Deutschsprachige CAcert Support Liste

[Bernhard Froehlich <ted AT convey.de>]

Jetzt muss ich auch nochmal zum Thema Haftung meinen Senf dazugeben. 
Zwar bin ich immer moch nicht Jurist, aber zumindest theoretisch sollten 
die Gesetze ja für Normalsterbliche verständlich sein. Der 
Schadensersatz ist für Deutschland meines Wissens im Paragraf 823 BGB 
geregelt. Da steht:

(1) Wer vorsätzlich oder fahrlässig das Leben, den Körper, die 
Gesundheit, die Freiheit, das Eigentum oder ein sonstiges Recht eines 
anderen widerrechtlich verletzt, ist dem anderen zum Ersatz des daraus 
entstehenden Schadens verpflichtet.

Das heißt, Schadensersatz hängt an Vorsatz oder Fahrlässigkeit des 
Verursachers. Und daran, dass die Aktion des Verursachers auch den 
Schaden verursacht hat (klingt irgendwie trivial, aber das ist wohl auch 
Punkt über den man trefflich streiten kann).
Es heißt explizit NICHT dass, wenn ich einen Schaden erleide ich 
automatisch Anspruch auf Schadensersatz von irgend jemandem habe! 
Klassisches Beispiel ist ein Schaden der von einem Kind verursacht wird 
bei dem den Eltern keine Verletzung der Aufsichtspflicht vorgeworfen 
werden kann, darauf bleibt man als Betroffener sitzen. Ist halt so, das 
Leben ist gefährlich.

Jetzt gehen wir mal von dem Szenario aus, dass ein Online-Händler 
aufgrund einer signierten Mail eine Ware in's Nirvana verschickt und das 
Zerifikat auf eine nicht existierende Person ausgestellt ist. Dann sind 
folgende Argumentationsweisen möglich:

  1. Der (bzw. die) Assurer sind schuld, wenn sie beim zertifizieren
     aufgepasst hätten wäre der Schaden nicht entstanden
  2. Der Händler ist schuld, denn warum vertraut er denn dem Zertifikat
     überhaupt?

CACert taucht hier auf weil der Händler sagt, er habe dem Zertifikat 
vertraut weil er die Policy von CACert gelesen hat und der Meinung ist 
dass man einem Zertifikat trauen kann wenn es nach diesen Regeln 
ausgestellt ist. Im Moment muss er ja tatsächlich selber dem 
Root-Zertifikat das Vertrauen in seiner Browserkonfiguration 
ausgesprochen haben.

Also würde ich sagen dass ein Schadensersatz gegen den Assurer sehr wohl 
in Frage kommt wenn er vorsätzlich oder fahrlässig gehandelt hat. Wenn 
der Richter mich als Sachverständigen fragen würde dann würde ich die 
Fahrlässigkeit daran festmachen ob der Assurer das Original-CAP-Formular 
mit einer Unterschrift vorweisen kann oder nicht. Ist ein bischen ein 
schwaches Beweisstück, weil natürlich keiner sagen kann ob der Assurer 
die dazugehörigen Dokumente auch gesehen hat oder nicht. Das ist mein 
persönlicher Grund warum ich es tatsächlich für sinnvoll halten würde 
dass Assurer eine Ausweiskopie einbehalten sollten.

Schadensersatz gegen CACert kommt wohl in Frage wenn entweder CACert was 
verbockt hat (es konnte z.B. der Server gehackt und damit Zertifikate 
ausgestellt werden die nicht den Policies entsprachen) oder wenn CACert 
dem Assurer die Verantwortung für einfache Fahrlässigkeit explizit 
abnimmt (meines Wissens kann die Verantwortung für grobe Fahrlässigkeit 
und Vorsatz nicht so ohne weiteres übernommen werden).

Meine Folgerungen daraus sind:

   * Wer als Assurer grob fahrlässig oder vorsätzlich handelt (also
     eine Zertifizierung macht ohne dass er/sie die Ausweisdokumente
     gesehen hat) kann persönlich schadensersatzpflichtig werden. Macht
     euch darüber keine Illusionen, aber das kann euch auch passieren
     wenn ihr bei Rot über die Fußgängerampel lauft (darum tut man das
     ja auch nicht).
   * Wer sich als Assurer für den unwahrscheinlichen Fall der Fälle den
     Nachweis erleichtern will dass er/sie gewissenhaft gearbeitet hat
     sollte meines Erachtens die Kopie eines Ausweises einbehalten.
     Nachdem ich nicht verpflichtet bin eine Person zu zertifizieren,
     und diese Person auch nicht verpflichtet ist zu mir zu kommen,
     kann ich diese Bedingung stellen, sofern ich das vorher (z.B. im
     Rahmen der Terminabsprache) angekündigt habe. Wenn die
     Ausweiskopie auf Papier bleibt und vom Assurer nicht weitergegeben
     wird sehe ich da auch wirklich keinerlei Datenschutzbedenken.
   * Bei einfacher Fahrlässigkeit (hmm, was ist das in unserem Fall?
     Eventuell die Zertifizierung aufgrund eines "ausländischen
     Ausweisdokuments", das sich dann doch nur als McDonalds-Clubkarte
     herausstellt?) dürfte die Verantwortung vermutlich auch beim
     Assurer hängen bleiben, aber das ist sicher eine Entscheidung im
     Einzelfall, genauso wie die Entscheidung ob etwas tatsächlich
     fahrlässig oder im Rahmen des "normalen Betriebs" nicht vermeidbar
     war. Ich denke dass z.B. bei der Vorlage eines gut gefälschten
     Ausweises der Assurer nicht fahrlässig handelt, denn schließlich
     ist er/sie kein Fachmann und das sollte auch dem Händler nach dem
     Lesen der Regeln klar sein.
   * Die Höhe des Schadensersatzes ist sicherlich implizit dadurch
     beschränkt dass der Händler die Regeln von CACert (und die ihnen
     innewohnenden Schwächen des Systems) anerkannt hat. Wenn er
     aufgrund eines faulen CACert-Zertifikats sein Haus oder sein
     komplettes Wertpapierdepot verkauft hat dann ist er einfach dumm
     und sollte keinen Richter finden, der den Assurer dafür
     schadensersatzpflichtig macht. Zumindest keinen, der aufgrund von
     restsstaatlichen Prinzipien entscheidet, ob das in China überall
     der Fall ist kann ich nicht beurteilen...
   * Sollte das CACert mal in den Browser-Packages enthalten sein würde
     ich sagen dass sich an der Sachlage wenig ändert, nur hat der
     Händler möglicherweise auch einen Anspruch darauf dass der Auditor
     (der letztendlich entscheidet, ob das Root-Zertifikat in die
     Distribution aufgenommen wird oder nicht) nur Root-Zertifikate
     aufnimmt deren Policy "üblichen Regeln entspricht".


Zusammenfassung: Wer sauber arbeitet kriegt weniger Probleme. Wer Pech 
hat setzt sich in den falschen Bus und fällt damit in ein Loch (ist 
nicht witzig sondern vor ein paar Jahren hier in München tatsächlich 
passiert)!

Aufgrund der erkennbaren Topic-Müdigkeit würde ich alle diejenigen 
einladen, die Schwächen an meiner Argumentation entdecken mir per 
persönlicher Mail zu antworten, ich poste dann gerne mal bei Gelegenheit 
eine Zusammenfassung.

MfG
Ted
;)

--
PGP Public Key Information
Download complete Key from http://www.convey.de/ted/tedkey_convey.asc
Key fingerprint = 31B0 E029 BCF9 6605 DAC1  B2E1 0CC8 70F4 7AFB 8D26

Attachment: smime.p7s
Description: S/MIME Cryptographic Signature