HOME

Mit diesen Spielzeugen können Hacker Kinder manipulieren

Ein Spielzeug mit Abhörfunktion, das von Fremden gehackt werden kann? Die Puppe "Cayla" machte genau damit vor einigen Wochen Schlagzeilen. Der Verkauf wurde sogar offiziell verboten. Doch diese Puppe ist nicht das einzige Spielzeug, durch das Kinder ausspioniert werden könnten.

Die sechsjährige Jolisa möchte ihre Puppe nicht hergeben - auch wenn ihre "Cayla" offiziell aus technischen Gründen verboten wurde.

Die sechsjährige Jolisa möchte ihre Puppe nicht hergeben - auch wenn ihre "Cayla" offiziell aus technischen Gründen verboten wurde.

Ein fremder Mann, der vor der Terrassentür steht – und ein kleines Mädchen, das ihm die Tür arglos und ohne zu Zögern öffnet…

Das war der Ausgang eines stern TV-Tests, den IT-Sicherheitsexperte Tobias Schrödel mit der Erlaubnis der Eltern gemacht hat. "Als ich gesehen habe, dass sie die Tür aufmacht, schnürte es mir die Kehle zu", sagt Silke Bokelkamp über die Szene mit ihrer vierjährigen Tochter Emma. Die Kleine hatte in dem Zimmer alleine mit einer Puppe gespielt – einem Kinderspielzeug.

Mehr als nur Datenspionage möglich

Noch nie haben die Deutschen mehr Geld für Spielwaren ausgegeben. 2016 betrug der Branchenumsatz über drei Milliarden Euro. Vor allem teures Hightech-Spielzeug wird immer beliebter, darunter auch "My Friend Cayla". Die interaktive Puppe, die dem spielenden Kind zuhören und auch selbst sprechen kann, war drei Jahre lang ein Verkaufsschlager. "Für die Funktion hat sie ein Mikrofon und einen Lautsprecher und eine Bluetooth-Verbindung. Im Prinzip nichts anderes, als eine Freisprechanlage im Auto", erklärt Tobias Schrödel.

Sobald die Puppe eingeschaltet und die entsprechende App aktiviert ist – zum Beispiel auf einem Tablet oder dem Smartphone der Eltern – kann es losgehen. Und so war auch Schrödels Smartphone in Sekundenschnelle mit "Cayla" verbunden. Der IT-Experte findet das bedenklich: "Die Hersteller wollen natürlich, dass die Nutzer sofort losspielen können und Spaß an dem Spielzeug haben. Das bedeutet: Keine Passwörter, sondern nur anschalten - und nicht mehr."

"Cayla" kennt auf fast jede Frage eine Antwort, da sie über die App zusätzlich mit dem Internet verbunden ist und dort alle erdenklichen Antworten recherchiert. Für Kinder also eigentlich ein tolles Spielzeug. Doch Verbraucherschützer äußerten Bedenken und die Bundesnetzagentur hat "Cayla" in Deutschland verboten: Durch das eingebaut Mikrofon sei nämlich eine Abhörfunktion möglich, so Schrödel. "Gegenstände, die sendefähige Kameras oder Mikrofone verstecken und so Daten unbemerkt weiterleiten können, gefährden die Privatsphäre der Menschen. Das gilt auch und gerade für Kinderspielzeug", erklärte der Präsident der Bundessnetzagentur Jochen Homann zu dem Verbot.

Kinder vertrauen den Spielzeugen blind

Bei Michael Nayda aus Düren stößt die Entscheidung der Behörde auf Unverständnis. Er hatte seiner Tochter Jolisa diese Puppe vor zwei Jahren geschenkt und will ihr das Lieblingsspielzeug nicht wegnehmen. Warum auch? – meint Michael Nayda. Mit seinem Einverständnis hat Tobias Schrödel mit Jolisa und ihrer "Cayla" einen Test gemacht, während das Mädchen mit der Puppe spielte: Der IT-Experte konnte sich im Nebenzimmer mit wenigen Klicks über sein Smartphone mit der Bluetooth-Schnittstelle der eingeschalteten Puppe verbinden – und konnte somit abhören, was in dem Kinderzimmer passiert und über den Lautsprecher der Puppe mit dem ahnungslosen Mädchen sprechen. Jolisa vertraute der Puppe blind, während Schrödel sie ausfragte oder andere Spielsachen benutzen ließ – zum Entsetzen ihres Vaters Michael Nayda. "Dass sie das so schnell alles macht, und das so einfach geht. Ich bin schockiert."

Tobias Schrödel fand heraus, dass "Cayla" nicht das einzige problematische Spielzeug mit derartigen Funktionen ist. Sie ist aber das einzige, das verboten wurde. Der Plüschteddy namens "Freddy, der Bär" beispielsweise (gleiche Vertriebsfirma wie "Cayla") kann sich zwar nicht mit dem Internet verbinden. Doch Hacker haben auch bei diesem Teddy leichtes Spiel, sofern "Freddy" gerade nicht aktiv mit dem Smartphone der Eltern verbunden aber eingeschaltet ist. Das konnte stern TV in einem weiteren Kinder-Test zeigen. Silke Bokelkamp und ein paar befreundet Eltern ließen sich darauf ein. Wie bei der Puppe konnte sich der IT-Experte binnen Sekunden vom Nebenraum zu den spielenden Kindern zuschalten.

Sechs von sieben Kindern folgten allen Befehlen

Als die achtjährige Kalyn mit dem Teddy spielte, hatte Schrödel über das Mikrofon in kurzer Zeit ihr Vertrauen gewonnen – und ihr das Passwort für die gesicherten Türen des Hauses entlockt. Ihre Mutter zeigte sich geschockt, denn viele Leute würden ihre Kinder sicher mit dem vermeintlich harmlosen Spielzeug spielen lassen und dem Hersteller vertrauen, so die Mutter. "Ich denke, sowas sollte man sofort vom Markt nehmen."

Der siebenjährige Elias ließ sich ebenfalls ausfragen und gab ohne zu zögern die Wohnungsadresse der Familie preis. "Erschreckend", fand sein Vater. "Sie sind so gutgläubig, weil sie denken, sie sprechen mit einem Stofftier."
Das sei genau das Problem, erklärt Tobias Schrödel nach dem Test: "Ich habe eine Adresse bekommen, ich weiß, wann Sie nicht zu Hause sind, wann die Mama nicht zu Hause ist und die Schwester. Und die Tür macht das Kind dann auch noch auf."

Diesen Kindern wurde im Anschluss alles erklärt und Tobias Schrödel zeigte ihnen, dass sie nicht mit dem Stofftier, sondern mit ihm gesprochen haben. Sie haben an jenem Tag etwas gelernt. Das erschreckende Fazit ist jedoch: Im stern TV-Test haben sechs von sieben Kindern zwischen drei und acht Jahren genau das gemacht, was der vermeintlich fremde Tobias Schrödel ihnen über das Spielzeug befahl. Sie haben "Freddy" und "Cayla" vollkommen vertraut – Spielzeugen, die manipulativen Verbrechern Tür und Tore öffnen.
Immerhin: Deutschlands großer Spielwarenmarkt "Toys 'R' Us" hat auf die Nachfrage von stern TV reagiert, und nach "Cayla" nun sowohl "Freddy" als auch "I-Que Roboter" aus dem Verkauf genommen. 

Tipps für Eltern
Wie kann ich mein Kind schützen?

Wenn Ihr Kind ein Spielzeug mit einer ungeschützten Bluetooth-Schnittstelle besitzt, sollten Sie die Funktion vorsichtshalber deaktivieren. Am besten, Sie entnehmen die Batterien. Mit diesen Sicherheitsargumenten können Sie das Spielzeug beim Hersteller bzw. Händler auch reklamieren und Ihr Geld zurückbekommen.

Was muss ich beim Spielzeugkauf beachten?

Achten Sie beim Kauf neuer Spielzeuge darauf, dass diese keine Bluetooth-Schnittstelle ohne Passwort haben. Sollte ein Hersteller "Datenschutzbedingungen" haben, lohnt es sich, diese (z.B. auf der Internetseite des Herstellers) im Vorhinein einmal kritisch zu prüfen, welche Daten Ihr Kind über die Spielzeug-Funktionen preisgibt – und was das Unternehmen damit macht/machen könnte.

Warum bauen die Hersteller keinen Schutz ein?

Die Hersteller möchten, dass Kinder die Spielzeuge mit möglichst wenigen Hürden sofort nutzen können. IT-Sicherheitsexperte Tobias Schrödel sieht das kritisch: "Die Hersteller dieser Spielzeuge sollten ein Bluetooth-Passwort einbauen, dass zudem nicht für eine Produktreihe einheitlich, sondern individuell ist. In jeder Packung könnte zum Beispiel ein eigenes Passwort stecken. Denn genau dort, bei der Bluetooth-Verbindung, ist die Sicherheitslücke. Zudem  sollten die Hersteller eine Knopf-Funktion einbauen, so dass nur beim Drücken des Knopfs das Mikrofon aktiviert ist."

Muss man als Eltern mit Strafen rechnen, wenn man ein verbotenes Spielzeug weiter behält?

Die Bundesnetzagentur geht davon aus, dass Eltern eigenverantwortlich die verbotenen Spielzeuge wie beispielsweise "Cayla" unschädlich machen – z.B. ohne Batterie betreiben. Theoretisch wäre die Behörde dazu ermächtigt, von Käufern solch verbotener Spielzeuge wie "Cayla" einen Vernichtungsnachweis zu verlangen, so Rechtsanwalt Christian Solmecke: "Am einfachsten ist es für Eltern in solchen Fällen, die Puppe an einer der nahe gelegenen Abfallwirtschaftsstationen abzugeben. Dort bekommt man einen solchen Nachweis."

Besteht nicht auch bei "Alexa"/"Echo" von Amazon diese Gefahr?

Ja, das stimmt. Allerdings: Das Verbot durch die Bundesnetzagentur ist darauf begründet, dass bei Spielzeugen oder manch anderen Geräten, in denen Mikrofone und Lautsprecher "versteckt" sind, sich als Gegenstände des täglichen Gebrauchs oder gar als Spielzeug tarnen. Die Funktionsweise ist trotzdem dazu geeignet, dass die Privatsphäre missbraucht und das Gesprochene von Fremden abgehört werden könnte. Bei den Amazon-Geräten geht die Behörde davon aus, dass diese (Haupt)Funktion bekannt ist. Steht hingegen eine Puppe oder ein Teddy im Zimmer, ist den meisten Menschen nicht klar, dass dort Mikrofon, Lautsprecher und Bluetooth-Einrichtung verborgen sind.

Welche anderen Geräte im Haushalt sind noch bedenklich?

Der Fachanwalt Christian Solmecke hat sich mit diesem Thema befasst. Er sagt: "Besonders häufig finden sich verbotene Sendeanlagen in Uhren, Weckern, Rauchmeldern, Wetterstationen oder Lampen. Versteckte Mikrofone finden sich zum Beispiel in Kreditkartenattrappen, Ladekabeln, Verteilersteckdosen oder neuerdings immer häufiger in Spielzeugen. Hierzu haben wir in unserem Beitrag Verbotene Spionagekameras – Bundesnetzagentur greift durch ausführlich berichtet."


Partner-Tools