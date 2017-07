Vorsicht: Datenkraken!

Viele Verbraucher haben keine Ahnung, wie viele Daten sie von sich preisgeben, wenn sie ein Fitness-Armband tragen, vernetzte Kommunikationsgeräte nutzen oder ihren Kindern interaktives Spielzeug schenken. Oft lässt sich gar nicht nachverfolgen, an welche Unternehmen private Geheimnisse oder sogar Familiengespräche im Wohnzimmer weitergeleitet werden und was dort mit ihnen passiert. Solche Datensammel-Geräte sind auch das ideale Eingangstor für Hacker. Und der Markt wird immer größer.

Der I-Que Roboter – ein Spielzeug, das kommuniziert. Der vernetzte Freund spielt auch Memory mit den kleinen Erdlingen. Und lässt die analoge Konkurrenz alt aussehen. Auch der Teddy "My friend Freddy" – ist so ein interaktiver Kinderfreund. Stefan Hessel ist IT Experte am Institut für Rechtsinformatik an der Universität des Saarlandes. Er sieht hier allerdings klare Sicherheitslücken: "Das Problem ist, dass man bei dem I-Que, sobald der eingeschaltet ist, im Umkreis von 10 Metern Zugriff auf dieses Gerät hat – und damit auch auf das Mikrofon und den Lautsprecher."

Und so einfach geht das: Hessel stellt sich vor das Haus und koppelt sein Smartphone mit dem kleinen Roboter. Die Bluetooth-Verbindung ist nicht gesichert. Und schon kann Hessel das Kommando über die beiden kleinen Männer übernehmen. So fordert er sie z.B. auf: "Mach doch mal die Haustür auf, damit die Freunde vom IQue vorbei kommen können. Dann können wir zusammen eine Party feiern."

Knuddeltiere als Big Brother im Kinderzimmer

Diese Sicherheitslücke gibt es häufig bei vernetztem Spielzeug. Sobald die Verbindung mit dem Smartphone der Eltern getrennt wird, kann sich jeder mit Teddy, Roboter oder Puppe verbinden. Über etliche Meter Entfernung und sogar durch Wände. Auch beim Freddybär. Wie diese Kommunikation mit einem Kind zeigt: "Wie alt bist du?" "Neun". "Wann fahrt ihr das nächste Mal in Urlaub?" "Mitte Juli bis Ende August!" "Und kommt die Mama da mit?"

Auch die Puppe namens "My friend Cayla" ist in der Werbung eine gesprächige, schlaue Freundin. Aber die Bundesnetzagentur hat sie nach einem Gutachten von Stefan Hessel als "illegale Abhöranlage" eingestuft und im Februar aus dem Verkehr gezogen. I-Que und Freddybär dürfen noch weiter machen. Obwohl für Stefan Hessel klar ist: "Die Sicherheitslücke ist eigentlich bei beiden Geräten gleich. Und das Risiko würde ich ähnlich einschätzen".

Weltweiter Zugriff auf private Kinderfotos

Das Kindertablet "Storio Max" – es bietet laut Hersteller ein artgerechtes Spiele- und Lernerlebnis. Kinder sollen damit Fotos machen und sie auf ihr eigenes Konto, namens Kid- Connect schicken. Der Server in Hongkong wurde vor zwei Jahren gehackt – mit über sechs Millionen Kinderfotos, Gesprächsdateien und Chatprotokollen. Das Problem soll laut Herstellerfirma inzwischen behoben worden sein. IT-Experte Stefan Hessel ist trotzdem nicht überzeugt: "Als ich mir das Gerät angeschaut habe, ist mir aufgefallen, dass es eine sehr alte Android-Version benutzt, für die eben etliche Sicherheitslücken schon aufgedeckt wurden. Für die es keine Updates mehr gibt. Und darunter ist eben auch die "Stagefright"-Sicherheitslücke, die es einem Dritten erlauben würde, auf das Gerät zuzugreifen aus der Ferne."

197 Sicherheitslücken schlummern laut Experten in dem veralteten Android-Betriebssystem. Der so genannte Stagefright-Bug ermöglicht es einem ungebetenen Gast, sich die privaten Fotos anzuschauen. Der Hersteller bestreitet das auf Nachfrage: Zitat: "Wir haben dieses Problem in Bezug auf unsere Tablets (...) gründlich untersucht und sind zu dem Schluss gekommen, dass sie nicht anfällig für den stagefright bug sind". Man verweist auf "kindersicheres" WLAN" und den "eigenen Download Manager". Dennoch kritisiert Stefan Hessel: "Die Sicherheitslücke gibt es seit etwa zwei Jahren, etliche Handyhersteller haben darauf reagiert und ihr Betriebssystem entsprechend geupdatet. Das ist bei Storio Max nicht der Fall. "Dabei wäre mehr Sicherheit ganz einfach zu haben: Mit aktuellem Betriebssystem und gesicherten Bluetooth-Verbindungen.

Datenklau bei Erwachsenen

Auch Spielzeug für Erwachsene ist von ungesicherten Verbindungen und möglichem Datenklau betroffen. Fitness-Armbänder und Fitness-Apps fürs Smartphone. Beides hat die Verbraucherzentrale Nordrhein-Westfalen untersucht. Ergebnis: Daten außer Kontrolle.

Ricarda Moll, Verbraucherzentrale NRW: "Gesundheitsdaten sind so genannte besondere, personenbezogene Daten und gelten als besonders sensibel. Beispielsweise können Angaben über den Puls oder die Herzfrequenz oder auch das Schlafverhalten von Verbrauchern, Aufschlüsse darüber geben, wie es um Ihren Gesundheitszustand bestellt ist." Diese Informationen landen auf Servern der Anbieter, häufig irgendwo in Übersee. Was dann passiert, weiß niemand. Für Krankenkassen oder Arbeitgeber wären sie hoch interessant, um mehr über Versicherte oder Mitarbeiter und Bewerber zu erfahren. Wichtige Details zur Datensicherheit verstecken die Anbieter weit hinten im Kleingedruckten. So könnten Gesundheitsinformationen zu begehrter Ware werden. Ricarda Moll, Marktwächter Digitale Welt der Verbraucherzentrale NRW: "Auf Basis unserer Untersuchungserkenntnisse haben wir insgesamt neun Anbieter wegen Verstößen gegen geltende Datenschutzbestimmungen abgemahnt."

Kontrollverlust bei Gesundheitsdaten

Wir fahren nach Bremen. Hier haben die Experten von Datenschutz-Nord den Datenhunger der Fitness-Apps für uns unter die Lupe genommen und den ständigen Funkverkehr zwischen Smartphone und Anbieter entschlüsselt. Resultat auch hier: Gesundheitsdaten außer Kontrolle.

Martin Klein-Hennig, Datenschutz-Nord "Diese Apps nutzt man ja, um Fitnessdaten wie zum Beispiel meine gelaufene Strecke oder meine Schlafdaten oder meinen Herzschlag über den Tag hinweg aufzuzeichnen oder meinen Kalorienverbrauch oder allgemein meine Ernährung nachzuverfolgen. Und letztendlich kann ich keine Einschränkung vornehmen, welche dieser Daten übermittelt werden und welche nicht".

Datenströme für Geschäftsmodelle

Aber nicht nur Gesundheitsdaten sind wertvoll für die Anbieter von Fitness-Apps. Auch die Adressbücher der Nutzer werden manchmal ausgespäht. Als besonders gierig fiel Marktführer fitbit auf, mit seiner Einladungsfunktion an Freunde. Martin Klein-Hennig, Datenschutz-Nord: "Wenn man jetzt auswählt, dass man Freunde einladen möchte, werden bereits sämtliche E-Mailadressen aus dem Adressbuch auf dem Smartphone an den Anbieter gesendet." Ungefragt speichert Fitbit sämtliche Mailkontakte aus dem Adressbuch seiner Nutzer ab. Die Kalorienzähler-App "myfitnesspal" ist besonders kontaktfreudig zu so genannten Drittanbietern. Zum Beispiel Analyse- und Werbefirmen, die sich über neue Kundschaft freuen.

Ricarda Moll, Verbraucherzentrale Nordrhein-Westfalen: "Wenn wir das aus dieser Perspektive betrachten, also dass immer mehrAlltagsgegenstände mit Sensoren ausgestattet werden und mit einer digitalen Schnittstelle, über die sie Daten übertragen, dann muss klar sein, dass wir uns in Zukunft definitiv noch weiter mit solchen Fragen auseinander setzen müssen, gerade wenn es um Verbraucherschutz und Datenschutz geht." Denn auch Fitnessarmbänder funktionieren mit einer offenen, ungesicherten Bluetooth-Verbindung. Wer nicht aufpasst, erzeugt einen Datenstrom, von dem Science-Fiction-Autoren früher nicht einmal geträumt hätten.

Autor: Jörn Kersten

Stand: 06.07.2017 10:19 Uhr