Suchen

Plaudernde Barbies und funkende Roboter Smart Toys – Lauschangriff im Kinderzimmer

| Redakteur: Sebastian Gerstl

Im Februar 2017 zog die Bundesnetzagentur die Spielzeugpuppe Cayla aus dem Verkehr, da sie von Fremden leicht als Spionagegerät zu missbrauchen war. Die Stiftung Warentest hat nun sieben weitere intelligente Spielzeuge fürs Kinderzimmer untersucht – mit erschütterndem Ergebnis.

Voll süß! Doch aufgepasst: Sogenannte "Smart Toys" - Spielzeugroboter und Plüschtieren mit einer Wireless-Verbindung und "intelligenten" Apps - können sich nicht nur mit Kindern unterhalten, sondern auch mit "unbefugten Dritten".
Voll süß! Doch aufgepasst: Sogenannte "Smart Toys" - Spielzeugroboter und Plüschtieren mit einer Wireless-Verbindung und "intelligenten" Apps - können sich nicht nur mit Kindern unterhalten, sondern auch mit "unbefugten Dritten".
(Bild: Stiftung Warentest)

Auch Kinderspielzeug wird modernisiert. In einer Zeit, in der Tablets oder Smartphones allgegenwärtig scheinen und in der es leichter als je zuvor ist, Geräte oder Gegenstände mit einer schnurlosen funk- bzw Internetverbindung auszustatten, scheint der Schritt zu einem "Smart Toy" sehr naheliegend. Junge Kinder, die mit ihrem Lieblings-Plüschtier spielen, reden auch mit ihm – wäre es da nicht nett, wenn Teddy da auch antworten könnte? Oder wenn sich der Robo-Hund auch einfach mit dem eh schon vorhandenen Smartphone fernsteuern ließe?

Das denken sich auch viele Spielzeughersteller und produzieren immer mehr sogenannte Smarte Spielzeuge - Spielzeugroboter, Puppen oder Plüschtiere, die mit einer Internet-Verbindung oder einer Verbindung zu einer zugehörigen Smartphone-App ausgestattet sind. Die Stiftung Warentest hat sieben solche Vernetzte Spielzeuge getestet und auf Sicherheit geprüft.

Einfallstor für Schnüffler

Die Idee hinter "Smart Toys" scheint solide: Eltern können beispielsweise in der App Sprach- oder Textnachrichten hinterlassen und somit auch auf ihren Nachwuchs einwirken, ohne das er es merkt. Was Eltern aber erschrecken sollte: Wenn diese Spielzeuge keine sichere Verbindung aufbauen, können das auch problemlos Fremde. genau dies war allerdings bei zwei der sieben getesteten Spielsachen der Fall.

„Einige von diesen Spielzeugen sind brandgefährlich, weil sie eine ungesicherte Funkverbindung haben. Das heißt, dass jeder Smartphone-Besitzer sich mit ihnen verbinden kann, um das Kind abzuhören, es auszufragen oder zu bedrohen“, sagt test-Redakteur Martin Gobbin.

Der i-Que Intelligent Robot baut beispielsweise einfach nur eine ungesicherte Bluetooth-Verbindung zu einem Smartphone auf - per App können über so eine Verbindung ungefiltert Nachrichten an den Spielzeugrobot gesendet werden, die dieser dann ans Kind weitergibt. Auch die Antworten des Kindes können darüber abgehört werden - auf eine Distanz von zehn Metern hinweg. Dies funktioniert zum Teil auch durch Wände hindurch - also beispielsweise auch aus der Nachbarwohnung.

Auch der Toy-Fi Teddy kann mit seinem Besitzer reden - dazu drückt man einfach nur auf seine Pfote, und der Bär ruft eine via Internet hinterlegte Nachricht ab. Um diese dem Spielzeug zu übermitteln, braucht es mit einem Android-Smartphone nur eine generische, kostenlose App von CloudPets - für den Zugriff auf den Teddy sind weder ein eigenes Passwort noch eine PIN notwendig.

Bei App-Anbieter 500.000 Datensätze geklaut

Auch der Roboterhund Chip - immerhin ein Spielzeug - das mehr als 200 Euro kostet - lässt sich mit jedem Smartphone fernsteuern; die zugehörige App gibt es kostenlos im App-Store. Kein Wunder, dass Stiftung Warentest diese drei Spielzeuge als "sehr kritisch" einstuft. Das entlastende Prädikat "unkritisch" bekam aber kein einziges der sieben getesteten Spielzeuge verliehen.

Denn die anderen vier getesteten Spielzeuge - zwei weitere Plüschtiere, ein Plastik-Dino und die bereits von Datenschützern bemängelte Plastikpuppe "Hello Barbie!" sind nicht empfehlenswert und werden als kritisch eingestuft. Zwar bauen diese Spielzeuge keine vollkommen ungesicherte Verbindung zum nächstgelegenen Smartphone mit einer passenden App auf, sondern verlangen eine Einrichtung samt Passwortangabe. Allerdings wird dieses Passwort zwar verschlüsselt, aber ohne zusätzlichen Hash zum Verbindungsserver übermittelt. Im Falle eines Serverhacks stünden einem Angreifer dann sämtliche Login-Daten zur Verfügung.

Das dies schneller geschehen kann als einem lieb ist, zeigt der Fall VTech: Im November 2015 gelang Hackern ein Einbruch in Datenbanken des Smart-Toy-Anbieters aus Hongkong. Laut VTech waren allein in Deutschland rund 900.000 Nutzer betroffen. In den Kundenkonten standen unter anderem Namen und Geburtstage von Kindern.

Auch die bereits erwähnte App CloudPets wurde bereits Ziel von Hackern: Unbekannten gelang es im Februar diesen Jahres, in die Server des Unternehmens einzudringen und mehr als 500.000 Datensätze zu entwenden - neben Nutzerprofilen, die sich eindeutig via Smartphonedaten zuordnen lassen, enthielten diese auch sämtliche Informationen, die Teddy sonst noch sichert.

Wenn der Teddy spioniert

Denn nicht nur die Kommunikation mit dem Kind ist als kritisch anzusehen, manche dieser intelligenten Spielsachen entwickeln eine regelrechte Datensammelwut.So niedlich die Plüschtiere, Roboter und Puppen auch wirken mögen: Sie agieren letztendlich wie Spione im Kinderzimmer. Diejenigen, die mit den Kindern kommunizieren können, nehmen über integrierte Mikrofone alles auf was zu ihnen gesagt wird, und speichern diese Informationen auf Servern ab. Manche Anbieter gehen mehr, manche weniger transparent mit diesem Umstand um. Mattel, die Hersteller der Hello Barbie, stellen die Aufnahmen sogar den Eltern online direkt zur Verfügung.

Doch es geht nicht nur darum, dass Eltern - oder unbefugte Dritte - das Kind belauschen können. Einige Apps, über die die Spielzeuge gesteuert werden, erfassen die Geräte-ID des Smartphones, übertragen Nutzerdaten an Drittfirmen oder setzen Tracker, die möglicherweise das Surfverhalten der Eltern protokollieren können. Dabei wäre diese Sammelwut nicht notwendig; der Zweck ist ein anderer. Zu solchen Drittfirmen zählt in einem Fall beispielsweise Flurry - ein Unternehmen, dass auf Datenanalysen und individuell zugeschnittene Werbung spezialisiert ist. Zwei weitere Apps senden gesammelte Daten an die Werbedienste von Google. Nicht nur das Kind, sondern auch die Eltern werden damit zu gläsernen Nutzern.

Den pädagogischen Sinn der Spielzeuge haben die Tester zwar nicht bewertet. Angesichts der festgestellten Mängel kommen sie aber zu dem Schluss: Angesichts solcher Sicherheitsmängel ist ein nicht internetfähiger, „dummer“ Teddy wohl auch in Zukunft die schlauere Wahl.

Dieser Beitrag ist ursprünglich auf unserem Partnerportal ELEKTRONIKPRAXIS erschienen.

(ID:44866251)