Android-Sicherheitslücken: Verbraucherzentrale NRW verklagt MediaMarkt-Filiale

Michael Schäfer 105 Kommentare
Android-Sicherheitslücken: Verbraucherzentrale NRW verklagt MediaMarkt-Filiale
Bild: Hans | CC0 1.0

Mit der vor dem Landgericht Köln eingereichte Zivilklage gegen eine MediaMarkt-Filiale in Köln schafft die Verbraucherzentrale NRW ein Novum: Diese möchte mit dem unkonventionellen Schritt erreichen, dass Verkäufer Kunden zukünftig über bekannte Sicherheitsprobleme in veralteter Software informieren müssen.

Gravierende Sicherheitsmängel durch BSI aufgedeckt

Der Einzelhändler in Köln verkaufte ab August 2016 das Smartphone-Modell Cynus T6 des koreanischen Herstellers Mobistel für 99 Euro, welches mit der bereits damals veralteten Android-Version 4.4 KitKat vertrieben wurde. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) entdeckte im September 2016 bei einer Kontrolle gefährliche Lücken unter anderem in besagtem Gerät. Zu dieser Zeit zählte das mobile Betriebssystem schon 15 bekannte und gravierende Sicherheitsmängel, welche aufgrund nicht vorhandener Updates auch nicht behoben wurden. Die Folgen für den Käufer waren dabei drastisch, denn mit den Sicherheitslücken war es laut BSI Angreifern ein Leichtes, die komplette Kontrolle über das Smartphone zu erlangen.

Hersteller reagierte bis heute nicht

Darüber unterrichtete das BSI zunächst den Hersteller Mobistel, welcher jedoch bis heute nicht auf die Anfrage reagierte. Gleichzeitig ließ das Amt auch den Verbraucherschützern entsprechende Informationen zukommen, welche nun reagierten. Gegenüber der Süddeutschen Zeitung gab die mit dem Fall betraute Expertin der Verbraucherschutzzentrale Christine Steffen an, dass sich die Klage noch in einem frühen Stadium befinde, sie gehe aber davon aus, dass die Vorkommnisse für Smartphone-Käufer von „grundsätzlicher Bedeutung‟ seien. Dem stimmt Volker Tripp, Geschäftsführer der gemeinnützigen Organisation Digitale Gesellschaft (Digiges), welche sich für „Grundrechte und Verbraucherschutz im digitalen Raum einsetzt“ einsetzt, zu: Für ihn sei es „das Mindeste, dass Verbraucher transparente Informationen bekommen‟. Über die Gefahren soll die MediaMarkt-Filiale laut Verbraucherzentrale NRW jedoch seine Kunden im Unklaren gelassen haben. Aktuell wird das Smartphone nicht mehr angeboten.

Händler als Vertragspartner des Käufers

Stellt sich nun die Frage, warum gegen den Verkäufer und nicht den Hersteller oder gar gegen Google als Entwickler des Betriebssystems vorgegangen wird? Für die Verbraucherschützer stellt der Händler den unmittelbaren Vertragspartner für den Kunden dar. So sei dieser ihrer Meinung nach in der Pflicht, den Käufer bei bekannten Sicherheitsmängeln über die Unsicherheit des Systems und die damit verbundenen Folgen zu informieren. „Es kann nicht sein, dass ich ein neuwertiges Gerät in einem Markt kaufe, das mit Sicherheitslücken behaftet ist, die auch im Nachhinein, wenn ich es in Betrieb nehme, nicht geschlossen werden und ich das nicht weiß‟ so Christine Steffen. Sie stellt aber gleichzeitig klar, dass es dem Verbraucherschutz nicht darum geht, den Verkauf entsprechender Geräte zu verbieten, sondern Händler in die Pflicht zu nehmen, Kunden über entstehende Gefahren aufzuklären, damit dieser für sich eine Entscheidung treffen kann.

Hoffen auf Signalwirkung

Die Zivilklage betrifft aktuell nur eine MediaMarkt-Filiale in Köln, könnte aber bei einer Entscheidung für die Verbraucherschutzzentrale NRW durchaus eine Signalwirkung besitzen und Klagen in anderen Bundesländern nach sich ziehen. Denkbar wäre auch ein Vorgehen gegen andere Niederlassungen der Handelskette oder gar gegen andere Händler.

Probleme mit Updates auch in anderen Ländern

Das Problem durch mit Sicherheitslücken behafteten Smartphones betrifft aber nicht nur Deutschland. In den USA hat sich im April 2013 die Bürgerrechtsgruppe American Civil Liberties Union mit einer Beschwerde an die Wettbewerbsbehörde FTC mit dem Vorwurf gewandt, dass diverse US-amerikanische Mobilfunkanbieter die von Google gelieferten Android-Updates nicht an die Geräte ihrer Kunden weiterleiten würden. Im Mai 2016 forderten diese wiederum diverse Hersteller zu einer Erklärung auf, nach welchen Kriterien die Versorgung von Smartphones mit Sicherheitsupdates entschieden wird.