Kommentar: Neue Smartphones müssen nicht sicher sein

31.10.2019
G DATA Blog

Das Oberlandesgericht in Köln hat eine Klage von Verbraucherschützern zurückgewiesen. Inhalt: Elektronikmärkte verkaufen bewusst veraltete und unsichere Android-Smartphones, ohne Kunden auf die Risiken hinzuweisen. Das dürfen sie auch weiter tun.

Die Klage vom Juli 2017 weckte Hoffnungen bei vielen Sicherheitsexperten, die schon lange vor Sicherheitslücken in älteren Smartphones warnen. Diese werden nämlich nicht mehr behoben und stellen deshalb ein Risiko für die persönlichen Daten von Nutzern dar. Verbraucherschützer wollten in einem Gerichtsurteil erwirken, dass Geräte mit einer veralteten Android-Version nur noch mit einem entsprechenden Hinweis verkauft werden dürfen, da sie gut dokumentierte und nicht behebbare Mängel bei der Sicherheit aufwiesen. 

Verbraucherschutz unzumutbar?

Mit dem heutigen Urteil hat das OLG Köln die Verantwortung also wieder einmal beim Verbraucher abgeladen und erteilt damit Händlern faktisch einen Freibrief, weiterhin Geräte zu verkaufen, denen selbst das BSI „eklatante Sicherheitsrisiken für die Nutzer“ bescheinigt hat. Die Geräte sind also nach allen geltenden Maßstäben als unsicher zu betrachten. Zudem sind Händler auch weiterhin nicht verpflichtet, die Käufer dieser Geräte auf die bestehenden Sicherheitslücken und die fehlenden Möglichkeiten zu einem Update hinzuweisen. In der Urteilsbegründung hieß es, dass es der Beklagten (gemeint ist die Unternehmensgruppe, die die fraglichen Elektronikmärkte betreibt) nicht zuzumuten sei, sich Informationen über sämtliche Sicherheitslücken zu verschaffen und entsprechende Tests für die betroffenen Modelle durchzuführen. 

Dass gerade Android-Smartphones ohnehin oft nur mit großer Verzögerung – wenn überhaupt – aktuelle Updates und Sicherheits-Patches erhalten, ist nichts Neues. Darauf weisen wir seit Jahren regelmäßig hin. Google unternimmt zwar Schritte in die richtige Richtung, aber dennoch sind noch immer Millionen unsicherer Geräte ohne Aussicht auf Updates unterwegs – und das wird auch noch eine Weile lang so bleiben. 

Die Verantwortung wird auf den Nutzer abgewälzt - wieder einmal.

Das Urteil bedeutet einen großen Rückschritt für die Sicherheit persönlicher Daten, den wir bei G DATA mit Kopfschütteln zur Kenntnis nehmen. Letztlich nimmt das Urteil genau die Partei – den Verbraucher – in die Verantwortung, die insgesamt am wenigsten einschätzen kann, ob und inwiefern ein Gerät über ein ausreichend hohes Sicherheitsniveau verfügt. Gerade hier wären jedoch die Händler und auch die Hersteller gefragt, die zumindest auf die Risiken hinweisen könnten – so hätte ein potenzieller Käufer wenigstens die Möglichkeit einer Entscheidung. Diese Möglichkeit hat das OLG Köln den Käufern jedoch genommen. 

Es heißt also weiterhin „Caveat Emptor“ – Kunde, sei wachsam.

Urteil des Oberlandesgerichts Köln vom 30.10.2019 - Aktenzeichen: 6 U 100/19
Pressemitteilung der NRW-Justiz (PDF, Link öffnet sich in neuem Fenster)

Tim Berghoff
Security Evangelist

Wichtige IT-Security-News per E-Mail

  • Aktuelle IT-Gefahren
  • Schutz-Tipps für Privatkunden
  • 15 % Willkommensgutschein