# Der Feind in meinem Toaster

## Präambel: Der Zustand der digitalen Nation im Jahr 2026

Wir befinden uns in einer Zeitwende, die nicht durch Paukenschläge, sondern durch das leise Summen von Lüftern und das Blinken von LEDs in unseren Wohnzimmern markiert wird. Es ist das Jahr 2026, und die digitale Transformation Deutschlands ist nicht länger ein abstraktes Zukunftsprojekt, sondern die physische Realität unseres Alltags. Doch während die politische Debatte oft um Glasfaserausbau, Verwaltungsdigitalisierung oder den Einsatz von Künstlicher Intelligenz in der Industrie kreist, vollzieht sich in den privaten Rückzugsräumen der Bürger – in ihren Wohnzimmern, Küchen und Heimbüros – eine stille, aber verheerende Erosion der Sicherheit.

Die Partei “Digitale Politik Revolution” (DPR) tritt an, um evidenzbasierte, transparente und ethische Politik zu gestalten. Evidenz bedeutet, der Realität ins Auge zu sehen, auch wenn sie unbequem ist. Und die Realität, wie sie uns der aktuelle Lagebericht 2025 des Bundesamtes für Sicherheit in der Informationstechnik (BSI) und die drastischen Warnungen des FBI vom Juni 2025 vor Augen führen, ist alarmierend: Unsere digitale Souveränität wird nicht nur durch staatliche Hackerangriffe oder Großangriffe auf kritische Infrastrukturen bedroht, sondern durch billige Unterhaltungselektronik, die wir uns selbst ins Haus holen.

Das Phänomen “Badbox” – eine Welle von ab Werk mit Schadsoftware infizierten Android-TV-Boxen, Tablets und IoT-Geräten – ist kein Nischenproblem mehr. Es ist das Symptom eines tiefgreifenden Marktversagens, das Millionen von Haushalten zu unwissentlichen Komplizen globaler Cyberkriminalität macht. Wenn der Router, der Streaming-Stick oder der digitale Bilderrahmen Teil eines Botnetzes wird, dann ist dies im Jahr 2026 kein individuelles Versagen des Verbrauchers mehr. Es ist das Ergebnis einer ökonomischen und regulatorischen Architektur, die Profite privatisiert und Sicherheitsrisiken sozialisiert.

Dieser Bericht wird in aller Ausführlichkeit darlegen, warum die aktuelle Situation unhaltbar ist. Wir werden die technischen Mechanismen der “Badbox 2.0”-Kampagne sezieren, die ökonomischen Anreizstrukturen bloßlegen, die den Markt mit unsicherer Hardware fluten, und aufzeigen, warum die bestehenden Gesetze – vom Digital Services Act (DSA) bis zum kommenden Cyber Resilience Act (CRA) – noch immer Lücken aufweisen, durch die Kriminelle schlüpfen. Am Ende steht unsere klare politische Forderung: Wir brauchen eine radikale Neuordnung der Produkthaftung und ein verpflichtendes digitales Sicherheitslabel. Denn in einer vernetzten Welt ist Sicherheit kein Luxusgut für diejenigen, die sich teure Markenhardware leisten können, sondern ein fundamentales Bürgerrecht.

## Die Anatomie der Bedrohung: Badbox 2.0 und die Infiltration der Lieferkette

Um die politische Dimension des Problems zu verstehen, ist eine tiefgehende technische Analyse unerlässlich. Die “Badbox”-Kampagne, die bereits 2023 von Sicherheitsforschern wie Daniel Milisic und dem Satori-Team von Human Security aufgedeckt wurde , hat sich bis zum Jahr 2025 zu einer Bedrohung von nie dagewesenem Ausmaß entwickelt: Badbox 2.0. Es handelt sich hierbei nicht um eine einfache Virenwelle, sondern um die Industrialisierung der Cyberkriminalität auf Hardware-Ebene.

### Der Infektionsvektor: Der Trojaner kommt im Karton

In der klassischen Wahrnehmung von IT-Sicherheit geht man oft davon aus, dass der Nutzer einen Fehler begeht: Er klickt auf einen falschen Link, öffnet einen verseuchten E-Mail-Anhang oder lädt eine dubiose App aus einer unsicheren Quelle herunter. Badbox dreht diese Logik diametral um und hebelt damit alle gängigen Präventionsstrategien aus. Der Nutzer kauft ein brandneues Gerät – typischerweise eine Android-TV-Box, ein Tablet für Kinder oder ein Infotainment-System für das Auto – bei einem großen, vertrauenswürdigen Online-Marktplatz wie Amazon, eBay oder AliExpress. Das Gerät ist originalverpackt, versiegelt und riecht nach neuer Elektronik.

Doch der Schein trügt. Die Malware befindet sich nicht auf einer nachträglich installierten Partition oder in einer App, die der Nutzer löschen könnte. Sie sitzt tief in der Firmware des Gerätes, im sogenannten ROM (Read-Only Memory) , oft direkt integriert in essenzielle Systembibliotheken. Sie wurde bereits in der Fabrik installiert, noch bevor das Gerät in eine Verpackung gelegt wurde. Dies wird als “Supply Chain Attack” (Lieferkettenangriff) bezeichnet und stellt die perfideste Form der Kompromittierung dar.

Die Implikationen dieses Vektors sind verheerend:

- **Irreversibilität: **Ein “Factory Reset” (Zurücksetzen auf Werkseinstellungen) , die Standardlösung für fast alle Softwareprobleme, ist wirkungslos. Das Gerät setzt sich lediglich auf den werksseitig infizierten Zustand zurück. Der Nutzer kann die Malware nicht entfernen, ohne über tiefgreifende technische Kenntnisse im Flashen von Custom-ROMs zu verfügen – ein Vorgang, der für 99,9% der Bevölkerung unzumutbar ist.
- **Unsichtbarkeit: **Für den Laien verhält sich das Gerät zunächst normal. Es streamt Videos in 4K, es zeigt Bilder an, es verbindet sich mit dem WLAN. Die kriminellen Prozesse laufen im Hintergrund, oft getarnt als Systemdienste wie “Corejava” oder ähnliche generische Namen.

### Technische Mechanismen: Triada, Proxy-Netzwerke und die C2-Infrastruktur

Der technische Kern der Infektion ist oft eine Variante des Triada-Trojaners, einer besonders hartnäckigen Android-Malware. Sobald das Gerät eine Internetverbindung herstellt, kontaktiert es einen Command-and-Control (C2) Server. Ab diesem Zeitpunkt ist das Gerät nicht mehr Eigentum des Käufers, sondern ein ferngesteuerter “Zombie” in einem globalen Botnetz.

Die gefährlichste Funktion von Badbox 2.0 ist die Umwandlung des Gerätes in einen sogenannten “Residential Proxy”. Um die Tragweite dessen zu verstehen, muss man die Ökonomie der Cyberkriminalität betrachten. Kriminelle Akteure benötigen für ihre Operationen IP-Adressen, die unverdächtig wirken. IP-Adressen aus Rechenzentren (Data Center IPs) werden von Sicherheitsmechanismen oft blockiert. Eine IP-Adresse eines privaten Haushalts (Residential IP) hingegen genießt hohes Vertrauen bei Banken, Streaming-Diensten und Online-Shops.

Die Badbox-Betreiber verkaufen den Zugriff auf diese Millionen von infizierten Geräten als Dienstleistung weiter. Ein Angreifer kann sich gegen Bezahlung in das Netzwerk einmieten und seinen Datenverkehr über den Router von Frau Müller in Hamburg oder Herrn Schmidt in München leiten. Der Angriff scheint dann von deren Anschluss zu kommen.

Die folgende Tabelle verdeutlicht die Diskrepanz zwischen der wahrgenommenen Funktion des Gerätes und seiner tatsächlichen Hintergrundaktivität:

| Merkmal | Sichtbare Funktion für den Nutzer | Unsichtbare Hintergrundaktivität (Badbox 2.0) |
| --- | --- | --- |
| * ***Netzwerkverkehr **** | Streaming von Filmen (Netflix, YouTube) | Weiterleitung fremden Datenverkehrs (Residential Proxy) |
| * ***Systemressourcen **** | Menüführung, App-Start | Klickbetrug (Click Fraud) im Hintergrund, Mining |
| * ***Konnektivität **** | WLAN-Verbindung zum Router | Aufbau eines VPN-Tunnels zu C2-Servern in China |
| * ***Benutzerkonten **** | Login bei Google/Amazon | Abgreifen von Tokens und One-Time-Passwords (OTP) |
| * ***Software-Status **** | “System ist aktuell” | Nachladen modularer Schadsoftware ohne Zustimmung |

### Peachpit: Die Monetarisierungsmaschine des Anzeigenbetrugs

Neben der Vermietung als Proxy nutzen die Hintermänner das Netzwerk für massiven Anzeigenbetrug, bekannt unter dem Codenamen “Peachpit”. Hier zeigt sich die ganze Raffinesse der “Lemon Group”, einer der Akteursgruppen hinter Badbox.

Peachpit nutzt verschiedene Techniken:

- **Hidden WebViews: **Das Gerät öffnet im Hintergrund unsichtbare Browserfenster und ruft Werbeseiten auf. Der Prozessor rendert die Werbung, das Gerät meldet den “View” an das Werbenetzwerk, und die Kriminellen kassieren die Werbeprämie. Der Nutzer bemerkt dies höchstens an einer verlangsamten Bedienung oder einem erhöhten Datenverbrauch.
- **Fake Apps: **Auf den Geräten sind oft manipulierte Versionen populärer Apps vorinstalliert, die Werbeeinnahmen generieren. Human Security deckte auf, dass auf dem Höhepunkt der ersten Welle täglich 121.000 Android-Geräte und 159.000 iOS-Geräte (durch infizierte Apps) Teil dieses Betrugsnetzwerks waren.

Bei Badbox 2.0 sprechen wir von Millionen infizierter Geräte weltweit. Das ist kein kleiner Taschendiebstahl, das ist organisierte Kriminalität, die Milliardenbeträge aus dem globalen Werbemarkt abschöpft – finanziert durch den Strom, die Hardwareabnutzung und die Bandbreite deutscher Verbraucher.

### Betroffene Geräte: Eine forensische Bestandsaufnahme

Die Untersuchungen von EFF, Human Security und unabhängigen Sicherheitsforschern haben eine spezifische Liste von Marken und Modellen identifiziert, die hochgradig verseucht sind. Es handelt sich dabei fast ausschließlich um Geräte im untersten Preissegment, die oft aggressiv auf Plattformen beworben werden.

Zu den identifizierten Modellen gehören unter anderem :

- **T95 Serie: **T95, T95Z, T95MAX
- **X-Serie: **X88, X96, X96Q, X12PLUS
- **Sonstige: **Q9, MXQ Pro 5G, J5-W Tablet
- **Markennamen (Oft wechselnd) : **AllWinner, RockChip (Bezug auf den Chipsatz) , Transpeed, Mbox

Diese Geräte vereint ein Merkmal: Es sind “No-Name”-Produkte, die oft auf dem Android Open Source Project (AOSP) basieren, aber keine offizielle Google-Zertifizierung (Play Protect) besitzen. Sie locken mit leistungsstarken Hardware-Spezifikationen auf dem Papier (6K-Support, 4GB RAM, Android 12) zu Preisen, die weit unter denen von etablierten Markenprodukten liegen. Eine T95-Box ist oft schon für 20 bis 40 Euro zu haben , während ein Google Chromecast oder eine Nvidia Shield das Doppelte bis Fünffache kosten.

Die technische Analyse zeigt zudem, dass diese Geräte oft mit **Test-Keys **signiert sind. Im Android-Ökosystem dienen digitale Signaturen dazu, die Integrität der Software sicherzustellen. Seriöse Hersteller nutzen private Schlüssel, die streng geheim gehalten werden. Die Hersteller der Badbox-Geräte nutzen jedoch oft die öffentlichen Test-Schlüssel des Android-Projekts. Das bedeutet, dass _jeder _Akteur in der Lieferkette – vom Chiphersteller über den Board-Integrator bis zum Großhändler – die Firmware modifizieren und neu signieren kann, ohne dass das Gerät dies als Manipulation erkennt. Dies ist das digitale Äquivalent zu einem Haustürschlüssel, der unter der Fußmatte liegt und von dem jeder Nachbar eine Kopie hat.

## Das ökonomische Marktversagen: “The Market for Lemons” im IoT-Zeitalter

Warum ist der Markt voll von diesen Geräten? Warum kaufen Menschen sie, obwohl die Risiken für Experten offensichtlich sind? Die Antwort liegt nicht in der mangelnden Intelligenz der Verbraucher, sondern in einer klassischen ökonomischen Theorie, die hier in Reinkultur zu beobachten ist: George Akerlofs “Market for Lemons” (Der Markt für Zitronen) .

### Informationsasymmetrie als Wurzel des Übels

Im Markt für IoT-Geräte herrscht eine extreme Informationsasymmetrie. Der Hersteller in Shenzhen weiß genau, welche Bauteile verbaut sind und welche Firmware läuft. Er weiß, ob er in dedizierte Sicherheitschips (wie Krypto-Co-Prozessoren) investiert hat oder ob er eine Hintertür eingebaut hat, um den unrealistisch günstigen Hardwarepreis durch Datenverkauf und Botnetz-Vermietung zu subventionieren.

Der Konsument hingegen sieht auf der Amazon-Produktseite oder im AliExpress-Listing nur zwei Dinge:

- **Die technischen Daten: **“4K Ultra HD”, “Quad Core CPU”, “High Speed WiFi”.
- **Den Preis: **29,99 €.

Sicherheit ist eine “unsichtbare Eigenschaft” (Credence Good) . Man kann sie nicht sehen, nicht anfassen und erst recht nicht beim Auspacken überprüfen. Ein sicheres Gerät sieht von außen exakt so aus wie ein unsicheres. Ein schwarzes Plastikkästchen mit einer HDMI-Buchse ist von einem anderen schwarzen Plastikkästchen nicht zu unterscheiden. Da der Konsument die Qualität “Sicherheit” vor dem Kauf nicht bewerten kann, ist er nicht bereit, dafür einen Aufpreis zu zahlen. Er entscheidet rational nach den sichtbaren Kriterien: Preis und Features.

### Die Kosten der Sicherheit vs. Die Gewinne des Betrugs

Sicherheit kostet Geld. Eine detaillierte Analyse der Materialkosten (Bill of Materials) zeigt, dass die Implementierung robuster Sicherheitsfeatures die Herstellungskosten eines IoT-Produkts signifikant steigern kann – Schätzungen gehen von bis zu 14% Mehrkosten aus.

- **Hardware-Sicherheit: **Seriöse Geräte nutzen Secure Elements oder Trusted Platform Modules (TPM) , um kryptografische Schlüssel sicher zu speichern. Ein Chip wie der Microchip ATECC608A kostet im Einkauf ca. 0,55 $. Das klingt wenig, ist aber in der knallharten Kalkulation von Billigst-Elektronik, wo um jeden Cent gefeilscht wird, ein enormer Posten. Billige Chipsätze (wie manche Low-End-Varianten von Allwinner oder Rockchip, die in den betroffenen Boxen gefunden wurden) werden oft ohne diese externen Sicherheitsmodule verbaut, oder die Sicherheitsfunktionen des SoC (System on Chip) werden in der Software schlampig implementiert.
- **Software-Lebenszyklus: **Sicherheit erfordert kontinuierliche Pflege. Ein Team von Entwicklern, das monatliche Sicherheitsupdates bereitstellt, kostet Geld. Ein Hersteller, der eine Box für 30 Euro verkauft, hat kein Budget für fünf Jahre Software-Pflege. Das Geschäftsmodell ist “Fire and Forget”.

Das Resultat ist eine Negativauslese (Adverse Selection) . Hersteller, die in Sicherheit investieren, müssen höhere Preise verlangen (z.B. 150 € für ein Apple TV oder eine Nvidia Shield) . Da viele Kunden den Mehrwert der Sicherheit nicht erkennen oder sich den Aufpreis nicht leisten können, kaufen sie die billigere, unsichere Konkurrenz. Die “guten” Produkte werden im Einsteigersegment vom Markt verdrängt, die “Zitronen” (Badboxen) dominieren das Angebot.

Die folgende Tabelle illustriert die ökonomische Diskrepanz:

| Kostenfaktor | “Badbox” T95 (ca. 30 €) | Markenprodukt (z.B. Nvidia/Google) (ca. 60-150 €) |
| --- | --- | --- |
| * ***SoC (Prozessor) * *** | Günstiger Allwinner/Rockchip ohne Secure Boot Konfiguration | Zertifizierter SoC mit Hardware Root of Trust |
| * ***Firmware-Signatur **** | Öffentliche Test-Keys (unsicher) | Private Production-Keys (sicher) |
| * ***Sicherheits-Updates **** | Keine / Nie garantiert | Regelmäßig über Jahre (z.B. 5 Jahre) |
| * ***Monetarisierung **** | Hardwareverkauf + **Datenverkauf + Botnetz-Miete ** | Hardwareverkauf + Dienste-Abos |
| * ***Zertifizierung **** | Keine / Gefälscht | Google Play Protect, Widevine L1 (DRM) |

### Externalitäten: Die Sozialisierung der Risiken

Ein weiterer zentraler Aspekt des Marktversagens sind die negativen Externalitäten. Wenn eine Badbox Teil eines DDoS-Angriffs wird, der eine Klinik, einen Energieversorger oder eine Regierungswebseite lahmlegt, trägt nicht der Hersteller der Box den Schaden. Auch der Käufer merkt oft nichts davon, außer vielleicht einem langsamen Internet. Der Schaden fällt bei Dritten an.

Die Kosten für die Abwehr dieser Angriffe, für den Identitätsdiebstahl und für den Vertrauensverlust in das Internet trägt die Allgemeinheit. Solange Hersteller und Importeure nicht für diese gesellschaftlichen Schäden haften, haben sie keinen ökonomischen Anreiz, die Sicherheit zu verbessern. Es ist billiger, die Welt mit digitalem Müll zu fluten und die Gewinne zu privatisieren, während die Risiken auf die Gesellschaft abgewälzt werden. Dies ist der klassische Fall eines Marktversagens, der staatliche Intervention zwingend erforderlich macht.

## Das Versagen der Regulierung: Warum Amazon und Co. davonkommen

Man könnte annehmen, in der hochregulierten Europäischen Union wäre der Verkauf von ab Werk verseuchter Hardware illegal und praktisch unmöglich. Dies ist ein gefährlicher Trugschluss. Unsere Gesetze hinken der technologischen Realität und der Agilität der chinesischen Supply Chains um Jahre hinterher.

### Die Lücke im Digital Services Act (DSA) : Fokus auf Inhalte, Blindheit für Hardware

Der Digital Services Act (DSA) , der seit Februar 2024 voll gilt , war ein Meilenstein für die Regulierung von Online-Plattformen. Er hat Transparenzpflichten für Marktplätze eingeführt und Mechanismen geschaffen, um illegale Inhalte zu melden. Doch er hat eine entscheidende Schwäche im Kontext von IoT-Sicherheit: Er konzentriert sich primär auf _illegale Inhalte _ (Hassrede, Terrorpropaganda, Urheberrechtsverletzungen) und gefälschte Markenprodukte (Plagiate) , weniger auf _unsichere Software _in physischer Hardware.

Zwar müssen Marktplätze nach dem DSA “angemessene Anstrengungen” unternehmen, um stichprobenartig zu prüfen, ob Produkte illegal sind. Aber hier beginnt das juristische Glatteis:

- Ist eine Badbox per se “illegal”? Solange sie nicht explizit als Spionagegerät (wie eine in einem Rauchmelder versteckte Kamera) klassifiziert ist – was die Bundesnetzagentur nach § 90 TKG verbieten kann – ist der bloße Verkauf von Hardware mit schlechter oder bösartiger Software eine Grauzone. Es gibt kein Gesetz, das “schlechten Code” verbietet.
- Die Haftungsprivilegien für Plattformen bestehen weitgehend fort. Amazon, eBay und andere gelten oft nur als Vermittler (Host Provider) , nicht als Verkäufer, wenn Dritthändler aus China die Ware anbieten.

### Der Cyber Resilience Act (CRA) : Zu spät für die aktuelle Krise

Die Europäische Union hat das Problem erkannt und den Cyber Resilience Act (CRA) auf den Weg gebracht. Dieses Gesetz ist prinzipiell der richtige Ansatz: Es wird Hersteller verpflichten, Sicherheitsupdates zu liefern, Schwachstellen zu melden und “Security by Design” umzusetzen.

Aber – und das ist das entscheidende Aber für die Sicherheit der Bürger im Jahr 2026:

- Die volle Anwendung des CRA beginnt erst am **11. Dezember 2027 ** .
- Die Meldepflichten für aktiv ausgenutzte Schwachstellen starten erst im **September 2026 ** .

Das bedeutet: Wir befinden uns in einer gefährlichen Übergangsphase (“Gap Years”) . Bis Ende 2027 können Hersteller noch weitgehend legal unsicheren Elektronikschrott in den europäischen Markt pumpen, um ihre Lagerbestände vor dem Inkrafttreten der strengen Regeln zu räumen. Badbox 2.0 ist genau das: Der letzte große Raubzug vor der Regulierung. Kriminelle Akteure wissen, dass sich das Zeitfenster schließt, und intensivieren ihre Aktivitäten.

Die folgende Zeitleiste verdeutlicht die regulatorische Lücke:

| Datum | Regulatorisches Ereignis | Status für Badbox |
| --- | --- | --- |
| * ***Juni 2025 **** | FBI und BSI warnen massiv vor Badbox 2.0 | Verkauf geht unvermindert weiter |
| * ***2026 (Heute) * *** | Übergangsphase | Keine harte Handhabe gegen Importeure |
| * ***Sept 2026 **** | CRA Meldepflichten beginnen | Erste Transparenz, aber keine Marktbereinigung |
| * ***Dez 2027 **** | CRA volle Anwendung (CE-Kennzeichen inkl. Security) | Erst jetzt wird der Verkauf illegal |

### Die Ohnmacht der nationalen Produkthaftung

Die klassische Produkthaftung in Deutschland (§ 1 ProdHaftG) ist ein stumpfes Schwert gegen Cyber-Bedrohungen. Sie deckt Körper- und Sachschäden ab, die durch fehlerhafte Produkte entstehen (z.B. wenn der Toaster explodiert und die Küche abbrennt) .

- **Reine Vermögensschäden: **Wenn Ihr Bankkonto durch die Badbox geplündert wird oder Sie Opfer von Erpressungstrojanern werden, ist das oft ein reiner Vermögensschaden. Dieser ist im klassischen Produkthaftungsrecht oft nicht gedeckt.
- **Der Importeur als Phantom: **Bei Direktbestellungen über Marktplätze aus Drittstaaten (Dropshipping aus China) tritt der Verbraucher rechtlich oft selbst als Importeur auf. Der faktische Importeur (der Händler in Shenzhen) ist für deutsche Gerichte nicht greifbar. Die Plattform (Amazon, AliExpress) zieht sich auf die Rolle des Logistikers zurück (“Fulfillment by Amazon”) . Sie lagert die Ware, versendet sie, zieht das Geld ein – aber juristisch gesehen hat sie die Ware nie “verkauft”. Dieses Konstrukt hebelt die Produkthaftung faktisch aus.

## Die Vision der DPR: Sicherheit durch Transparenz und Haftung

Als “Digitale Politik Revolution” sagen wir: Es reicht. Wir können nicht bis Ende 2027 warten, während unsere Infrastruktur unterwandert wird. Wir müssen jetzt handeln, um die digitale Souveränität unserer Bürger zu schützen. Unsere Strategie basiert auf drei Säulen: Radikale Transparenz für den Verbraucher, harte Haftung für die Profiteure und Bildung für die Gesellschaft.

### Forderung 1: Das verpflichtende digitale Sicherheitslabel (Die “Cyber-Ampel”)

Das BSI hat mit dem IT-Sicherheitskennzeichen einen ersten, gut gemeinten Schritt getan. Doch dieses Kennzeichen ist derzeit **freiwillig **und deckt nur wenige Kategorien wie Router und Kameras ab. Ein freiwilliges Label für Sicherheit ist so sinnvoll wie ein freiwilliges Tempolimit vor einer Grundschule: Diejenigen, die sich daran halten, sind nicht das Problem. Die Hersteller von Badbox-Geräten werden dieses Label niemals freiwillig beantragen.

Die DPR fordert die sofortige Einführung eines **verpflichtenden digitalen Sicherheitslabels **für alle IoT-Geräte, die in der EU verkauft werden – analog zum Energieeffizienz-Label, das jeder vom Kühlschrank kennt. Kein Gerät darf ohne dieses Label in den Binnenmarkt gelangen.

Dieses Label muss für den Verbraucher auf einen Blick verständlich sein (Ampel-System: Rot/Gelb/Grün) und folgende Informationen zwingend enthalten:

- **Garantierte Update-Dauer: **Ein verbindliches Datum, bis zu dem das Gerät Sicherheitsupdates erhält (z.B. “Support bis: 12/2030” oder “ACHTUNG: Keine Updates”) .
- **Datensouveränität &amp; Telemetrie: **Wohin fließen die Daten? Ein Icon muss anzeigen, ob Daten an Dritte oder in Drittstaaten ohne Angemessenheitsbeschluss (z.B. China) übertragen werden.
- **Sensorik-Transparenz: **Welche Mikrofone und Kameras sind verbaut? Sind sie physisch abschaltbar (Hardware-Switch) ?
- **Zertifizierungs-Status: **Wurde das Gerät unabhängig geprüft (z.B. nach ETSI EN 303 645) ?

Ein Gerät wie die T95-Box, das keine Updates garantiert, dessen Firmware mit Test-Keys signiert ist und das Daten an unbekannte Server sendet, müsste ein tiefrotes Label tragen mit der Aufschrift: “Dieses Gerät entspricht nicht den Sicherheitsstandards. Nutzung auf eigene Gefahr.” Faktisch würde dies einem Verkaufsverbot im regulären Handel gleichkommen, da kein seriöser Händler solche “roten” Produkte listen würde.

### Forderung 2: Produkthaftung für Marktplätze und Fulfillment-Dienstleister

Das Argument der großen Plattformen, sie seien nur “technische Vermittler”, lassen wir im Jahr 2026 nicht mehr gelten. Wer die gesamte Wertschöpfungskette kontrolliert – von der algorithmischen Empfehlung über die Lagerung und den Versand bis hin zum Inkasso – der muss auch die Verantwortung tragen.

Die DPR fordert eine Gesetzesänderung im deutschen Recht (vorgreifend auf die Umsetzung der EU-Produkthaftungsrichtlinie) , die **Online-Marktplätze und Fulfillment-Dienstleister direkt haftbar macht ** , wenn:

- Der eigentliche Hersteller oder Verkäufer seinen Sitz außerhalb der EU hat und für den Verbraucher rechtlich nicht greifbar ist.
- Das Produkt nachweislich unsicher ist (wie bei Badbox mit vorinstallierter Malware) .
- Der Marktplatz keine angemessenen Prüfungen (Due Diligence) durchgeführt hat.

Wenn Amazon, Otto oder AliExpress für den Schaden haften müssen, den eine Badbox anrichtet (z.B. das leergeräumte Bankkonto) , werden sie sehr schnell eigene, wirksame Prüfmechanismen einführen. Sie werden von ihren Lieferanten Sicherheitszertifikate verlangen und solche Produkte aus dem Sortiment werfen. Der Markt regelt sich dann selbst – aber erst, wenn die Haftung dort liegt, wo auch der Profit gemacht wird. Wir beenden das Modell “Profit ohne Risiko”.

### Forderung 3: “White-Listing” statt “Black-Listing” und Stärkung der Behörden

Bisher versuchen Behörden wie die Bundesnetzagentur, gefährliche Produkte zu verbieten (Black-Listing) . Das ist ein Kampf gegen die Hydra: Für jedes verbotene T95-Modell taucht morgen ein “SuperBox X99” oder “MegaStream 2026” auf. Die Namen ändern sich, die Hardware bleibt die gleiche.

Wir müssen das Prinzip umkehren. Kritische Infrastruktur – und dazu zählen heute auch Heimrouter, Smart-Home-Hubs und vernetzte Kameras – sollte nur verkauft werden dürfen, wenn sie Mindeststandards erfüllt (White-Listing) . Wir fordern eine “Digitalen TÜV”-Pflicht für alle Geräte, die über Netzwerkschnittstellen verfügen und dauerhaft mit dem Internet verbunden sind.

Dazu müssen die Behörden gestärkt werden:

- **Erweiterung § 90 TKG: **Die Bundesnetzagentur muss befugt sein, nicht nur Spionagegeräte mit _versteckter _Kamera/Mikrofon zu verbieten, sondern auch Geräte, die _faktisch _Spionage durch Software-Backdoors betreiben.
- **Marktüberwachung: **Das BSI und die Marktüberwachungsbehörden der Länder benötigen Ressourcen für aktive Testkäufe und Laboranalysen, um Badbox-Varianten proaktiv zu finden, statt nur auf FBI-Berichte zu reagieren.

## Detailanalyse: Warum Badbox 2.0 eine soziale und strategische Zäsur ist

Um die Dringlichkeit unserer Forderungen zu untermauern, lohnt ein tieferer Blick in die gesellschaftlichen und geopolitischen Implikationen.

### Die soziale Frage: Sicherheit als Klassenfrage

Es gibt eine soziale Komponente der IoT-Unsicherheit, die in der technokratischen Debatte oft übersehen wird. Wer kauft die 30-Euro-Box? Es sind oft Menschen mit geringerem Einkommen, Familien, Studenten oder Senioren, die sich kein Apple TV für 160 Euro oder eine Nvidia Shield für 200 Euro leisten können oder wollen.

Diese Bevölkerungsgruppen werden überproportional oft Opfer von Datenmissbrauch. Sie zahlen den Preis für die billige Hardware mit ihrer Privatsphäre. Schlimmer noch: Sie werden kriminalisiert. Wenn über ihren Internetanschluss, der durch die Badbox zum Proxy wurde, Straftaten begangen werden, steht die Polizei bei ihnen vor der Tür. Die alleinerziehende Mutter, die nur einen günstigen Cartoon-Player für ihre Kinder wollte, findet sich plötzlich in einem Ermittlungsverfahren wegen Betrugs oder Verbreitung verbotener Inhalte wieder.

Datenschutz und Cybersicherheit dürfen keine Privilegien für Besserverdienende sein. Der Staat hat eine verfassungsrechtliche Schutzpflicht gerade für diejenigen, die sich teure “Security-by-Design”-Produkte nicht leisten können. Billige Hardware darf nicht unsichere Hardware bedeuten.

### Strategische Implikationen: Digitale Souveränität vs. Billig-Importe

Wir stehen vor einer strategischen Entscheidung für den Standort Europa. Wollen wir, dass die digitale Grundausstattung unserer Haushalte von unkontrollierbaren Akteuren aus Drittstaaten dominiert wird?

Die Flutung des Marktes mit subventionierter, unsicherer Hardware ist auch ein Angriff auf die europäische IT-Industrie. Ein deutscher oder europäischer Hersteller, der DSGVO-konforme, sichere Geräte entwickelt, Updates garantiert und faire Löhne zahlt, kann preislich niemals mit einer “Badbox” konkurrieren, die durch Betrug querfinanziert wird.

Indem wir Badbox dulden, zerstören wir die europäische IT-Sicherheitswirtschaft. Wir schaffen eine Abhängigkeit von Hardware, der wir nicht vertrauen können. Produkthaftung und Sicherheitsstandards sind daher nicht nur Verbraucherschutz, sondern auch Instrumente der Wirtschaftsförderung für Qualitätshersteller “Made in Europe”. Wir müssen einen Markt schaffen, in dem Qualität und Sicherheit Wettbewerbsvorteile sind, keine Nachteile.

## Fazit: Es ist nicht Ihre Schuld, aber es ist unsere Aufgabe

Die Botschaft der DPR an die Bürger ist klar: **Wenn Ihr Router gehackt wird, weil der Hersteller beim Sicherheitschip gespart hat, ist das nicht Ihre Schuld. Es ist ein Marktversagen. **

Wir dürfen nicht zulassen, dass der “Feind in unserem Toaster” zur Normalität wird. Die Technologieversprechen von Smart Home, vernetztem Leben und digitaler Assistenz können nur eingelöst werden, wenn das Fundament sicher ist. Badbox 2.0 ist ein Weckruf. Es zeigt uns, was passiert, wenn wir den digitalen Raum als rechtsfreien Raum behandeln, in dem der billigste Preis das einzige Gesetz ist.

Wir fordern eine Politik, die hinschaut. Die den Mut hat, sich mit großen Plattformen anzulegen. Die versteht, dass Code Gesetz ist – und dass schlechter Code, der in Millionen Wohnzimmern läuft, eine Gefahr für die Demokratie darstellt.

Schutz aller Entitäten. Transparenz. Haftung. Das ist der Weg der Digitalen Politik Revolution.

## Datenquellen &amp; Referenzen

Zur Transparenz und wissenschaftlichen Nachvollziehbarkeit sind im Text folgende Quellen verarbeitet:

- [Die Lage der IT-Sicherheit in Deutschland – BSI] (https://www.bsi.bund.de/DE/Service-Navi/Publikationen/Lagebericht/lagebericht _node.html)
- [BSI-Lagebericht 2025: Mehr Schwachstellen in Deutschland – Security-Insider] (https://www.security-insider.de/bsi-lagebericht-itsicherheit-2025-deutschland-a-d2a510480d46ec84f9be259c38435110/)
- [Home Internet Connected Devices Facilitate Criminal Activity] (https://www.ic3.gov/PSA/2025/PSA250605)
- [Badbox Operation Targets Android Devices in Fraud Schemes – Dark Reading] (https://www.darkreading.com/vulnerabilities-threats/badbox-operation-targets-android-devices-in-fraud-schemes)
- [Analyzing and remediating a malware infested T95 TV box from Amazon – Malwarebytes] (https://www.malwarebytes.com/blog/news/2023/01/preinstalled-malware-infested-t95-tv-box-from-amazon)
- [Android TV Boxes Sold on Amazon Come Pre-Loaded with Malware] (https://www.eff.org/deeplinks/2023/05/android-tv-boxes-sold-amazon-come-pre-loaded-malware)
- [BADBOX – BSI] (https://www.bsi.bund.de/DE/Themen/Verbraucherinnen-und-Verbraucher/Cyber-Sicherheitslage/Methoden-der-Cyber-Kriminalitaet/Botnetze/Steckbriefe-aktueller-Botnetze/Steckbriefe/BADBOX/badbox _node.html)
- [T95 Android TV Box Delivered to Customer with Pre-Installed Malware – Heimdal Security] (https://heimdalsecurity.com/blog/t95-android-tv-box-pre-installed-malware/)
- [Trojans All the Way Down: BADBOX and PEACHPIT – HUMAN Security] (https://www.humansecurity.com/learn/blog/trojans-all-the-way-down-badbox-and-peachpit/)
- [BADBOX – HUMAN Security] (https://www.humansecurity.com/company/satori-threat-intelligence/badbox/)
- [How We Investigated the BADBOX 2.0 Ad Fraud Operation – HUMAN Security] (https://www.humansecurity.com/learn/blog/satori-reverse-engineering-badbox-2/)
- [FBI Warning on IoT Devices: How to Tell If You Are Impacted | Electronic Frontier Foundation] (https://www.eff.org/deeplinks/2025/06/fbi-warning-iot-devices-how-tell-if-you-are-impacted)
- [HUMAN FBI Partners Take Action Against BADBOX 2.0 – Carahsoft] (https://www.carahsoft.com/wordpress/human-security-fbi-partners-take-action-against-badbox-2-0-blog-2025/)
- [HUMAN Exposes BADBOX 2.0 Scheme Infecting 1 Million Off-Brand Android Open Source Project Devices] (https://www.humansecurity.com/newsroom/human-exposes-badbox-2-0-scheme/)
- [Trojans All the Way Down: BADBOX and PEACHPIT – HUMAN Security] (https://www.humansecurity.com/wp-content/themes/human/hubspot/hubfs/HUMAN _Report _BADBOX-and-PEACHPIT.pdf)
- [BADBOX, PEACHPIT, and the Fraudulent Device in Your Delivery Box – HUMAN Security] (https://www.humansecurity.com/learn/blog/badbox-peachpit-and-the-fraudulent-device-in-your-delivery-box/)
- [Satori Threat Intelligence Disruption: BADBOX 2.0 Targets Consumer Devices with Multiple Fraud Schemes – HUMAN Security] (https://www.humansecurity.com/learn/blog/satori-threat-intelligence-disruption-badbox-2-0/)
- [T95 Max Plus $45 Android Tv Box Review – Its actually pretty Good! – YouTube] (https://www.youtube.com/watch?v=AbRIkeOg8wY)
- [T95 R1 Android TV Box: Review – YouTube] (https://www.youtube.com/watch?v=caVCCE6 _yzY)
- [Google TV Streamer vs Chromecast with Google TV: Which Is Better? – YouTube] (https://www.youtube.com/watch?v=2PRpjQWMcKg)
- [Internet of Insecure Things – interface] (https://www.interface-eu.org/archive/publications/2119)
- [The economics of the security of consumer-grade IoT products and services] (https://www.internetsociety.org/resources/doc/2019/the-economics-of-the-security-of-consumer-grade-iot-products-and-services/)
- [Why IoT Security Matters | NCC Group] (https://www.nccgroup.com/research-blog/why-iot-security-matters/)
- [On Misconception of Hardware and Cost in IoT Security and Privacy] (https://cse.seu.edu.cn/ _upload/article/files/fd/da/57f52d5243c58567c0d08b688e11/4c287a8a-823c-4d02-a5e8-89e7a70676e7.pdf)
- [17. Februar 2024: Ab jetzt gilt der Digital Services Act (DSA) – Osborne Clarke] (https://www.osborneclarke.com/de/insights/17-februar-2024-ab-jetzt-gilt-der-digital-services-act-dsa)
- [Online Marketplaces are Accountable for Products Sold on their Platforms – EU Digital Services Act – Compliance &amp; Risks] (https://www.complianceandrisks.com/blog/online-marketplaces-are-accountable-for-products-sold-on-their-platforms-eu-digital-services-act/)
- [Questions and answers on the Digital Services Act* – European Commission] (https://ec.europa.eu/commission/presscorner/detail/en/qanda _20 _2348)
- [Bundesnetzagentur appelliert zu Vorsicht beim Kauf von smarten Produkten] (https://bundesnetzagentur.de/1038012)
- [Cyber Resilience Act – Shaping Europe’s digital future – European Union] (https://digital-strategy.ec.europa.eu/en/policies/cyber-resilience-act)
- [EU Cyber Resilience Act: Key 2026 milestones toward CRA compliance – Hogan Lovells] (https://www.hoganlovells.com/en/publications/eu-cyber-resilience-act-getting-ready-for-cra-compliance-in-2026)
- [The EU Cyber Resilience Act – What You Need to Know – A&amp;O Shearman] (https://www.aoshearman.com/en/insights/ao-shearman-on-tech/the-eu-cyber-resilience-act-what-you-need-to-know)
- [IT-Sicherheitskennzeichen – Allgemeine Informationen – BSI] (https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/IT-Sicherheitskennzeichen/it-sicherheitskennzeichen _node.html)
- [Information about category Router – BSI] (https://www.bsi.bund.de/EN/Themen/Unternehmen-und-Organisationen/IT-Sicherheitskennzeichen/Informationen-Kategorie-Breitbandrouter/Informationen-Kategorie-Router.html)
- [Die Lage der IT-Sicherheit in Deutschland 2025 – BSI] (https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/Lageberichte/Lagebericht2025 _Achtseiter.pdf? __blob=publicationFile&amp;v=7)
- [EFF Urges FTC to Address American Resellers of Malware on Android TV Set-Top Boxes] (https://www.eff.org/press/releases/eff-urges-ftc-address-american-resellers-malware-android-tv-set-top-boxes)
- [Sketchy and Dangerous Android Children’s Tablets and TV Set-Top Boxes: 2023 in Review] (https://www.eff.org/deeplinks/2023/12/sketchy-and-dangerous-android-childrens-tablets-and-tv-set-top-boxes-2023-review)
- [Android TV Box Sold on Amazon Comes With a Special Treat: Malware | PCMag] (https://www.pcmag.com/news/android-tv-box-sold-on-amazon-comes-with-a-special-treat-malware)
- [Android TV Devices: Pre-0wned Supply Chain Security Threats – Eclypsium] (https://eclypsium.com/blog/android-tv-devices-pre-0wned-supply-chain-security-threats/)
- [SORGFALTSPFLICHTEN FÜR BETREIBER VON ONLINE-MARKTPLÄTZEN – Verbraucherzentrale Bundesverband] (https://www.vzbv.de/sites/default/files/2025-02/25-02-05 _Rechtsgutachten _vzbv _Sorgfaltspflichten%20f%C3%BCr%20Betreiber%20von%20Online-Marktpl%C3%A4tzen.pdf)
- [Product liability of online marketplace operators: current framework and future developments] (https://www.taylorwessing.com/en/insights-and-events/insights/2024/03/product-liability-of-online-marketplace-operators)

## Frag Logos

0/250Deine Nachricht an den Chatbot ') ; $ ('#lu-ai-chat-history') .scrollTop ($ ('#lu-ai-chat-history') [0] .scrollHeight) ; if (sender === 'bot' &amp;&amp; !isRestoring) { if ($ ('#lu-ai-chat-tts-toggle') .hasClass ('active') ) { let cleanText = text.replace (/] *&gt;?/gm, '') .replace (/\*/g, '') ; artyom.say (cleanText) ; } } } // --- INIT &amp; LOAD HISTORY --- var historyData = loadChatFromStorage () ; if (historyData) { // Verlauf vorhanden: Erst Begrüßung rendern $ ('#lu-ai-chat-history') .append ('' + defaultGreeting + ' ') ; // Daten übernehmen fullConversation = historyData; // Dann die gespeicherten Nachrichten anhängen historyData.forEach (function (item) { appendMessage (item.html, (item.role === 'user' ? 'user' : 'bot') , true) ; chatHistory.push ({ role: (item.role === 'user' ? 'user' : 'model') , parts: [{ text: item.text }] }) ; }) ; } else { // Kein Verlauf: Nur Begrüßung rendern $ ('#lu-ai-chat-history') .append ('' + defaultGreeting + ' ') ; } // --- SEND LOGIC --- function sendMessage () { if (isRecording) { clearTimeout (silenceTimer) ; UserDictation.stop () ; isRecording = false; $ ('#lu-ai-chat-mic-btn') .removeClass ('recording') ; } if ($ ('#lu-ai-chat-send-btn') .prop ('disabled') ) return; var message = $ ('#lu-ai-chat-user-input') .val () .trim () ; if (message === '') return; appendMessage (message, 'user', false) ; chatHistory.push ({ role: "user", parts: [{ text: message }] }) ; fullConversation.push ({ role: "user", text: message, html: message }) ; saveChatToStorage () ; $ ('#lu-ai-chat-user-input') .val ('') ; updateCharCount () ; toggleChatState (true) ; var loadingBubbleId = 'lu-ai-loading-bubble-' + Date.now () ; var loadingHtml = ' '; $ ('#lu-ai-chat-history') .append ('' + loadingHtml + ' ') ; $ ('#lu-ai-chat-history') .scrollTop ($ ('#lu-ai-chat-history') [0] .scrollHeight) ; var historyJson = JSON.stringify (chatHistory) ; $.ajax ({ url: 'https://www.dpr-deutschland.de/wp-admin/admin-ajax.php', type: 'POST', data: { action: 'lu _ai _chat _request', message: message, history: historyJson, security: luAiNonce, context _id: contextPostId, custom _context: luAiContext, markdown _url: luAiMarkdownUrl }, success: function (response) { toggleChatState (false) ; var $loadingBubble = $ ('#' + loadingBubbleId) ; if (response.success) { var botResponseHtml = response.data; $loadingBubble.remove () ; appendMessage (botResponseHtml, 'bot', false) ; var cleanBotText = botResponseHtml .replace (/  
/gi, "\n") .replace (/] +&gt;/g, '') ; chatHistory.push ({ role: "model", parts: [{ text: cleanBotText }] }) ; fullConversation.push ({ role: "model", text: cleanBotText, html: botResponseHtml }) ; saveChatToStorage () ; } else { appendMessage ("Fehler: " + response.data, 'bot') ; } }, error: function () { toggleChatState (false) ; appendMessage ("Verbindungsfehler aufgetreten.", 'bot') ; } }) ; } $ ('#lu-ai-chat-send-btn') .click (sendMessage) ; $ ('#lu-ai-chat-tts-toggle') .click (function () { $ (this) .toggleClass ('active') ; var isActive = $ (this) .hasClass ('active') ; $ (this) .attr ('aria-pressed', isActive) ; var icon = $ (this) .find ('i') ; if ($ (this) .hasClass ('active') ) { icon.removeClass ('fa-volume-mute') .addClass ('fa-volume-up') ; if (typeof artyom !== 'undefined') { artyom.say ("Sprachausgabe aktiviert") ; } } else { icon.removeClass ('fa-volume-up') .addClass ('fa-volume-mute') ; if (typeof artyom !== 'undefined') { artyom.shutUp () ; } } }) ; $ ('#lu-ai-chat-user-input') .keypress (function (e) { if (e.which == 13) { if (!$ ('#lu-ai-chat-user-input') .prop ('disabled') ) { sendMessage () ; } } }) ; }) ;

**Wichtiger Hinweis &amp; Haftungsausschluss (Disclaimer) : **Der KI-Assistent „Logos“ ist eine automatisierte Anwendung auf Basis künstlicher Intelligenz und dient ausschließlich Informations- und Unterhaltungszwecken. Die generierten Antworten werden ohne menschliche Kontrolle erstellt und können systembedingt faktisch unrichtig, unvollständig oder veraltet sein („Halluzinationen“) ; eine Gewähr für die Richtigkeit, Vollständigkeit oder Verlässlichkeit der Inhalte wird daher nicht übernommen. Die Nutzung der bereitgestellten Informationen erfolgt auf eigenes Risiko und ersetzt keine professionelle Beratung, etwa in politischen Angelegenheiten. Wir empfehlen dringend, kritische Informationen vor einer Verwendung stets eigenständig zu verifizieren. Die Haftung des Betreibers für Schäden aus der Nutzung ist auf Vorsatz und grobe Fahrlässigkeit beschränkt; hiervon ausgenommen ist die Haftung für Schäden aus der Verletzung des Lebens, des Körpers oder der Gesundheit sowie für die Verletzung wesentlicher Vertragspflichten (Kardinalpflichten) . Änderungen, Einschränkungen oder Ausfälle des Dienstes sind jederzeit vorbehalten.