Kunden sind beim Kauf von Produkten über potenzielle Sicherheitslücken zu informieren.
Im August 2022 veröffentlichte das BSI eine Warnung bezüglich Schwachstellen in einem Funk-Türschlossantrieb von ABUS. ABUS selbst hat daraufhin in der Produktbeschreibung auf seiner Website eine Stellungnahme veröffentlicht. Aus Sicht des Verbraucherzentrale Bundesverband reichte dies nicht aus, woraufhin er gegen ABUS klagte. Das Landgericht Bochum gab dem Verbraucherzentrale Bundesverband recht, ohne jedoch festzulegen, wie ABUS seine Kunden korrekt hätte informieren sollen.
In der Urteilsbegründung hieß es, dass das Produkt im Einzelhandel oder auf Online-Plattformen gekauft werde und Verbraucher beim Erwerb der Produkte durch die Händler nicht über die Sicherheitslücke informiert wurden.
Auch wenn das Landgericht nicht klar beschreiben hat, welche Vorgehensweise es als ausreichend erachtet hätte, lässt sich hieraus ableiten, dass Hersteller Ihre Vertriebskanäle kennen und Käufer über potenzielle Sicherheitslücken beim Kauf informieren müssen. Interessant ist auch, was das für die Informationspflicht produzierender Unternehmen bedeutet, die auf Grund der Lieferkette Teile mit Sicherheitslücken in ihre Produkte einbauen.
Das könnte eine interessante Frage für Auditoren im nächsten ISO27001-Audit sein.
Quelle: heise online, „Urteil: Schwachstellen-Hinweis auf Produkt-Webseite reicht nicht“
Quelle Bild: KI-generiert