Laxer Umgang mit Datensicherheit
Rechtzeitig zum Weihnachtsgeschäft haben die Spielzeughersteller ihre neuesten Produkterscheinungen in Stellung gebracht. Vor allem elektronische Komponenten sind bei der aktuellen Spielzeuggeneration nicht mehr wegzudenken. Neben Ton-, Licht- und Bewegungseffekten sind die Produkte inzwischen häufig auch mit dem Internet verbunden.
Dieser Artikel ist älter als ein Jahr.
Doch während die Spielzeuge technisch immer ausgefeilter werden, hinkt der Datenschutz deutlich hinterher. Zuletzt wurde bekannt, dass der Hongkonger Hersteller von Kinder-Digicams VTech gehackt wurde. Onlineangreifer hatten sich Zugang zu den VTech-Datenbanken verschafft und damit nicht nur Zugriff auf Namen und Adressen, sondern auch 190 Gigabyte an Fotos und Gesprächen aus Kinderzimmern weltweit erbeutet.
Vermutlich auch Österreicher betroffen
Weltweit waren laut VTech über sechs Millionen Kinderprofile und 4,8 Millionen VTech-Konten von Eltern betroffen, knapp 400.000 Eltern und 500.000 Kinder davon allein in Deutschland. Die Staatsanwälte mehrerer US-Bundesstaaten kündigten bereits Untersuchungen an.
Reuters/Tyrone Siu
VTech bietet Digicams, Camcorder und Smartwatches für Kinder an
Für Österreich weist der Konzern keine eigenen Zahlen aus, es ist allerdings auch hierzulande mit Betroffenen zu rechnen, da das VTech-Spielzeug in nahezu jedem österreichischem Spielwarengeschäft erhältlich ist. Über die Website „Have I been pwned“ können Eltern überprüfen, ob sie von diesem oder anderen Datendiebstählen betroffen sind.
Beweisfotos geschwärzt im Netz
Zwar haben die Angreifer die Daten nicht veröffentlicht, doch der Vorfall zeigt, wie lax die Sicherung der privaten Kinderdaten bisher gehandhabt wird. „Es macht mich krank, dass ich in der Lage war, alle diese Informationen herunterzuladen“, zitiert das Onlinemagazin „Motherboard“ einen der Hacker und publizierte einen unkenntlich gemachten Auszug der erbeuteten Fotos und eine gestohlene Gesprächsaufzeichnung.
Screenshot motherboard.vice.com
Ein Onlinemagazin hat einige der erbeuteten Fotos geschwärzt veröffentlicht
Als Reaktion auf den Onlineangriff hat VTech inzwischen einen Teil der Server und Dienste vom Netz genommen. Zu der Sicherheitskritik und den Vorwürfen von Eltern, dass sie nicht über die zentrale Speicherung ihrer privaten Fotos informiert gewesen seien, gab das Unternehmen bisher keine Stellungnahme ab.
Auch „Abhör-Barbie“ gehackt
Zuvor hatte bereits das neueste Barbie-Modell von Hersteller Mattel für heftige Kritik gesorgt. Die sprechende High-Tech-Plastikpuppe „Hello Barbie“ ist in den USA für 75 Dollar (71 Euro) erhältlich. Sie ist mit Mikrofon und Lautsprecher ausgestattet, um Gespräche und Fragen im Kinderzimmer aufzuzeichnen. Alles, was das Kind sagt, wird dann über WLAN an Cloud-Server übermittelt, wo es gespeichert und analysiert wird, um anschließend eine passende Antwort zu geben. Das brachte der Puppe den Spitznamen „Abhör-Barbie“ ein.
Screenshot somersetrecon.com
Die Sicherheitsfirma Somerset Recon zeigt die zerlegte Barbie
Nun wurde auch hier ein erster gelungener Angriff auf die „Hello Barbie“-Infrastruktur bekannt. Der US-Kryptologe Matt Jakubowski erklärte gegenüber dem TV-Sender NBC, Zugriff auf Kundenkonten, Audiodateien und das Mikrofon erlangt zu haben. „Es ist nur eine Frage der Zeit, bis wir in der Lage sein werden, die Server durch unsere eigenen zu ersetzen“, so Jakubowski. Dann könne man die Barbie dazu bringen, alles zu sagen, was man wolle.
Auch die Sicherheitsfirma Bluebox Labs hat bei einer Untersuchung der Barbie Schwachstellen entdeckt. Die zugehörige Barbie-App sei nicht ausreichend gegen Fremdzugriff gesichert, Log-ins und Kennwörter könnten leicht ausgelesen werden, so die Experten. Zudem könnten potenzielle Angreifer ein vermeintlich sicheres Barbie-WLAN imitieren und so eine Verbindung zu der interaktiven Puppe bekommen.
Appell an Eltern
In Deutschland wurde die Schnüffelpuppe bereits mit dem Negativpreis „Big Brother Award“ ausgezeichnet. Kritiker appellieren nun an die Eltern, sich bei der Anschaffung von internetfähigem Spielzeug gut zu überlegen, ob der Anbieter einen wirksamen Schutz der Daten garantieren kann. Hersteller sollten zudem von Gesetzgeberseite in die Pflicht genommen werden, für die nötige Datensicherheit unter Einsatz aller technischen Mittel zu sorgen.
Links:
