Mangelhafte IoT-Security US FTC verklagt D-Link wegen schlechter Produkt-Security

Anhand von IP-Kameras und Routern möchte die US Federal Trade Commission jetzt ein Exempel statuieren.

Die US-Handelskommission FTC verklagte den taiwanesischen Hersteller D-Link, weil das Unternehmen seine Kunden abstrakt einer Gefahr durch Hacker ausgesetzt habe.

Sollte die FTC obsiegen, wären umfassende Haftungsansprüche und Class-Action-Lawsuits gegen sämtliche IoT-Firmen mit Sicherheitsproblemen denkbar.
Router und IP-Kameras sind notorisch unsicher, ihre Hersteller zeigen bei der Schließung von Sicherheitslücken traditionell keine Eile.

Als aber 2016 die Mirai-Malware bevorzugt Router und Online-Kameras befiel, aus diesen ein Botnet bildete und mit DDoS-Attacken (Distributed Denial of Service) mehrmals Teile des Internets angriff und lahmlegte (darunter Twitter, den DNS Provider Dyn und Hunderttausende Arcadyan-Router der Telekom), muss es der US-Handelskommission (US Federal Trade Commission - FTC) gereicht haben: Sie statuierte am 6.1.2017 ein Exempel und reichte Klage gegen den taiwanesischen Hersteller von Netzwerkequipment D-Link und seine US-Tochter D-Link Systems ein.

Die Klage wirft dem Unternehmen vor, sich nicht um einen ausreichenden Schutz seiner Router und IP-Kameras gekümmert und seine Kunden damit Gefahren ausgesetzt zu haben. So habe es D-Link unterlassen, seine Geräte von Sicherheits-Fehlern zu befreien, die das Open Web Application Security Project (OWASP) wenigstens seit 2007 zu den kritischsten und verbreitetsten Verwundbarkeiten von Web-Anwendungen zähle.

D-Link habe wiederholt darin versagt, durch vernünftige Tests Router und IP-Kameras von leicht abzustellenden Sicherheits-Mängeln wie hartcodierten Nutzer-Berechtigungsdaten und anderen Backdoors zu befreien, die es Angreifern erlauben, Kontrolle über die Geräte zu erlangen. D-Link habe ferner wiederholt dabei versagt, die Vertraulichkeit des privaten Schlüssels zu gewährleisten, den es benutzt, um seine Software zu signieren. Dieser Schlüssel war ca. ein halbes Jahr frei auf einer Webseite zugänglich. Außerdem habe D-Link nicht eine seit mindestens 2008 verfügbare freie Software genutzt, um die Sicherheit von Nutzer-Berechtigungsdaten in mobilen Apps zu sichern, die stattdessen in Klartext auf Mobilgeräten gespeichert würden.

Statt diese Mängel zu beheben, habe D-Link durch Werbe-Aussagen den Eindruck erweckt, seine Produkte seien sicher, und es würde alles getan, um sie nach Sicherheits-Problemen wieder sicher zu machen. Dies stelle eine Verletzung des US-FTC-Gesetzes im Sinne von Section 5(a), 15 U.S.C. § 45(a) dar, das »unfaire oder täuschende Handlungen oder Praktiken, die den Handelsverkehr beeinträchtigen«, verbietet.

Die FTC ersucht das Gericht um ein Unterlassungsurteil, das D-Link künftige Verstöße gegen das FTC-Gesetz verbietet. D-Link bestreitet die Vorwürfe als »unberechtigt« und »grundlos«, die FTC habe lediglich »vage und unsubstantiierte Behauptungen hinsichtlich Routern und IP-Kameras gemacht«, behaupte gar kein tatsächliches Eindringen in D-Link-Produkte, die D-Link Systems in den USA verkaufe, und spekuliere lediglich, »dass Kunden‚ der Gefahr ausgesetzt wurden, gehackt zu werden«. »D-Link wird sich energisch gegen die unberechtigten und grundlosen Vorwürfe der FTC verteidigen«, verkündet das Unternehmen auf seiner Fragen-und-Antworten-Seite zum Thema.

Zur Verteidigung bedient sich D-Link der Vereinigung „Cause of Action Institute“ (CoA), die Gerichtsverfahren übernimmt, bei denen die US-Regierung vermutlich ihre Kompetenzen überschreitet. Das sei hier der Fall, sagt CoA über das Gerichtsverfahren: »Dies ist ein gefährlicher Präzedenzfall für die Bundesregierung, eine gute Firma zu verfolgen und US-Jobs zu gefährden, ohne einen einzigen Fall tatsächlichen oder wahrscheinlichen Schadens für Konsumenten. (...)

Wenn die FTC ein Gerichtsverfahren wegen der bloßen Möglichkeit von Datensicherheitsverletzungen anstrengen kann, wird praktisch jede Firma einer unbeschränkten und unerforschten Datensicherheits-Haftung unterworfen. Eine solche grenzenlose Haftung wird, verbunden mit der Historie erbarmungsloser prozessfreudiger Aufsicht der FTC, eine abschreckende Wirkung auf Innovationen im Internet of Things haben.«

Die Tatsache, dass die FTC keinen konkreten Schaden in den USA als Begründung für ihre Klageerhebung anführt, sollte aufhorchen lassen. Hier sind Ansätze der Entwicklung einer umfassenden Produkthaftung sichtbar, die, sollte die Klage „FTC vs. D-Link“ Erfolg haben, umfangreichen Haftungsansprüchen der US-Regierung und Kunden gegenüber allen Herstellern von vernetzten IoT-Devices Tür und Tor öffnet.

Die Stellung der Regierung Trump zum Fall ist noch nicht bekannt. Nimmt man Trumps Devise „America first“ als Richtschnur, ist eine Bestrafung der taiwanesischen D-Link durchaus vorstellbar.