Der BGH (Urteil vom 24.11.2016 – I ZR 220/15) hat sich mit den Anforderungen an die Passwortsicherheit eines WLAN-Anschlusses befasst.
Im vorliegenden Fall betrieb jemand in einem Mehrfamilienhaus mithilfe eines Routers vom Typ „Alice Modem WLAN 1421“ einen Internetzugang mittels WLAN. Eingerichtet wurde dieser Anfang 2012. Der Router war mit einem vom Hersteller vorgegebenen aufgedruckten WPA2 – Schlüssel gesichert. Der Schlüssel wurde vom Anschlussinhaber nicht geändert. Er hatte nur den Namen des Routers erneurt. Später wurden über den Internetanschluss des Anschlussinhabers Dateien in einer Tauschbörse durch einen unbekannten Dritten angeboten.
Nach Ansicht des BGH ist der Inhaber eines Internetanschlusses mit WLAN-Funktion verpflichtet zu prüfen, ob der verwendete Router über die im Zeitpunkt seines Kaufs für den privaten Bereich marktüblichen Sicherungen verfügt.
Hierzu zählen der im Kaufzeitpunkt aktuelle Verschlüsselungsstandard sowie die Verwendung eines individuellen, ausreichend langen und sicheren Passworts.
An der Individualität des Passwortes fehlt es, wenn der Hersteller
– eine Mehrzahl von Geräten
– mit einem identischen Passwort voreingestellt hat.
Denn in solchen Fällen steht dem Dritten bei Kenntnis vom Typ des verwendeten Routers die Möglichkeit des Zugriffs auf das WLAN offen.
Aber: Ein aus einer zufälligen 16-stelligen Ziffernfolge bestehendes, werkseitig individuell voreingestelltes Passwort ist nicht weniger sicher als ein vom Nutzer persönlich eingestelltes Passwort, so der BGH.
Weiter betont der BGH dass der WPA2-Standard als hinreichend sicher anerkannt ist. Sofern keine Anhaltspunkte dafür bestehen, dass das Gerät schon im Kaufzeitpunkt eine Sicherheitslücke aufwies, liegt in der Beibehaltung des werksseitig eingestellten Passworts kein Verstoß gegen die Prüfungspflicht des Anschlussinhabers.
Beweismäßig genügt es im Prozess für den Anschlussinhaber, wenn er sich auf den werksseitig voreingestellten Schlüssel beruft und er den Routertyp angibt. Die Behauptung, es habe sich um ein für eine Vielzahl von Geräten voreingestelltes Passwort gehandelt, muss z.B. der Inhaber von Verwertungsrechten dann bei Gericht gegenüber dem Anschlussinhaber nachweisen.
Fazit: Entspannung auf breiter Front. Wer einen Internetanschluss mit WLAN-Funktion erwirbt braucht das 16-stellige voreingestellte Passwort nicht zu ändern. Der WPA2 – Standard ist hinreichend sicher.