Dennis van Zuijlekom, CC BY-SA 2.0
In der Schweiz dürfen elektronische Geräte nur verkauft werden, wenn sie den geltenden Produktnormen genügen. Mindestanforderungen bezüglich Sicherheit und Privatsphäre gibt es jedoch keine. Auch können wissentlich Geräte verkauft werden, die mit dem Ablauf der Garantiefrist zu Elektroschrott werden.
Am 12. April lief bei Heise eine Meldung über den News-Ticker, wonach Logitech Wireless Presenter über Funk angreifbar seien. Der Autor dieses Beitrags verwendet bei Präsentationen gerne einen Presenter R400 des genannten Herstellers. Schnell bestätigte sich, dass tatsächlich einige Revisionen des R400 von einer Keystroke Injection Vulnerability betroffen sind, die es Angreifern erlaubt, über Funk den angeschlossenen Notebook komplett zu übernehmen. Bereits im August 2016 wurde Logitech erstmals darüber informiert.
Da wir hauptsächlich auf «Hacker»-Konferenzen präsentieren, wurde der Händler noch am gleichen Tag angeschrieben. Die Antwort liess nicht lange auf sich warten:
Gemäss unseren Recherchen ist die Version R-R0008 davon betroffen. Falls sich diese Modellnummer auf dem Gerät befindet, können Sie davon ausgehen, dass Ihr Gerät betroffen ist.
Ein entsprechender Vorabaustausch wurde gleich am nächsten Arbeitstag ausgelöst. Das neue Gerät kam zwei Tage später. Es war wiederum eine Version R-R0008.
Dem Wunsch nach Lieferung eines nicht betroffenen Presenter könne nicht entsprochen werden, hiess es. Für das gelieferte Produkt wird dafür eine Gutschrift ausgestellt.
Zwei Wochen später ist der R400 weiterhin im Sortiment zu finden. Eine Rückrufaktion gibt es weder vom Händler noch vom Hersteller. Ob die sich im Lager befindlichen Geräte (immerhin 2’000 Stück) betroffen sind, liesse sich nicht feststellen, da sie nicht ausprobiert werden können.
Ein weiterer Mailwechsel später berichtet ein Kundenberater, dass der R400 ab dem 1. Juni 2019 – wie auch alle anderen Presenter mit Laserpointer – nicht mehr angeboten würden. Ein neues Gesetz verbietet bereits den Besitz eines Laserpointers der Laserklasse 1M, 2M, 3R, 3B oder 4 ab dem 1. Juni 2020 und jene der Laserklasse 2 ab dem 1. Juni 2021. Der R400 muss also mit dem Ablauf der Garantiefrist von 2 Jahren auch gleich entsorgt werden.
Bis zum 30. Mai werden die Geräte dennoch weiterhin (und ohne jeglichen Hinweis) angeboten:
Wir verkaufen diese betroffenen Produkte noch bis zum 30.05 (wie auch unsere Mitbewerber) Die R400 (Laserklasse 2) sind daher privat auch nutzbar bis zum 1. Juni 2021. Jedoch wird kaum jemand eine Kontrolle machen, wenn Sie diese zuhause/ privat noch weiter gebrauchen.
Wir konnten bei Logitech daher eine hohe Menge zu einem Spezialpreis einkaufen und werden diese nach dem Inkrafttreten an Logitech retournieren.
Ausserdem hat Logitech zu dem R400 keinen Rückruf bzw. eine Stellungnahme gemacht (auch nach unserer Nachfrage). Wir können uns daher nicht auf einen Bericht im Internet verlassen und werden diese auch weiterhin bis zum 30.05. verkaufen.
In der Schweiz dürfen elektronische Geräte nur verkauft werden, wenn sie den geltenden Produktnormen genügen. Mindestanforderungen bezüglich Sicherheit und Privatsphäre gibt es jedoch keine.
Neben den Herstellern und Händlern steht daher auch die Politik in der Pflicht. Nationalrat Balthasar Glättli verlangt 2017 in einem Postulat, dass der Bundesrat in einem Kurzbericht aufzeigt, «wie im rasant wachsenden Bereich der ans Internet angebundenen Geräte (Internet of Things, IoT) die Sicherheit dieser Geräte erhöht und ihr Missbrauch für Cyberkriminalität erschwert werden kann».
Wie das oben beschriebene Beispiel zeigt, sind nicht nur Angriffe über das Internet denkbar.
Grundsätzlicher könnte die Einführung eines Mindesthaltbarkeitsdatum helfen, bis zu dessen Ablauf sich Hersteller verpflichten für Updates und Sicherheit ihrer Produkte zu sorgen – und damit die nötige Transparenz für die KonsumentInnen schaffen. Dies ist auch eine Frage der Ökologie.