Könnten / sollten Sie für Server-Schwachstellen haftbar gemacht werden? [geschlossen]

7

Gibt es einen Präzedenzfall in Nordamerika oder anderswo, in dem ein Serveradministrator dafür verantwortlich gemacht wurde, dass ein Server anfällig war?

Wenn beispielsweise ein bekannter Exploit in IIS vorhanden ist - Microsoft veröffentlicht einen Patch dafür und aus Grund X wenden Sie ihn nicht auf Ihrem Server an, wird Ihre Site von Hackern kompromittiert und Sie infizieren Ihre Besucher mit Malware was schließlich zu finanziellen Verlusten führen könnte. Sind Sie oder könnten Sie haftbar gemacht werden?

Das ist subjektiv und offensichtlich nichts, was ich tue;) nur neugierig.

security  hacking  exploit 
jfrobishow
quelle
Wenn Sie in den USA "Due Diligence" zeigen können und Ihr System gehackt wird oder was auch immer, sind Sie wahrscheinlich in Ordnung. Fragen Sie Ihren Auditor. Die einzige Einschränkung besteht darin, dass Sie ein Auftragnehmer sind, der unter einem Vertrag arbeitet, der etwas anderes vorsieht, oder sich auf einer SOX-konformen Site (Sarbanes-Oxley) befinden. Dann müssen Sie sich auf die „Due Diligence“ verlassen, wie sie in den Vorschriften der Wirtschaftsprüfer und des Bundes festgelegt ist. Wenn Auditoren Probleme finden und Sie ein Hack-In haben, sind Sie rechtlich in rechtlichen Schwierigkeiten. So wird Ihr Unternehmen sein.
Jim Mcnamara

Antworten:

5

Ich bin kein Anwalt und berate Sie nicht rechtlich. Dies ist auch ServerFault.com, nicht SuperLawyerOverflowFault.com. Ich spreche auch nur über die Vereinigten Staaten bezüglich: "Nordamerika". Kanada ist frostig und beängstigend und ich weiß nichts darüber.

Allerdings sind mir keine US-Bundesstaaten bekannt, in denen die strafrechtliche Verantwortlichkeit für die einfache Nichtinstallation von Patches ins Spiel kommen würde. Ebenso sind mir keine US-Bundesstaaten bekannt, die den Betreiber eines Servers strafrechtlich für böswillige Software-Infektionen verantwortlich machen würden, die von einem kompromittierten Computer übertragen werden.

Es gibt US-Bundesstaaten, in denen die Offenlegung von Datenschutzverletzungen erforderlich ist. Die Nichtoffenlegung kann zu einer strafrechtlichen Verantwortlichkeit führen. Selbst wenn sich Ihr Server nicht in einem solchen Zustand befindet, kann das bloße Speichern von Daten über Personen, die sich in einem solchen Zustand befinden, in dem eine Offenlegung erforderlich ist, zu einer Offenlegungspflicht führen. Vermutlich, wenn Ihre Server kompromittiert wurden, könnte argumentiert werden, dass ein Datenverstoß aufgetreten ist.

Ich würde mir mehr Sorgen um die zivilrechtliche Haftung machen. Jeder kann jederzeit jeden anderen wegen irgendetwas verklagen.

Evan Anderson
quelle
3
+1! für SuperLawyerOverflowFault und frostig / beängstigend allein.
Jscott
3
Die zivilrechtliche Haftung kann auch von Staat zu Staat sehr unterschiedlich sein. In Kalifornien ist der Arbeitgeber verpflichtet, den Arbeitnehmer von "normalen" Problemen freizustellen, und ein Arbeitnehmer kann nur dann persönlich haftbar gemacht werden, wenn das, was er getan hat, unehrlich, vorsätzlich oder "grob fahrlässig" war. (Arbeitsgesetzbuch, Abschnitt 2800, 2802, andere Abschnitte und verschiedene Rechtsprechung) Andere Bundesstaaten in den USA können sehr unterschiedlich sein, und es kann für den Arbeitgeber möglich sein, den Arbeitnehmer für diese Art von gewöhnlicher Fahrlässigkeit verantwortlich zu machen.
Freiheit
5

Es gibt zwei verschiedene Fragen. "Kann ich verhaftet werden?" und "kann ich verklagt werden?"

Evan deckte den Teil der Verhaftung ab und gab uns ein paar Kichern als Bonus!

In Bezug auf die Klage. Ich kann denjenigen von uns in den USA eine Anleitung geben .

Hier in den USA kann man von irgendjemandem wegen irgendetwas verklagt werden; Die Fragen sind, ob der Anzug die erste Überprüfung überlebt und ob Sie verlieren werden. Dies ist eine sehr komplizierte Frage, da verschiedene mögliche Umstände unterschiedlich sind. Im Allgemeinen sind Sie sicher, wenn Sie Ihre Arbeit erledigen, vorausgesetzt, es ist legal, auch wenn Sie es schlecht machen. Im Allgemeinen sind Sie nicht sicher, wenn Sie außerhalb Ihrer beruflichen Pflichten handeln, sich nicht an das Gesetz halten oder böswillig handeln.

Wenn Sie Angestellter eines Unternehmens sind, schreibt das Gesetz im Allgemeinen vor , dass das Unternehmen für die Folgen Ihrer Handlungen als dessen Vertreter haftet. In den meisten Fällen können Sie jedoch nicht einzeln haftbar gemacht werden. So kann das Unternehmen verklagt werden und verlieren; Das Schlimmste, was Sie bekommen könnten, ist gefeuert.

Das Mitnehmen ... Wenn Sie kein seriöser, legitimer Angestellter eines seriösen, seriösen Unternehmens sind, stellen Sie sicher, dass Sie mindestens eine Vereinbarung getroffen haben, die Ihre Haftung klarstellt. Und wenn Sie mit der Unsicherheit nicht zufrieden sind, wenden Sie sich an einen Anwalt.

Es lohnt sich wahrscheinlich auch, eine "Fehler- und Unterlassungsversicherung" oder eine allgemeine Haftpflichtversicherung abzuschließen, insbesondere wenn Sie über ein wertvolles Vermögen verfügen (z. B. ein Haus).

Tomjedrz
quelle
+1 - Ich liebe mich etwas grobe Fahrlässigkeit ...
Evan Anderson
2

In Bezug auf Großbritannien würde jede Haftung, die sich aus einer gehackten Website ergibt, auf das Unternehmen zurückgreifen, das diese Website betreibt (falls überhaupt), und nicht auf die Personen innerhalb dieses Unternehmens. Für die meisten Unternehmen bedeutet dies, dass ihre Direktoren ihre Ärsche auf dem Spiel haben.

Was Ihr Chef mit Ihnen macht, wenn er es herausfindet, ist eine ganz andere Sache und hängt von Ihrem Arbeitsvertrag ab.

wolfgangsz
quelle
2

Ja.

Ich arbeite derzeit auf beiden Seiten (sowohl als Gastgeber als auch als Kunde eines Gastgebers), und ich würde mich und meinen Auftragnehmer im Falle eines erheblichen finanziellen Verlusts mit Sicherheit zur Rechenschaft ziehen.

Letztendlich hängt dies von dem Vertrag ab, der unterzeichnet / vereinbart wurde. In unserem Fall wäre dies ein Verstoß gegen das absolute Vertrauen, der über Verträge hinausgeht.

Joshua
quelle
Durch die Nutzung unserer Website bestätigen Sie, dass Sie unsere Cookie-Richtlinie und Datenschutzrichtlinie gelesen und verstanden haben.
Licensed under cc by-sa 3.0 with attribution required.