Die aktuellen Entwicklungen könnten nostalgische Sehnsucht nach "dummem" Spielzeug verursachen. Denn aktuell gilt das Motto: Je schlauer und vernetzter, desto angreifbarer.
Ein weiterer Fall von gehacktem Kinderspielzeug sorgt für Aufregung: Diesmal handelt es sich dabei um einen smarten Teddy, der Sprachnachrichten senden und empfangen kann. Beim Hersteller Spiral Toys kam es zu einem Sicherheitsvorfall in Zusammenhang mit rund 800.000 User-Accounts. Das Unternehmen sagt, keiner seiner Kunden sei gehackt worden.
Wenn der Hacker im Spielzeug steckt... Foto: Graphic design - chuckchee - shutterstock.com
Das dürfte noch lange nicht die Spitze des Eisbergs darstellen - insbesondere, wenn Hersteller und Nutzer smarter und vernetzter Spielzeuge (nicht nur für Kinder) sich weiterhin nicht um entsprechende IT-Sicherheitsmaßnahmen bemühen. Gemeinsam mit Zach Lanier, Director of Research beim Sicherheitsanbieter Cylance, lassen wir einige schlagzeilenträchtige Spielzeug-Hacks der letzten Zeit Revue passieren - und geben Tipps für mehr Security.
CloudPets Smart Teddy
Auch wenn Spiral Toys bislang davon ausgeht, dass keinerlei User-Daten gestohlen wurden. Es ist nicht unwahrscheinlich, dass die Angreifer Zugriff auf die Sprachnachrichten der Kunden hatten. Schließlich waren die Kundendaten jederzeit online zugänglich, weil sie in einer ungesicherten NoSQL-Datenbank gespeichert waren. Authentifizierung? Fehlanzeige. Nicht nur kriminelle Hacker hätten die Daten also jederzeit einsehen und/oder stehlen können. Noch dazu waren die Teddybären die unter dem Label "CloudPets" verkauft werden, in punkto Passwortsicherheit schlecht ausgestattet: Es gab keine Vorgaben zu Länge oder Stärke der Kennwörter - ein Brute-Force-Paradies.
Tipp: Achten Sie darauf, stets ein sicheres Passwort zu benutzen - egal ob es Vorgaben dazu gibt oder nicht. Es gelten die bekannten Grundregeln: Beziehen Sie Groß- und Kleinschreibung mit ein, nutzen Sie Buchstaben, Zahlen und Sonderzeichen. Greifen Sie auf einen Passwort-Manager zurück, um nicht den Fehler zu begehen, das selbe Passwort für alle Accounts zu benutzen.
Passwort-Manager: Das sollten Sie wissen
Tipp 1: Varianz ist wichtig Inzwischen ist eigentlich mehr die Frage, wann, und nicht ob der Passwort-Leak kommt. Dabei können Sie den Schaden minimieren, wenn Sie für JEDEN Online-Account ein eigenes Passwort verwenden. Natürlich ist es schwer, sich all diese Passwörter zu merken - insbesondere wenn es keine vorhersehbaren sein sollen. Da kommen die Passwort-Manager ins Spiel. Wenn Sie das Problem mit vielen Passwörtern kennen, sollten Sie sich einen besorgen. Die Software gibt's inzwischen für die meisten Browser und Betriebssysteme - auch für Mobile Devices.
Tipp 2: Komplexität wahren Die meisten Passwort-Manager können komplexe Passwörter generieren. Dieses Feature ist wichtig, weil die meisten Websites Passswörter in Form sogenannter 'Hashes' abspeichern. Je nach Algorithmus können diese Hashes geknackt werden. Für diesen Fall sorgt ein sehr komplexes Passwort dafür, dass ein Angreifer sich schwer tut, es auszulesen. Daher empfehlen sich Passwörter mit mindestens zwölf Zeichen - unter Verwendung von Groß- und Kleinschreibung, Zahlen und Sonderzeichen. <br />Normalerweise müssen Sie sich mit einem Passwort-Manager nur noch ein Master-Passwort merken. Außerdem sollten Sie sicherheitshalber die Kennungen für wichtige Accounts (zum Beispiel E-Mail) im Fall der Fälle parat haben, falls der Passwort-Manager aus irgendeinem Grund nicht verfügbar ist. Kleiner Trick: Wort-Sequenzen mit Zahlen und Großbuchstaben sind ebenso schwer zu knacken wie generische. Zum Beispiel: "KatzenHundeHasenMeine3Lieblingstiere".
Tipp 3: On- oder offline? Passwort-Managern liegen verschiedenen Sicherheits-Konzepten zu Grunde. Ein Offline-Manager synchronisiert die Daten nicht über verschiedene Devices hinweg. Sie müssen also die verschlüsselte Datenbank nach jeder Kennwort-Änderung anfassen. Oder Sie benutzen einen Cloud-Service wie Dropbox, um zu synchronisieren. Online-Passwort-Manager synchronisieren Ihre Passwörter über all Ihre Geräte - einige bieten sogar webbasierten Zugriff auf die Datenbank. <br /> Wenn Sie sich für eine der servicebasierten Implementationen entscheiden, achten Sie dabei auf die Architektur und darauf, dass die Datenbank lokal innerhalb der Applikation oder dem Browser entschlüsselt wird - so dass das Master-Passwort niemals in den Zugriffsbereich des Service-Providers gelangt.
Tipp 4: Nicht nur einen Master Streng genommen dürfte es eigentlich keine gute Idee sein, all seine Kennungen mit nur einem Master-Passwort zu schützen - schließlich entsteht daraus eine große Angriffsfläche. Aus diesem Grund bieten einige Passwort-Manager eine Zwei-Faktor-Authentifizierung. In diesem Fall kann für den Zugriff auf die Datenbank ein zusätzlicher Eingabecode eingerichtet werden. Sie sollten auf dieses Feature achten und es bei Verfügbarkeit aktivieren. <br><\br> Auch wenn Sie einen Passwort-Manager nutzen: Wenn einer Ihrer Online-Accounts ebenfalls eine Zwei-Faktor-Authentifizierung bietet, nutzen Sie diese. Eine zusätzliche Schutzschicht kann nicht schaden.
Tipp 5: Möglichkeiten nutzen Nutzen Sie weitere Security-Optionen, die Ihr Passwort-Manager bietet. Einige bieten beispielsweise die Option eines automatischen Log-Offs - was insbesondere bei Nutzung von öffentlichen Rechnern wichtig ist. Auch solche Features können dabei helfen, eine Infektion des Computers mit Malware oder Viren zu verhindern.
Fisher-Price Smart Toy
Die App-gesteuerten Plüschtiere aus dem Hause Fisher-Price gerieten ins Visier von Sicherheitsforschern, weil die zugehörige mobile Applikation einige API-Schwachstellen aufwies. So konnte der Sender von Nachrichten nicht mehr verifiziert werden. Folgen? Hacker hätten auf diesem Weg Usernamen oder E-Mail-Adressen herausfinden können, über die man wiederum an die Daten der damit verknüpften Accounts kommt. Fisher-Price speichert hier beispielsweise Informationen wie Namen, Geburtsdaten, Geschlecht und Sprache der Kinder, die die Kuscheltiere benutzen.
Tipp: Wenn sich ein IoT-Device mit einer mobilen App oder einem Desktop-Rechner verbinden muss, ist es wichtig zu wissen, wie das vor sich geht. Wenn hierbei keine https-Verbindung genutzt wird, ist die Verbindung - und damit auch die Daten - nicht abgesichert.
My Friend Cayla
Die Puppe Cayla wurde in Deutschland inzwischen von der Bundesnetzagentur verboten und stellt entsprechend den hierzulande bekanntesten Fall von gehacktem Kinderspielzeug dar. Die Puppe besitzt ein integriertes Mikrofon, das mit dem Internet verbunden ist, um Fragen der Kinder beantworten zu können. Die Sprachdaten sind allerdings für Hacker jederzeit abgreifbar, das Mikrofon lässt sich für Lauschangriffe nutzen und Kriminelle können jederzeit auf persönliche Daten zugreifen.
Tipp: Wenn das Spielzeug eine WLAN-Verbindung benötigt, sollten Sie darauf achten, dass angemessene Standards zum Einsatz kommen wie WPA2. Außerdem sollten Sie sich Gewissheit darüber verschaffen, welche Daten das Kinderspielzeug eigentlich sammelt.
i-Que Intelligent Robot
Auch mit Hilfe dieses Spielzeug-Roboters könnten Hacker Kinder und ihre Familien belauschen. Der Hersteller der Spracherkennungssoftware - Nuance Communications - wertet die so entstandenen Nutzerdaten aus und speichert diese.
Tipp: Bevor Sie Ihrem Kind eines der tollen, neuen IoT-Spielzeuge schenken, sollten Sie sich darüber informieren, wie es der Hersteller mit dem Datenschutz hält. Wenn Informationen verfügbar sind, lesen Sie sie - es ist gut zu wissen, wie ihre Daten genutzt werden. Stellen Sie keine unnötigen persönlichen Daten zur Verfügung.
IT-Sicherheit: Menschliche Datenschutz-Fails
Großbritannien: Cabinet Office In Großbritannien gingen 2008 sicherheitspolitisch brisante Daten bezüglich Al-Qaida und den Irak aufgrund eines menschlichen Fehlers verloren. Ein Angestellter des Cabinet Office, welches direkt dem Premierminister und den Ministers of Cabinet untersteht, muss mit seinen Gedanken schon ganz im Feierabend gewesen sein, als er seine Arbeitsunterlagen in einem Pendelzug liegen ließ. Ein Fahrgast fand den Ordner mit den streng geheimen Dokumenten und übergab diesen der BBC, die ihn wiederum an die Polizei weiterleitete. Obwohl die Tagträumerei gerade noch einmal gut ging, wurde der Beamte daraufhin wegen Fahrlässigkeit suspendiert.
Frankreich: TV5 Monde Am 8. April 2015 wurde das Programm von TV5 Monde über mehrere Stunden hinweg blockiert, nachdem sich eine dem IS nahestehende Hacker-Gruppe namens „Cyber-Kalifat“ Zugang zu den IT-Systemen verschafft hatte. Nur einen Tag nach der Cyberattacke erlebte der französische TV-Sender ein Datenschutz-Debakel – dieses Mal aufgrund menschlichen Versagens: Reporter David Delos enthüllte während eines Interviews unabsichtlich die Passwörter für Social-Media-Konten des Senders - darunter YouTube, Instagram und Twitter. Diesen waren auf dem Whiteboard hinter dem Pechvogel zu sehen. Auch wichtige Telefonnummern waren zu sehen. Darüber hinaus offenbarte die Wand auch, wie es zum vorangegangenen Hack durch die Islamisten-Hacker kommen konnte: Und zwar in Form des Passwortes für den YouTube-Account von TV5 Monde: "lemotdepassedeyoutube" ( „daspasswortfüryoutube“).
USA: Department of Veterans Affairs Im Mai 2006 stahl ein Einbrecher den Laptop eines Mitarbeiters des US-Kriegsveteranen-Ministeriums. Dabei wurden ganze 26,5 Millionen Datensätze, die Informationen zu Kriegsveteranen und deren Angehörigen enthielten, entwendet. Der Bestohlene hatte die Daten unerlaubter Weise auf dem Notebook gespeichert, um "von Zuhause aus arbeiten zu können". Dieses menschliche Fehlverhalten wurde darin noch verstärkt, dass die Daten gänzlich unverschlüsselt auf der Festplatte lagen. Einen Monat später tauchte das Device mitsamt den Daten wieder auf - angeblich, ohne Anzeichen einer Kompromittierung. Der entstandene Schaden wurde dennoch auf einen Betrag von 100 bis 500 Millionen Dollar geschätzt. Alleine 20 Millionen Dollar musste das Department of Veteran Affairs in der Folge als Ausgleich an die Geschädigten entrichten.
Norwegen: Steuerbehörde Im Herbst 2008 hat die norwegische Steuerbehörde Daten zur Einkommenssteuer aller vier Millionen Norweger an Zeitungen und Rundfunkanstalten verschickt. Die Behörde veröffentlicht diese Zahlen jährlich, mit dem Ziel die Bürger zu ehrlichen Steuerzahlern zu "erziehen". Außergewöhnlich ist daran nur, dass in diesem Fall auch die sogenanten Personennummer mitveröffentlicht wurde. Diese besteht aus einer Zahlengruppe und dem Geburtsdatum des Bürgers und wird für gewöhnlich von den Daten abgetrennt, um Anonymität zu gewährleisten. Offiziell ist hierbei nicht von einem menschlichen Fehler die Rede, sondern von einem "Formatierungsproblem".
Belgien: Gesellschaft der Belgischen Eisenbahnen Die nationale Gesellschaft der Belgischen Eisenbahnen (NBMS) machte Anfang 2013 einen Ordner mit 1,5 Millionen persönlichen Daten ihrer Kunden via Web öffentlich zugänglich. Aus Versehen. Schuld war ein Mitarbeiter, der einen falschen Knopf gedrückt hat. Die Datensätze enthielten Namen sowie Wohn- und E-Mail-Adressen von NMBS-Kunden - darunter auch die von Mitarbeitern und Abgeordneten der EU-Institutionen in Brüssel.
Hackerangriff auf VTech
Das in HongKong angesiedelte Spielzeug-Unternehmen VTech musste Ende 2015 einen Hackerangriff auf seine App-Store-Datenbank ("LearningLodge") eingestehen. Dabei wurden 11,6 Millionen User-Konten kompromittiert und Fotos sowie Sprachaufnahmen von Kindern und Eltern gestohlen. Darüber hinaus wurden auch persönliche Informationen wie Name, Geschlecht und Geburtsdaten entwendet.
Tipp: Überprüfen Sie, ob der Spielzeug-Hersteller zuvor im Zusammenhang mit Hacks auffällig geworden ist. Wenn ja, sollten Sie sich insbesondere ansehen, wie das Unternehmen darauf reagiert hat. Wenn es sich um einen relativ neuen Hersteller handelt, besteht definitiv ein höheres Sicherheitsrisiko. Besuchen Sie auch die Webseite des Herstellers - eventuell finden sich hier Informationen darüber, wie ernst man bei dem Unternehmen die Sicherheit der Kunden nimmt. Gibt es eventuell sogar eine Meldeplattform für Sicherheitsvorfälle?
Hello Barbie
Auch die interaktive Version der berühmtesten Puppe der Welt sorgte für Kritik. Das Kinderspielzeug besitzt die Fähigkeit zu kommunizieren und kann Gespräche aufzeichnen. Diese Gespräche zwischen Kind und Puppe werden an die Server von Hersteller Mattel gesendet, analysiert und in der Cloud gespeichert. Dieses Vorgehen sorgte für Big-Brother-Vorwürfe. Die Wifi-Verbindung über die diese Daten laufen, könnte darüber hinaus auch von Hackern gekapert werden, die die Daten ebenfalls für ihre Zwecke auswerten.
Tipp: Verlassen Sie sich nicht auf große Markennamen. Recherchieren Sie vor dem Kauf im Netz. Nutzen Sie den WPA2-Standard bei Wifi-Verbindungen - WEP und WPA halten inzwischen kaum einem Hackerangriff mehr stand.
Adminrechte Keine Vergabe von Administratorenrechten an Mitarbeiter
Dokumentation Vollständige und regelmäßige Dokumentation der IT
Sichere Passwörter IT-Sicherheit beginnt mit Sensibilisierung und Schulung der Mitarbeiter sowie mit einer klaren Kommunikation der internen Verhaltensregeln zur Informationssicherheit:<br /><br /> Komplexe Passwörter aus Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen, mindestens achtstellig.
E-Mail-Sicherheit E-Mails signieren, sensible Daten verschlüsseln, Vorsicht beim Öffnen von E-Mail-Anlagen und Links.
Soziale Manipulation Bewusst mit vertraulichen Informationen umgehen, nur an berechtigte Personen weitergeben, sich nicht manipulieren oder aushorchen lassen.
Vorsicht beim Surfen im Internet Nicht jeder Link führt zum gewünschten Ergebnis.
Nur aktuelle Software einsetzen Eine nicht aktualisierte Software lässt mehr Sicherheitslücken offen.
Unternehmensvorgaben Nur erlaubte Daten, Software (Apps) und Anwendungen einsetzen.
Backups Betriebliche Daten regelmäßig auf einem Netzlaufwerk speichern und Daten auf externen Datenträgern sichern.
Diebstahlschutz Mobile Geräte und Datenträger vor Verlust schützen.
Gerätezugriff Keine Weitergabe von Geräten an Dritte, mobile Geräte nicht unbeaufsichtigt lassen und Arbeitsplatz-PCs beim Verlassen sperren.
Sicherheitsrichtlinien Die organisatorischen Strukturen im Hintergrund bilden den erforderlichen Rahmen der IT-Sicherheit. Hier gilt es, klare Regelungen zu formulieren und einzuhalten:<br /><br />Definition und Kommunikation von Sicherheitsrichtlinien
Zugriffsrechte Regelung der Zugriffsrechte auf sensible Daten
Softwareupdates Automatische und regelmäßige Verteilung von Softwareupdates
Logfiles Kontrolle der Logfiles
Datensicherung Auslagerung der Datensicherung
Sicherheitsanalyse Regelmäßige Überprüfung der Sicherheitsmaßnahmen durch interne und externe Sicherheitsanalysen
Notfallplan Erstellung eines Notfallplans für die Reaktion auf Systemausfälle und Angriffe
WLAN-Nutzung Auf technischer Ebene muss ein Mindeststandard gewährleistet sein. Dieser lässt sich größtenteils ohne großen Kostenaufwand realisieren:<br /><br />Dokumentation der WLAN-Nutzung, auch durch Gäste
Firewalls Absicherung der Internetverbindung durch Firewalls
Biometrische Faktoren Einsatz von Zugangsschutz/Kennwörter/Biometrie
Zugangskontrolle Physische Sicherung/Zugangskontrolle und -dokumentation
Schutz vor Malware Schutz vor Schadsoftware sowohl am Endgerät als auch am Internetgateway, idealerweise durch zwei verschiedene Antivirenprogramme
Webzugriffe Definition einer strukturierten Regelung der Webzugriffe
Verschlüsselung Verschlüsselung zum Schutz von Dateien und Nachrichten mit sensiblen Inhalten
Löschen Sicheres Löschen der Daten bei Außerbetriebnahme
Update der Sicherheitssysteme Sicherstellung regelmäßiger Updates der Sicherheitssysteme
Monitoring Permanente Überwachung des Netzwerkverkehrs auf Auffälligkeiten