Smart Home im Kinderzimmer: Wenn der Teddy spioniert
Die Bundesnetzagentur warnt vor Spielzeug, das mit dem Internet verbunden ist. Daten sind nicht sicher, Käufer*innen können sich strafbar machen.
Die Abhöranlage des 21. Jahrhunderts hat runde Ohren, Knopfaugen und ist pelzig. Der smarte Teddy und auch andere solche Spielzeuge finden sich in vielen Kinderzimmern. Sie können sich mit dem Internet verbinden und sind über Bluetooth mit einer App auf dem Smartphone verbunden. Häufig verfügen sie auch über einen Lautsprecher und ein Mikrofon. Und genau das kann zum Problem werden.
Denn wenn das Mikrofon dem Käufer gegenüber nicht offiziell kommuniziert wird und die aufgenommenen Daten ins Netz gesendet werden, kann die Bundesnetzagentur Spielzeuge und andere smarte Gegenstände als „versteckte, sendefähige Anlage“ einstufen. Die Einführung, der Besitz und das Verbreiten einer solchen Anlage ist in Deutschland verboten. In der vorweihnachtlichen Einkaufszeit, die dieses Jahr vor allem auf Online-Marktplätzen stattfinden wird, warnt die Agentur nun erneut vor zwielichtigen Anbieter*innen, die Abhöranlagen verkaufen und aufgenommene Daten aus Kinderzimmern an Werbetreibende verkaufen.
Mit versteckten Mikros machen sich allerdings nicht nur die Hersteller, sondern auch die Käufer*innen strafbar. Laut Paragraf 90 des Telekommunikationsgesetzes (TKG) liegt eine verbotene Sendeanlage vor, wenn sie der Form nach einen anderen Gegenstand vortäuscht oder als ein Gegenstand des täglichen Gebrauchs getarnt ist.
Erlaubt ist Spielzeug, das etwa Fragen beantwortet, ohne dafür eine Internetverbindung aufzubauen und Daten zum Hersteller zu senden. Auch Babyphone und smarte Lautsprecher wie Amazon Echo sind erlaubt: Erstere, weil klar ist, dass sie der Raumüberwachung dienen; Letztere, weil Echo nur bei einem Aktivierungswort Daten ins Netz sendet und auch klar als Mikro erkennbar ist.
Smarte Puppe Cayla verboten
Im Jahr 2017 wurde die smarte Puppe Cayla hingegen als verbotene Sendeanlage eingestuft. Die Übertragung der Dateien fand per Funk statt, weshalb sie laut TKG eine Sendeanlage ist. Weil Käufer*innen nicht auf Anhieb erkennen konnten, dass ein Mikrofon verbaut war, lag zudem eine Tarnung vor. Die Bundesnetzagentur forderte daraufhin verschiedene Verkaufsstellen dazu auf, die Puppe aus dem Sortiment zu nehmen. Käufer*innen mussten Cayla vernichten und sogar einen „Vernichtungsnachweis“ einer Abfallwirtschaftsstation an die Bundesnetzagentur senden. Wenn sich Betroffene weigern, das Spielzeug zu zerstören, drohen Zwangsgelder von bis zu 25.000 Euro. Auch könne man strafrechtlich belangt werden.
Nun ist die verbotene Sendeanlage nicht das einzige Problem im Kinderzimmer. Wie auch smarte Brotbüchsen und Toaster sind sie häufig nur unzureichend gesichert, bemängeln IT-Expert*innen seit Jahren. Beim eingangs erwähnten smarten Teddy der Firma CloudPets lagen 2017 etwa mehr als 2 Millionen Sprachnachrichten von Eltern und deren Kindern offen im Netz. Dazu fanden sich Mailadressen und Passwörter.
Die Firma Mattel leitete die Aufnahmen ihrer smarten Barbiepuppe an Werbetreibende weiter. Und über ungesicherte Bluetooth-Verbindungen können sich Unbekannte in die Mikrofone einloggen und im Kinderzimmer mithören. Kriminelle Hacker*innen könnten die smarte Barbie zusammen mit anderen Smart-Home-Geräten dazu nutzen, Websites mit Anfragen zu überhäufen und die Server zum Abstürzen zu bringen.
Im Jahr 2018 hat die Bundesnetzagentur bei der Online-Marktüberwachung 14.700 Geräte, darunter Smart-Home-Produkte, von Online-Plattformen entfernen lassen, schreibt sie. Durch die Schwemme von ungesicherten Smart-Home-Produkten aus dem Ausland rennt sie den Hersteller*innen trotz vieler Testkäufe aber trotzdem oft hinterher.
Achtung beim Weihnachtskauf
Ist das Gerät dann einmal im Kinderzimmer, kann es schon zu spät sein. Zwar sollten sich Eltern informieren, was sie ihren Kindern eigentlich genau schenken. Wenn Anbieter*innen aber bewusst täuschen, ist der Gesetzgeber gefragt. Ein Vorstoß könnte ein neuer Paragraf des Bürgerlichen Gesetzbuchs sein, der Anbieter dazu zwingen soll, Sicherheitsupdates zur Verfügung zu stellen, und das über einen längeren Zeitraum.
Ein Entwurf zur Novellierung des IT-Sicherheitsgesetzes von 2015 sieht außerdem vor, dass Hersteller ein Kennzeichen zur IT-Sicherheit an Produkten anbringen sollen. Das Bundesamt für Sicherheit in der Informationstechnik soll dabei mehr Kompetenzen bekommen. Die Kennzeichnung wird aller Voraussicht nach aber freiwillig bleiben. Der Bundestag wird sich mit dem IT-Sicherheitsgesetz 2.0 voraussichtlich im Laufe des Dezembers beschäftigen.
Beim bevorstehenden Weihnachtskauf sollten Eltern indes genau darauf achten, wo das smarte Spielzeug hergestellt wurde und die Datenschutzrichtlinien lesen. Und vielleicht tut es ja auch einfach der klassische Plüschbär.
taz lesen kann jede:r
Als Genossenschaft gehören wir unseren Leser:innen. Und unser Journalismus ist nicht nur 100 % konzernfrei, sondern auch kostenfrei zugänglich. Texte, die es nicht allen recht machen und Stimmen, die man woanders nicht hört – immer aus Überzeugung und hier auf taz.de ohne Paywall. Unsere Leser:innen müssen nichts bezahlen, wissen aber, dass guter, kritischer Journalismus nicht aus dem Nichts entsteht. Dafür sind wir sehr dankbar. Damit wir auch morgen noch unseren Journalismus machen können, brauchen wir mehr Unterstützung. Unser nächstes Ziel: 40.000 – und mit Ihrer Beteiligung können wir es schaffen. Setzen Sie ein Zeichen für die taz und für die Zukunft unseres Journalismus. Mit nur 5,- Euro sind Sie dabei! Jetzt unterstützen
meistkommentiert
Müntefering und die K-Frage bei der SPD
Pistorius statt Scholz!
Kampf gegen die Klimakrise
Eine Hoffnung, die nicht glitzert
Rentner beleidigt Habeck
Beleidigung hat Grenzen
Unterwanderung der Bauernproteste
Alles, was rechts ist
Angeblich zu „woke“ Videospiele
Gamer:innen gegen Gendergaga
Die Brennelementefabrik und Rosatom
Soll Lingen Außenstelle von Moskaus Atomindustrie werden?