🔒 Haftung bei Firewalls in Deutschland – Open Source vs. kommerzielle Anbieter
Firewalls gelten als das Bollwerk gegen Cyberangriffe. Doch was passiert eigentlich, wenn trotz Firewall ein Schaden entsteht? Wer haftet in Deutschland? Die Antwort hängt stark davon ab, ob man auf Open-Source-Lösungen wie OPNsense setzt oder auf kommerzielle Anbieter wie Sophos, Check Point oder Fortinet. Hier ein Überblick, warum es so wichtig ist, auf die Haftungsklauseln zu achten.
⚖️ Rechtlicher Rahmen in Deutschland
- Produkthaftungsgesetz (ProdHaftG): Gilt nur bei echten Produktfehlern (z. B. Hardware brennt durch und verursacht Sachschaden). Personenschäden sind unbegrenzt abgedeckt, Sachschäden meist bis 85 Mio. € pro Fall.
- AGB / EULAs: Hersteller begrenzen ihre Haftung stark, oft auf die Lizenzgebühr oder den Vertragspreis.
- Open Source: Frei von Lizenzkosten, aber auch frei von Haftung. „As is, without warranty.“
📊 Vergleich der Haftung nach Firewall-Typ
| Firewall-Anbieter | Lizenzmodell | Haftung laut Lizenz/EULA | EULA-Zitat | Besondere Hinweise |
|---|---|---|---|---|
| 🟢 OPNsense (Open Source) | Kostenlos (BSD-Lizenz) | Keine explizite Haftung. „Wie gesehen“, Nutzung auf eigenes Risiko. | – | Haftung nur möglich, wenn kommerzieller Supportvertrag abgeschlossen wurde (z. B. mit Deciso). |
| 🔵 Sophos | Kostenpflichtig (Software / Hardware / Abonnements) | Haftung stark begrenzt. Indirekte Schäden ausgeschlossen. Höchstsummen oft gleich Lizenzgebühren während des Abonnementzeitraums. | „IN NO EVENT WILL EITHER PARTY BE LIABLE FOR ANY INDIRECT, CONSEQUENTIAL, INCIDENTAL, SPECIAL, PUNITIVE, EXEMPLARY DAMAGES … OR DATA … EVEN IF THE DAMAGES WERE FORESEEABLE …“ „IN NO EVENT WILL THE AGGREGATE LIABILITY … EXCEED THE TOTAL AMOUNT PAID OR PAYABLE BY CUSTOMER … UNDER THIS AGREEMENT DURING THE APPLICABLE SUBSCRIPTION TERM.“ (Quelle: Sophos Services Agreement) | Supportverträge können weiteren Rahmen bieten. Prüfe, ob Höchstgrenzen & Ausschlüsse dem deutschen Recht standhalten. |
| 🟣 Check Point | Kostenpflichtig (Lizenzen & Hardware) | Indirekte & Folgeschäden werden ausgeschlossen. Haftung für direkte Schäden meist begrenzt auf bezahlte Lizenzgebühren. | „EXCEPT FOR BODILY INJURY OF A PERSON, IN NO EVENT WILL CHECK POINT BE LIABLE … FOR ANY DAMAGES … FOR ANY INDIRECT … OR CONSEQUENTIAL DAMAGES (INCLUDING LOST PROFITS) …“ „CHECK POINT’S MAXIMUM LIABILITY FOR DAMAGES SHALL BE LIMITED TO THE LICENSE FEES RECEIVED BY CHECK POINT UNDER THIS LICENSE …“ (Quelle: Check Point EULA) | Körperschäden sind ausgenommen, da gesetzlich nicht ausschließbar. Prüfe, ob EULA auf Deutsch verfügbar ist und ob lokale AGB-Modifikationen existieren. |
| 🔴 Fortinet | Kostenpflichtig (Appliances / Abonnements) | Haftung meist auf Lizenzgebühren begrenzt, Ausschluss indirekter Schäden. Produkthaftung greift nur bei physischen Defekten. | „IN NO EVENT WILL FORTINET BE LIABLE FOR ANY INDIRECT, INCIDENTAL, SPECIAL, PUNITIVE, OR CONSEQUENTIAL DAMAGES …“ „FORTINET’S MAXIMUM LIABILITY SHALL NOT EXCEED THE AMOUNTS ACTUALLY PAID BY CUSTOMER FOR THE PRODUCT THAT DIRECTLY CAUSED THE DAMAGES.“ (Quelle: Fortinet EULA) | Typisch Enterprise-AGB. Viele Unternehmen schließen parallel eine Cyberversicherung ab. |
🛡️ Beispiele aus der Praxis
💻 Beispiel 1: OPNsense im Mittelstand
Ein Unternehmen setzt OPNsense kostenlos ein. Durch eine ungepatchte Sicherheitslücke entsteht ein Millionenschaden. Rechtlich gesehen hat die Community oder der Entwickler keine Haftung. Der IT-Dienstleister, der die Firewall eingerichtet hat, könnte aber haftbar gemacht werden. ➡ Lösung: Abschluss einer Cyberversicherung und schriftliche SLAs mit Kunden.
🏢 Beispiel 2: Sophos Firewall im Konzern
Ein Konzern kauft eine Sophos Appliance mit Lizenz. Nach einem erfolgreichen Angriff durch eine Zero-Day-Lücke entsteht Schaden. Laut EULA haftet Sophos nur im Rahmen der Lizenzkosten (z. B. 10.000 €), nicht für den Gesamtschaden. ➡ Lösung: Ergänzende Versicherung und interne Sicherheitskonzepte.
🌐 Beispiel 3: Check Point in der Bank
Eine Bank nutzt Check Point Firewalls. Durch eine Konfigurationslücke (Fehler des Admins) werden Daten abgegriffen. Die Haftung liegt nicht beim Hersteller, sondern bei der Bank selbst, weil die EULA indirekte Schäden ausschließt. ➡ Lösung: Mehrstufiges Sicherheitskonzept + externe Auditierung.
🏭 Beispiel 4: Fortinet in der Industrie
Ein Industriebetrieb betreibt Fortinet Appliances. Eine Appliance fällt wegen eines Hardwarefehlers aus, es kommt zu Produktionsausfall. Fortinet haftet nur im Rahmen des Gerätepreises. Der viel höhere Produktionsausfall wird nicht abgedeckt. ➡ Lösung: Kombination aus redundanter Infrastruktur + Versicherung.
📌 Fazit: Warum die Haftung so wichtig ist
Die beste Firewall ersetzt keine rechtliche Absicherung. Hersteller – egal ob Open Source oder kommerziell – begrenzen ihre Haftung drastisch. Für Unternehmen bedeutet das: Verträge prüfen, SLAs nutzen, Cyberversicherung abschließen und Firewalls nur als Teil einer Gesamtstrategie sehen.
🔑 Wichtige Keywords
#Haftung #Firewall #Deutschland, #OPNsense Haftung, #Sophos EULA Haftung, #Check Point Firewall Verantwortung, #Fortinet Produkthaftung, #Firewall Schadensfall, #Cyberversicherung #IT-Sicherheit, #Firewall Supportvertrag
