Spenden

VTech

Verwandte Begriffe
  • : Neue AGB bei Spielzeug-Firma VTech: Keine Haftung bei Hacks
    VTech: Aus dem massiven Hack nichts gelernt? | <a href="https://creativecommons.org/licenses/by-nc/2.0/" >CC BY-NC 2.0</a> by <a href="https://www.flickr.com/photos/28691409@N05/6344341330/" >Nicole</a>
    Neue AGB bei Spielzeug-Firma VTech: Keine Haftung bei Hacks

    Am vergangenen Freitag gingen nach zwei Monaten Pause der App-Store und das Lernportal des Lernspielzeugherstellers VTech wieder online. Grund für die Pause war ein im November bekannt gewordener Hack, bei dem Daten von 4,8 Millionen Eltern sowie 6,4 Millionen Kindern entwendet worden waren. Man habe „den Datenschutz weiter verstärkt“, heißt es in einer Mail des Geschäftsführers King Pang an Kund_innen, die Motherboard vorliegt. Während sich VTech „dem Schutz der Informationen [seiner Kund_innen] verpflichte[t]“, hat es jedoch auch ein neuer Absatz in die allgemeinen Geschäftsbedingungen geschafft. Unter „Einschränkung der Haftung“ heißt es dort neuerdings IN GROßBUCHSTABEN:

    Sie erkennen an und stimmen zu, dass Sie die volle Verantwortung für die Nutzung der Seite und jedweder Software und Firmware, die Sie dort herunterladen, übernehmen. Sie erkennen an und stimmen zu, dass jedwede Information, die Sie während der Nutzung der Seite senden oder erhalten, nicht sicher sein, abgefangen, oder später von Unbefugten erfasst werden könnte.

    Eine Sprecherin von VTech sagte dazu, man habe hart daran gearbeitet, die Sicherheit zu optimieren, aber „kein Unternehmen, das online operiere, kann eine 100%-ige Garantie dafür bieten, nicht gehackt zu werden“. Die Einschränkungen in der Haftung seien daher „allgemein üblich“.

    Sicherheitsexperten wie Troy Hunt, Rik Ferguson und Ken Munro nennen dieses Verhalten „unglaublich arrogant“ und rufen zum Boykott von VTech-Produkten auf. Anstatt aus seinen Fehlern zu lernen, die Sicherheitsmaßnahmen zu erhöhen und sich bei den betroffenen Kund_innen zu entschuldigen, versuche das Unternehmen stattdessen, sich im Umgang mit Nutzerdaten von jeder Haftung zu befreien. Die einzig mögliche Motivation für die neue Klausel sei der Versuch, Vorteile aus der Unkenntnis des Gesetzes der Kund_innen zu schlagen und im Falle eines erneuten Hacks Klagen zu verhindern.

    Wie effektiv die neue Klausel tatsächlich ist, wird von Jurist_innen bezweifelt. So bewerten etwa der niederländische Datenschutzrechtler Ot Van Daalen und die US-amerikanische Jura-Professorin Angela Campbell den Haftungsausschluss als kaum stichhaltig für die EU und USA. Die Verpflichtung zum Schutz von Kundendaten könne nicht so einfach vom Unternehmen auf die Nutzer_innen abgeschoben werden.

    von Andrea Jonjic-Beitter 11. Februar 2016 7
  • : Hack bei Spielzeug-Firma Vtech: Mehr Kundendaten entwendet als angenommen
    Hack bei Spielzeug-Firma Vtech: Mehr Kundendaten entwendet als angenommen

    Ende November wurde bekannt, dass die Datenbanken des Lernspielzeug-Anbieters VTech gehackt und Informationen sowohl über Eltern als auch Kinder entwendet wurden. Während anfangs von 4.8 Millionen zu Eltern gehörenden Datensätzen die Rede war, sowie Vornamen, Geburtstage und Geschlecht von 200.000 Kindern, wurde die Zahl der Kinder-Profile nun auf 6.4 Millionen korrigiert. Diese lassen sich laut Lorenzo Franceschi-Bicchierai mit den Datensätzen der Eltern verknüpfen, welche Namen, E‑Mail-Adressen, Anschriften, Passwörter und Informationen zum Zurücksetzen des Passwortes enthielten.

    Der Hacker, der anonym bleiben will, gab gegenüber Motherboard an, auch 190 Gigabyte Fotos von Eltern und Kindern sowie Aufzeichnungen von deren Chats, die sie mit den VTech-Spielzeugen und dazugehörigen Apps geführt hatten, entwendet zu haben. Diese seien schlecht gesichert und nur unzureichend verschlüsselt gewesen.

    Die Spielzeug-Firma, die erst durch einen Hinweis von Motherboard auf den Hack aufmerksam geworden war, nahm mehrere ihrer Dienste und Websites offline. Sie reagierte jedoch nicht auf Anfragen von Motherboard, wieso überhaupt so viele Kundendaten gespeichert wurden – teilweise für ein Jahr. Zu den Vorwürfen, dass auch Bilder, Chatlogs und Audiodateien geleakt werden konnten, will man sich bei VTech „aufgrund der laufenden Untersuchung“ ebenfalls nicht äußern.

    In Reaktion auf den Hack forderte der Sicherheitsforscher Mark Nunnikhoven Unternehmen dazu auf, sehr umsichtig zu entscheiden, welche Daten sie sammeln und speichern:

    You should only collect and store data for well understood use. Data should be evaluated for it’s overall value to the organization and — just as importantly — the risk it can pose to the organization. Unless the cost to acquire the data in the future is so ridiculously high that it’s infeasible, you should always opt to collect and store the data when you have a concrete use for it.

    von Andrea Jonjic-Beitter 3. Dezember 2015 3