Aktuelles, Branche - geschrieben von dp am Freitag, Dezember 16, 2016 22:39 - noch keine Kommentare
Smartes Spielzeug: Oh, du fröhliche Datensammelzeit
Weiterleitung persönliche Daten über das Internet
[datensicherheit.de, 16.12.2016] Im Vorfeld des Weihnachtsfestes 2016 raten Experten der G DATA Security Labs insbesondere Eltern, gerade bei elektronischem Spielzeug genauer hinzuschauen, denn diese können „smarter“ sein als gedacht. Nach Erkenntnissen von Forschern sammeln demnach manche Spielzeuge Informationen wie Namen, GPS-Daten und auch Stimmaufzeichnungen – zum Entsetzen von Datenschützern.
Kinderspielzeug: Alle Jahre wieder Datenschutz-Bedenken
Jedes Jahr zu Weihnachten haben Eltern oft die Qual der Wahl – die Weihnachtswünsche der Kinder sind teilweise sehr konkret, was die Suche nach dem richtigen Geschenk vereinfacht, aber Eltern sollten gerade bei elektronischem Spielzeug Vorsicht walten lassen, denn manchmal sind Puppen „smarter“ als man eigentlich möchte.
In der Vergangenheit habe es bereits Berichte über mangelhafte Sicherheit bei „smarten“ Kinderspielzeugen gegeben, so Tim Berghoff in einer aktuellen Stellungnahme. So habe z.B. „Hello Barbie“ in der Weihnachtssaison 2015 von sich reden gemacht, indem sie bestimmte Daten unzureichend gesichert verarbeitet und teilweise in die Cloud geschickt habe. Das habe nun Mattel, den Hersteller der berühmten Puppe, die Negativ-Auszeichnung „Big Brother Award“ eingebracht.
Kein Kinderspiel: Eifrige Datensammler
2016 sorge der seine Produkte auch in Deutschland vertreibende Hersteller „Genesis Toys“ für Aufruhr bei Eltern und Datenschützern. Nach Erkenntnissen von Forschern sammele das Spielzeug Informationen wie Namen, GPS-Daten und auch Stimmaufzeichnungen. Laut einer von Datenschützern eingereichten Klageschrift, die am 6. Dezember 2016 bei der Federal Trade Commission (FTC) eingegangen sei, fragten die beanstandeten Puppen die folgenden Informationen ab:
- Namen des Kindes
- Namen der Eltern
- Lieblingsessen
- Ort des Schulbesuchs
- Lieblings-Fernsehsendung
- Lieblings-Prinzessin
- Lieblingsspielzeug
Das Sammeln dieser Daten und deren Übersendung ins Internet dürfte hierzulande zumindest Besorgnis hervorrufen. Diese Daten seien sehr persönlicher Natur. Gelangen diese Daten in die Händen von Straftätern, seien katastrophale Ereignisse vorprogrammiert, warnt Berghoff. Es dürfte kaum jemandem daran gelegen sein, dass Straftäter beispielsweise den Wohnort und die Schule fremder Kinder kennen und auch Informationen besitzen, die sonst nur dem engsten Familienkreis bekannt sind.
Little Toy is listening to you!
Die Spielzeuge seien zudem praktisch ideale Abhörgeräte, denn sie ließen sich am besten Ort verstecken, den es gibt: ganz offen im Raum. Konfiguriert werde dieses Spielzeug über eine separate App, die es für „iOS“ und „Android“ gebe. Eine Verbindung zum Spielzeug werde per Bluetooth hergestellt. Die App verlange recht umfassende Berechtigungen, unter Anderem eben Zugriff auf das Mikrofon, ohne allerdings darüber aufzuklären, was genau die Berechtigungen bedeuten.
Datenauswertung in den USA
Die gesammelten (Stimm-)Daten würden jedoch nicht durch Genesis Toys verarbeitet. Die Stimmerkennung des Spielzeuges nutze die Technologie eines anderen Anbieters namens Nuance Communications.
Die gesammelten Daten würden in die USA übermittelt, wo der Anbieter die Daten analysiere. Dieses Vorgehen sei per se nicht unüblich; wer „Siri“ auf seinem „iPhone“ oder „iPad“ nutzt, greife auf ein Apple-Pendant einer vergleichbaren Infrastruktur zurück.
Die Analyse der gesprochenen Worte finde bis auf wenige Ausnahmen immer in der Cloud statt, da die lokal verfügbare Rechenleistung in einem Smartphone oder einem Kinderspielzeug nicht ausreichend sei. Problematisch werde es, wenn mit Daten von Minderjährigen umgegangen wird.
Es stand doch alles in den AGB…
Berghoff: „Wann haben Sie zuletzt mehrere Seiten AGB oder Lizenzbestimmungen gelesen, bevor Sie auf ,Ich akzeptiere die AGB‘ geklickt haben?“ Weder Genesis Toys noch Nuance Communications machten einen Hehl daraus, was wie mit den gesammelten Daten tun. Es stehe fast alles in den AGB.
Allerdings sei einiges davon so nebulös formuliert und versteckt, dass man schon sehr genau hinsehen müsse. Wer wissen will, wie genau Nuance Communications mit den gesammelten Daten verfährt, werde in den Bestimmungen per Link auf die Datenschutzrichtlinien von Nuance verwiesen – dort heiße es explizit, dass die Daten auch für Werbezwecke eingesetzt würden.
So sei es nicht verwunderlich, dass die Spielzeuge auch als Plattform für Produktplazierungen genutzt würden. In der US-Version sei aufgefallen, dass eine der Puppen explizit sage, dass sie gerne in die „Disney World“ fahre und dass ihre Lieblingsattraktion dort das „Epcot-Center“ sei.
Zielgruppe kann nicht rechtsverbindlich zustimmen!
Wenn es um die persönlichen Daten von Kindern geht, seien sowohl Datenschützer als auch Eltern hoch sensibilisiert. Daher beruhe die Anzeige zu großen Teilen darauf, dass die Zielgruppe, für die die beanstandeten Spielzeuge gedacht sind, von Gesetzes wegen überhaupt nicht zu einer rechtlich verbindlichen Zustimmung fähig sei.
In der Tat seien auch in Deutschland Kinder unter 14 Jahren nur eingeschränkt geschäftsfähig, weshalb diese beispielsweise Vertragswerken nicht rechtsverbindlich zustimmen könnten. Überdies könne man auch nicht verlässlich verifizieren, ob die Eltern tatsächlich ihr Einverständnis gegeben haben.
Weitere Informationen zum Thema:
G DATA Security Blog, 16.12.2016
Tim Berghoff: „Alle Jahre wieder: Datenschutz und Kinderspielzeug“
datensicherheit.de, 21.10.2016
Individueller Netzwerkschutz: Große Nachfrage auf der „it-sa 2016“
datensicherheit.de, 29.03.2016
eco startet Veranstaltungsreihe LocalTalk 2016 – Datacenter Life Savers –
Aktuelles, Experten - Juli 14, 2025 13:27 - noch keine Kommentare
Windows 10: BSI warnt vor zunehmender Unsicherheit und rät zum Wechsel
weitere Beiträge in Experten
- Stärkung der Cybersicherheit in Bund und Ländern: BSI und Baden-Württemberg kooperieren
- Leibniz-Center for Industrial Security: CISPA fokussiert auf Zukunft der Cybersicherheit
- KI-Modelle: BfDI hat öffentliches Konsultationsverfahren gestartet
- Bitkom-Transparenzbericht 2025 veröffentlicht
- Urlaubsfotos in Sozialen Medien: Nur fünf Prozent machen Kindergesichter unkenntlich
Aktuelles, Branche, Studien - Juli 14, 2025 14:13 - noch keine Kommentare
KI-Waffe Deepfake: Betrug, Identitätsdiebstahl und Angriffe auf Unternehmen
weitere Beiträge in Branche
- Ameos Kliniken: Seit 7. Juli 2025 erhebliche IT-Ausfälle an allen deutschen Standorten
- Fragmentierte Cybersicherheit verursacht deren Schwächung
- Urlaub mit Social Media: Öffentliches WLAN nur geschützt nutzen
- Ambivalente Ransomware-Bedrohung: Sophos meldet weniger Attacken aber mehr Lösegeldzahlungen
- Check Point deckt neue Phishing-Domains von Scattered Spider auf
Aktuelles, Branche, Umfragen - Juli 9, 2025 19:03 - noch keine Kommentare
DigiCert-Umfrage: Manuelle Zertifikatsprozesse führen zu Ausfällen, Compliance-Fehlern und hohen Verlusten im Unternehmen
weitere Beiträge in Service
- Threat Hunting: Bedeutung und Wertschätzung steigt
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
Kommentieren