Tipps zur Risikominderung: Smarte Spielzeuge mit Schwachstellen

Daniel Markuson warnt: Hacker könnten Eltern ausspionieren und mit Kindern sprechen

[datensicherheit.de, 22.11.2019] Mit dem Internet verbundene Spielzeuge mit Kameras und Mikrofonen oder Geräte, die den Standort verfolgen, können die Privatsphäre und Sicherheit von Eltern und Kindern gleichermaßen gefährden: Daniel Markuson nennt in seiner aktuellen Stellungnahme ein paar grundlegende Regeln bei der Auswahl und Handhabung „smarter“ Spielzeuge.

Eltern sollten genau wissen, was sie ihren Kindern mitbringen

Ob es sich um einen sprechenden Teddybären, ein „smartes“ Auto oder ein speziell für Kinder konzipiertes Tablet handelt – Unternehmen sind offensichtlich bestrebt, stets neue Spielzeuge auf den Markt zu bringen, wobei Sicherheitsvorkehrungen leicht übersehen werden können.
„Eltern sollten sich dessen bewusst sein, was sie ihren Kindern nach Hause mitbringen. Sobald man etwas mit dem Internet verbindet, kann es potenziell ins Visier von Cyber-Kriminellen geraten“, warnt Markuson.

Problem nicht neu, aber zunehmend

Haben diese erst einmal einen Zugang gefunden, könnten Hacker das Mikrofon oder die Kamera des Spielzeugs nutzen, um zu hören und zu sehen, was das Spielzeug „sieht“ und „hört“. „In manchen Fällen könnte eine zwielichtige Gestalt aus dem Internet sogar direkt mit deinen Kindern sprechen“, so Markuson.
Das Problem, das solche Schwachstellen in Spielzeugen überhaupt bestehen, sei nicht neu, „aber es wächst rapide an“ – jedes Jahr aufs Neue drängten immer mehr „smarte“ Spielzeuge auf den Markt.

Schwachstellen und Gefahren von Spielzeugen drohen alltäglich zu werden

Zuletzt hätten Experten gewarnt, „dass die Schwachstellen und Gefahren von Spielzeugen immer mehr zum Alltag werden“. Erst letzten Monat sei in Australien in einer „smarten“ Uhr für Kinder eine Sicherheitslücke erkannt.
Diese Sicherheitslücke habe es ermöglicht, Kinder zu verfolgen, ihnen zuzuhören und sie sogar anzurufen. Interessanterweise sei das Unternehmen, das diese GPS-Uhr produziert, von einer der regionalen Regierungen Australiens unterstützt worden.

Bereits Verbote ausgesprochen

Laut Markuson handelt es sich bei diesem Fall nicht um eine Ausnahme. Sicherheitslücken seien in renommierten und beworbenen Spielzeugen entdeckt worden. Offizielle staatliche Einrichtungen in verschiedenen Ländern hätten mittlerweile sogar einige „smarte“ Spielzeuge verboten.
Beispielsweise habe die deutsche Bundesnetzagentur 2017 ein Verbot für „My Friend Cayla“-Puppen ausgesprochen und Einzelhändlern ausschließlich dann den Verkauf gestattet, wenn die Funktion zur Verbindung mit dem Internet deaktiviert wurde. Der norwegische Verbraucherverband habe bezüglich dieses Spielzeugs eine ähnliche Bewertung abgegeben.

Eltern können niemals zu vorsichtig sein

Der größte bekannte Verstoß gegen sensible Daten von Kindern habe 2015 stattgefunden. Im Rahmen eines Cyber-Angriffs auf den Hersteller digitaler Spielzeuge, VTech Holdings, seien die Daten von 6,4 Millionen Menschen, wovon der Großteil Kinder waren, offengelegt worden. „Die gehackten Daten umfassten sogar Namen, Geschlecht und Geburtsdaten.“
Eltern könnten niemals zu vorsichtig sein, wenn es darum geht, ihr Kind zu schützen. Markuson, „Experte für digitalen Datenschutz“ bei NordVPN, nennt nachfolgend ein paar grundlegende Regeln für die Auswahl eines „smarten“ Spielzeugs:

1. Stell Nachforschungen an!
Bevor man ein Spielzeug kauft, sollte man online nach Kundenrezensionen und Expertenmeinungen suchen, um Beschwerden oder Sicherheitsprobleme bereits im Voraus zu identifizieren.
Namhafte Unternehmen gäben wahrscheinlich auch an, welche Daten sie erheben und wie sie sie verwenden. Markuson empfiehlt, durchaus die Datenschutzerklärung und allgemeinen Geschäftsbedingungen (AGB) des Herstellers auf der Website durchzulesen.

2. Eigene Daten nicht einfach so aushändigen!
Manche Spielzeuge und Spiele erfordern eine Registrierung, damit man den vollen Spielspaß und Updates erhält. Man sollte aber bei der Registrierung vorsichtig sein, welche Informationen preisgegeben werden.
Die Entwickler benötigten die E-Mail-Adresse, um über Updates zu informieren, aber weitere Informationen seien größtenteils unnötig. Wenn beispielsweise nach dem Geburtstag des Kindes gefragt wird, könnte man ruhig „ein wenig flunkern“.

3. Ausschließlich sichere WLAN-Hotspots nutzen!
Bevor man ein Smart-Spielzeug mit einem WLAN-Hotspot verbindest, sollte man sich vergewissern, dass er sicher ist und ein starkes Passwort besitzt.
Solche Gadgets mit einem öffentlichen WLAN-Hotspot zu verbinden, werde nicht empfohlen, da diese leicht gehackt werden könnten. Außerdem sollte man, sofern möglich, ein Passwort für das Spielzeug festlegen.

4. Die Gespräche überprüfen!
Manche Smart-Spielzeuge ermöglichten Kindern untereinander zu sprechen, wenn es mit demselben Spielzeug oder Spiel spielt. Man sollte seinem Kind erklären, was personenbezogene Daten sind, und weshalb es diese nicht teilen darf.
Die Gespräche sollten hin und wieder überprüft werden, um sicherzustellen, dass das Kind nicht mit Fremden spricht, die lediglich vorgeben, ein Kind zu sein. Renommierte Hersteller böten Eltern immer die Option an, die gespeicherten Informationen einzusehen.

5. Spielzeug ausschalten, wenn es nicht genutzt wird!
Es wird empfohlen, das Smart-Spielzeug auszuschalten, wenn es nicht verwendet wird, damit es nicht länger Daten erhebt.
Wenn das Spielzeug über ein Mikrofon verfügt, sollte man es in einer Schublade oder Kiste verstauen, damit es schwieriger ist, Gespräche aufzunehmen, und Spielzeuge mit einer Kamera könnten verdeckt oder mit der Linse zur Wand gestellt werden.

6. Verstöße melden!
Wenn etwas Ungewöhnliches auffällt oder ein Spielzeug von einem Hacker kompromittiert wurde, sollte man als Verbraucher und Bürger verantwortungsvoll handeln und eine Beschwerde an die zuständige staatliche Behörde einreichen.
Markuson: „Es hilft vielleicht nicht dir persönlich, aber du hilfst dabei, das Internet zu einem sichereren Ort für alle zu machen und übst Druck auf den Hersteller aus, damit er die Sicherheitsbestimmungen nicht länger ignoriert.“

Weitere Informationen zum Thema:

Bundesnetzagentur, 17.02.2017
Bundesnetzagentur zieht Kinderpuppe „Cayla“ aus dem Verkehr / Homann: „Privatsphäre ist gerade bei Kindern zu schützen“

The New York Times, Daniel Victor, 30.11.2015
Security Breach at Toy Maker VTech Includes Data on Children