Verbraucherzentrale vs. Media Markt Ein Handy für 99 Euro, Sicherheitslücken inklusive

Media-Markt-Kunden sollten über Sicherheitslücken informiert werden, findet die Verbraucherzentrale NRW.

(Foto: dpa)
  • Ein Kölner Media Markt hatte ein Smartphone im Angebot, das zum Zeitpunkt des Verkaufes über 15 "nicht mehr behebbare" Sicherheitslücken" verfügte.
  • Verbraucherschützer aus NRW klagen nun gegen diesen Media Markt: Diese wesentliche Information müsse Kunden mitgeteilt werden.
  • Die Sicherheitslücken ermöglichen es Hackern, das Gerät vollständig zu übernehmen.
Von Hakan Tanriverdi, Köln

Wenn Kunden sich ein Billig-Smartphone zulegen, nehmen sie Einbußen bei der Qualität in Kauf. Die Kamera könnte zum Beispiel schlechter sein als bei teuren Top-Modellen. Diese Informationen sind öffentlich, Kunden können sie vergleichen. Doch in einem anderen Punkt, der zunehmend wichtiger wird, kaufen Kunden quasi blind: bei der IT-Sicherheit.

Die Verbraucherzentrale NRW will das nun ändern. Sie klagt gegen einen Media-Markt in Köln. Dieser vertrieb ein Smartphone der Firma Mobistel, Modell Cynus T6, der Kaufpreis lag bei 99 Euro. Zum Zeitpunkt des Verkaufes hatte das Smartphone 15 "nicht mehr behebbare Sicherheitslücken", wie eine Analyse von IT-Sicherheitsexperten des Bundesamts für Sicherheit in der Informationstechnik (BSI) ergab. Das, so die Verbraucherzentrale, sei eine "wesentliche Information", die den Kunden mitgeteilt werden müsse.

Warum Verbraucherschützer gegen Samsung klagen

Der Smartphone-Produzent soll seine Geräte länger mit Updates versorgen und Sicherheitslücken schneller schließen. Das Problem betrifft fast alle Android-Hersteller. Von Simon Hurtz mehr ...

Die Klage befindet sich in einem frühen Stadium, dürfte für Smartphone-Käufer aber von "grundsätzlicher Bedeutung" sein, sagt Christine Steffen, die als Expertin der Verbraucherzentrale für den Fall zuständig ist. Eine Ansicht, die Volker Tripp teilt, der Geschäftsführer des Vereins Digitale Gesellschaft (Digiges) ist: "Es ist das Mindeste, dass Verbraucher transparente Informationen bekommen."

Knapp 80 Prozent der Menschen in Deutschland ab 14 Jahren verwenden ein Smartphone, ergab eine Analyse des Branchenverbandes Bitkom. Online-Banking, Passwörter für soziale Netzwerke und Mails checken: Der Alltag ist längst digital vernetzt, IT-Sicherheit spielt eine bedeutende Rolle. Smartphones basieren auf Software, die von Menschen geschrieben wird. Dabei passieren Fehler. Manche davon haben keine Auswirkungen auf die IT-Sicherheit, andere hingegen ermöglichen es Hackern, das Gerät aus der Ferne zu übernehmen.

Stoßen die Entwickler der Software auf so einen Fehler, veröffentlichen sie eine neue Version des Betriebssystems; der Fehler wird beseitigt. Es ist an den Herstellern, dieses Update zur Verfügung zu stellen.

Veraltetes Betriebssystem

Doch dabei gibt es ein Problem. 80 Prozent aller Smartphones weltweit verwenden das Betriebssystem Android - das mittlerweile de facto von Google kontrolliert wird. Die Hersteller bestehen darauf, Android individuell anzupassen. Für Kunden führt das zu Verzögerungen. Auf dem Cynus T6 installiert war "Kitkat", das Betriebssystem wurde bereits 2013 eingeführt - mittlerweile ist es veraltet.

Das BSI teilt auf Anfrage mit, die Firma Mobistel im September 2016 über die gefundenen Schwachstellen informiert zu haben. Zuvor hatte ein BSI-Mitarbeiter das Gerät in Absprache mit der Verbraucherzentrale besorgt und auf Sicherheitslücken hin untersucht. "Bis heute hat das Unternehmen diesbezüglich keinen Kontakt mit dem BSI aufgenommen." Seit dem Test durch das BSI habe es keine Sicherheitsupdates für das Cynus T6 gegeben - auch sei es nicht möglich gewesen, eine neuere Variante des Betriebssystems einzuspielen.

Dabei handelt es sich um Schwachstellen, die das BSI als kritisch bewertet. Eine davon falle in die "höchste Bedrohungskategorie" und ermögliche einem Angreifer "das Ausführen beliebiger Programmcodes und damit die Kompromittierung des Systems". Hacker können das Gerät komplett übernehmen.

Händler haben Zwischenposition

Die Verbraucherzentrale hätte sowohl gegen die Firma direkt klagen können als auch gegen Google, den Entwickler von Android. Doch man habe sich für die Händler entschieden, da diese eine Zwischenposition hätten und für "Verbraucher der unmittelbare Vertragspartner sind". Sie seien in der Pflicht, über Sicherheitslücken zu informieren. "Es kann nicht sein, dass ich ein neuwertiges Gerät in einem Markt kaufe, das mit Sicherheitslücken behaftet ist, die auch im Nachhinein, wenn ich es in Betrieb nehme, nicht geschlossen werden und ich das nicht weiß", sagt Steffen.

Es gehe der Verbraucherzentrale nicht darum, den Verkauf der Geräte zu verbieten, sagt Steffen, sondern vielmehr darum, Verbrauchern eine informierte Entscheidung zu ermöglichen. Digiges-Geschäftsführer Tripp hofft, dass durch die Klage Druck auf die Hersteller erzeugt werden kann.

Der Zivilprozess wird am Landgericht Köln geführt und gilt "inter partes", betrifft also nur diese eine Media-Markt-Filiale. Die Verbraucherzentrale erhofft sich aber eine Signalwirkung. Eine Sprecherin von Media Markt wollte das laufende Verfahren nicht kommentieren. Das Gerät befinde sich nicht mehr im Sortiment.

Warum Android-Nutzer neidisch auf Apple-Kunden sein sollten

"Eine Milliarde Smartphones bedroht": Solche Nachrichten über Android-Sicherheitslücken häufen sich. Schuld sind Hersteller wie Samsung, Sony und HTC. Analyse von Simon Hurtz mehr... Analyse