Aktuelles, Branche - geschrieben von dp am Freitag, Dezember 16, 2016 22:39 - noch keine Kommentare
Smartes Spielzeug: Oh, du fröhliche Datensammelzeit
Weiterleitung persönliche Daten über das Internet
[datensicherheit.de, 16.12.2016] Im Vorfeld des Weihnachtsfestes 2016 raten Experten der G DATA Security Labs insbesondere Eltern, gerade bei elektronischem Spielzeug genauer hinzuschauen, denn diese können „smarter“ sein als gedacht. Nach Erkenntnissen von Forschern sammeln demnach manche Spielzeuge Informationen wie Namen, GPS-Daten und auch Stimmaufzeichnungen – zum Entsetzen von Datenschützern.
Kinderspielzeug: Alle Jahre wieder Datenschutz-Bedenken
Jedes Jahr zu Weihnachten haben Eltern oft die Qual der Wahl – die Weihnachtswünsche der Kinder sind teilweise sehr konkret, was die Suche nach dem richtigen Geschenk vereinfacht, aber Eltern sollten gerade bei elektronischem Spielzeug Vorsicht walten lassen, denn manchmal sind Puppen „smarter“ als man eigentlich möchte.
In der Vergangenheit habe es bereits Berichte über mangelhafte Sicherheit bei „smarten“ Kinderspielzeugen gegeben, so Tim Berghoff in einer aktuellen Stellungnahme. So habe z.B. „Hello Barbie“ in der Weihnachtssaison 2015 von sich reden gemacht, indem sie bestimmte Daten unzureichend gesichert verarbeitet und teilweise in die Cloud geschickt habe. Das habe nun Mattel, den Hersteller der berühmten Puppe, die Negativ-Auszeichnung „Big Brother Award“ eingebracht.
Kein Kinderspiel: Eifrige Datensammler
2016 sorge der seine Produkte auch in Deutschland vertreibende Hersteller „Genesis Toys“ für Aufruhr bei Eltern und Datenschützern. Nach Erkenntnissen von Forschern sammele das Spielzeug Informationen wie Namen, GPS-Daten und auch Stimmaufzeichnungen. Laut einer von Datenschützern eingereichten Klageschrift, die am 6. Dezember 2016 bei der Federal Trade Commission (FTC) eingegangen sei, fragten die beanstandeten Puppen die folgenden Informationen ab:
- Namen des Kindes
- Namen der Eltern
- Lieblingsessen
- Ort des Schulbesuchs
- Lieblings-Fernsehsendung
- Lieblings-Prinzessin
- Lieblingsspielzeug
Das Sammeln dieser Daten und deren Übersendung ins Internet dürfte hierzulande zumindest Besorgnis hervorrufen. Diese Daten seien sehr persönlicher Natur. Gelangen diese Daten in die Händen von Straftätern, seien katastrophale Ereignisse vorprogrammiert, warnt Berghoff. Es dürfte kaum jemandem daran gelegen sein, dass Straftäter beispielsweise den Wohnort und die Schule fremder Kinder kennen und auch Informationen besitzen, die sonst nur dem engsten Familienkreis bekannt sind.
Little Toy is listening to you!
Die Spielzeuge seien zudem praktisch ideale Abhörgeräte, denn sie ließen sich am besten Ort verstecken, den es gibt: ganz offen im Raum. Konfiguriert werde dieses Spielzeug über eine separate App, die es für „iOS“ und „Android“ gebe. Eine Verbindung zum Spielzeug werde per Bluetooth hergestellt. Die App verlange recht umfassende Berechtigungen, unter Anderem eben Zugriff auf das Mikrofon, ohne allerdings darüber aufzuklären, was genau die Berechtigungen bedeuten.
Datenauswertung in den USA
Die gesammelten (Stimm-)Daten würden jedoch nicht durch Genesis Toys verarbeitet. Die Stimmerkennung des Spielzeuges nutze die Technologie eines anderen Anbieters namens Nuance Communications.
Die gesammelten Daten würden in die USA übermittelt, wo der Anbieter die Daten analysiere. Dieses Vorgehen sei per se nicht unüblich; wer „Siri“ auf seinem „iPhone“ oder „iPad“ nutzt, greife auf ein Apple-Pendant einer vergleichbaren Infrastruktur zurück.
Die Analyse der gesprochenen Worte finde bis auf wenige Ausnahmen immer in der Cloud statt, da die lokal verfügbare Rechenleistung in einem Smartphone oder einem Kinderspielzeug nicht ausreichend sei. Problematisch werde es, wenn mit Daten von Minderjährigen umgegangen wird.
Es stand doch alles in den AGB…
Berghoff: „Wann haben Sie zuletzt mehrere Seiten AGB oder Lizenzbestimmungen gelesen, bevor Sie auf ,Ich akzeptiere die AGB‘ geklickt haben?“ Weder Genesis Toys noch Nuance Communications machten einen Hehl daraus, was wie mit den gesammelten Daten tun. Es stehe fast alles in den AGB.
Allerdings sei einiges davon so nebulös formuliert und versteckt, dass man schon sehr genau hinsehen müsse. Wer wissen will, wie genau Nuance Communications mit den gesammelten Daten verfährt, werde in den Bestimmungen per Link auf die Datenschutzrichtlinien von Nuance verwiesen – dort heiße es explizit, dass die Daten auch für Werbezwecke eingesetzt würden.
So sei es nicht verwunderlich, dass die Spielzeuge auch als Plattform für Produktplazierungen genutzt würden. In der US-Version sei aufgefallen, dass eine der Puppen explizit sage, dass sie gerne in die „Disney World“ fahre und dass ihre Lieblingsattraktion dort das „Epcot-Center“ sei.
Zielgruppe kann nicht rechtsverbindlich zustimmen!
Wenn es um die persönlichen Daten von Kindern geht, seien sowohl Datenschützer als auch Eltern hoch sensibilisiert. Daher beruhe die Anzeige zu großen Teilen darauf, dass die Zielgruppe, für die die beanstandeten Spielzeuge gedacht sind, von Gesetzes wegen überhaupt nicht zu einer rechtlich verbindlichen Zustimmung fähig sei.
In der Tat seien auch in Deutschland Kinder unter 14 Jahren nur eingeschränkt geschäftsfähig, weshalb diese beispielsweise Vertragswerken nicht rechtsverbindlich zustimmen könnten. Überdies könne man auch nicht verlässlich verifizieren, ob die Eltern tatsächlich ihr Einverständnis gegeben haben.
Weitere Informationen zum Thema:
G DATA Security Blog, 16.12.2016
Tim Berghoff: „Alle Jahre wieder: Datenschutz und Kinderspielzeug“
datensicherheit.de, 21.10.2016
Individueller Netzwerkschutz: Große Nachfrage auf der „it-sa 2016“
datensicherheit.de, 29.03.2016
eco startet Veranstaltungsreihe LocalTalk 2016 – Datacenter Life Savers –
Aktuelles, Experten - Nov 22, 2024 18:30 - noch keine Kommentare
Mal wieder IP-Datenspeicherung angestrebt: DAV fordert nachdrücklich, Überwachungsphantasien abzustellen
weitere Beiträge in Experten
- ePA für alle: Daten für die Forschung und das Risiko trägt der Patient
- CRA endgültig in Kraft getreten: Digitale Produkte in der EU kommen auf den Prüfstand
- Datenleck bei Öko-Stromanbieter: 50.000 Datensätze deutscher Tibber-Kunden im Darknet
- HmbBfDI unternahm branchenweite Schwerpunktprüfung im Forderungsmanagement
- Repräsentative Studie von Civey und QBE: Über 24 Prozent deutscher Unternehmen kürzlich von Cyber-Attacke betroffen
Aktuelles, Branche - Nov 23, 2024 11:35 - noch keine Kommentare
Black Friday: 89 Prozent mehr ominöse Shopping-Websites als 2023
weitere Beiträge in Branche
- PyPI-Lieferkette im Visier: Kaspersky deckte Cyber-Angriff auf
- Im Kontext der CRA-Umsetzung droht Herstellern Open-Source-Falle
- Gelsemium-Hacker: ESET warnt vor neuen Linux-Backdoors
- Laut 2025 Identity Fraud Report alle fünf Minuten ein Deepfake-Angriff
- Unternehmen sollten NIS-2 ernst nehmen und schnell konforme Lösungen etablieren
Branche, Umfragen - Dez 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Kommentieren