Nutzerrechte

Sicherheitslücken: Smartes Spielzeug enthält oft verbotene Schnüffelwerkzeuge

Die Puppe My Friend Cayla ist bereits als getarnte Sendeanlage verboten. Auch viele andere Spielzeuge weisen Sicherheitslücken auf, die Unbefugten den Zugriff auf smarte Teddys, Puppen und Roboter erlauben. Die Bundesnetzagentur beobachtet den Markt, doch viele Schnüffelspielzeuge sind weiter erhältlich.

Smartes Spielzeug: Ein „dummer“ Teddy bleibt die bessere Wahl. CC0 Marina Shatskih

Anfang des Jahres stufte die Bundesnetzagentur (BNetzA) die Puppe „My friend Cayla“ als getarnte Sendeanlage ein. Cayla verarbeitet Spracheingaben und beantwortet beispielsweise Fragen von Kindern. Der Grund für die Einstufung: Die Audiodateien – also die Gespräche von Kindern mit der Puppe – können unbemerkt zum Hersteller übertragen werden. Zudem können sich Dritte aufgrund mangelnder Sicherheitsvorkehrungen einfach via Bluetooth mit Cayla verbinden und den Kindern sowohl zuhören als auch das Mikrofon der Puppe nutzen. Die Puppe ist demnach verboten, der Hersteller nahm sie vom deutschen Markt, die BNetzA forderte Besitzer auf, die Puppe zu vernichten. Doch Cayla ist längst nicht das einzige Spielzeug, das sich mit dem Internet verbindet.


Netzpolitik.org ist unabhängig, werbefrei und fast vollständig durch unsere Leserinnen und Leser finanziert.

Immer mehr Spielzeuge speichern Daten in der Cloud

Da wäre beispielsweise der Roboter „i-Que“, der nach einem ähnlichen Prinzip Fragen beantwortet, mit Kindern ein Quiz spielt oder Witze erzählen kann. Renate Künast und andere Mitglieder der grünen Bundestagsfraktion fragten deshalb bei der Bundesregierung nach, ob diese einen Unterschied zu der Cayla-Puppe sieht. Wie Cayla erlaubt i-Que in der Nähe befindlichen Smartphone-Nutzern, Bluetooth-Verbindungen aufzubauen und das Gerät zu kontrollieren – ganz ohne Sicherheitsvorkehrungen.

Laut der noch nicht veröffentlichten Antwort der Bundesregierung sehe die BNetzA jedoch keinen Bedarf, ein Verwaltungsverfahren wegen des Roboters einzuleiten. Er sei „bei den großen Händlern nicht mehr im Sortiment“. Dennoch beobachte die BNetzA weiter die Sortimente.

Schwemme an IoT-Geräten mit Sicherheitslücken

Künast ist damit nicht zufrieden. Gegenüber netzpolitik.org sagt sie, die Angabe der Bundesregierung treffe nicht zu: „Eine einfache Online-Suche zeigt sofort fünf Händler in Deutschland an! Ich fordere die Bundesnetzagentur deshalb auf tätig zu werden, zumal nicht die Menge des Angebots Kriterium für ein Einschreiten sein darf.“

Bei weiteren Produkten wurde die BNetzA bereits tätig, bis zum August diesen Jahres habe sie 160 Verfahren eingeleitet, etwa 400 Angebote seien gelöscht wurden. Zu verborgenen Sendeanlagen gehören längst nicht nur Kinderspielzeuge, es gibt eine Schwemme von Internet-of-Things-Geräten. Künast sie ein Problem in dieser „Masse an Billigprodukten auf dem Markt, die technisch überhaupt nicht aktualisiert werden können.“ Sicherheitslücken sind dabei vorprogrammiert, die Schadsoftware Mirai nutzte beispielsweise IoT-Geräte, um riesige Botnetze aufzubauen. Sicherheitsforscher konnten ebenso leicht Babyfone mit Internetanbindung übernehmen und so Video- und Audioaufnahmen auslesen.

„Kinderzimmer darf kein Einfallstor für Ausspähung sein“

Heute veröffentlichte Stiftung Warentest einen Bericht, für den mehrere vernetze Spielzeuge untersucht wurden. Das Ergebnis ist: Den Toy-Fi-Teddy bezeichnen die Tester als Problembären. Eigentlich sollten sich durch den Teddy Eltern und Kinder Sprachnachrichten senden können, aber Dritte können sich ebenso leicht Zugang verschaffen. Viele der Spielzeuge, selbst wenn sie über eine Zugangssicherung verfügen, legen die Audiodaten auf den Servern der Anbieter ab, sodass Eltern das Kind ohne dessen Wissen belauschen können. Dazu sammeln einige ausführliche Daten über die verbundenen Smartphones der Eltern.

Künast sagt, das Kinderzimmer dürfe „kein Einfallstor für Ausspähung“ sein: „Kinder sind besonders schutzbedürftig im Sinne des Verbraucher- aber auch des Datenschutzes.“ Um für mehr Sicherheit bei den unzähligen IoT-Geräten zu sorgen, fehlen Regelungen. Ein Update des IT-Sicherheitsgesetzes räumt Providern ein, sogenannte Steuerdaten auszuwerten und in den Internetverkehr von Nutzern einzugreifen, wenn beispielsweise DDoS-Angriffe von Geräten erkannt werden. Das ist nicht nur ein Datenschutz- und Netzneutralitätsproblem, es packt das Problem außerdem nicht an der Wurzel an.

Um Hersteller dazu zu zwingen, Geräte mit Sicherheitsupdates zu versorgen, ist eine stärkere Produkthaftung notwendig. Doch in Deutschland wie auf EU-Ebene fehlen Regelungen. Unter anderem SPD und Grüne thematisieren das Problem in ihren Wahlprogrammen, ob das Thema nach der Bundestagswahl zeitnah behandelt werden wird, bleibt abzuwarten.

Stiftung Warentest empfiehlt währenddessen: „So ’smart‘ solche Teddys auch sein mögen: Ein nicht internet­fähiger, ‚dummer‘ Teddy bleibt wohl auch in Zukunft die schlauere Wahl.“

Weitersagen und Unterstützen. Danke!
5 Kommentare
  1. Wer durch Bildung und Lebenserfahrung nicht smart genug geworden ist, der braucht smarte Prothetik um in seinen Kohorten und Peergroups bestehen zu können. Nachdem „früh übt sich“ noch immer gilt, ist smartes Spielzeug für minderjährige Unsmarte und unsmarte Eltern das Mittel der Wahl, um sich an ubiquitäre Überwachung zu gewöhnen. Nach fünfzehn Jahren digitaler Konditionierung wird sich keiner mehr über Datenschutz oder sonstige Bürgerrechte mehr beschweren.

    Dummheit wächst nach wie Gras. Heute z.B. konnte man lesen, dass eine Schule kein Hitzefrei verfügen konnte, weil die meisten Schüler den Weg nach Hause nicht kennen würden. Ein beachtlicher neuer Tiefpunkt in Alltagskompetenz!

    Wer will es einem da verübeln, ordentlich mit dem Datenmäher/sauger drüber zu gehen? Und die größte Gefahr geht von den Allerdümmsten aus – oder doch etwa von den wirklich wirklichen Smarten?

    Egal, das Defizit der einen ist das Geschäft der anderen. Nur wer konsumiert überlebt, aber wer hingegen verkauft, der lebt nicht schlecht. Überlassen wir es doch dem Darwinismus! Irgend ein Gleichgewicht wird sich schon einstellen. Zu irgendwas müssen Idioten doch nützlich sein.

  2. „Sicherheitsforscher konnten ebenso leicht Babyfone mit Internetanbindung übernehmen und so Video- und Audioaufnahmen auslesen.“
    Das dürfte an Verharmlosung grenzen. Über das Teil sollte es in fast allen Fällen möglich sein, das gesamte lokale Netz, mit dem das IoT-Ding verbunden ist, auszuforschen und zu kompromittieren.

    Wo sich ein lückenhaftes ans Internet angebundenes „Plüschtier“ findet, gibt es auch WLAN, SIP-Telefon und bestimmt über WLAN angebundene Smartphones, Tablets oder Notebooks, vielleicht noch ein internetfähinger Fernseher und beim Opa sollte auch noch ein kabelgebundener PC aufzutreiben sein. Wer den Router irgendwie kapern kann, dem steht das lokale Netz offen. Da ließen sich dann diverse Trojaner mit rootkit-Funktionalität unterbringen, die „haufenweise“ Bitcoins & co. scheffeln. Warum spionieren oder verschlüsseln? Versklaven!

    Einschränkend darf man sagen, es gibt auch z.T. völlig ungeschütze WLAN, das interessiert niemanden. Die Hacker und Kriminellen interessieren sich nicht für alles oder jeden und die greifen auch nicht alles an, was es bis 3 nicht auf die Palme schafft,

    Die immer wieder beschworenen Gefahren und Risiken durch akademische Sicherheitslücken sind zum großen Teil theoretischer Natur. Andererseits gibt es im Internet sehr praktische Risiken und Nebenwirkungen unserer Zeit.

  3. Und könnten wir bitte den Begriff „smart“ endlich so negativ besetzen wie er sein müsste. Oder aufhören ihn in diesem Zusammenhang zu nutzen. Ein Teddy der das Kind wenigstens für den Hersteller ausspioniert ist nicht smart, er ist verwanzt.
    Von der schwarz-roten Regierung kann in keinem Fall Abhilfe erwartet werden, sind solche Geräte doch ein toller Einschleusepunkt für den Staatstrojaner und andere Regierungsviren. Zusätzlich könnte der Teddy die Kinder belehren, was man reden, denken und wählen soll.

Schreibe einen Kommentar zu R2d2 Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht.