Smart Home im Kinderzimmer: Wenn der Teddy spioniert

Die Abhöranlage des 21. Jahrhunderts hat runde Ohren, Knopfaugen und ist pelzig. Der smarte Teddy und auch andere solche Spielzeuge finden sich in vielen Kinderzimmern. Sie können sich mit dem Internet verbinden und sind über Bluetooth mit einer App auf dem Smartphone verbunden. Häufig verfügen sie auch über einen Lautsprecher und ein Mikrofon. Und genau das kann zum Problem werden.

Denn wenn das Mikrofon dem Käufer gegenüber nicht offiziell kommuniziert wird und die aufgenommenen Daten ins Netz gesendet werden, kann die Bundesnetzagentur Spielzeuge und andere smarte Gegenstände als „versteckte, sendefähige Anlage“ einstufen. Die Einführung, der Besitz und das Verbreiten einer solchen Anlage ist in Deutschland verboten. In der vorweihnachtlichen Einkaufszeit, die dieses Jahr vor allem auf Online-Marktplätzen stattfinden wird, warnt die Agentur nun erneut vor zwielichtigen An­bie­ter*in­nen, die Abhöranlagen verkaufen und aufgenommene Daten aus Kinderzimmern an Werbetreibende verkaufen.

Mit versteckten Mikros machen sich allerdings nicht nur die Hersteller, sondern auch die Käufer*innen strafbar. Laut Paragraf 90 des Telekommunikationsgesetzes (TKG) liegt eine verbotene Sendeanlage vor, wenn sie der Form nach einen anderen Gegenstand vortäuscht oder als ein Gegenstand des täglichen Gebrauchs getarnt ist.

Erlaubt ist Spielzeug, das etwa Fragen beantwortet, ohne dafür eine Internetverbindung aufzubauen und Daten zum Hersteller zu senden. Auch Babyphone und smarte Lautsprecher wie Amazon Echo sind erlaubt: Erstere, weil klar ist, dass sie der Raumüberwachung dienen; Letztere, weil Echo nur bei einem Aktivierungswort Daten ins Netz sendet und auch klar als Mikro erkennbar ist.

Smarte Puppe Cayla verboten

Im Jahr 2017 wurde die smarte Puppe Cayla hingegen als verbotene Sendeanlage eingestuft. Die Übertragung der Dateien fand per Funk statt, weshalb sie laut TKG eine Sendeanlage ist. Weil Käufer*innen nicht auf Anhieb erkennen konnten, dass ein Mikrofon verbaut war, lag zudem eine Tarnung vor. Die Bundesnetzagentur forderte daraufhin verschiedene Verkaufsstellen dazu auf, die Puppe aus dem Sortiment zu nehmen. Käufer*innen mussten Cayla vernichten und sogar einen „Vernichtungsnachweis“ einer Abfallwirtschaftsstation an die Bundesnetzagentur senden. Wenn sich Betroffene weigern, das Spielzeug zu zerstören, drohen Zwangsgelder von bis zu 25.000 Euro. Auch könne man strafrechtlich belangt werden.

Nun ist die verbotene Sendeanlage nicht das einzige Problem im Kinderzimmer. Wie auch smarte Brotbüchsen und Toaster sind sie häufig nur unzureichend gesichert, bemängeln IT-Ex­per­t*in­nen seit Jahren. Beim eingangs erwähnten smarten Teddy der Firma CloudPets lagen 2017 etwa mehr als 2 Millionen Sprachnachrichten von Eltern und deren Kindern offen im Netz. Dazu fanden sich Mail­adres­sen und Passwörter.

Die Firma Mattel leitete die Aufnahmen ihrer smarten Barbiepuppe an Werbetreibende weiter. Und über ungesicherte Bluetooth-Verbindungen können sich Unbekannte in die Mikrofone einloggen und im Kinderzimmer mithören. Kriminelle Hacker*in­nen könnten die smarte Barbie zusammen mit anderen Smart-Home-Geräten dazu nutzen, Websites mit Anfragen zu überhäufen und die Server zum Abstürzen zu bringen.

Im Jahr 2018 hat die Bundesnetzagentur bei der Online-Marktüberwachung 14.700 Geräte, darunter Smart-Home-Produkte, von Online-Plattformen entfernen lassen, schreibt sie. Durch die Schwemme von ungesicherten Smart-Home-Produkten aus dem Ausland rennt sie den Hersteller*innen trotz vieler Testkäufe aber trotzdem oft hinterher.

Achtung beim Weihnachtskauf

Ist das Gerät dann einmal im Kinderzimmer, kann es schon zu spät sein. Zwar sollten sich Eltern informieren, was sie ihren Kindern eigentlich genau schenken. Wenn Anbieter*innen aber bewusst täuschen, ist der Gesetzgeber gefragt. Ein Vorstoß könnte ein neuer Paragraf des Bürgerlichen Gesetzbuchs sein, der Anbieter dazu zwingen soll, Sicherheitsupdates zur Verfügung zu stellen, und das über einen längeren Zeitraum.

Ein Entwurf zur Novellierung des IT-Sicherheitsgesetzes von 2015 sieht außerdem vor, dass Hersteller ein Kennzeichen zur IT-Sicherheit an Produkten anbringen sollen. Das Bundesamt für Sicherheit in der Informationstechnik soll dabei mehr Kompetenzen bekommen. Die Kennzeichnung wird aller Voraussicht nach aber freiwillig bleiben. Der Bundestag wird sich mit dem IT-Sicherheitsgesetz 2.0 voraussichtlich im Laufe des Dezembers beschäftigen.

Beim bevorstehenden Weihnachtskauf sollten Eltern indes genau darauf achten, wo das smarte Spielzeug hergestellt wurde und die Datenschutzrichtlinien lesen. Und vielleicht tut es ja auch einfach der klassische Plüschbär.