Auf Last-Minute-Shopper übt smartes Spielzeug einen besonderen Reiz aus. Es ist bei Kindern beliebt, online überall zu haben und kann binnen ein bis zwei Tagen kurzfristig noch geliefert werden. Da diese Gadgets für Kids mit dem Internet verbunden werden können, sind sie jedoch mehr als einfach nur ein weiterer Teddybär. In ihnen steckt künstliche Intelligenz. Und deshalb gilt: Finger weg!
Das soll keine allgemeine Kritik daran sein, ein Kind früh an Technik heranzuführen. Es gibt genügend verantwortungsbewusste Arten und Wege, wie Kinder sicher durch das Internet navigieren können und davon profitieren. Dieser Text soll viel mehr eine Erinnerung daran sein, dass ein internetfähiges Spielzeug im Grunde nur ein weiteres Gerät im Internet der Dinge (IoT) ist. Mit allen bekannten Wehwehchen und Anfälligkeiten. Mit diesen Gadgets kommt außerdem oftmals ein Mikrofon oder eine Kamera ins Kinderzimmer.
„Im Allgemeinen überblicken es die Leute nicht, dass ein Internet-Spielzeug nur ein weiteres IoT-Gerät ist“, sagt Tod Beardsley, Forschungsleiter bei der Sicherheitsfirma Rapid7. Hacker, die es auf schlecht geschützte Geräte mit Internetverbindung abgesehen haben, würden nicht zwischen einer einfachen Webcam oder einer Wi-Fi-Actionfigur unterscheiden. „Die meisten Infrastrukturen sehen auch nicht anders aus wie das gute alte Linux oder Android. Von Innen betrachtet ist es einfach nur ein Computer“, sagt Beardsley.
Das macht ein internetfähiges Spielzeug schnell zu einem Mitglied eines Botnetzes. Dabei handelt es sich um eine Armee von Zombiemaschinen, die von Hackern missbraucht werden, um Digitale-Attacken wie etwa einen Denial-of-Service-Angriff (DoS) gegen Webseiten zu starten. Im vergangenen Jahr etwa fiel für einen knappen Nachmittag das Internet in den USA aus. Grund dafür war ein solches Botnetz.
Das FBI hat erst in diesem Jahr eine Warnung vor internetfähigem Spielzeug erlassen. „Typisch für diese Geräte ist, dass sie alle Sensoren, Mikrofone, Kameras, Komponenten für Datenspeicherungen und andere Multimedia-Funktionen besitzen – eben auch Spracherkennung und GPS“, schrieb das FBI damals. „Diese Funktionen gefährden die Privatsphäre sowie die Sicherheit von Kindern.“
Dabei handelt es sich nicht nur um ein rein hypothetisches Szenario: Als Mattel im Jahr 2015 seine internetfähige, sprechende Barbie-Puppe auf den Markt brachte, stellte sich heraus, dass sie schnell gehackt werden kann. Bis dieses Problem von Mattel gelöst wurde, konnte ein Angreifer jedes Gespräch einfach mitschneiden. Erst vor kurzem fand außerdem das Norwegian Consumer Council heraus, dass verschiedene Smartwatches für Kids, nicht nur leicht zu verfolgen seien, sondern man sie sogar dazu nutzen könnte, um mit dem Träger zu kommunizieren.
Der Weihnachtsmann darf erfahren, welches Kind brav und welches unartig war. Aber doch keine Spielzeugfirma.
Die Auswirkungen solcher Angriffe sind spürbar: Im März gab es die Meldung, dass zwei Millionen Sprachaufnahmen, die Kinder mit den wuscheligen CloudPets – eine Art smarter Teddybär – aufgenommen hatten, in einer öffentlichen Online-Datenbank aufgetaucht sind. Dazu kamen 800.000 E-Mails und Passwörtern.
Natürlich ist nicht jedes internetfähige Spielzeug unsicher, genau wie eben auch nicht jede Webcam Opfer eines Hacks wird. Doch grundsätzlich kann die IoT-Industrie die allgemeine Sicherheit ihrer Geräte noch nicht gewährleisten. Kinderspielzeug stellt hier keine Ausnahme dar. Abgesehen davon sind nicht die Hacker die größte Gefahr, sondern die Firmen selbst.
Im vergangenen Jahr reichten mehrere Interessengruppen gemeinsam bei der Federal Trade Commission eine Beschwerde gegen zwei Produkte der Firma Genesis Toys ein: My Friend Cayla und der intelligente Roboter i-Que sollen „auf betrügerische Weise Audiodateien von Kinderstimmen gesammelt, genutzt und weiterverbreitet haben – ohne hinreichende Informationen darüber sowie ohne Zustimmung der Eltern“. Die Spielzeuge wurden in Deutschland bereits verboten, bei Target sowie Toys R Us werden sie nicht mehr zum Verkauf angeboten. (Auf Amazon gibt es sie weiterhin.) Auf Nachfrage von WIRED gab Genesis Toys dazu keine Stellungnahme ab.
Datenschützer glauben, dass speziell diese beiden Beschwerden noch ganz andere Probleme ansprechen. „Unternehmen, die internetfähiges Spielzeug produzieren, verdienen nicht nur am Verkauf“, sagt David Monahan, Kampagnenmanager bei Campaign for a Commercial-Free Childhood. „Sie sammeln dabei auch sehr sensible Informationen über Kinder, die sie wiederum zu Geld machen.“
Internetfähiges Spielzeug ist ein Albtraum für die Privatsphäre
Eigentlich soll in Amerika die Children’s Online Privacy Protection Rule (COPPA) vor dieser Art der Datensammlerei schützen. Sie fordert, dass Eltern zustimmen müssen, bevor Informationen über ihre Kinder aufgenommen werden. Aber beim weihnachtlichem Geschenkeauspacken kann es schon mal passieren, dass man unaufmerksam ein Häkchen bei „Ich stimme zu“ setzt, ohne genau zu wissen, wofür das genau war.
„Internetfähiges Spielzeug ist ein Albtraum für die Privatsphäre“, sagt Marc Rotenberg, Direktor des gemeinnützigen Electronic Privacy Information Center. „Der Weihnachtsmann darf erfahren, welches Kind brav und welches unartig war. Aber doch keine Spielzeugfirma.“
Wer dennoch ein internetfähiges Spielzeug verschenken will – oder bereits eines gekauft hat und den Kassenzettel nicht mehr findet: Es ist wichtig, dass man genau weiß, wie es funktioniert, welche Daten es sammelt und was es mit diesen Informationen anstellt. „Wenn man die Datenschutzbestimmungen durchliest und sich fühlt, als brauche man einen Anwalt, um sie zu verstehen, dann ist das ein rotes Tuch“, sagt Monahan.
Außerdem sollte man das Gerät so sicher wie möglich machen. „Internet-Spielzeuge haben meist mehrere Standard-Benutzernamen und Passwörter“, sagt Beardsley. Das macht einen Hack zum Kinderspiel. Daher sollte man sich die Zeit nehmen und das Geräte-Setup individuell anzupassen. Dazu kommt: Immer das aktuelle Software-Update installieren.
Außerdem sollte man wissen, wie die Spielzeuge genau funktionieren. „Alles das einen Sensor wie etwa eine Kamera oder ein Mikrofon hat, muss an sein, damit es funktioniert“, sagt Beardsley. Genau wie ein Amazon Echo oder Google Home ständig mithört – aber nur Daten an den Server zurückschickt, wenn ein bestimmtes Wort gesagt wird — schaut auch ein Spielzeug immer zu, dass Farben erkennen soll. Nicht immer ist dabei klar, unter welchen Umständen es diese Daten an den Firmenserver schickt oder speichert.
„Wenn wir als Erwachsene online Geschäfte abwickeln, wissen wir meist, welche Informationen uns angreifbar machen und welche nicht”, sagt Monahan. “Kinder verstehen das nicht. Sie können keine bewusste Entscheidung treffen, wenn es darum geht, Informationen zu teilen.”
Mattel hat jetzt die Entwicklung eines groß angekündigten neuen Produktes gestoppt. Der Aristoteles KI-Assistent war als eine Art Echo für den Kinderwagen konzipiert worden. Im Oktober wurde das Projekt aus datenschutzrechtlichen Bedenken auf Eis gelegt. Wenn also schon die Spielzeugfirmen selbst Bedenken haben, ist es wohl an der Zeit den Stecker zu ziehen.