Smart Toys – Spione im Kinderzimmer

Redakteur: Sebastian Gerstl

Im Februar zog die Bundesnetzagentur die Spielzeugpuppe Cayla aus dem Verkehr, da sie von Fremden leicht als Spionagegerät zu missbrauchen war. Die Stiftung Warentest hat nun sieben weitere intelligente Spielzeuge fürs Kinderzimmer untersucht – mit erschütterndem Ergebnis.

Firma zum Thema

So genannte "Smart Toys" - Spielzeugroboter und Plüschtieren mit einer Wireless-Verbindung und "intelligenten" Apps - können sich mit Kindern unterhalten. Doch wie Stiftung Warentest feststellt, kommunizieren die kleinen Gefährten auch sehr viel über ihre Besitzer nach Außen weiter - und es ist oft nicht schwer, sich in diese Kommunikation einzuklinken.
So genannte "Smart Toys" - Spielzeugroboter und Plüschtieren mit einer Wireless-Verbindung und "intelligenten" Apps - können sich mit Kindern unterhalten. Doch wie Stiftung Warentest feststellt, kommunizieren die kleinen Gefährten auch sehr viel über ihre Besitzer nach Außen weiter - und es ist oft nicht schwer, sich in diese Kommunikation einzuklinken.
(Bild: Stiftung Warentest)

Auch Kinderspielzeug wird modernisiert. In einer Zeit, in der Tablets oder Smartphones allgegenwärtig scheinen und in der es leichter als je zuvor ist, Geräte oder Gegenstände mit einer schnurlosen funk- bzw Internetversbundung auszustatten, scheint der Schritt zu einem "Smart Toy" sehr naheliegend. Junge Kinder, die mit ihrem Lieblings-Plüschtier spielen, reden auch mit ihm – wäre es da nicht nett, wenn Teddy da auch antworten könnte? Oder wenn sich der Robo-Hund auch einfach mit dem eh schon vorhandenen Smartphone fernsteuern ließe?

Das denken sich auch viele Spielzeughersteller und produzieren immer mehr sogenannte Smarte Spielzeuge - Spielzeugroboter, Puppen oder Plüschtiere, die mit einer Internet-Verbindung oder einer Verbindung zu einer zugehörigen Smartphone-App ausgestattet sind. Die Stiftung Warentest hat sieben solche Vernetzte Spielzeuge getestet und auf Sicherheit geprüft.

Die Idee hinter "Smart Toys" scheint solide: Eltern können beispielsweise in der App Sprach- oder Textnachrichten hinterlassen und somit auch auf ihren Nachwuchs einwirken, ohne das er es merkt. Was Eltern aber erschrecken sollte: Wenn diese Spielzeuge keine sichere Verbindung aufbauen, können das auch problemlos Fremde. genau dies war allerdings bei zwei der sieben getesteten Spielsachen der Fall.

„Einige von diesen Spielzeugen sind brandgefährlich, weil sie eine ungesicherte Funkverbindung haben. Das heißt, dass jeder Smartphone-Besitzer sich mit ihnen verbinden kann, um das Kind abzuhören, es auszufragen oder zu bedrohen“, sagt test-Redakteur Martin Gobbin.

Der i-Que Intelligent Robot baut beispielsweise einfach nur eine ungesicherte Bluetooth-Verbindung zu einem Smartphone auf - per App können über so eine Verbindung ungefiltert Nachrichten an den Spielzeugrobot gesendet werden, die dieser dann ans Kind weitergibt. Auch die Antworten des Kindes können darüber abgehört werden - auf eine Distanz von zehn Metern hinweg. Dies funktioniert zum Teil auch durch Wände hindurch - also beispielsweise auch aus der Nachbarswohnung.

Auch der Toy-Fi Teddy kann mit seinem Besitzer reden - dazu drückt man einfach nur auf seine Pfote, und der Bär ruft eine via Internet hinterlegte Nachricht ab. Um diese dem Spielzeug zu übermitteln, braucht es mit einem Android-Smartphone nur eine generische, kostenlose App von CloudPets - für den Zugriff auf den Teddy sind weder ein eigenes Passwort noch eine PIN notwendig. Auch der Roboterhund Chip - immerhin ein Spielzeug - das mehr als 200 Euro kostet - lässt sich mit jedem Smartphone fernsteuern; die zugehörige App gibt es kostenlos im App-Store. Kein Wunder, dass Stiftung Warentest diese drei Spielzeuge als "sehr kritisch" einstuft. Das entlastende Prädikat "unkritisch" bekam aber kein einziges der sieben getesteten Spielzeuge verliehen.

Denn die anderen vier getesteten Spielzeuge - zwei weitere Plüschtiere, ein Plastik-Dino und die bereits von Datenschützern bemängelte Plastikpuppe "Hello Barbie!" sind nicht empfehlenswert und werden als kritisch eingestuft. Zwar bauen diese Spielzeuge keine vollkommen ungesicherte Verbindung zum nächstgelegenen Smartphone mit einer passenden App auf, sondern verlangen eine Einrichtung samt Passwortangabe. Allerdings wird dieses Passwort zwar verschlüsselt, aber ohne zusätzlichen Hash zum Verbindungsserver übermittelt. Im Falle eines Serverhacks stünden einem Angreifer dann sämtliche Login-Daten zur Verfügung.

Das dies schneller geschehen kann als einem lieb ist, zeigt der Fall VTech: Im November 2015 gelang Hackern ein Einbruch in Datenbanken des Smart-Toy-Anbieters aus Hongkong. Laut VTech waren allein in Deutschland rund 900.000 Nutzer betroffen. In den Kundenkonten standen unter anderem Namen und Geburtstage von Kindern.

Auch die bereits erwähnte App CloudPets wurde bereits Ziel von Hackern: Unbekannten gelang es im Februar diesen Jahres, in die Server des Unternehmens einzudringen und mehr als 500.000 Datensätze zu entwenden - neben Nutzerprofilen, die sich eindeutig via Smartphonedaten zuordnen lassen, enthielten diese auch sämtliche Informationen, die Teddy sonst noch sichert.

Teddys großer Lauschangriff

Denn nicht nur die Kommunikation mit dem Kind ist als kritisch anzusehen, manche dieser intelligenten Spielsachen entwickeln eine regelrechte Datensammelwut. So niedlich die Plüschtiere, Roboter und Puppen auch wirken mögen: Sie agieren letztendlich wie Spione im Kinderzimmer.

Diejenigen, die mit den Kindern kommunizieren können, nehmen über integrierte Mikrofone alles auf was zu ihnen gesagt wird, und speichern diese Informationen auf Servern ab. Manche Anbieter gehen mehr, manche weniger transparent mit diesem Umstand um. Mattell, die Hersteller der Hello Barbie, stellen die Aufnahmen sogar den Eltern online direkt zur Verfügung.

Doch es geht nicht nur darum, dass Eltern - oder Unbefugte Dritte - das Kind belauschen können. Einige Apps, über die die Spielzeuge gesteuert werden, erfassen die Geräte-ID des Smartphones, übertragen Nutzerdaten an Drittfirmen oder setzen Tracker, die möglicherweise das Surfverhalten der Eltern protokollieren können.

Dabei wäre diese Sammelwut nicht notwendig; der Zweck ist ein anderer. Zu solchen Drittfirmen zählt in einem Fall beispielsweise Flurry - ein Unternehmen, dass auf Datenanalysen und individuell zugeschnittene Werbung spezialisiert ist. Zwei weitere Apps senden gesammelte Daten an die Werbedienste von Google. Nicht nur das Kind, sondern auch die Eltern werden damit zu gläsernen Nutzern.

Den pädagogischen Sinn der Spielzeuge haben die Tester zwar nicht bewertet. Angesichts der festgestellten Mängel kommen sie aber zu dem Schluss: Angesichts solcher Sicherheitsmängel ist ein nicht internetfähiger, „dummer“ Teddy wohl auch in Zukunft die schlauere Wahl.

(ID:44862051)