Händler dürfen nach dem Urteil des Oberlandesgerichts Köln vom 30.10.2019 – Az. 6 U 100/19 weiterhin veraltete Smartphones verkaufen und müssen nicht auf Sicherheitslücken hinweisen. Damit wird mal wieder die Informationspflicht auf den Kunden abgewälzt.
Verbraucherschützer hatten mehrere “veraltete” Smartphones erworben und vom BSI testen lassen. Das Amt fand zum Beispiel bei einem Gerät 15 Sicherheitslücken, welche nach eigener Beurteilung eine eklatantes Sicherheitsrisiko für die Nutzerdaten darstellen.
Ich bin kein studierter Rechtswissenschaftler, doch ich möchte ein paar Sätze näher beleuchten und beziehe mich auf Android Smartphones, da diese der Masse an Geräten darstellt.
Zwar sei die Information über das Vorliegen von Sicherheitslücken für die Verbraucher von großer Bedeutung, da hierdurch die Privatsphäre der Verbraucher verletzt und erlangte Daten zu betrügerischen Zwecken missbraucht werden könnten. Es sei aber auch zu berücksichtigen, dass die Beklagte die Sicherheitslücken nur durch Tests feststellen könne, welche sich auf den jeweiligen Typ des Smartphones beziehen müssten.
Die Begründung, dass die Sicherheitslücken, welche übrigens per CVE vorher bekannt waren!, nur per Test festzustellen seien ist für mich unfassbar. Es ist Fakt, dass ein Gerät, welches seit einem Jahr kein Sicherheitsupdate erhalten hat und eine alte OS Version einsetzt, Sicherheitslücken aufweist. Egal ob getestet oder nicht!
Ja, nicht jeder Hersteller patcht wirklich jede Sicherheitslücke (kann man mit SnoopSnitch direkt auf dem Gerät testen). Daher rate ich auch im Privatbereich zu Android Enterprise Recommended Geräten.
Auch sei es nicht möglich, alle vorhandenen Sicherheitslücken festzustellen. Alle Anbieter von Betriebssystemen würden selbst immer wieder – teilweise erst aufgrund von Angriffen durch Dritte – Sicherheitslücken im Betriebssystem finden.
Es wird nie möglich sein, eine zu 100% sichere Umgebung anbieten zu können. Im Falle von Android bzw. Google ist Project Zero sehr aktiv. Die Sicherheitsexperten arbeiten aktiv an sicheren Umgebungen und melden auch in Fremdprodukten wie Windows oder iOS Sicherheitslücken.
Der Markt soll auch gar nicht zu 100% sichere Geräte verkaufen, aber die Ankläger hatten einen Hinweis beim Verkauf von veralteten Geräten gefordert.
Schließlich könnten sich die feststellbaren Sicherheitslücken jederzeit ändern, so dass die Beklagte die Tests in regelmäßigen Abständen wiederholen müsste.
Entfällt bei einem Hinweis.
Nichts anderes gelte für die Information über die Bereitstellung von Sicherheitsupdates. Ob für ein konkretes Modell noch Sicherheitsupdates bereitgestellt würden, sei der Beklagten zum Zeitpunkt des Verkaufs in der Regel nicht bekannt. Sie habe auch keine Möglichkeit, diese Information ohne ein Zutun der Hersteller zu erlangen. Allein der Hersteller entscheide, ob und wann er ein Sicherheitsupdate für das jeweilige Smartphone-Modell anpasse.
Schlicht falsch. Bei iOS gibt es nur einen Grobwert von 5 Jahren. Bei Android ist dies klar vorgegeben: Android Enterprise Recommended (mindestens alle 90 Tage) und Android One (alle 30 Tage) bekommen garantiert 3 Jahre Sicherheitsupdates ab Marktstart. Des Weiteren gibt es sehr wohl auch Zusagen von Herstellern wie zum Beispiel Samsung. Der Hersteller bietet überigens auch manche Geräte in einer Enterprise Edition an, welche bis zu 4 Jahre Updates erhalten.
Auch hier könne sich die entsprechende Information täglich ändern, zumal auch dem Hersteller nicht bekannt sei, ob und wann ein Sicherheitsupdate, das von ihm angepasst werden könnte, veröffentlicht wird.
Auch falsch. Google gibt jeden Monat Sicherheitsupdates heraus. Diese werden den Herstellern auch im Vorfeld übermittelt.
Ich persönlich empfinde dieses Urteil als Rückschritt! Ich warte das anonymisierte Volltexturteil ab. Mich interessiert, ob auch Experten angehört wurden oder nicht.