FTC mit einem Schuss vor den Bug von D-Link

Posted on by

Jeder kennt diesen Moment, wenn man voller Bestätigung zu sich selbst sagt: „Endlich! War aber auch schon höchste Zeit!“. So einen angenehmen Moment durfte ich vor zwei Wochen erleben, als ich auf dem Weg ins Training war. In einem meiner Podcasts hörte ich, wie die Federal Trade Commission  (FTC) in den USA ihre eigene Subline „Protecting America’s Consumers“ auch mal in einem neuen Bereich der Konsumentenwelt ernst genommen hatte: Sie klagte den taiwanesischen Hersteller D-Link wegen mangelnder IT-Sicherheit bei mehreren seiner Produkte an.

Webkamera auf einem Flachbildschirm

D-Link ist hoffentlich nur der erste Hersteller, der von einer Klage betroffen sein wird.

Schludriger Umgang mit der Sicherheit
Unter den von der FTC aufgelisteten Verfehlungen fanden sich z.B. das „harte codieren“ von Passwörtern in Hardware, sodass die Passwörter nicht geändert werden können (so ist der Zugang von Fremden auf die Life-Feeds von Webcams im eigenen Haus möglich). Ausserdem speichern die Apps von D-Link die Login-Daten auf dem Smartphones unverschlüsselt. Dies ermöglicht es anderen Apps diese auszulesen und Fremden zur Verfügung zu stellen. Nicht zuletzt hatte der falsche Umgang mit dem geheimen Sicherheitsschlüssel von D-Link zur Folge, dass der Sicherheitsschlüssel sechs Monate lang online der Öffentlichkeit zugänglich war…

D-Link meiden
Gemäss diesen Erkenntnissen argumentiert die FTC in der Klage, dass D-Link irreführende (Sicherheits)-Versprechen gegenüber den Kunden gemacht und dadurch die Privatsphäre der Nutzer riskiert habe, indem minimale IT-Sicherheitsstandards nicht eingehalten worden seien. Diese Klage erstreckt sich über verschiedene Produkte und sollte allen Nutzern ernsthaft zu denken geben. Sogar ich, wahrlich kein Experte für IT-Sicherheit, weiss, dass es sich hier um Anfängerfehler handelt. Ich werde D-Link von meiner Einkaufsliste streichen.

Wo kein Schaden, da kein Kläger?
Interessant war dann noch die Reaktion des angeklagten Unternehmens. Gemäss eines Artikels von PCWorld reagierte D-Link mit dem Argument, dass die FTC keinen Schaden nachweisen könne. Es bleibt abzuwarten, ob die FTC noch mit Fällen von Geschädigten aufwarten kann. Auf jeden Fall lohnt es sich, diesen Fall weiter zu beobachten, denn hier wird indirekt über den Wert von Privatsphäre im digitalen Raum verhandelt.

Traraaaa! Die Schlacht ist eröffnet!
Wie auch immer dieser Gerichtsfall ausgeht: Ich sehe diese Anklage als ersten Wink mit dem Zaunpfahl an die Hersteller der Internet-of-Things-Produkte, sich in Sachen Sicherheit mehr anzustrengen. Endlich! War aber auch schon höchste Zeit!