Smart Toys – Lauschangriff im Kinderzimmer

Plaudernde Barbies und funkende Roboter Smart Toys – Lauschangriff im Kinderzimmer

02.09.2017

Im Februar 2017 zog die Bundesnetzagentur die Spielzeugpuppe Cayla aus dem Verkehr, da sie von Fremden leicht als Spionagegerät zu missbrauchen war. Die Stiftung Warentest hat nun sieben weitere intelligente Spielzeuge fürs Kinderzimmer untersucht – mit erschütterndem Ergebnis.

Voll süß! Doch aufgepasst: Sogenannte "Smart Toys" - Spielzeugroboter und Plüschtieren mit einer Wireless-Verbindung und "intelligenten" Apps - können sich nicht nur mit Kindern unterhalten, sondern auch mit "unbefugten Dritten".
(Bild: Stiftung Warentest)

Auch Kinderspielzeug wird modernisiert. In einer Zeit, in der Tablets oder Smartphones allgegenwärtig scheinen und in der es leichter als je zuvor ist, Geräte oder Gegenstände mit einer schnurlosen funk- bzw Internetverbindung auszustatten, scheint der Schritt zu einem "Smart Toy" sehr naheliegend. Junge Kinder, die mit ihrem Lieblings-Plüschtier spielen, reden auch mit ihm – wäre es da nicht nett, wenn Teddy da auch antworten könnte? Oder wenn sich der Robo-Hund auch einfach mit dem eh schon vorhandenen Smartphone fernsteuern ließe?

Das denken sich auch viele Spielzeughersteller und produzieren immer mehr sogenannte Smarte Spielzeuge - Spielzeugroboter, Puppen oder Plüschtiere, die mit einer Internet-Verbindung oder einer Verbindung zu einer zugehörigen Smartphone-App ausgestattet sind. Die Stiftung Warentest hat sieben solche Vernetzte Spielzeuge getestet und auf Sicherheit geprüft.

Einfallstor für Schnüffler

Die Idee hinter "Smart Toys" scheint solide: Eltern können beispielsweise in der App Sprach- oder Textnachrichten hinterlassen und somit auch auf ihren Nachwuchs einwirken, ohne das er es merkt. Was Eltern aber erschrecken sollte: Wenn diese Spielzeuge keine sichere Verbindung aufbauen, können das auch problemlos Fremde. genau dies war allerdings bei zwei der sieben getesteten Spielsachen der Fall.

„Einige von diesen Spielzeugen sind brandgefährlich, weil sie eine ungesicherte Funkverbindung haben. Das heißt, dass jeder Smartphone-Besitzer sich mit ihnen verbinden kann, um das Kind abzuhören, es auszufragen oder zu bedrohen“, sagt test-Redakteur Martin Gobbin.

Der i-Que Intelligent Robot baut beispielsweise einfach nur eine ungesicherte Bluetooth-Verbindung zu einem Smartphone auf - per App können über so eine Verbindung ungefiltert Nachrichten an den Spielzeugrobot gesendet werden, die dieser dann ans Kind weitergibt. Auch die Antworten des Kindes können darüber abgehört werden - auf eine Distanz von zehn Metern hinweg. Dies funktioniert zum Teil auch durch Wände hindurch - also beispielsweise auch aus der Nachbarwohnung.

Auch der Toy-Fi Teddy kann mit seinem Besitzer reden - dazu drückt man einfach nur auf seine Pfote, und der Bär ruft eine via Internet hinterlegte Nachricht ab. Um diese dem Spielzeug zu übermitteln, braucht es mit einem Android-Smartphone nur eine generische, kostenlose App von CloudPets - für den Zugriff auf den Teddy sind weder ein eigenes Passwort noch eine PIN notwendig.

Bei App-Anbieter 500.000 Datensätze geklaut

Auch der Roboterhund Chip - immerhin ein Spielzeug - das mehr als 200 Euro kostet - lässt sich mit jedem Smartphone fernsteuern; die zugehörige App gibt es kostenlos im App-Store. Kein Wunder, dass Stiftung Warentest diese drei Spielzeuge als "sehr kritisch" einstuft. Das entlastende Prädikat "unkritisch" bekam aber kein einziges der sieben getesteten Spielzeuge verliehen.

Denn die anderen vier getesteten Spielzeuge - zwei weitere Plüschtiere, ein Plastik-Dino und die bereits von Datenschützern bemängelte Plastikpuppe "Hello Barbie!" sind nicht empfehlenswert und werden als kritisch eingestuft. Zwar bauen diese Spielzeuge keine vollkommen ungesicherte Verbindung zum nächstgelegenen Smartphone mit einer passenden App auf, sondern verlangen eine Einrichtung samt Passwortangabe. Allerdings wird dieses Passwort zwar verschlüsselt, aber ohne zusätzlichen Hash zum Verbindungsserver übermittelt. Im Falle eines Serverhacks stünden einem Angreifer dann sämtliche Login-Daten zur Verfügung.

Das dies schneller geschehen kann als einem lieb ist, zeigt der Fall VTech: Im November 2015 gelang Hackern ein Einbruch in Datenbanken des Smart-Toy-Anbieters aus Hongkong. Laut VTech waren allein in Deutschland rund 900.000 Nutzer betroffen. In den Kundenkonten standen unter anderem Namen und Geburtstage von Kindern.

Auch die bereits erwähnte App CloudPets wurde bereits Ziel von Hackern: Unbekannten gelang es im Februar diesen Jahres, in die Server des Unternehmens einzudringen und mehr als 500.000 Datensätze zu entwenden - neben Nutzerprofilen, die sich eindeutig via Smartphonedaten zuordnen lassen, enthielten diese auch sämtliche Informationen, die Teddy sonst noch sichert.

Jetzt Newsletter abonnieren

Verpassen Sie nicht unsere besten Inhalte

Geschäftliche E-Mail

Bitte geben Sie eine gültige E-Mailadresse ein.

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Stand vom 15.04.2021

Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.

Einwilligung in die Verwendung von Daten zu Werbezwecken

Ich bin damit einverstanden, dass die Vogel Communications Group GmbH & Co. KG, Max-Planckstr. 7-9, 97082 Würzburg einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von redaktionellen Newslettern nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.

Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.

Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden.

Recht auf Widerruf

Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://support.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung, Abschnitt Redaktionelle Newsletter.

Wenn der Teddy spioniert

Denn nicht nur die Kommunikation mit dem Kind ist als kritisch anzusehen, manche dieser intelligenten Spielsachen entwickeln eine regelrechte Datensammelwut.So niedlich die Plüschtiere, Roboter und Puppen auch wirken mögen: Sie agieren letztendlich wie Spione im Kinderzimmer. Diejenigen, die mit den Kindern kommunizieren können, nehmen über integrierte Mikrofone alles auf was zu ihnen gesagt wird, und speichern diese Informationen auf Servern ab. Manche Anbieter gehen mehr, manche weniger transparent mit diesem Umstand um. Mattel, die Hersteller der Hello Barbie, stellen die Aufnahmen sogar den Eltern online direkt zur Verfügung.

Doch es geht nicht nur darum, dass Eltern - oder unbefugte Dritte - das Kind belauschen können. Einige Apps, über die die Spielzeuge gesteuert werden, erfassen die Geräte-ID des Smartphones, übertragen Nutzerdaten an Drittfirmen oder setzen Tracker, die möglicherweise das Surfverhalten der Eltern protokollieren können. Dabei wäre diese Sammelwut nicht notwendig; der Zweck ist ein anderer. Zu solchen Drittfirmen zählt in einem Fall beispielsweise Flurry - ein Unternehmen, dass auf Datenanalysen und individuell zugeschnittene Werbung spezialisiert ist. Zwei weitere Apps senden gesammelte Daten an die Werbedienste von Google. Nicht nur das Kind, sondern auch die Eltern werden damit zu gläsernen Nutzern.

Den pädagogischen Sinn der Spielzeuge haben die Tester zwar nicht bewertet. Angesichts der festgestellten Mängel kommen sie aber zu dem Schluss: Angesichts solcher Sicherheitsmängel ist ein nicht internetfähiger, „dummer“ Teddy wohl auch in Zukunft die schlauere Wahl.

Zwei von fünf industriell genutzten Computern waren im zweiten Halbjahr 2016 Cyberattacken ausgesetzt; der Anteil attackierter Rechner stieg von 17 % im Juli auf 24 % im Dezember an. (Bild: Pixabay)

Dieser Beitrag ist ursprünglich auf unserem Partnerportal ELEKTRONIKPRAXIS erschienen.

(ID:44866251)