• Homepage
  • >
  • Sicherheit
  • >
  • Smartes Kinderzimmer: Wenn Kinderspielzeug zum kritischen Datenleck wird

Smartes Kinderzimmer: Wenn Kinderspielzeug zum kritischen Datenleck wird

Das „Internet der Dinge“ ist nicht nur seit dem Hack extrem günstiger Webcams in aller Munde: Smarte Geräte sprießen aktuell aus allen Ecken und wie immer ist dort, wo Licht ist, auch immer Schatten. „Smart“ soll das eigene Zuhause werden und auch wenn ich Freund dieser Technik bin, muss man doch ein Auge drauf werfen, wer da was wohin sendet – falls das noch möglich ist. Nach „Cayla“ folgt nun ein weiterer Fall im Kinderzimmer, über den die Sicherheits-Experten von G DATA berichteten und der unlängst für weiteres Medieninteresse sorgte.

Fand ich bereits die Video-Barbie unserer Großen seinerzeit schon befremdlich (die hatte immerhin eine VGA-Kamera eingebaut, übertrug ihre Aufnahmen aber noch per USB), so reden wir heute über ganz andere Sachen. Die Firma „Spiral Toys“ verkauft beispielsweise ans Internet angeschlossene Plüschtiere der Marke „Cloudpets„, die Sprachaufzeichnungen zwischen Kindern und Eltern auch aus der Ferne möglich machen. Der Name ist hier dann auch Programm, doch auch die Cloud ist offenbar nicht immer gut.

Mit Hilfe einer mobilen App werden kurze Begrüßungen, Glückwünsche zum Geburtstag oder andere Nachrichten aufgenommen und diese über einen Cloud-Dienst an den Nachwuchs gesendet beziehungsweise Antworten auf dem Kuscheltier eingesprochen und via Smartphone empfangen. Die sensiblen Aufzeichnungen im .wav-Format sind jedoch nun im Internet durch ein großes Datenleck offengelegt und stehen fremden Personen zur Verfügung. Betroffen sind 800.000 registrierte Benutzer mitsamt E-Mail-Adressen – das fände ich als Elternteil nicht wirklich erquickend.

Wie es dazu kommen konnte, erklärt das G DATA-Team wie folgt: Kriminellen war dies durch eine nicht ausreichend gesicherte MongoDB-Datenbank des Anbieters möglich. Ein Informant, der das kritische Sicherheitsleck bemerkte, schrieb dem Hersteller mehrfach hinweisende Nachrichten, jedoch mit ausbleibender Reaktion. Dies ist nicht das erste Mal, dass durch mangelhafte Sicherheit bei augenscheinlich smarten Spielzeugen Daten missbraucht werden. Weihnachten 2015 griffen Eltern zur elektronischen „Hello Barbie“ (beschwerte ich mich jemals über die on-premises Video-Barbie?), die ebenfalls ungeschützt bestimmte Daten an eine Cloud schickte.

Zum aktuellen Fall kommt erschwerend hinzu, dass die Accounts der 800.000 betroffenen Personen eine unzureichende Passwortstärke aufweisen. „123456“, „password“ oder „abc“ sind nur wenige Beispiele, die für den Login verwendet werden und zumindest hier nicht dem Hersteller, sondern leider der Faulheit der User anzulasten. Diese sehr simplen und damit leicht zu umgehenden Kombinationen aus Zahlen und Buchstaben lassen sich sehr schnell knacken und gewähren rasch Zugang zu sensiblen Daten. Komplexität bei Kennwörtern hilft – auch wenn es „nur“ Spielzeug ist, also auch hier definitiv weiter.

Doch was ist zu tun, wenn sich trotz starkem Passwort Kriminelle Zugang zu einer ungeschützten Datenbank verschaffen, wie im Falle von Spiral Toys? Das Internet der Dinge bleibt ein gefährlicher Ort ohne den romantischen Pioniergeist, da viele Hersteller softwareseitig noch keinerlei Sicherheitsmechanismen in ihre Gerätschaften implementiert haben. Erschwerend kommen die Vielzahl und damit verbunden die Heterogenität von Geräten hinzu, die mit einer Cloud kommunizieren – es ist bereits jetzt mehr als schwer, die Übersicht zu behalten.

Der Endanwender muss allerdings auch hier nach wie vor für sichere Kennwörter sorgen, die den Zugang zu diesen Diensten regeln und eben nicht dieselben sind wie wichtige, persönliche Kennwörter anderer Services. Das auch die Komplexität eine Rolle spielt, ist hierbei selbstverständlich. Auch die Differenzierung, welche Geräte denn nun wirklich ins Internet müssen und welche nicht, hilft gedanklich ebenso weiter wie eine gesunde Portion Sorgfalt beim Umgang mit den eigenen Daten. Das sind eigentlich allgemein gültige Überlegungen und beziehen sich nicht nur auf das genannte Spielzeug, sondern auf den digitalen „Dresscode“, den man auch hier nicht verletzten sollte – im eigenen Sinne und im Sinne des Kindes!

 

  • facebook
  • googleplus
  • twitter
  • linkedin
  • linkedin
  • linkedin

Stolzer Familienvater. Digital Native und chronischer Device-Switcher. Multimedia-Freak. UK-Fan, auch mit Brexit. Blogger mit stets zu wenig Zeit. Hobbyphilosoph. Musik-Enthusiast. Querdenker. Zyniker. Hauptberuflicher IT-Consultant- & Vertriebler. Auch zu finden bei XING. Dieser Artikel hat einen Job oder zumindest Euren Seelenfrieden gerettet und gegebenfalls sogar für Kurzweil gesorgt? Die PayPal-Kaffeekasse freut sich - dankeschön!

  • facebook
  • twitter
  • googleplus
  • linkedIn
  • instagram
  • telegram

Kommentar verfassen