Offene Sicherheitslücken = Sachmangel?

Targin schrieb:

@elknipso

...

Bei Android verstehe ich nicht, warum die Sicherheits patches nicht direkt in das System eingespielt werden können. Bei aufgesetzten Custom roms wie z.B. fulmics kann ich doch auch das vorhandene System patchen! Da fehlt mir das Verständnis!!! Warum macht G. den Kernel und das System nicht patchfähig? Die Herstellerupdates können das doch auch.

Zum Vergrößern anklicken....

"
The biggest problem with Android is that the Android OS does not really exist and it's not Google's fault.

Every mobile hardware device running Android is unique in many ways: very different SoC's, very different storage configurations (including a gazillion of storage chips each with different API/driver), very different sensors (e.g. two different Android smartphones may have two "similar", e.g. ambient light sensors but totally different protocols for accessing them).

Every OEM out there does three things to run Android:

• Vendor heavily patches the Linux kernel provided by AOSP in order to support its SoC (including storage, sensors, cameras) and various other features.
• Vendor heavily modifies Android system core so that it could properly run on its hardware.
• Vendor adds its own apps which use specific HW features of their devices.

The net result is that you simply cannot (externally) update the kernel and Android core because you may break everything. That means only OEMs themselves can update your Android device. These issues affect Google as well: all its Android devices have different kernels and system cores - that is why Google forsakes its old Nexus devices.

In order to solve this problem Google must force OEMs to introduce a common ARM platform which will allow to run unmodified/or minimally modified AOSP. Such a platform exists in the x86 world which means you can easily switch between dozens of OSes which support the x86 instructions set. I don't see such an ARM platform coming any time soon.
"

Why Android sucks although it actually doesn't

Entschuldigung, wenn das jetzt falsch rüber kommt:blushing:
Wir sind hier in einem mehrheitlich auf Deutsch sprachige User ausgerichteten Forum. Daher fände ich es schön, wenn solche Posts zumindest zusätzlich bitte auch in deutscher Sprache zur Verfügung gestellt werden. Vermutlich spricht auch nicht jeder User hier gutes Englisch.

Sorry for this insolent request:blushing:
We are here in a German-speaking user forum. I would find it nice if such posts are also available in German language too. Probably not every user here speaks very good English.

Zum letzten Mal:
Hier geht es darum, ob Sicherheitslücken ein Sachmangel sind!

Und nicht darum, warum es welche Lücken gibt, ob und wie oder auch nicht die geschlossen werden können oder ob hier irgendwer nen Furz quer sitzen hat.

Beim nächsten OT hier im Thread, werden wir ihn wohl leider ne zeitlang zu machen müssen.

Ok, dann ganz konkret von mir: offene Sicherheitslücken sind meiner Meinung nach kein Sachmangel. Es gibt zwar ein theoretisches Risiko für einen Schaden aber praktisch sind kaum entsprechende Angriffe erfolgreich durchgeführt worden, bei denen ein echter Schaden entstanden ist. Ohne entsprechende Angriffe auf die Lücken funktionieren die Geräte ja soweit ohne Mängel.

Wenn durch eine Sicherheitslücke z.B. eine Million Smartphones a la WannaCry verschlüsselt worden wären ... das wäre dann sicher ein Schaden, wo man von Mängeln sprechen könnte. Und solange so etwas nicht passiert, wird wohl kaum jemand mit einer Klage zur Sachmängelhaftung Erfolg haben.

So ähnlich denke ich auch. Da ich auf Beispiele stehe, hier mal ein weit hergeholtes: wenn ich mein Fahrrad mit dem teuersten und besten, auf dem Markt verfügbaren Schloss am Bahnhof abschließe, wird es mit großer Wahrscheinlichkeit jemanden geben, der es trotzdem Knacken kann. In dem Fall (außer der Hersteller gibt mir vertraglich die Garantie auf Unknackbarkeit) steh ich trotzdem alleine auf weiter Flur und kann niemanden dafür belangen. Die Beschaffenheit war mir beim Kauf klar, genau so wie das Risiko das Fahrrad in einem Risikobehafteten Bereich stehen zu lassen.

Um bei deinem Beispiel zu bleiben: Es ist für mich sehr wohl ein Sachmangel, wenn das Schloss einen "Mastercode" hat, der bei allen Schlössern gleich ist und so jeder mein Fahrrad mitnehmen kann, der mein Schloss auf 0000 stellt.

Sorry, aber die Sicherheitslücken in Android sind keinesfalls so einfach auszunutzen, wie ein viertelliger PIN eines Zahlenschlosses. Dieser Vergleich hinkt also und genau das ist ja der Grund, dass es kein Sachmangel ist. Wenn es so einfach wie von Dir beschrieben wäre, gäbe es massenhaft Fälle von gehackten Smartphones. Und genau die gibt es aber eben nicht.

Für dich vielleicht nicht.
Mit ein Grund, wieso das noch nicht so weit verbreitet ist, ist Google zu verdanken, da sie den Playstore relativ sauber halten und dass Smartphones aufgrund der begrenzten Akkulaufzeit relativ unpraktisch sind.

Bei IoT-Geräten sind das schon anders aus. Von den Internetprovidern wird nicht umsonst ein Riesenaufwand betrieben, um dem Einhalt zu gebieten.

Aber davon ab versteh ich deine Argumentation nicht. Nur weil eine Sicherheitslücke nicht ausgenutzt wird, ist es ok, dass sie da ist? Denkst du auch so von Bugs, die die Funktionalität deines Endgerätes betreffen?

Na ja, wie schon einigemale von den Moderatoren hingewiesen wurde, geht es um das Thema Sachmangel. Und wenn man dem Händler einen Mangel vorwerfen will, muss man diesen auch belegen. Wenn das Smartphone voll aufgeladen nur 20 Minuten Laufzeit hat und der Akku dann leer ist, gelingt der Nachweis des Mangels recht einfach. Wenn man dem Händler aber etwas von Sicherheitslücken erzählt, die iftmals nur ausnutzbar sind, wenn man Zugriff auf das entsprechende Smartphone hat oder speziell präparierte Apps aus unsicheren Quellen dazu installieren muss, dann sieht der Händler da eben keinen Sachmangel. Du kannst ja gern mal einen Anwalt Deines Vertrauens fragen, wie die Chancen einer solchen Sachmangeklage aussehen. ;-)
Ich find das ja persönlich auch nicht schön, wenn die Lücken offen bleiben. Aber wie schon von anderen hier erwähnt, hat weder der Händler noch der Hersteller zugesichert, dass er sämtliche Sicherheitslücken, die nach Herstellung des Gerätes gefunden werden, zeitnah behebt. Die Lückenfreiheit ist also keine zugesicherte Eigenschaft und daher kann man das schlecht einklagen.
Dass soetwas moralisch fragwürdig ist, da stimme ich zu. Aber wie hier bereits auch mehrfach erwähnt wurde, ist das heute bei fast jedem Gerät mit Zugriff zum Internet so. Router, WebCams, TVs, PCs, Smartphones ... alle haben mehr oder weniger viele Lücken. Und solange nichts schlimmes passiert, interessiert das weder die Hersteller noch die meisten Käufer solcher Geräte.

Ich verstehe die ganze Diskussion nicht so richtig .

Ein Smartphone wird mit bestimmten Eigenschaften verkauft (RAM, ROM, Displaygröße, Funkbänder und einem Betriebssystemstand)

Wo wird nun die Soll-Beschaffenheit verletzt, wenn das Gerät mit z.B. Android 6.0.1 angeboten und ausgeliefert wird und im Android 6.0.1 sind 17 Sicherheitslücken bekannt? Der Händler hat doch nur verkauft was angeboten wurde. Ein Smartphone mit Andoid 6.0.1.

Es wird kein Smartphone ohne offene Sicherheitslücken angeboten / verkauft. Freiheit von Sicherheitslücken ist keine zugesicherte Eigenschaft eines Smartphones. Somit kann bei vorhandenen Sichereitslücken auch kein Anspruch auf Mangelbeseitigung erhoben werden.

Zitat:(Quelle)

Ein Sachmangel liegt gemäß § 434 I S. 1 BGB vor, wenn im Zeitpunkt des Gefahrübergangs die Istbeschaffenheit des verkauften Gegenstandes zuungunsten des Käufers von der vertraglich vereinbarten Sollbeschaffenheit abweicht.

Zum Vergrößern anklicken....

Sicherheit gehört wie hier ja auch schon geschrieben m.W.n nicht zu den im "Kaufvertrag" vereinbarten Eigenschaften.

Das Thema wird vielleicht doch nochmal interessant. Mal schauen, was da raus kommt: Klage gegen Media Markt wegen Smartphone-Sicherheitslücken

näää, neee..... ich hol mir dann schon mal etwas Popcorn und was zu trinken. Das scheint ja eine spannende Geschichte zu werden.

Wahrscheinlich bei der Regelwut der entsprechenden Stellen und um zukünftig trotzdem keinem Hersteller auf den Fuß zu treten wird es letztlich "Warnaufkleber" geben wie auf Medikamenten und Zigaretten:

Achtung: Die Benutzung dieses Gerätes könnte die Sicherheit ihrer persönlichen Daten gefährden! Befragen sie zu diesem Thema ihren Rechtsanwalt oder Händler!


Edit: Voll OT!
Was an irrsinnigen Klagen so alles Erfolg gehabt hat, ist in einem Auszug hier zu lesen.
Möglich also, dass uns die Gerichte auch in diesem Fall überraschen.

Naja erst mal abwarten was dabei raus kommt. Von Händler zu erwarten, dass er alle Eigenschaften seiner Produkte ständig auf aktuelle Sicherheitslücken zu ungeprüfen, wäre m.E. nicht zumutbar zumal die BSI-Warnung ja mit Ende 2016 noch recht "frisch" war und nicht schon fünf Jahre bekannt.

Es könnte aber dazu führen dass große Einzelhändler keinen Billigschrott mehr ins Sortiment aufnehmen.