ubuntuusers.de

heise hat da was in den Schlagzeilen: "Klage gegen Media Markt wegen Smartphone-Sicherheitslücken".

Also Media Markt in Köln hat mit größter Wahrscheinlichkeit kein Personal, was die Sicherheitslücken schließen könnte. Die können eher Ware bestellen, auspacken, in den Laden hinstellen und dann Werbung machen. Kann man sich gar nicht ausdenken, wenn die Verbraucherzentrale obsiegt, dann kann Media Markt und so ziemlich jeder andere Einzelhändler wohl dichtmachen. Zumindest keine Software und Software basierende Waren mehr verkaufen.

So rein aus trollsportlicher Sicht ein lustiger Streich, den die Verbraucherzentrale da ausspielt, deren Reichweite aber kaum abzusehen ist, falls der Streich der Verbraucherzentrale gelingt. Allerdings fände es auch der trollsportverein dann doch wieder blöde, wenn es noch nicht mal mehr Videospiele im Grabbeltisch für 99 Cent geben dürfte. Denn eines ist sicher: Sicherheitslücken hat der ganze Kram, gerade Windows und andere kommerzielle Fertigsoftware ist ja eher mit der heißen Nadel zusammengestrickt. Wenn man Glück hat, gibt es Patches, welche einige Fehler auszubügeln versuchen, wenn man Pech hat gibt es nichts. In der Welt der Smartphones sieht es da wohl auch besonders übel aus, falls es nichts gibt, was Freiwillige da tun, wie etwa diejenigen, die an Lineage-OS und seiner Fortentwicklung arbeiten.

Sogar mein Google Nexus 7 ist schon längst aus dem offiziellen Support Zeitraum raus: https://www.xda-developers.com/google-publishes-end-of-life-for-nexus-devices/. Wenn ich da nicht Ubuntu Touch drauf hätte, dann hätte es wohl schon länger keine Updates mehr bekommen. So steht zwar die weitere Unterstützung auch nicht fest, aber schaun wir mal, was die Freiwilligen da noch alles auf die Beine stellen.

Ist dies das Ende vom Einzelhandel mit Software und Software basierenden Produkten?

Das Ende der Zivilisation überhaupt, ungefähr das 753ste dieses Jahr. ☺

Also Media Markt in Köln hat mit größter Wahrscheinlichkeit kein Personal, was die Sicherheitslücken schließen könnte.

Und Aldi hat keine Chemiker, die vergammelten Käse wieder in Ordnung bringen können. Ich verstehe den Artikel so, dass das OS bereits zum Zeitpunkt des Verkaufs nicht mehr mit Updates supported wurde, die Sicherheitslücken hatte, diese bekannt waren und bereits ausgenutzt wurden.

Mindestens im Gewährleistungszeitraum von 2 Jahren haftet der Händler für das verkaufte Produkt. In den ersten 6 Monaten liegt die Beweislast bei ihm, danach beim Kunden. Wenn der Fall ist wie dargestellt dürfte die Beweislast für die letzten 1,5 Jahre nicht schwer zu führen sein.

Für ein Produkt, dass eine größere Kundenzahl sicher länger nutzt als 2 Jahre - wieso auch nicht, wenn der Akku ausstauschbar ist oder langlebiger ist - sollte m.E. eine größere Frist für Updates Usus sein, bei Smartphones 4 bis 5 Jahre. Jetzt rollt die Internet-of-Thingswelle an, wenn da der Kühlschrank oder die Waschmaschine, Güter die nicht so der Mode unterliegen und bei denen es dramatischen Fortschritte selten sind, unbrauchbar werden, weil sie nach 3 Jahren eine Sicherheitslücke haben, die nicht gepatcht wird, die Hardware aber 10-15 Jahre mitspielt, das ist eine enorme Ressourcenverschwendung, Umweltbelastung und eine Belastung für's Portemonaie.

Verteilt auf alle Kunden ist die Bereitstellung von Updates auch kein unbezahlbarer Luxus. Das sind ein paar Euro pro Gerät, die die Lebenszeit aber verdoppeln können.

An ein paar tausend Smartphones wird der MM Köln nicht eingehen. Aber wie im Artikel beschrieben muss der Druck vom Kunden auf den Hersteller über den Händler laufen (Vertragsrecht, BGB, HGB, AGB).

Sicherheitslücken hat der ganze Kram, gerade Windows und andere kommerzielle Fertigsoftware ist ja eher mit der heißen Nadel zusammengestrickt.

Wenn der Baumarkt Fahrräder für 99 Euro verkauft kann man auch sagen, dass doch klar ist, dass die nach einer Woche auseinanderfallen, aber welcher Kunde braucht ein Rad, das nach einer Woche auseinanderfällt? Ein Modeshop, der es nur zur Dekoration ins Schaufenster stellt vielleicht - dann soll es als Dekoware verkauft werden.

Der Kunde ist kein TÜV-Sachverständiger, der sich einmal die Schrauben anschaut, und weiß, was Sache ist. Auch ist er kein Betriebswirt, der die Kostenkalkulation des Herstellers kennt und weiß, wie viel ein Rad kosten muss, das man 2 Jahre mindestens fahren kann. Zumindest für die meisten Kunden ist das so. Dagegen ist es Aufgabe des Händlers sehr wohl zu wissen, was ein Produkt taugt - was sonst ist seine Funktion in Zeiten des Onlinehandels?

"Als Kunde muss man wissen, dass man für 4,80 € kein ordentliches Schweinekotelett erwarten darf" hört man auch oft. Wieso muss ich das wissen? Woher soll ich das wissen? Ich halte nicht selbst Schweine im industriellen Maßstab. Ich weiß nicht mal wie alt ein Schwein wird, bevor es geschlachtet wird, was es genau frisst, wieviel Mist anfällt, wie oft man es ausmisten muss, wieviel Prozent vor dem Schlachten eingehen usw. Wie soll ich wissen ob ein Kilo Fleisch 2, 5 oder 20 Euro muss? Ich kann nur wissen was es woanders kostet und gestern gekostet hat. Wie das produziert wurde weiß ich aber auch nicht.

Als Heiseleser weiß ich, dass es mit Smartphonesupport mau aussieht, aber da endet es auch schon. Welcher Hersteller besser und welcher schlechter supported weiß ich nicht. Smartphones werden aber im Massenmarkt auch an Musiklehrer und Pfaffen, an Hausfrauen und Krankenpfleger, an Bauarbeiter und Jugendliche verkauft. Die haben Anspruch auf ein Gerät das fehlerfrei funktioniert und das 2 Jahre lang fehlerfrei ist. Für nachträglich installierte Apps haftet der Händler nicht, wenn er nicht ausdrücklich damit wirbt, aber ein Käse muss essbar sein, ein Fahrrad verkehrstauglich und ein Smartphone eben internettauglich.

Wird Zeit, dass Schrott vom Markt genommen wird. Unbezahlbar macht das die Geräte sicher nicht.

Vielleicht müssen die Hersteller aber ihre Planungen erst daran anpassen und stärker auf Aktualisierbarkeit hin entwerfen.

@user_unknown: Du hast den Nagel auf den Kopf getroffen! 👍

trollsportverein schrieb:

heise hat da was in den Schlagzeilen: "Klage gegen Media Markt wegen Smartphone-Sicherheitslücken".

Also Media Markt in Köln hat mit größter Wahrscheinlichkeit kein Personal, was die Sicherheitslücken schließen könnte. Die können eher Ware bestellen, auspacken, in den Laden hinstellen und dann Werbung machen. Kann man sich gar nicht ausdenken, wenn die Verbraucherzentrale obsiegt, dann kann Media Markt und so ziemlich jeder andere Einzelhändler wohl dichtmachen. Zumindest keine Software und Software basierende Waren mehr verkaufen.

Es ist nicht notwendig, daß der Verkäufer höchstpersönlich die Sicherheitslücken schließt - auch wenn die Verbraucherzentrale sich durchsetzt. Beim Einkauf im Mediamarkt können sie nicht hellsehn und voraussagen welche Upgrades der Hersteller in Zukunft für das Smartphone anbietet. Ob aber das Betriebssystem mit dem das Smartphone verkauft wird zum aktuellen Stand supportet ist und wielange der Support für dieses Betriebssystem läuft, das können sie im Einkauf berücksichtigen.

Wieviel Sicherheit andere Software, Programme und Spiele - auch auf dem Grabbeltisch bieten muß, um verkauft werden zu dürfen, darum geht es im Augenblick bei der Verbraucherzentrale noch nicht.

Wenn sich die Cloud bei Software durchsetzt erübrigt sich das Problem. Der Mediamarkt kann dann Downloads anbieten. Schlecht gewartete Software wäre allerdings auch in der Cloud möglich. Und viele Kunden kaufen lieber als zu mieten. Ich sehe schon eine Zukunft für die Software im Einzelhandel.

Mein Nexus 7 hatte ich im Juni 2014 gekauft, im Juli 2015 war es dann schon vorbei mit dem garantiertem Google Support, kann mit der 2 jährigen gesetzlichen Gewährleistung eigentlich schon gar nicht mehr hinkommen.

Oder nur mal beispielsweise ein Blick über die Router. Gerne haben Router Sicherheitslücken, während Firmware Updates längst nicht unbedingt mindestens noch innerhalb der gesetzlichen 2 Jahre Gewährleistung zu bekommen sind. Netzwerkfähige Kameras wären da wohl auch noch eine Fundgrube für Sicherheitslücken, die eigentlich mindestens innerhalb der 2 jährigen Gewährleistungsfrist geflickt werden müssten. Das fatale daran: gerne ist der Fehler, der zur Sicherheitslücken führt, auch schon im SDK für den SOC drin, so dass es eigentlich kaum möglich ist, die Sicherheitslücke richtig dicht zu bekommen, wenn es sich etwa um BLOBs (Binary Large Object) handelt, die keine Aktualisierung erhalten. Smart Home, das wird vermutlich auch noch Spaß geben. was da alles an Sicherheitslücken auftauchen wird. Ob das alles mindestens für die 2 Jahre gesetzliche Gewährleistungsfrist Aktualisierungen erhält, welche Sicherheitslücken zeitnah schließen? Ich wage das mal zu bezweifeln.

2 Jahre gesetzliche Gewährleistung, Produkthaftungsgesetz, hört sich gut an, stößt aber in der Realität dann doch nur allzu schnell an die normative Kraft des Faktischen.

trollsportverein schrieb:

2 Jahre gesetzliche Gewährleistung, Produkthaftungsgesetz, hört sich gut an, stößt aber in der Realität dann doch nur allzu schnell an die normative Kraft des Faktischen.

Das Ding ist, dass wir hier nicht über unveränderliche Naturgesetze reden. Deine Analyse ist ja vollkommen korrekt: Die Hersteller scheren sich einen Dreck um Sicherheitsupdates und verbuchen das intern irgendwie unter Service und Kulanz, weil sie bisher noch niemand rangenommen hat. Es ist ja durchaus möglich, eine funktionierende Support-Infrastruktur über einen festgelegten Zeitraum einzufordern und es ist technisch auch möglich, das umzusetzen. Man muss es halt nur tun.

Vor diesem Hintergrund finde ich den Ansatz mit der Gewährleistung sogar relativ elegant, weil es da ja darum geht, nachzuweisen, dass ein Mangel schon beim Kauf bestand. Das ist bei Sicherheitslücken klar: Die waren vorher da und sind dann entdeckt worden. Der Händler muss nachbessern. Das bedeutet, er muss seinen Zulieferer unter Kontrolle haben, damit der nachliefertn (also Updates bereitstellt). Wenn er das nicht hat, dann können die Kunden, wie jetzt auch schon, das Gerät nach dem dritten erfolglosen Reparaturversuch zurückgeben.

Einen Trost zum Freitach gibt es immerhin: Botnetze fangen solche Netzwerkfähigen Geräte mit Sicherheitslücken sicher gerne auf. 😈