Verbraucherschützer warnen vor schlecht vernetztem Spielzeug

Peter Marwan,
My Friend Cayla sieht harmlos aus, ist aber Verbraucherschützern zufolge eher ein Trojanisches Pferd als die schöne Helena (Screenshot: silicon.de)

Als besonders schlechte Beispiele aus der Produktkategorie werden die in Deutschland von der Firma Vivid vertriebenen Produkte My Friend Cayla und i-Que an den Pranger gestellt. Sie sollen nicht nur grobe technische Fehler aufweisen, sondern auch durch ihre Konstruktion und den Umgang mit erfassten Daten Verbraucherrechte verletzen.

Die europäische Verbraucherschutzorganisation BEUC hat kurz vor Weihnachten vor vernetzten Spielzeugen gewarnt. Als besonders schlechte Beispiele heben die Verbraucherschützer die Puppe “My Friend Cayla” und der Roboter “i-Que” hervor, die in Deutschland über die Firma Vivid vertrieben werden. Sie versagten “kläglich” bei der Einhaltung grundlegender Verbraucherrechte, in Bezug auf Sicherheit und dem Schutz der Privatsphäre.

Bei seiner Warnung bezieht sich die BEUC auf Untersuchungen des norwegischen Verbraucherschutzverbandes. Auf deren Grundlage bereiten nun mehrere Verbraucherschutzorganisationen in Europe und den USA Beschwerden gegen den Hersteller vor.

“Kinder sind besonders verletzlich und haben daher ein Recht auf Produkte und Dienste die ihre Rechte auf Sicherheit und Privatsphäre besonders schützen. So lange Hersteller nicht bereit sind, diese Thematik ernst zu nehmen ist diese Art von vernetzten Produkten offensichtlich für Kinder einfach nicht geeignet”, erklärt BEUC-Direktorin Monique Goyens. Sie wies zudem darauf hin, dass eine zunehmend größere Anzahl an Firmen sich in dem Feld versucht, was die Marktbeobachtung erschwere. Sie betonte daher noch einmal die Notwendigkeit der Zusammenarbeit zwischen Verbraucherschutzorganisationen und Behörden.

My Friend Cayla sieht harmlos aus, ist aber Verbraucherschützern zufolge eher ein Trojanisches Pferd als die schöne Helena (Screenshot: silicon.de)
My Friend Cayla sieht harmlos aus, ist aber Verbraucherschützern zufolge eher ein Trojanisches Pferd als die schöne Helena (Screenshot: silicon.de)

Speziell bei My Friend Cayla und i-Que, die beide über Möglichkeiten für Sprachausgabe und Sprachaufzeichnung verfügen, bemängeln die Verbraucherschützer, dass Unbefugte mit einigen „einfachen Schritten“ die Kontrolle übernehmen können. Dadurch sei es möglich, ohne physischen Zugriff auf das Gerät zu haben, darüber mit den Kindern zu sprechen oder ihnen zuzuhören. Das hätte leicht verhindert werden könne – etwa durch einen Knopf, der während der Verknüpfung mit einem Smartphone zu drücken wäre.

Außerdem verletzen die Nutzungsbedingungen, die vorsehen, dass Daten an nicht genannte Dritten weitergegeben werden können, EU-Datenschutzbestimmungen und Verbraucherschutzrichtlinien. Desweiteren werde alles, was das Kind sagt, an die in den USA ansässige Firma Nuance Communications, einen Spezialisten für Spracherkennung, übertragen, die sich das recht vorbehalte, diese Daten weiterzugeben und für einen Vielzahl an Zwecken zu verwenden. Und schließlich wird kritisiert, dass bei den vorprogrammierten Sätzen, mit denen die Spielzeuge ausgeliefert werden, auch einige dabei sind, die sich lobend über bestimmte Produkte, darunter auch diverse Disney-Filme äußern, wobei der Hersteller der Anwendung eine Geschäftsbeziehung zu Disney unterhält.

Laut Hersteller ist der "i-Que der clevere und witzige Roboterfreund, der so viel weiß!" Nach Ansicht der Verbraucherschützer jedoch ein schlechter vernetzter Schnüffler, der zu viel weiß Screenshot: silicon.de)
Laut Hersteller ist der “i-Que der clevere und witzige Roboterfreund, der so viel weiß!” Nach Ansicht der Verbraucherschützer jedoch ein schlechter vernetzter Schnüffler, der zu viel weiß Screenshot: silicon.de)

Mit solchen und ähnlichen Warnungen von Verbraucherschützern, Datenschutz und Sicherheitsexperten ist noch häufiger zu rechnen. Es ist auch nicht die erste. Im vergangenen Jahr war die Firma Mattel in die Schlagzeilen geraten, weil Sicherheitslücken bei der vernetzten Barbie-Puppe, der “Hello Barbie” gefunden wurden. Die Puppe nimmt mit dem verbauten Mikrofon ebenfalls Gespräche auf und sendet sie zur Analyse in die Mattel-Cloud. Ähnlich wie Siri oder Cortana kann die Puppe dann auch “aus der Cloud” antworten. Allerdings war die WLAN-Verbindung von der Puppe zum WLAN-Router fehlerhaft implementiert und damit angreifbar. Angreifer konnten sich mit einem von ihnen eingerichteten, ungesicherten WLAN mit der Puppe verbinden. Einzige Voraussetzung: Im Namen des WLANs musste “Barbie” enthalten sein.

Eine weitere Schwachstelle vernetzter Spielzeuge, die dazu genutzte Cloud im Hintergrund, geriet durch den Angriff auf den Hersteller VTech ebenfalls in der Vorweihnachtszeit 2015 in die Diskussion. Ihm sind dadurch Datensätze von Datensätze von 200.000 Kindern gestohlen worden. Außerdem fielen den Angreifern rund 4,8 Millionen Datensätze von Eltern in die Hände. Dazu gehörten E-Mail-Adressen mit den zugehörigen, per MD5 gehashten Passwörtern sowie die Sicherheitsfragen mit den unverschlüsselten Antworten.