Rechner, Smartphones und IoT-Devices: Für ernstzunehmende Gewährleistungen

Eine Reihe an Herstellern optimiert zunehmend ihre Ware darauf, dass der Kunde nur kurz etwas davon hat und bald neu kaufen muss. Bei elektronischen Geräten wie Laptops, Smartphones oder IoT-Devices ist dies im extremen Maße verbreitet. In diesem Artikel möchte ich darauf eingehen, wo die Hersteller ansetzen und was man politisch dagegen tun könnte. Unterteilen möchte ich dies in Hard- und Software.

Hardware

Beim Thema Hardware fällt einem als erstes das Phänomen ein, welches man auch von Waschmaschinen kennt: irgendwie halten die Geräte nicht mehr so lange, und man hat das Gefühl, dass sie kurz nach der Garantie den Geist aufgeben. Dies wird tatsächlich auch so praktiziert, und die sogenannte geplante Obsoleszenz im klassischen Sinne und äußerst schwer nachzuweisen.

Doch es gibt auch offensichtlichere Probleme. Um bei den Laptops zu bleiben: diese haben mittlerweile oft den Arbeitsspeicher aufgelötet. Dies ist ein typisches Beispiel dafür, dass man einem Produkt die Flexibilität nimmt, an zukünftige Anforderungen angepasst zu werden. Beispiel: Für mich als Entwickler sind 16 GB RAM aktuell noch in Ordnung, aber irgendwann würde ich mehr brauchen, und dann müsste ich mir sofort ein neues Gerät kaufen. Das Argument der Hersteller ist, dass mit dem Einlöten schmalere Geräte möglich seien – was wohl die wenigsten Kunden so richtig interessieren dürfte, aber am Ende interessieren sich auch wenig Kunden für eine Aufrüstbarkeit, so dass der Hersteller sich so gut rausreden kann. Viele Consumer-Geräte haben im übrigen nur 8 GB RAM fest eingelötet, und dort ist dann auch für Nicht-Entwickler schnell ein Ende absehbar.

Absichtliche Limitierungen sind schlecht gekennzeichnet

Politischer Vorschlag: Um Kunden für dieses Phänomen zu sensibilisieren, wäre aber eine klare Kennzeichnungspflicht wünschenswert. Dies gilt nicht nur für RAM: Auch Festplatten werden mittlerweile fest eingelötet, und das hat gleich mehrere Nachteile. Einerseits kann man die Festplatte nicht mehr aufrüsten, andererseits muss man sensible Daten an Reparaturdienste geben – und drittens hat das ganz erhebliche Auswirkungen im Fehlerfall, da eine eingelötete Festplatte beim Defekt des Restsystems nur extrem aufwändig und damit kostspielig auszulesen ist, um z.B. die darauf befindlichen Daten zu sichern. Diese Kostenfaktoren und Gefahren für die eigenen Daten sind vielen Kunden so nicht bewusst, so dass ein deutlicherer Hinweis sinnvoll wäre.

Politischer Vorschlag: Was ebenfalls ein interessanter Punkt ist, wäre der Unterschied zwischen Verschleißteilen und langfristig nutzbarer Hardware. Ich weiß nicht, in wiefern dort ein juristischer Unterschied besteht, aber fast alle Hersteller reduzieren die Gewährleistung für Batterien und Lüfter. Was ja auch ok ist. Nicht ok finde ich dagegen, dass eben diese von den Herstellern als mit sehr limitierter Haltbarkeit identifizierten Bauteile dann nicht ausgetauscht werden können und einige Firmen sogar aggressiv gegen einen Ersatzteilmarkt vorgehen *hust* Apple *hust*. Besonders krass ist da das neue Microsoft Gerät, das man nicht einmal schadensfrei öffnen kann und so z.B. Staub entfernen kann, welcher die Luftzirkulation beeinträchtigt und so für Überhitzung sorgt. Lies: da werden ganz normale Hardware-Pflege-Mechanismen aktiv unterbunden, so dass das Gerät weniger lange halten wird. Gibt es da vielleicht einen Mechanismus, dass Hersteller Verschleißteile austauschbar machen müssen?

Software

Während bei der Hardware man zumindest noch mit Fachkenntnis ein Teil der geplanten Obsoleszenz umgehen kann, so schlägt das Problem bei Software um so stärker zu. Und um es kurz zu machen: Was wünschenswert wäre, wäre eine umfassende Gewährleistung auf Software.

Smartphones: das große Geschäft mit unsicheren Geräten

Aktuell ist es so, dass Geräte vielfach am Tag des Kaufes keinerlei Software-Gewährleistung mehr haben und so aus IT-Sicht faktisch nicht mehr eingesetzt werden dürften. Beispiel: das Samsung ZTE BLADE L110 oder das LG K 4 DS wird noch heute aktiv von großen Unternehmen wie MediaMarkt / Saturn als neu verkauft – mit Android 5.1, welches schlicht nicht mehr unterstützt wird. Von dem Desaster in kleineren Shops wollen wir gar nicht erst reden, und Amazon bietet da die Plattform für: da wird das Galaxy S4 Mini als neu verkauft, ein Gerät, welches seit etwa 4 Jahren keinerlei Sicherheitsupdates mehr bekommen hat. Das ist Irrsinn, denn seitdem gab es mehrere schwerer Sicherheitslücken in Android, so dass ein Benutzer völlig ungeschützt ist.

Gerade in Bezug auf Smartphones gibt es dort erste Entwicklungen, fehlende Sicherheitsupdates als Produktmangel zu verstehen und so Updates einzuklagen. Offensichtlich scheint das aber als wenig relevant eingeschätzt zu werden; obwohl die Klage vor einem knappen Monat eingereicht wurde, lassen sich noch immer unsichere Smartphones in den Shops finden.

IoT-Devices bekommen oft gar keine Updates

Bei IoT-Geräten (ein extrem irreführender Name, es handelt sich dabei um Computer, die im Netzwerk sind, um nichts anderes) ist es noch schlimmer, viele Geräte sehen dort gar keine Patches. Sei es die IP-Kamera mit schweren Sicherheitslücken, sei es das NAS, wo immerhin persönliche Daten drauf sind, seien es (ausgerechnet) „intelligente Schlösser“, die mit einfachsten Mittel gehackt werden können,  seien es „smarte“ Fernseher, die nicht sichtbar gehackt und so zu perfekten Überwachungsmaschinen umgebaut werden können – die Hersteller produzieren extrem schlechte Software, verkaufen und kümmern sich dann nicht mehr drum. Und da dreht es sich nicht nur im die Klischee-Chinaware, sondern auch um namenhafte Hersteller, die man in jedem Laden kaufen kann.

Die fehlenden Sicherheitsupdates sind nicht nur ein Problem für den Nutzer selbst. Zwar ist es sicherlich nicht so schön, wenn Wildfremde auf die eigene IP-Kamera zugreifen können (und dies tausend- und abertausendfach möglich ist, was nicht nur an Sicherheitslücken, sondern auch an dem Beibehalten von Default-Passwörtern liegt), vermeintlich sichere Schlösser im Nu geknackt werden oder persönliche Daten von Handys oder Netzwerkspeichern abgegriffen werden – aber die vielen unsicheren Geräte sind auch eine Gefahr für die Allgemeinheit. Offene Sicherheitslücken bedeuten, dass man die Geräte übernehmen und für Angriffe verwenden kann.

Fehlende Updates sind brennende Gefahr für eigene Daten und für die Allgemeinheit

Kurzum: da liegen Millionenfach entsicherte Waffen im Netz rum, und diese Waffen werden auch verwendet. Einer der eindruckvollsten Angriffe war der auf Amazon, bei IoT-Devices das Amazon Datencenter lahmgelegt haben. Das hat unter anderem Twitter, Netflix und viele weitere Dienste gegrillt – und nebenbei konnten einige Nutzer ihre Garage nicht mehr öffnen und ihr Licht nicht mehr anschalten, weil ihr „Smart Home“ bei fehlender Internetverbindung nichts mehr gemacht hat (was übrigens auch ein grundlegendes Problem ist).

Politischer Vorschlag: Bei Sicherheitslücken muss es auch klare Zeiten geben, bis wann eine Sicherheitslücke gestopft sein muss, und Sicherheitslücken müssen endlich als erheblichen Mangel akzeptiert werden, bei dem der Hersteller das Gerät erstatten muss, wenn er das Sicherheitsproblem nicht innerhalb eines festgelegten Zeitraums stopfen kann / will. Im Moment ist es nämlich eher so, dass die Hersteller (wenn überhaupt) Versprechungen machen, aber allzu häufig nichts oder zu spät tun. Das bedeutet für Smartphones und allen anderen Geräten, dass es nicht nur zum Kauf Updates geben muss, sondern volle zwei Jahre lang ab Kauf (und nicht ab erstem Produktionsdatum).

Software muss Teil der Gewährleistung sein

Politischer Vorschlag: Ebenfalls eine Idee wäre dort, die Quellen von Treibern verpflichtend zu öffnen (also OpenSource-Software ohne binäre Elemente, sogenannte Binary Blobs, draus zu machen), sobald sich ein Hersteller nicht mehr darum kümmert. Damit würde man sich zwar mit den ganz, ganz Großen anlegen, weil diverse weltweite Konzerne das mit allen Mitteln verhindern wollen, aber das würde dann wenigstens Bewegung in die Sache bekommen.

Politischer Vorschlag: Und natürlich wäre es eine gute Idee, auch Online-Zwang zu einem Produktmangel zu erheben. Es kann nicht sein, dass ein Nutzer auf Gedeih und Verderb auf eine Internetverbindung zu einem Amazon Server angewiesen ist. Denn das bedeutet einerseits, dass man vollkommen abhängig von dem Anbieter ist, und dass das eigene Haus nicht mehr funktioniert, wenn der Anbieter den Amazon Server abschaltet. Das bedeutet aber auch, dass man die Geräte ins Netz hängen muss und so Angriffen ausliefern muss. Bei dem beschriebenen schlechten Support wäre es aber eine sehr gute Idee, Geräte eben nicht ins Netz zu hängen, sondern nur lokal verfügbar zu machen.

Abschluss: es geht um Verbraucherschutz

Vielleicht ist es wem aufgefallen: ich fast ausschließlich über den Verbraucherschutz. Und genau darum geht es dabei zentral: da werden von Anfang an defekte Geräte verkauft. Und das ist aus meiner Sicht ein riesiges Problem. Der Umweltschutz ist eine Nebenfolge von funktionierendem Verbraucherschutz – wären die Geräte nicht von Anfang an defekt, könnte man sie länger einsetzen. So muss ich aber jedem Menschen, der fragt, ob er sein Galaxy S3 noch einsetzen kann, sagen: „wenn dir deine persönlichen Daten was lieb sind: nein“. Auch wenn das S3 hardwareseitig noch absolut in Ordnung ist – da kann jedes Scriptkiddie im Zweifel auf alles zugreifen.

Absurditäten am Rande

EIne der letzten EU-Entschließungen ging übrigens schon mal ein bisschen in die richtige Richtung, hatte aber auch einen arg absurden Einschlag: das Recht, auf alte Versionen zurückzuspringen. Das entspringt vermutlich der romantischen Vorstellung, man könne einfach so auf eine alte Version, z.B. auf das heißgeliebte Windows XP, zurückgehen, und dann wäre alles gut. Das würde aber nur für isolierte Systeme gelten. Isolierte Systeme haben wir in Zeiten des mobilen Internets nur schlicht nicht mehr.

Man kann dies natürlich in eine richtige Richtung drehen und es verpflichtend machen, dass ein Nutzer beliebige Software auf seine Hardware spielen darf (auch alte, wenn er denn unbedingt will). Aber so als explizites „geh zurück auf eine alte Version“ ist das ein ganz falsches Signal.

Eine andere Absurdität ist der aktuelle Vorschlag der Grünen-Spitzenkandidatin , die Mehrwertsteuer auf Reparaturen zu erlassen. Das ist zwar erst einmal ein nettes und richtiges Signal, aber dann doch mehr Wahlkampf als etwas anderes. Die Geräte sind wie oben beschrieben schwer zu öffnen, und es ist noch schwerer, an Ersatzteile zu kommen. Das bedeutet schlicht Zeit, die bei einer Reparatur investiert werden muss, und demzufolge Geld. Die Reduktion der Mehrwertsteuer ist dann ein Tropfen auf dem heißen Stein – und löst insbesondere nicht das viel größere Problem der nicht betreuten Software.

Und was kann ich machen?

Wenn man das alles liest, fühlt man sich schnell hilflos, insbesondere dann, wenn man die Geräte doch nur nutzen kann. Das Problem ist letztlich so groß, dass es da eine politische Lösung braucht, darauf zielt dieser Artikel ab. Aber man kann auch selbst ein bisschen was machen:

  • Zugangsdaten ändern: egal ob Router oder IP-Kamera, das Standardpasswort sollte geändert werden
  • Beim Kauf von Geräten auf Updates achten und dort auch nachhaken
  • Beim Kauf darauf achten, dass Geräte auch rein lokal funktionieren – ohne Internetzugang
  • Auch mal weniger intelligente Geräte kaufen: Intelligenz bedeutet häufig Internet-Erreichbarkeit, und die ist im Zweifel schädlich, wenn es keine Updates gibt
  • UPNP im Router ausschalten: mit UPNP können Geräte Ports freigeben lassen, um dann selbst im weltweiten Netz erreichbar zu sein. Dadurch werden aber auch alle Sicherheitslücken weltweit erreichbar. Wenn man seinen Geräten wie z.B. Smart TV nicht traut, macht es viel Sinn, UPNP abzuschalten. Wie das geht, hängt vom Router-Modell ab
  • Nicht alles ganz einfach weltweit verfügbar haben: Cloud-Angebote haben oft wilde Versprechungen, wie einfach eine angeblich sichere Cloud sein soll. Wenn man kein Systemadministrator ist, reißt man allzu oft große Lücken in sein System, zusätzlich zu den evt. vorhandenen Sicherheitslücken. Manchmal ist ein Cloud-Anbieter wie Dropbox also sinnvoller als die so schön klingende Private Cloud – auf Dropbox kann nur die NSA zugreifen, auf eine unsichere private Cloud jedes x-beliebige Scriptkiddie (das gilt übrigens auch für nicht gepflegte OwnCloud-Installationen)

Das ist alles nur ein Tropfen auf dem heißen Stein, aber Sicherheitsprobleme vielfach ein Zusammenspiel von eigenen Fehlern und Sicherheitslücken ist, macht es Sinn, nicht wahllos alles ins Netz zu hängen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.