Kaum zwei Wochen ist es her, dass sich Carsten berechtigterweise zum Thema Sicherheit und Datensammelwut von IoT-Devices aufgeregt hat, da schiebt die Stiftung Warentest ihren Test zu Smart Toys hinterher. Darin hat sie herausgefunden, dass alle getesteten Spielzeuge Sicherheitslücken oder den laschen Umgang mit Daten pflegen, was bei der Zielgruppe von Spielzeug (meist: Kind) natürlich besonders perfide sein kann.

Eins vorweg, weil ich mir das gerade nicht verkneifen kann: Ich halte die Stiftung Warentest ja für einen Altherren-Verein, der gerne mal für Kleinigkeiten wie “Handbuch nur digital verfügbar” oder “Anleitung für Toaster mit einem Schalter nur auf Englisch” mal direkt gefühlt sieben Noten abzieht. Von dieser kurzen Exkursion eines angry nerds abgesehen, machen Sie sonst bei Zahnbürsten und Matratzen aber einen echt guten Job (keine Ironie) und haben im neusten Test zu Smart Toys zumindest einen wunden Punkt getroffen.

Denn das getestete Spielzeug, zu dem ein mit dem Internet verbundener Roboter namens i-Que sowie Roboterhunde, Teddys und Puppen gehören, nimmt es bei all der Konnektivität nicht ganz so genau mit den Sicherheitsfeatures. Während es bei Bluetooth-Speakern ohne Codeeingabe maximal peinlich werden kann, wenn plötzlich Helene Fischer, statt Rammstein aus den Lautsprechern dröhnt, ist das bei Puppen mit Lautsprechern eine andere Sache.

Funkverbindungen ohne Sicherheit

Wie die Stiftung an einem fiesen Beispiel zeigt, können sich Smartphones ganz einfach mit den getesteten Puppen und Robotern verbinden und irgendeine pädophile Drecksau versucht dann mein Kind per Sprachausgabe zu sich rüber zu locken. Bei zwei weiteren geprüften Spielzeugen soll es dagegen möglich sein, Sprachnachrichten per Internet an die Spielzeuge zu schicken und die Antworten der Kinder unter gewissen Umständen abzufangen.

Sowas hätte man ganz einfach mit Codeingaben und Passwörtern regeln können, aber offenbar war es den Herstellern wichtiger, ihre Produkte irgendwie smart zu machen. Wobei es meiner Ansicht nach ein Device nicht smart macht, wenn man lediglich einen Funkadapter einbaut. Zumindest achtet man wohl bei allen Devices auf verschlüsselte Übertragungen. Wirklich intelligent wäre es aber gewesen, zumindest auf minimalste Sicherheitsstandards zu achten, vor allen Dingen, wenn das Spielzeug für Kinder ist, die wohl kaum die Gefahren und Tücken von datenübertragenden und -sammelnden Produkten kennen.

Die von der Stiftung geprüften Apps legen da gleich noch nach und erlauben zudem unsichere Passwörter ohne Sonderzeichen. Geradezu köstlich wird es dann, wenn die Passwörter dann auch noch ohne Hashes auf den Servern der Anbieter gespeichert werden, sprich im Klartext. Sowas ist einfach nur Schlamperei und sollte im Grunde seit zwanzig Jahren nicht mehr passieren, zumal sogar mit MD5 gehashte Passwörter wieder entschlüsselt werden können, diese Vorgehensweise aber teils immer noch von unfähigen Programmierern verwendet wird.

„Smart“ minus Sicherheit = „maximal dumb“

Davon ab hat die Stiftung gleich noch ein paar beunruhigende Features entdeckt, wie beispielsweise den Versand von Namen, Geburtsdaten der Kinder und die Geräte-ID der Smartphones an werbetreibende Drittanbieter. Das IT-Sicherheitsunternehmen Rapid7 hatte beispielsweise herausgefunden, dass Mitarbeiter Zugriff auf die Daten eines Bären von Fisher-Price (Mattel) hätten. In einem anderen Fall gelang es dem Sicherheitsexperten Matt Jakubowski Anbieter­server bei Mattel durch eigene Server zu ersetzen und so die Sprach­nach­richten von Kindern abzu­fangen, die mit ihrer Hello Barbie-Puppen spielten.

Die Quintessenz dieser Nummer ist im Grunde folgende und lässt sich auf jede Branche und jedes Produkt anwenden: Bitte, bitte, liebe Produzenten, sichert euer Zeug doch bitte ab und nutzt ein wenig gesunden Menschenverstand. Die Aussagen “Das würde doch niemand hacken”, “Das ist doch nur Spielzeug” oder besonders bei kleineren Unternehmen “An unsere Daten will doch eh niemand” sind Trugschlüsse, die in der Vergangenheit schon oft dafür gesorgt haben, dass Firmen und Institutionen nachher ganz schön un-smart aus der dreckigen Wäsche schauten.

Besonders unsere nachfolgende Generation sollte es uns Wert sein, sie zwar nicht vor einer völlig vernetzten Welt abzuschotten, denn das ist per se erstmal nicht schlecht oder gefährlich. Aber zumindest sollte man Zugänge, Dienste und persönliche Daten nur für die vorgesehenen Personen zugänglich machen, gerade auch im Hinblick auf die EU-DSGVO, die nächsten Mai in Kraft tritt. Für euch Anbieter entsteht im schlimmsten Fall ein finanzieller oder reputativer Schaden. Für die Nutzer und Kinder kann die Schlamperei bei IT-Sicherheit das gesamte Leben zum negativen hin verändern oder zerstören.