Urteil: Schwachstellen-Hinweis auf Produkt-Webseite reicht nicht
Verbraucherschützer setzten sich vor Gericht gegenüber Abus mit der Ansicht durch, besser über eine Schwachstelle in seinen Produkten informieren zu müssen.
Hometec Pro CFA3000
(Bild: Abus)
Eine Warnung des Bundesamts für Sicherheit in der Informationstechnik (BSI) vor einem unsicheren Funk-Türschloss von Abus hatte ein juristisches Nachspiel. Das Landgericht Bochum entschied, es reiche nicht aus, wenn der Hersteller über eine Schwachstelle informiert, indem er "ausschließlich einen Hinweis unmittelbar im Zusammenhang mit der Produktbeschreibung auf der eigenen Website" veröffentlicht, so wie bis dahin geschehen. Das geht aus einem nun bekannt gewordenen Urteil des Gerichts (I-8 O 26/23) vom Dezember 2023 hervor, das heise online vorliegt.
Das BSI hatte im August 2022 vor einer Schwachstelle im Produktset des Funk-Türschlossantrieb HomeTec Pro CFA3000 gewarnt. Durch diese Schwachstelle könnten Angreifer das Türschloss aus der Nähe ver- oder entriegeln und sich Zugang zu Gebäuden, Büroräumen oder Wohnungen oder Häusern verschaffen.
Abus habe die Schwachstelle eingeräumt und auch, dass sie nicht behoben werden könne, teilte das BSI seinerzeit mit. Seit März 2021 gebe es ein Nachfolgemodell. Der Verbraucherzentrale Bundesverband (vzbv) meinte daraufhin, Abus müsse besser über Sicherheitsmängel informieren, mahnte das Unternehmen im Oktober 2022 zunächst ab und klagte dann auf Unterlassung.
LG Bochum gibt vzbv Recht
Das Bochumer Gericht befand, die für Verbraucher wichtige Information über die Schwachstelle sei ihnen nicht so zugänglich gemacht worden, dass sie diese für ihre geschäftliche Entscheidung berücksichtigen konnten. Zudem habe Abus die Information lediglich auf einer Produktbeschreibungs-Webseite veröffentlicht, auf die Interessenten auch nicht ohne weiteres stießen und auf der die Verbraucher das Funkschloss nicht kaufen konnten.
Vielmehr werde das Produkt im Einzelhandel oder auf Online-Plattformen gekauft, heißt es weiter in der Urteilsbegründung. "Hier hat die Beklagte keinen Mechanismus in Gang gesetzt, der dafür Sorge trägt, dass Verbraucher auch bei Erwerb des Produkts über die Vertragspartner der Beklagten über die Sicherheitslücke in Kenntnis gesetzt werden." Wer ein Produkt erwirbt, werde sich in aller Regel nicht hinterher darüber auf der Website des Herstellers informieren.
Der vzbv konnte nur darauf klagen, dass Abus nicht weiter wie bisher informiert, aber keine konkreten Vorgaben machen, wie das Unternehmen vorzugehen hat. Eine Sprecherin des LG Bochum erläuterte gegenüber heise online, Gegenstand des Rechtsstreits sei lediglich die Frage gewesen, ob der von Beklagtenseite angezeigte Hinweis auf der Website ausreichend ist oder nicht. Während der mündlichen Verhandlung sei "abstrakt aufgezeigt" worden, dass es weitergehende Möglichkeiten gebe. Welche das konkret waren, teilte die Sprecherin nicht mit.
"Produkt nicht mehr erhältlich"
Abus hatte auf seiner Website die Produktseiten für "Hometec Pro FSA3550", "Hometec Pro CFT3000", "Hometec Pro FCA3000" und "Funk-Fernbedienung Hometec Pro CFF3000" jeweils einem Hinweis auf die BSI-Warnung versehen. Nach Auffassung des vzbv hat Abus diese Informationen inzwischen erweitert, ein "kerngleicher Verstoß" gegen das Unterlassungsurteil liege nun nicht vor.
Abus verweist auf seinen betreffenden Produktseiten auf "weitere Informationen", in denen es unter der Überschrift "Schwachstelle überprüft" heißt: "Als Sicherheitsexperte haben wir die Mitteilung des BSI ernst genommen und den HomeTec Pro CFA3000 sowie andere Produkte mit derselben Technologie (Fensterantrieb HomeTec Pro FCA3000 / FSA3550) hinsichtlich technischer Schwachstellen überprüft". Es sei aber sehr unwahrscheinlich, dass die Schwachstelle so ausgenutzt würde, wie das BSI es beschrieben habe.
"Kriminelle Kreise"
Auf Anfragen von heise online zu dem Vorgang hat Abus bislang nicht geantwortet. Vor Gericht hatte das Unternehmen argumentiert, es habe von einer Information über die Schwachstelle abgesehen, "da andernfalls kriminelle Kreise hierüber informiert werden könnten". Es sei zudem zweifelhaft, ob es sich überhaupt um eine Schwachstelle handelt. Unbefugte könnten das Schloss nur unter bestimmten Bedingungen ver- und entriegeln.
Der vzbv habe nicht nachweisen können, dass der von ihm beanstandete Funk-Fensterantrieb HomeTec Pro FCA3000 ebenfalls von der Schwachstelle betroffen sei, legte Abus weiter vor Gericht dar. Zwar werde darin die gleiche Technik verwendet, daraus könne aber nicht zwingend geschlossen werden, dass die gleiche Schwachstelle vorliegt.
Der vzbv hat nach der Produktwarnung des BSI nach eigenen Angaben auch drei Einzelhändler abgemahnt. "Diese Unternehmen hatten nach Bekanntwerden der Sicherheitslücke mit einem zurückgezogenen Testurteil geworben", teilte der vzbv mit. Zwei Unternehmen haben eine Unterlassungserklärung abgegeben, eines habe eine solche verweigert. Auf Klage des vzbv hat das Landgericht Mannheim im November 2023 das Unternehmen zur Unterlassung verurteilt (14 O 14/23). Dieses sowie das Urteil des LG Bochum sind laut vzbv rechtskräftig.
(anw)
