Auch bei uns möglich

CPU-Lücke: Jetzt rollt Prozesslawine auf Intel zu

(Bild: flickr.com/sigalrm)

Nach Bekanntwerden einer schwerwiegenden Sicherheitslücke in Computer-Prozessoren gerät der Branchenreise Intel ins Visier erster Klagen von US-Kunden. Sie argumentieren mit Blick auf die entdeckte Schwachstelle, dass ihnen schadhafte Chips verkauft wurden und fordern Wiedergutmachung. Auch in Österreich sind Klagen möglich.

Bis Samstag wurden in den USA zunächst drei Klagen in den US-Staaten Kalifornien, Indiana und Oregon eingereicht. Sie streben den Status von Sammelklagen an, denen sich weitere Konsumenten anschließen können.

Klagen auch in Österreich denkbar
Auch in Österreich gibt es mehrere rechtliche Möglichkeiten für geschädigte Verbraucher oder Unternehmer, so Anwalt Clemens Pichler aus Dornbirn.

Österreicher müssen sich zunächst an jenes Unternehmen wenden, bei dem sie ihren Computer gekauft haben. Dieses ist für eine Sanierung des Schadens zuständig. Der Händler muss aber "Zeit bekommen, nachzudenken" wie er auf eine Forderung nach Wiedergutmachung des Schadens reagieren will. Frühestens Ende Jänner könnte es zu ersten Klagen kommen, meint Pichler. Eine Sammelklage wie in den USA gibt es in Österreich nicht, gleich gelagerte Klagen können aber nach einer Einzelprüfung zusammengefasst behandelt werden.

(Bild: flickr.com/carrotmadman6)

Es gilt die Gewährleistungspflicht
Wenn der Mangel bereits beim Kauf des Computers bestanden hat - was im Zusammenhang mit dem aktuellen Sicherheitsproblem aus Sicht Pichlers "zweifellos der Fall ist", gilt die Gewährleistungspflicht des Verkäufers, unabhängig von seinem Verschulden. Sie ist in der Regel zwei Jahre ab Übergabe des Geräts gültig. "Der Händler muss den mangelhaften Prozessor austauschen oder den Mangel kostenlos beheben", so Pichler. Auch für Arbeitszeit oder Ersatzteile darf nichts verrechnet werden.

Vielleicht sei die Sicherheitslücke sogar so ein großer Fehler, dass eine "Irrtumsanfechtung" vor Gericht möglich ist. Wenn der Kunde das Gerät mit diesem Sicherheitsmangel nicht gekauft hätte, kann er den Computer zurückgeben und sein Geld zurückfordern. Dafür hat er drei Jahre ab Kauf des Geräts Zeit. Falls die neue Sicherheitssoftware das Gerät deutlich verlangsamt, kann er eine Preisminderung verlangen.

Schadensersatz nur unter gewissen Bedingungen
Nur wenn dem verkaufenden Unternehmen ein Verschulden nachgewiesen werden kann, wäre Schadenersatz möglich. Auch hier ist der Vertragspartner der Ansprechpartner. "Die Geltendmachung direkt gegen Intel wird in Österreich mangels Zuständigkeit voraussichtlich nicht möglich sein", so die Einschätzung der Kanzlei Pichler, die noch prüft, ob vielleicht auch Klagen wegen Produkthaftung oder Arglist denkbar sind.

(Bild: Intel)

Wer sich den Rechtsweg offenhalten will, sollte gleich einmal das Unternehmen, von dem der Computer gekauft wurde, auffordern, die Haftung dem Grunde nach anzuerkennen und eine Verjährungsverzichtserklärung abzugeben. Gegen große Händler wären gemeinsame Klagen Betroffener denkbar, bei kleinen lokalen Händlern seien eher individuelle Lösungen sinnvoll, so Pichler.

Hacker könnten sensible Daten abschöpfen
Durch die vergangene Woche bekannt gewordene Sicherheitslücke können zumindest theoretisch auf breiter Front Daten abgeschöpft werden. Die Schwachstelle steckt in einem branchenweit angewendeten Verfahren, deswegen sind Prozessoren verschiedenster Hersteller betroffen.

Forscher demonstrierten, dass es möglich ist, sich Zugang zum Beispiel zu Passwörtern, Krypto-Schlüsseln oder Informationen aus Programmen zu verschaffen. Tech-Firmen sind dabei, die seit Jahren bestehende Lücke so gut es geht mit Software-Aktualisierungen zu stopfen. Komplett kann man das Problem nach Ansicht von Experten aber nur durch einen Austausch der Prozessoren beheben.

(Bild: stock.adobe.com)

Zwei Angriffsszenarien denkbar
Forscher machten zwei Angriffsszenarien aus: Mit "Meltdown" kann man Daten aus dem Betriebssystem abgreifen, mit "Spectre" aus anderen Programmen. Die Kläger schießen sich jetzt zum Teil darauf ein, dass "Meltdown" bisher nur auf Intel-Prozessoren nachgewiesen wurde. Sie verweisen darauf, dass Intel bereits seit Monaten über die Schwachstelle Bescheid wusste, und argumentieren, dass sie sich keinen Computer mit Intel-Chip gekauft oder weniger dafür bezahlt hätten, wenn diese Informationen öffentlich gewesen wären.

Die Forscher und die Unternehmen hatten die Offenlegung bis Jänner zurückgehalten, um in dieser Zeit Gegenmaßnahmen zu entwickeln. Intel, Microsoft und Apple betonten, dass nach ihren Erkenntnissen die Schwachstelle noch nicht für Angriffe ausgenutzt worden sei.