kosten für Gericht und Anwalt berappen. Ganz zu schweigen von dem Image-Verlust für Ihre Firma.

Meine Empfehlung lautet daher, den juristischen Weg nicht zu beschreiten.

Treten Sie lieber an den Kunden heran, erkären Sie ihm was er falsch gemacht hat und welche Folgen das hatte. Vielleicht ist er dazu bereit, sich mit einem symbolischen Betrag zu beteiligen. Vielleicht hat der Kunde eine Privathaftpflicht und bietet von sich aus an die Kosten über seine Versicherung zu übernehmen. Das ist 100-Mal besser als seinen eigenen Kunden zu verklagen. Ihr Kunde ist nicht kriminell - der Spammer ist kriminell! Kriminalisieren Sie nicht einen Kunden, der stets pünktlich seine Rechnungen gezahlt hat.

Der Provider bei dem ich bin macht es anders. Dort wurde ich bereits in den AGBs über "Header-Injection" ausführlich belehrt und die AGBs enthielten einen Passus, dass ich persönlich erkläre, dass ich die Kosten übernehme falls ich durch eigenes Verschulden welche verursache. Auf diese Weise ist mein Provider abgesichert und es gibt hinterher keine Diskussion von wegen Gericht, Anwalt etc.

Investi
09.02.2006, 21:33
Das ist ein typischer Fehler, den man bei ungenauem Lesen einer Mitteilung macht: falsch beraten.

1. Im Eingangsposting stand:

Dieser hatte seine Scripte doch auch 4 Monate später nicht entsprechend ausgebessert, so dass es wirklich dazu kam, dass einbekannter Dritte unbefugt große Mengen Spam über das Formular seiner Webseite und somit über einen unserer Server in alle Welt schickte. An diesem Punkt sind wir eingeschritten,

Das bedeutet nicht, daß man vier Monate lang den Spamversand hingenommen hat, sondern dem Kunden eine aus meiner Sicht wahnsinnig lange Kulanzfrist gelassen hat, solange diese Kulanz weder dem Kunden noch einem selbst schadete. Der Kunde wußte über die Folgen bescheID: [ID filtered]


Von einem Kunden kann man NICHT die erforderliche Expertise erwarten zu wissen, was "Header-Injection" ist und welche Folgen das hat.

Ich habe in dem von mir verwalteten Gebäude eine Gasheizungsanlage. Ich bin kein Heizungsbauer oder -techniker, aber dies entbindet mich nicht von meiner Verantwortung. Wenn ich nicht in der Lage bin, eine erforderliche Expertise zu erstellen, habe ich mich geeigneter Kräfte hierfür zu bedienen.
Was gibt dem Kunden von TobiR das Recht, diese Pflicht der Inanspruchnahme einer Fachkraft von sich zu weisen?
Dein Beispiel mit dem LKW war sogar sehr gut. Aber wer ist denn verantwortlich für die Sicherheit eines Fahrzeugs? Der Mechaniker oder der Fahrer?

Meiner Meinung nach kann auch ein Gericht die Handlungen des Providers nicht angreifen. Denn man kann es einem Unternehmen mit einer großen Anzahl von Kunden nicht zumuten, jeden einzelnen Vorgang im Detail zu verfolgen. Allein die Beobachtung des Accounts und der eingebundenen Scripte führte schließlich zur (so lese ich es heraus) sofortigen Unterbindung des Mißbrauchs. Der Provider hat nach meiner Meinung verantwortlich gehandelt.

Allerdings wäre die Prüfung durch einen Anwalt unumgänglich. Aber ich gehe davon aus, daß TobiR dies bereits in die Wege geleitet hat.

marcusson
11.02.2006, 01:52
Allerdings wäre die Prüfung durch einen Anwalt unumgänglich. Aber ich gehe davon aus, daß TobiR dies bereits in die Wege geleitet hat.

Das sehe ich genauso. Eine Beratung beim Anwalt ist obendrein kostenlos. Es täte mich interessierren, welche Meinung ein echter Anwalt dazu hat.

Trotzdem: wenn ich eine Sache zum Thema Marketing gelernt habe. Wenn man gerichtlich gegen einen zahlenden Kunden vorgeht kann man nur verlieren. Verliert man die Verhandlung, verliert man den Kunden und Geld bekommt man keines. Gewinnt man die Verhandlung verliert man den Kunden und bekommt mit etwas Pech auch bloß kein Geld, weil der Kunde den Betrag gar nicht berappen kann. Und falls der Kunde vielleicht noch ein paar andere Kunden kennt (Freunde, Verwandte, Bekannte), verliert man diese dann auch noch. So oder so: am Ende ist man der Verlierer.