Cyber-Sicherheit
Verbraucherschützer warnen vor gefährlichem Spielzeug
Die Verbraucherzentralen sehen eine zunehmende Bedeutung für Sicherheitsregeln bei vernetzten Digitalgeräten wie "smarten" Uhren oder Spielzeug. Die Chefin des Bundesverbands, Ramona Pop, sagte der Deutschen Presse-Agentur: "Cyber-SicherheitCyber-Sicherheit ist zum Alltagsthema geworden." Sie betreffe nicht mehr nur die kritische Infrastruktur in wichtigen Versorgungsbereichen und Unternehmen. "Fast alle sind vernetzt - im Smart HomeSmart Home oder über Fitnessarmbänder." Alles zu Security auf CIO.de Alles zu Smart Home auf CIO.de
Es sei daher gut, dass die EU sich mit einer Verordnung auf den Weg gemacht habe, vernetzte Geräte sicherer zu machen. "Endlich werden vernetzte Alltagsgegenstände wie Smart Watches, Smart-Home-Server, smarte Spielzeuge und Sicherheitsprodukte wie Türschlösser als sicherheitskritisch anerkannt", sagte Pop. Damit würden an diese Produkte bereits vor Markteintritt besondere Anforderungen gestellt.
Neue EU-Regeln für vernetzte Alltagsprodukte
Um Geräte wie private Überwachungskameras oder smarte Kühlschränke besser vor Cyberangriffen zu schützen, hatten sich Unterhändler von Europaparlament und EU-Staaten Ende November auf neue Regeln verständigt. Sie sollen für alle Produkte gelten, die direkt oder indirekt mit einem anderen Gerät oder einem Netzwerk verbunden sind.
Hersteller sollen unter anderem eine Risikobewertung für Produkte abgeben müssen. Die Vorschriften sollen drei Jahre nach Inkrafttreten des Gesetzes greifen, um Anbietern Zeit für die Umsetzung zu lassen.
Verbraucherschützer kritisieren fehlende Update-Verpflichtung
Pop monierte, dass die Politik dem Drängen der Hersteller nachgegeben habe und sicherheitsrelevante Updates nicht während der gesamten Nutzungsdauer von Produkten bereitgestellt werden müssten. "Das ist weder verbraucherfreundlich noch nachhaltig." Im schlimmsten Fall müsse man eine funktionsfähige Smart Watch wegwerfen, weil es kein Update mehr gebe, das Sicherheitslöcher schließt. Zudem sollten die Regelungen erst Ende 2026 gelten. "Die Smart Watch oder der smarte Teddy sollten also erst in drei Jahren mit gutem Gewissen verschenkt werden."
Hintergrund von Sicherheitsrisiken ist etwa auch, dass Geräte versteckte sendefähige Kameras oder Mikrofone haben können. Nach Angaben der Bundesnetzagentur sind zum Schutz der Privatsphäre Produkte verboten, die unbemerkt Bilder oder Töne aufnehmen und kabellos an Geräte wie Smartphones übertragen.
Tipps von Security-Experten für vernetzes Spielzeug
"Wer einem jungen Menschen zu Weihnachten ein mit dem Internet verbundenes 'intelligentes' Spielzeug schenken möchte, sollte auf versteckte und schwerwiegende Sicherheitsrisiken achten, die bei manchen Gadgets quasi im Kauf inbegriffen sind", hatte der IT-Security-Anbieter Sophos vor Weihnachten mitgeteilt. "Denn im Zusammenhang mit dem Internet of ThingsInternet of Things (IoT), zu dem auch smarte Spielzeuge gehören, gibt es seit Jahren immer wieder größere Sicherheitsprobleme. ... Viele dieser Produkte werden auf Software-Ebene übereilt zusammengeschustert, was dazu führt, dass sowohl die Sicherheit des Geräts als auch die der Online-Konten miserabel ist. Und nur wenige werden für Schwachstellen gepatcht." Alles zu Internet of Things auf CIO.de
Eltern, Großeltern oder Freunden empfahl Sophos daher, vor dem Kauf smarter Spielzeuge folgede Fragen zu stellen:
Welche Daten werden vom Hersteller erhoben und wie werden sie weiterverarbeitet?
Wie lauten die Datenschutzbestimmungen für das Spielzeug und für die zugehörigen Apps?
Welche Zugriffsrechte sind für das Spielzeug und die zugehörigen Apps vorgesehen?
Lassen sich Kameras oder Mikrofone abschalten?
Ist die Internetverbindung konstant oder kann sie getrennt werden?
Wie sieht es mit einem Passwortschutz aus, ist dieser vorhanden und kann dieser geändert werden?
Gibt es Updates für das Produkt, welche nicht nur das Spielerlebnis, sondern auch die Sicherheit verbessern?
"Wer ein vernetztes Spielzeug kauft, kann nicht wissen, wie sicher es ist, weder bei der lokalen Anwendung noch bei der Übertragung der gesammelten Daten an entfernte Server", sagte Michael Veit, Security-Experte bei Sophos. "Wenn es von Anfang an nicht gut gesichert ist, gibt es keine Garantie, dass Probleme irgendwann erkannt und behoben werden. Unser zweiter Rat ist, vor dem Kauf eine Internet-Suche nach dem Spielzeug und seinem Hersteller durchzuführen, um bekannte Probleme zu ermitteln.“
Der richtige Umgang mit "intelligentem" Spielzeug
Für den Umgang mit bereits erworbenem "intelligentem" Spielzeug empfiehlt Veit:
Verwenden Sie solche Spielzeuge nur in einer vertrauenswürdigen Umgebung, zum Beispiel zu Hause. Damit kann verhindert werden, dass persönliche Informationen von Unbefugten abgefangen werden.
Verbinden Sie internetfähige Spielzeuge nur mit einem passwortgeschützten WLAN und zudem nur dann, wenn eine Online-Verbindung für die Nutzung unbedingt notwendig ist.
Viele Spielzeuge benötigen zwar Internet, jedoch nicht den Zugang zu sensiblen Daten. Sie in das Gastnetz einzubinden, reicht in den meisten Fällen aus und verhindert den unkontrollierten Zugriff auf private Daten.
Achten Sie darauf, falls vorhanden, einen Zugriffsschutz zu aktivieren, um den Missbrauch von Daten zu verhindern, wenn das Spielzeug in fremde Hände gerät.
Wenn das Spielzeug mit einer App oder Benutzeroberfläche ausgestattet ist, ändern Sie wenn möglich den Benutzernamen und setzen Sie ein sicheres Passwort (bestehend aus großen und kleinen Buchstaben, Zahlen und Sonderzeichen)
Prüfen Sie regelmäßig, ob Updates verfügbar sind und installieren Sie diese. (dpa/pma/rs)