Hersteller und Verkäufer vernetzter Geräte klären Kunden unzureichend über Aspekte der IT-Sicherheit auf, obwohl diese bei solchen Produkten eine wichtige Rolle spielen und entsprechende Angaben teils gesetzlich vorgeschrieben sind. Das geht aus einem exemplarischen Marktcheck hervor, den das ConPolicy-Institut für Verbraucherpolitik im Auftrag des Bundesamts für Sicherheit in der Informationstechnik (BSI) durchgeführt hat. Informationen zur IT-Security waren demnach "durchgängig nur lückenhaft verfügbar", kritisieren die Forscher. Die wenigsten Hinweise seien im stationären Handel und auf Produktverpackungen zu finden, etwas mehr in Online-Shops und auf Hersteller-Webseiten.

In Geschäften vor Ort würden oft "nur Preisangaben und wenige technische Details angeboten", heißt es in dem am Freitag veröffentlichten Ergebnisbericht. Auch im Online-Handel würden Interessenten "viele wichtige Informationen" vorenthalten. Generell seien Informationen etwa zur Verschlüsselung oder zum Schutz gegen unbefugten Zugriff zudem oft schwer zu finden und schwer verständlich. Sie würden häufig mit anderen technischen Angaben vermischt und nur in Form von Abkürzungen ohne weitere Erklärungen dargestellt. Der Bezug zur IT-Security sei daher für technisch nicht versierte Personen nicht erkennbar.

In den Test bezogen die Experten Breitbandrouter und Überwachungskameras ein. Sie untersuchten exemplarisch die Webseiten von Herstellern und E-Commerce-Angebote, stationäre Händler sowie Produktverpackungen daraufhin, inwieweit sie relevante IT-Sicherheitsinformationen für die Kaufsituation bereitstellten.

Suchmaschinen und KI-Systeme sollen IT-Sicherheit anzeigen

Mit Blick auf die rechtlichen Anforderungen verweisen die Forscher etwa auf das Bürgerliche Gesetzbuch (BGB), in dem eine allgemeine Informationspflicht zu "wesentlichen Produkteigenschaften" verankert sei. Auch die Dauer von Sicherheitsupdates müsse angegeben werden. Das Wettbewerbsrecht (UWG) verbiete Irreführung, zudem seien unbelegte IT-Sicherheitsversprechen damit unzulässig. Mit dem Cyber Resilience Act, der ab 2027 verpflichtend ist, dürften vernetzte Geräte nur noch in Verkehr gebracht werden, wenn sie grundlegende Anforderungen an IT-Sicherheit erfüllen. Nach Prüfung der Konformität müssen die Produkte mit dem CE-Kennzeichen versehen werden. Einfache, verständliche Informationen und Gebrauchsanleitungen sind verfügbar zu machen.

Die Studienmacher empfehlen: IT-Sicherheitsinformationen sollten kurz, prägnant und einfach dargestellt werden. Dies erleichtere Vergleiche. Für Produktverpackungen eigneten sich visuelle Darstellungsformen mit schnell erfassbaren Piktogrammen oder Icons. Positivkennzeichnungen wie das IT-Sicherheitskennzeichen des BSI sollten genutzt werden, um Kaufentscheidungen "niederschwellig" zu fördern. Die Forscher drängen auch darauf, IT-Sicherheitsinformationen in den Produktlisten und Rankings von Suchmaschinen, Online- Marktplätzen, Stores und Vergleichsportalen anzuzeigen. Perspektivisch gelte dies auch für "Algorithmen von KI-Tools, die bei der Produktsuche und beim Produktvergleich genutzt werden könnten". Bildungsangebote und Kampagnen sollten Verbraucher für die Relevanz von IT-Sicherheit sensibilisieren.