Verbraucherzentrale NRW verklagt MediaMarkt Köln wegen unsicherem Android-Smartphone

Die Verbraucherzentrale NRW hat beim Landgericht Köln eine Kölner Filiale der Handelskette MediaMarkt verklagt. Sie soll einem Verbraucher ein Android-Smartphone verkauft haben, in dem zum Zeitpunkt des Verkaufs bereits 15 Sicherheitslücken steckten, ohne auf diesen Umstand hinzuweisen. Die Anfälligkeiten wurden seitdem nicht beseitigt.

Bei dem fraglichen Smartphone handelt es sich um ein Cynus T6 des koreanischen Herstellers Mobistel. Es wurde im August 2016 mit Android 4.4 KitKat verkauft, also einer zu dem Zeitpunkt fast drei Jahre alten Version von Googles Mobilbetriebssystem. Inzwischen führt MediaMarkt dieses Modell nicht mehr.

Mobistel Cynus T6 (Bild: MediaMarkt)

Der Testkäufer der Verbraucherzentrale NRW wurde von einem Vertreter des Bundesamts für Sicherheit in der Informationstechnik (BSI) begleitet, das das Gerät anschließend untersuchte. Dabei wurden besagte 15 Schwachstellen entdeckt. Mindestens ein Bug ermöglicht es, aus der Ferne Schadcode einzuschleusen und auszuführen, was einem Angreifer die vollständige Kontrolle über das Gerät geben kann.

Das BSI informierte Mobistel im September über die Sicherheitslücken, ohne jemals eine Antwort zu erhalten. Seitdem habe Mobistel weder die Fehler beseitigt noch das Mobilbetriebssystem des Cynus T6 aktualisiert, sagte BSI-Sprecher Joachim Wagner.

Statt Mobistel zu verklagen, entschloss sich die Verbraucherzentrale NRW gegen den Elektronikmarkt vorzugehen, der das unsichere und damit mangelhafte Gerät anbot. Die Verbraucherschützer kritisieren vor allem, dass die Käufer nicht über den Mangel informiert wurden.

Volker Tripp von der gemeinnützigen Organisation Digitale Gesellschaft, die sich für „Grundrechte und Verbraucherschutz im digitalen Raum einsetzt“, stellte sich im Gespräch mit der Süddeutschen Zeitung hinter die Klage. „Verbraucher sollte zumindest transparente Informationen erhalten“, sagte Tripp.

Wagner erklärte indes, Sicherheitslücken in Smartphones seien ein weit verbreitetes Problem und die sehr eng gefasste Klage sei möglicherweise geeignet, das Problem der Öffentlichkeit näher zu bringen. „Für die Klage mussten wir ein Beispiel wählen. Wir hoffen, dass das ein Signal senden wird. Wir wissen, dass das kein ungewöhnliches Beispiel ist, weil auch gerade jetzt viele Smartphones mit Sicherheitslücken verkauft werden. Es geht darum, sicherzustellen, dass der Verbraucher eine gut informierte Entscheidung treffen kann.“

Ob die Klage tatsächlich zu so etwas wie einer Kennzeichnungspflicht für unsichere Smartphones führen kann, bleibt abzuwarten. Tatsache ist jedoch, dass wohl der mit Abstand größte Teil aller Android-Smartphones mit Sicherheitslücken in den Handel gelangt, weil Hersteller selbstverständlich nur die zum Zeitpunkt der Produktion aktuellste Software aufspielen können. Google stellt jedoch jeden Monat Sicherheitspatches zur Verfügung – die je nach Gerätehersteller zumindest bei einigen Geräten dann während oder direkt nach der Ersteinrichtung installiert werden.

Auch in den USA beschäftigen sich Behörden mit dem Thema Sicherheitsupdates für Smartphones. FCC und FTC wollten 2016 unter anderem von Apple, Google, HTC, LG, Microsoft und Samsung wissen, warum nicht alle ihre Geräte mit Patches versorgt werden. Die Hersteller sollten unter anderem Faktoren nennen, anhand derer entschieden wird, welche Sicherheitslücke eines bestimmten Geräts geschlossen wird.

[mit Material von David Meyer, ZDNet.com]

Tipp: Sind Sie ein Android-Kenner? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de